Deine Daten,
dein Schutz

Wie Phishing-Angriffe funktionieren, was sichere Passwörter auszeichnet — und warum selbst ein harmloses Foto mehr verrät, als du denkst.

Phishing Passwörter Metadaten
Modul 01 — Angriffe erkennen

Was ist Phishing?

Phishing (von engl. „fishing" = Angeln) ist der Versuch, dich mit gefälschten Nachrichten dazu zu bringen, persönliche Daten preiszugeben. Klicke auf die Karten, um mehr zu erfahren.

🎣

Klassisches Phishing

Massenmails, die so tun, als kämen sie von einer Bank, PayPal oder der Post.

Der Angreifer schickt Millionen identischer E-Mails und hofft, dass ein Bruchteil der Empfänger auf den gefälschten Link klickt. Die Webseite sieht der echten täuschend ähnlich — Logos, Farben, Sprache sind kopiert. Eingegebene Passwörter landen direkt beim Angreifer.
↓ Details
🎯

Spear-Phishing

Gezielte Angriffe auf einzelne Personen mit persönlichen Informationen.

Beim Spear-Phishing recherchiert der Angreifer sein Opfer vorher: Name, Arbeitgeber, Kollegen, aktuelle Projekte. Die E-Mail klingt dadurch sehr glaubwürdig — „Hallo Lisa, wie besprochen schicke ich dir den Vertrag …". Gerade Social Media macht diese Recherche einfach.
↓ Details
📱

Smishing & Vishing

Phishing per SMS (Smishing) oder Telefonanruf (Vishing).

„Ihr Paket konnte nicht zugestellt werden. Bitte bestätigen Sie Ihre Adresse hier: …" — Smishing-Nachrichten nutzen, dass wir SMS oft als vertrauenswürdiger einschätzen als E-Mails. Beim Vishing ruft jemand an und gibt sich z.B. als Bankmitarbeiter aus.
↓ Details
🌐

Pharming

Weiterleitung auf gefälschte Webseiten, ohne dass du etwas merkst.

Bei Pharming wird die DNS-Einstellung manipuliert: Du tippst „deine-bank.de" in den Browser, landest aber auf einer Fälschung. Erkennbar nur an fehlenden/falschen SSL-Zertifikaten (kein Schloss-Symbol, falsche Domain). Darum immer die URL im Browser prüfen!
↓ Details

🔍 Phishing-Mail analysieren

Klicke auf die markierten Stellen in der E-Mail, um verdächtige Merkmale aufzudecken. Findest du alle 5 Warnsignale?

So schützt du dich

✓ Richtig

  • Absenderadresse genau prüfen (nicht nur den Namen)
  • Links hovern → echte URL im Browser prüfen
  • Bei Zweifeln direkt die offizielle Webseite aufrufen
  • Niemals Passwörter per E-Mail eingeben
  • 2-Faktor-Authentifizierung aktivieren
  • Spam-Filter aktuell halten

✗ Falsch

  • Auf Links in Dringlichkeits-Mails klicken
  • Dateianhänge unbekannter Absender öffnen
  • Persönliche Daten auf verlinkten Seiten eingeben
  • Den Anzeigenamen des Absenders vertrauen
  • Auf Drohungen und Zeitdruck reagieren
  • Spam-Mails beantworten (bestätigt aktive Adresse)
Modul 02 — Zugangssicherheit

Sichere Passwörter

Ein Passwort ist das wichtigste Schloss vor deinen Daten. Doch 80% aller Datenlecks gehen auf schwache oder gestohlene Passwörter zurück. Teste hier ein Passwort live und lerne, was es wirklich sicher macht.

Mindestens 12 Zeichen
Großbuchstaben (A-Z)
Kleinbuchstaben (a-z)
Zahlen (0-9)
Sonderzeichen (!@#$...)
Kein Wörterbuchwort

Sortieraufgabe: Von schwach bis stark

Sortiere diese Passwörter von am schwächsten (oben) bis am stärksten (unten) durch Ziehen.

