Kein Hackerfilm, sondern Alltag

Digitale Sicherheit klingt für viele Menschen zunächst groß, technisch und vielleicht sogar abschreckend. Man denkt schnell an Hackerfilme, dunkle Räume und komplizierte Codes. Unser Workshop hatte bewusst einen anderen Ansatz: Es ging nicht um Panik. Es ging um Alltag.

Es ging um E-Mails, SMS, Anrufe, QR-Codes, Passwörter, Geräte, Nachrichten und kleine Entscheidungen, die wir jeden Tag treffen. Vor allem ging es um eine einfache Haltung: nicht vorschnell reagieren, sondern kurz innehalten.

Viele Betrugsversuche sind heute nicht laut und spektakulär. Sie sind leise, schnell und geschickt verpackt: eine Paket-SMS hier, eine angebliche Bankwarnung dort, ein QR-Code auf einem Aushang oder eine Nachricht, die dringend klingt. Genau deshalb wollten wir im Workshop zeigen: Sicherheit beginnt oft mit einem kleinen Moment Aufmerksamkeit.

Drei Gewohnheiten, die sofort helfen

Der Workshop startete mit drei einfachen Gewohnheiten, die im digitalen Alltag sofort helfen können: erkennen, stoppen und schützen.

Diese drei Schritte klingen einfach. Genau darin liegt ihre Stärke. Digitale Sicherheit muss nicht perfekt beginnen. Sie beginnt dort, wo Menschen sich trauen, eine Nachricht zu hinterfragen, einen Link nicht sofort zu öffnen oder bei Unsicherheit noch einmal nachzufragen.

Vom Köder zum Sicherheitsplan

Der Workshop war als 90-minütiges Praxistraining aufgebaut. Es ging nicht nur darum, Informationen zu vermitteln. Wir wollten gemeinsam hinschauen, Beispiele auseinandernehmen und praktische Sicherheitsgewohnheiten üben.

Inhaltlich führte der Workshop vom Betrugstrick bis zum persönlichen Sicherheitsplan. Zuerst ging es um die Psychologie hinter digitalen Betrugsversuchen. Danach haben wir verschiedene Formen von Phishing und ähnlichen Angriffen betrachtet. Anschließend standen Passwörter, Zwei-Faktor-Authentifizierung und Passkeys im Mittelpunkt.

Danach wurden praktische Tools vorgestellt, mit denen sich Links, Datenlecks oder Passwortlisten besser einordnen lassen. Am Ende ging es um konkrete nächste Schritte.

Hat dich das Internet schon einmal reingelegt?

Eine der ersten Fragen im Workshop lautete: „Hat dich das Internet schon einmal reingelegt?“ Diese Frage ist bewusst menschlich. Sie fragt nicht: „Wer hat einen Fehler gemacht?“ Sie fragt auch nicht: „Wer war unvorsichtig?“

Viele Menschen erzählen nicht gern, wenn sie auf einen Betrugsversuch hereingefallen sind. Sie haben Angst, dumm zu wirken oder verurteilt zu werden. Dabei sind moderne Betrugsversuche oft sehr professionell gemacht. Sie nutzen bekannte Marken, echte Logos, passende Sprache und Situationen, die tatsächlich zum Alltag passen.

Ein Paket erwarten viele. Eine Banknachricht nehmen viele ernst. Eine Warnung über ein gesperrtes Konto macht sofort nervös. Und eine Gewinnbenachrichtigung kann neugierig machen, selbst wenn man eigentlich skeptisch ist.

Deshalb war uns im Workshop wichtig: Niemand ist „selbst schuld“, weil er oder sie kurz unsicher war. Betrügerinnen und Betrüger planen genau diesen Moment. Sie wollen, dass Menschen gestresst, neugierig, hilfsbereit oder ängstlich reagieren. Der erste Schritt zu mehr Sicherheit ist deshalb nicht Scham, sondern Aufmerksamkeit.

Humor hilft, aber der Trick bleibt ernst

Im Workshop haben wir auch mit einem kurzen humorvollen Video gearbeitet. Erst wurde gelacht, dann analysiert. Diese Reihenfolge war kein Zufall. Humor kann helfen, ein schwieriges Thema zugänglicher zu machen. Wenn Menschen lachen, entspannen sie sich. Und wenn sie entspannter sind, können sie besser lernen.

Nach dem Video ging es um drei Fragen: Was war lustig? Was war gefährlich? Welchen Trick hat der Angreifer benutzt? Gerade bei Phishing ist diese Analyse wichtig. Denn hinter vielen Betrugsversuchen steckt eine Methode. Es geht nicht nur um eine falsche E-Mail, sondern um Manipulation.

Phishing ist kein Technikproblem

Ein zentraler Satz des Workshops war: Phishing ist kein Technikproblem. Es ist ein menschlicher Trick im digitalen Kostüm. Betrüger greifen nicht nur Geräte an. Sie greifen Entscheidungen an. Sie versuchen, Menschen zu einer Handlung zu bringen, die sie sonst vielleicht nicht tun würden.

