Cyber Security Awareness

Was ist der Unterschied zwischen Spam und Phishing?

17 August 2022 · 5 Min

Jeden Tag finden unerwünschte E-Mails ihren Weg in Postfächer weltweit. Doch die Grenzen zwischen ungefährlichem, lästigem Müll und potenziellen Bedrohungen verschwimmen. Den Unterschied zwischen Spam und Phishing-Attacken zu kennen – und zu erkennen – ist der erste Schritt, um der Gefahr zu entgehen. 

Was ist Spam?

Spam bezeichnet elektronisch versandte Werbung, die unerwünscht in unseren E-Mail- oder auch SMS-Postfächern landet. Diese Spam-Nachrichten werden häufig auch als „Junk-Mail“ bezeichnet. Der Grund dafür liegt in der Natur der Mails: Sie werden ungefragt und unerwünscht als massenhafte Werbung verschickt – und würden in physischer Form sofort im Müll landen. 

Die Ziele der Absendenden von Spam-Mails – auch „Spammer“ genannt – haben meist einen kommerziellen Hintergrund. In Spam-Mails befinden sich so unter anderem Werbung für Produkte, Einladungen zu Gewinnspielen oder Angebote für vermeintlich attraktive Geldanlagen. Nach deutschem Recht sind Spam-Mails als unerwünschte Werbung verboten, landen jedoch trotzdem in Postfächern weltweit. 

 Laptop-Mockup mit beispielhafter Spam-Mail

An die E-Mail-Adressen gelangen die Spammer auf verschiedenen Wegen: Durch automatische E-Mail-Generierung, Ausleseprogramme auf Webseiten, die zu den eigenen Werbeinhalten passen, den Kauf von E-Mail-Adressen anderer Unternehmen oder im Darknet. Dadurch kann Spam in Massen an viele User gleichzeitig versendet werden. Für Nutzende sind sie anstrengend zu sortieren und somit ein Störfaktor im Alltag. Das begünstigt einen unvorsichtigen Umgang mit Spam-Mails. 

Was ist Phishing?

Phishing kann als Unterkategorie von Spam angesehen werden. Im Gegensatz zu Spam ist Phishing allerdings immer böswilliger Natur. Täglich erreichen mehr als 3 Milliarden Phishing-Mails Postfächer weltweit. Mit diesen großflächigen Phishing-Angriffen zielen Cyberkriminelle darauf ab, Personen oder ganzen Unternehmen Schaden zuzufügen – und sich dabei selbst finanziell zu bereichern. 

Durch emotionale Manipulation in Form von Social Engineering bringen die Angreifenden die User dazu, auf Links in ihren Mails zu klicken und dort sensible Informationen in fingierte Eingabemasken einzugeben. So „fischen“ die Kriminellen nach Zugangsdaten und Passwörtern zu Bankkonten, Social-Media-Accounts oder anderen Online-Konten – zur Nutzung für kriminelle Zwecke, etwa zum Weiterverkauf.  

Die Cyberkriminellen geben sich dabei als vertrauenswürdige Personen, Unternehmen oder öffentliche Institutionen wie Banken aus. Solche Nachrichten sind mittlerweile so weit professionalisiert, dass die Phishing-Mails kaum von echten E-Mails zu unterscheiden sind. Bei der gezielteren und auf Einzelpersonen fokussierten Phishing-Taktik Spear-Phishing täuschen Cyberkriminelle zum Beispiel vor, eine bekannte Person aus dem Umfeld der Opfer zu sein – und sind aufgrund ihrer vorherigen Recherche und Insider-Wissen nur schwer zu durchschauen. 

Laptop-Mockup mit beispielhafter Phishing-Mail

Ist Phishing gefährlicher als Spam?

Die Trennlinie zwischen den Definitionen von Spam und Phishing ist oft verschwommen. Spam-Mails können bloß harmlose Massenwerbung sein. Doch mit einem Anteil von 60 bis 90 Prozent der gesamten elektronischen Post bieten Spam-Mails eine immense Reichweite – und damit optimale Verbreitungsmöglichkeit für gefährliche Inhalte, darunter Phishing. 

Eine andere Ausprägung von Phishing nennt sich „Malware-Spam“. Hierzu zählen zum Beispiel Trojanische Pferde (kurz „Trojaner”), Viren oder Würmer. Klicken Nutzende unachtsam auf einen Anhang in einer solchen vermeintlichen „Werbe-Mail“, wird Schadsoftware (sog. „Malware“) heruntergeladen, die ihren Schadcode auf den betroffenen Geräten und Systemen weiterverbreiten und Daten abgreifen kann. 