  • Sommer2024
  • 123456
  • T!g3r#Mond_42x
  • BlaueSonne!9
  • kX9$mP!qL2#vR8@nZ
🎲

Passwort-Merkhilfen

Wie merkt man sich komplexe Passwörter?

Methode 1 — Satzpasswort: Nimm einen Satz und verwende Anfangsbuchstaben + Zahlen. „Ich esse 3 Äpfel täglich!" → Ie3Ät!

Methode 2 — Passphrase: 4 zufällige Wörter = starkes Passwort. Mond-Gabel-Zebra-Kiste ist sicherer als P@ssw0rd!
↓ Details
🔐

Passwort-Manager

Nie mehr Passwörter merken müssen.

Ein Passwort-Manager (z.B. Bitwarden, KeePass) speichert alle Passwörter verschlüsselt. Du merkst dir nur ein starkes Master-Passwort. Der Manager generiert für jede Seite ein anderes, zufälliges Passwort — damit bist du auch bei Datenlecks geschützt.
↓ Details
📲

2-Faktor-Authentifizierung

Ein gestohlenes Passwort reicht dann nicht mehr.

Bei 2FA brauchst du neben dem Passwort einen zweiten Faktor: eine SMS, eine App (Google Authenticator, Authy) oder einen Hardware-Key (YubiKey). Selbst wenn jemand dein Passwort kennt, kommt er ohne dein Handy nicht rein.
↓ Details
⚠️

Häufige Fehler

Was fast alle falsch machen.

• Gleiches Passwort für mehrere Dienste nutzen
• Passwort in Browser speichern ohne Master-Passwort
• „Passwort vergessen"-Antworten (Geburtsort, Haustiername) die auf Social Media stehen
• Passwort per WhatsApp/E-Mail weiterschicken
↓ Details
Modul 03 — Unsichtbare Spuren

Was sind Metadaten?

Metadaten sind „Daten über Daten" — unsichtbare Zusatzinformationen, die jedem Foto, jeder E-Mail und jedem Dokument automatisch hinzugefügt werden. Sie verraten oft mehr als der Inhalt selbst.

📸
Format: JPEG Größe: 3,2 MB Auflösung: 4032×3024 Kamera: iPhone 13 Pro 📍 GPS: 51.339°N 12.380°E (Leipzig, Marktplatz) 🕐 Datum: 15.03.2025, 14:37:22 ISO: 200 | Blende: f/1.8 👤 Gerät-ID: iPhone-A1B2C3D4 Bearbeitet: Nein

Was verraten diese Daten?

AufenthaltsortExakter GPS-Punkt
UhrzeitWann du wo warst
GerätWelches Handy/Kamera
BewegungsmusterAus vielen Fotos rekonstruierbar
Inhalt des BildesNicht in Metadaten
📧

E-Mail-Metadaten

Jede E-Mail enthält einen unsichtbaren Header mit Routing-Informationen.

Im E-Mail-Header stehen: Alle Server, die die Mail durchlaufen hat (mit IP-Adressen und Zeitstempeln), dein E-Mail-Programm, dein Betriebssystem, und manchmal sogar deine IP-Adresse. Ermittler können damit den Weg einer E-Mail vollständig nachverfolgen.
↓ Details
📄

Dokument-Metadaten

Word- und PDF-Dateien speichern den Autorennamen automatisch.

Viele Menschen wissen nicht: In Word-Dateien stecken Name des Erstellers, Firma, Bearbeitungsverlauf und manchmal sogar gelöschte Textpassagen. 2003 wurden geheime Informationen im Irak-Dossier der britischen Regierung durch Metadaten enthüllt.
↓ Details
🗑️

Metadaten entfernen

Wie man Fotos und Dokumente „sauber" macht.

Fotos: In iPhone-Galerie → Teilen → GPS-Daten entfernen. Android: ähnlich. PC: Rechtsklick → Eigenschaften → Details entfernen.
Dokumente: Word: Datei → Auf Probleme prüfen → Dokument prüfen.
Tools: ExifTool (kostenlos, für alle Formate)
↓ Details
⚖️

Rechtliche Lage

Dürfen Unternehmen Metadaten sammeln?