Spam, Phishing, Smishing, Vishing und Quishing

Im nächsten Schritt haben wir die verschiedenen Formen digitaler Betrugsversuche sortiert. Viele Begriffe klingen technisch, beschreiben aber sehr konkrete Alltagssituationen.

• Spam sind Massennachrichten, oft mit Links oder Anhängen.
• Phishing bezeichnet gefälschte E-Mails oder Webseiten, die Zugangsdaten stehlen wollen.
• Smishing ist Phishing per SMS oder Messenger.
• Vishing ist Betrug per Telefon oder Sprachnachricht.
• Quishing nutzt QR-Codes, die auf gefälschte Seiten führen können.

Die Bühne wechselt, aber das Muster bleibt ähnlich: Vertrauen gewinnen, Druck erzeugen, Handlung auslösen.

Fünf Methoden gegen Phishing-Mails

Ein wichtiger Teil des Workshops waren konkrete Methoden, um Phishing-Mails besser zu erkennen. Dabei ging es nicht darum, jede gefälschte Nachricht sofort perfekt zu entlarven. Es ging darum, Warnsignale wahrzunehmen.

• Absender genau prüfen: Nicht nur der angezeigte Name zählt, sondern die tatsächliche E-Mail-Adresse.
• Druck und Drohungen erkennen: „Letzte Warnung“ oder „Ihr Konto wird heute gesperrt“ sollen Stress auslösen.
• Links vor dem Klick prüfen: Der sichtbare Text eines Links kann harmlos aussehen, aber auf eine andere Website führen.
• Anhänge nur öffnen, wenn sie erwartet wurden: Eine angebliche Rechnung oder ein Formular kann Schadsoftware enthalten.
• Im Zweifel über einen zweiten Kanal nachfragen: Nicht auf die verdächtige Nachricht antworten, sondern offizielle Wege nutzen.

Der 3-Sekunden-Check

Der vielleicht wichtigste praktische Impuls des Workshops war der 3-Sekunden-Check. Bevor der Finger schneller ist als das Gehirn, helfen drei Fragen:

Eine Phishing-Mail zerlegen

Im Workshop haben wir eine Beispiel-Mail gemeinsam analysiert. Sie sah auf den ersten Blick offiziell aus: angeblich von der Sparkasse, mit einer dringenden Warnung und einem Link zur Bestätigung der Zugangsdaten. Beim genaueren Hinsehen wurden mehrere Warnsignale sichtbar.

• Die Absender-Domain passte nicht zur echten Sparkasse.
• Der Betreff erzeugte starken Druck: „LETZTE WARNUNG“.
• Der Link führte nicht zur offiziellen Bankseite.
• Der Anhang hatte eine gefährliche Endung: „.pdf.exe“.
• Die Nachricht fragte direkt nach Passwort oder PIN.

Gerade dieses gemeinsame „Zerlegen“ ist hilfreich. Betrug ist oft nicht an einem einzigen Zeichen erkennbar. Meist kommen mehrere kleine Warnsignale zusammen.

Smishing: Das Paket, das nie ankam

Ein besonders bekanntes Beispiel ist die SMS über ein angeblich nicht zugestelltes Paket. Viele Menschen bestellen online. Deshalb wirkt diese Masche so glaubwürdig. Die Nachricht behauptet zum Beispiel, dass eine kleine Nachsendegebühr bezahlt werden muss.

Der Betrag ist oft niedrig, etwa 1,99 Euro. Genau das ist psychologisch geschickt: Es klingt nicht groß genug, um lange darüber nachzudenken. Man möchte das Problem schnell lösen. Aber der Link führt auf eine gefälschte Seite.

• Nicht direkt auf den Link tippen.
• Die App oder Website des Versanddienstes selbst öffnen.
• Keine Kartendaten über einen SMS-Link eingeben.
• Die Nachricht löschen oder melden.

Vishing: Wenn das Telefon Theater spielt

Betrug passiert nicht nur schriftlich. Am Telefon kann er besonders überzeugend sein, weil eine echte Stimme Vertrauen erzeugt. Typische Gesprächseinstiege sind: „Wir rufen von Ihrer Bank an“, „Ich bin vom Microsoft-Support“, „Bitte bestätigen Sie den Code in Ihrer App“ oder „Lassen Sie mich kurz auf Ihren Computer zugreifen“.

Neue Risiken: KI-Stimmen und Deepfakes

Ein besonders aktuelles Thema waren KI-Stimmen und Deepfakes. Heute können Stimmen und Videos nachgeahmt werden. Das macht Betrugsversuche emotional noch schwieriger.