Hinter jeder harmlosen Spam-Mail kann also auch eine Phishing-Mail stecken. Was allerdings in der Praxis viel wichtiger ist als diese Begriffsabgrenzung: Welche E-Mails können gefährlich sein? Nutzende sollten das Erkennen fragwürdiger E-Mails üben, um Interaktionen mit potenziell bösartigen Inhalten und persönliche und finanzielle Schäden gering zu halten – egal ob es sich begrifflich um Spam oder Phishing handelt. 

Kurz und bündig: Spam vs. Phishing

Oft werden Phishing-Mails als Unterkategorie von Spam bezeichnet: Denn auch sie sind unerwünscht und werden oft massenhaft an User versendet. Um die Unterschiede beider Formen zusammenzufassen, haben wir eine vereinfachte Gegenüberstellung erstellt: 

SpamPhishing
DefinitionUnerwünschte und massenhaft versendete Werbe-Mails Betrügerische E-Mails mit Aufforderungen zur Eingabe sensibler Daten 
ZieleKlassischerweise um Angebote zu bewerben, aber auch zum Versenden von Schadsoftware genutzt Daten erhaschen, Personen und Unternehmen bzw. Organisationen schädigen, sich finanziell bereichern 
BeispieleProduktwerbung, Gewinnspiele, Angebot einer Geldanlage Sperrung des Bankkontos, Dringende E-Mail vom Chef  

Sie möchten die wichtigsten Informationen dazu, was der Unterschied zwischen Spam und Phishing ist und wie Sie sich davor schützen können auf einen Blick erhalten? Laden Sie unser Phishing vs Spam Infosheet herunter! 

Tipps: So schützen Sie sich vor gefährlichen E-Mails wie Spam und Phishing

Liste mit Tipps, wie man gefährliche E-Mails erkennen kann

Der Fall der Fälle: Was sollten Sie bei einer verdächtigen E-Mail vermeiden?

  • Antworten Sie nicht auf Spam oder Phishing. Dem Spammer wird dadurch signalisiert, dass diese E-Mail-Adresse existiert oder ein richtiges Adressenformat getroffen hat. Dadurch können Mitarbeitende eines ganzen Unternehmens Ziel des Absenders werden (z. B. vorname.name@beispielfirma.de). 
  • Klicken Sie nicht auf Links oder Anhänge von E-Mails, deren Absender Sie nicht kennen! Grundsätzlich gilt: E-Mails, die aus unbekannter Quelle kommen und die Sie so nicht erwartet haben, sollten Sie genauer untersuchen, bevor Sie auf Links oder Anhänge klicken. Auch der „Abbestellen“-Button eines vermeintlichen Newsletters sollte nicht leichtfertig geklickt werden, denn auch hier könnte es sich um einen gefährlichen Link handeln. 
  • Geben Sie keine persönlichen Daten ein: Gerade bei E-Mails, die Druck oder Zeitnot aufbauen (vor allem bei offiziellen Institutionen oder Banken), sollten Sie wachsam sein. Kontaktieren Sie die Absendenden auf telefonischem Wege und fragen Sie nach. 

Das BSI empfiehlt ein „gesundes Misstrauen“ gegenüber unerwünschten Spam-Mails: Prüfen Sie die Inhalte verdächtiger Mails außerhalb der E-Mail, beispielsweise durch eine Nachfrage per Anruf oder Überprüfung der Informationen auf der offiziellen Webseite in Ihrem Browser. 

Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI)

Nachhaltige Awareness: Warum Spamfilter nicht ausreichend sind

Sowohl Spam als auch Phishing gelangen häufig ins Postfach. Aber wie können Sie diesen unerwünschten und potenziell gefährlichen Mails künftig vorbeugen? Spam-Filter sind eine Option, die Mails von Vornherein aus Ihrem Postfach fernzuhalten: E-Mails bestimmter Adressen werden dadurch direkt in den Spam-Ordner verschoben. 

Doch kein technischer Filter ist perfekt. Täglich werden immer mehr Spam- und Phishing-Mails kreiert und Cyberkriminelle professionalisieren ihre Templates so, dass Unterschiede zu echten E-Mails – auch für Filter – kaum zu erkennen sind. Auch die unglaubliche Menge neuer Phishing-Taktiken kann nicht garantiert von Filtern aufgefasst werden. Jetzt liegt es an den Nutzenden.  

Ein nachhaltiges und sicheres Verhalten im Umgang mit E-Mails aller Art aufzubauen ist das A und O für eine Risikominimierung – sowohl im privaten als auch im beruflichen Kontext. Das erworbene Wissen anhand von praktischen Beispielen zu testen ist der beste Weg, um sich auf den Ernstfall vorzubereiten, ohne ein echtes Risiko einzugehen. Cyber Security Awareness Trainings auf verhaltenswissenschaftlicher Basis decken dieses gesamte Spektrum ab: Spielerische Lernmodule und kontinuierliche Phishing-Simulationen helfen beim Aufbau einer nachhaltigen Sicherheitskultur – und geben Spammern und Cyberkriminellen keine Chance.