Nach DSGVO (Datenschutz-Grundverordnung) gelten Metadaten mit Personenbezug als personenbezogene Daten — sie dürfen nur mit Einwilligung oder gesetzlicher Grundlage gespeichert werden. Trotzdem sammeln viele Apps standardmäßig Metadaten und nutzen sie für Werbung.
↓ Details
Modul 04 — Wissen testen

Das große Quiz

Teste dein Wissen zu Phishing, Passwörtern und Metadaten. 8 Fragen — wie viele schaffst du?

Frage 1 / 8
Eine E-Mail von „paypa1-sicherheit.net" fordert dich auf, dein Passwort einzugeben. Was stimmst du zu?
Frage 2 / 8
Was ist Spear-Phishing?
Frage 3 / 8
Welches Passwort ist am stärksten?
Frage 4 / 8
Was schützt dich, wenn dein Passwort bei einem Datenleck gestohlen wird?
Frage 5 / 8
Was sind Metadaten bei einem Foto?
Frage 6 / 8
Du postest ein Selfie auf Instagram — was kann jemand herausfinden, wenn die GPS-Daten nicht entfernt wurden?
Frage 7 / 8
Was ist ein Passwort-Manager?
Frage 8 / 8
Pharming ist …
0/8
Dein Ergebnis
Überblick — Fachbegriffe

Glossar: Klicken zum Aufdecken

Klicke auf eine Karte, um die Definition zu sehen.

Phishing
Angriffsmethode
Täuschungsangriff, bei dem gefälschte Nachrichten dazu verleiten, sensible Daten wie Passwörter einzugeben.
Spear-Phishing
Zielgerichteter Angriff
Gezielte Phishing-Attacke auf eine bestimmte Person, die mit persönlichen Informationen aus Social Media oder anderen Quellen vorbereitet wurde.
2FA
Sicherheitsmethode
Zwei-Faktor-Authentifizierung: neben dem Passwort wird ein zweiter Nachweis verlangt (z.B. SMS-Code, App-Bestätigung).
Metadaten
Datenkategorie
Unsichtbare Zusatzinformationen in Dateien, die Kontext beschreiben (z.B. GPS-Koordinaten, Erstellungsdatum, Gerätename).
EXIF
Foto-Standard
Exchangeable Image File Format: Standardformat für Metadaten in digitalen Fotos. Enthält GPS, Uhrzeit, Kameraeinstellungen u.v.m.
Pharming
DNS-Manipulation
Angriff, bei dem durch DNS-Manipulation korrekte URLs auf gefälschte Webseiten umgeleitet werden — ohne dass der Nutzer eine falsche Adresse eingibt.
Passphrase
Passwort-Methode
Mehrere zufällige Wörter als Passwort kombiniert (z.B. „Mond-Gabel-Zebra-Kiste"). Lang, merkbar und sehr sicher.
DSGVO
EU-Recht
Datenschutz-Grundverordnung: EU-Gesetz, das den Umgang mit personenbezogenen Daten (inkl. Metadaten) regelt. Seit 2018 in Kraft.
Reflexion — Diskussion

Nachdenken & Diskutieren

„Wenn du nichts zu verbergen hast, hast du auch nichts zu befürchten."
— Oft gehörtes Argument zur Überwachung
💬 Was spricht für dieses Argument — und was dagegen? Können Metadaten auch unschuldige Menschen gefährden?
💬 Du schickst täglich Dutzende Nachrichten. Welche Metadaten entstehen dabei — und wer könnte sie einsehen?
💬 Ist absolute Privatsphäre im digitalen Zeitalter noch möglich? Oder ist Datenschutz immer ein Kompromiss?
💬 Ein Whistleblower will anonym ein Dokument leaken. Welche Fehler bei Metadaten könnten ihn verraten?