Wenn jemand angeblich aus der Familie anruft, in Schwierigkeiten ist und dringend Geld braucht, ist es schwer, ruhig zu bleiben. Genau darauf setzen Schockanrufe. Deshalb haben wir im Workshop empfohlen: Wenn Geld, Zugangsdaten oder persönliche Informationen verlangt werden, immer über einen zweiten Kanal prüfen.

Eine praktische Idee ist ein Familien-Codewort. Dieses Wort sollte nicht öffentlich bekannt sein, nicht auf Social Media stehen und nicht leicht erraten werden können.

Quishing: QR-Codes sind Überraschungstüten

QR-Codes sind praktisch. Man sieht sie in Restaurants, auf Plakaten, an Parkautomaten, in Briefen, in E-Mails oder an Ladesäulen. Genau deshalb werden sie auch für Betrug genutzt.

Beim Quishing führt ein QR-Code auf eine gefälschte Website. Das Problem: Den Link sieht man oft erst nach dem Scannen. Die wichtigste Empfehlung: Vor dem Öffnen die URL-Vorschau prüfen.

Fake News: Quelle schlägt Bauchgefühl

Digitale Sicherheit bedeutet nicht nur Schutz vor Betrug. Sie bedeutet auch, Informationen besser einordnen zu können. Falschinformationen arbeiten oft ähnlich wie Betrugsnachrichten: Sie lösen starke Gefühle aus. Genau hier hilft wieder die Pause.

• URL prüfen: Woher kommt die Nachricht wirklich?
• Datum prüfen: Ist die Information aktuell oder wird ein alter Inhalt neu verbreitet?
• Autor prüfen: Gibt es einen Namen, ein Impressum oder eine erkennbare Organisation?
• Vergleichen: Berichten auch seriöse Medien darüber?
• Bilder prüfen: Können Fotos oder Videos in einem anderen Zusammenhang entstanden sein?

Die einfache Regel: Nicht teilen, bevor man es einordnen kann.

Passwörter: Der Haustürschlüssel des Internets

Passwörter waren ein weiterer zentraler Teil des Workshops. Wir haben sie als Haustürschlüssel des Internets beschrieben. Diese Metapher passt gut: Wer den Schlüssel hat, kommt hinein.

Ein gutes Passwort sollte für jedes Konto einzigartig sein. Es sollte lang sein und nicht aus Namen, Geburtstagen, Tastaturmustern oder einfachen Wörtern bestehen. Besonders gefährlich ist Wiederverwendung.

Die eigene Passphrase bauen

Eine gute Alternative zu komplizierten, kurzen Passwörtern ist eine Passphrase. Sie ist länger, besser merkbar und deutlich schwerer zu erraten.

Ein gutes Prinzip lautet: Lang schlägt clever. Für viele Menschen ist zusätzlich ein Passwort-Manager hilfreich.

Warum „Sommer2026!“ nicht clever ist

Viele Menschen glauben, ein Passwort sei sicher, wenn es einen Großbuchstaben, eine Zahl und ein Sonderzeichen enthält. Leider ist das nicht immer der Fall. „Sommer2026!“ folgt einem sehr typischen Muster: Wort plus Jahr plus Ausrufezeichen.

Angreifer testen oft zuerst die beliebtesten und vorhersehbarsten Passwörter. Ein Passwort muss also nicht nur formal kompliziert aussehen. Es muss unvorhersehbar sein.

Have I Been Pwned: Datenlecks verstehen

Ein weiteres Tool im Workshop war Have I Been Pwned. Damit kann geprüft werden, ob eine E-Mail-Adresse in bekannten Datenlecks auftaucht.

Wenn eine Adresse in einem Datenleck gefunden wird, bedeutet das nicht automatisch Panik. Es bedeutet: handeln. Das betroffene Passwort sollte geändert werden. Wenn dieses Passwort auch bei anderen Diensten genutzt wurde, müssen auch dort neue Passwörter gesetzt werden.

2FA und Passkeys: Passwort plus Sicherheitsgurt

Passwörter allein reichen heute oft nicht mehr aus. Deshalb haben wir im Workshop über Zwei-Faktor-Authentifizierung und Passkeys gesprochen.

Zwei-Faktor-Authentifizierung bedeutet: Neben dem Passwort braucht man einen zweiten Nachweis. Das kann ein App-Code sein, eine Smartphone-Bestätigung oder ein Sicherheitsschlüssel.

Wenn plötzlich eine Bestätigung auf dem Handy erscheint, obwohl man sich gerade nirgendwo einloggt, sollte man sie nicht akzeptieren.

VirusTotal: Türsteher für Links und Dateien

Im Workshop haben wir außerdem VirusTotal vorgestellt. Mit diesem Tool können URLs, Dateien, Domains und IP-Adressen geprüft werden. Es vergleicht die Einschätzungen mehrerer Sicherheitsdienste und kann helfen, verdächtige Links besser einzuordnen.

Wichtig ist: Ein grünes Ergebnis bedeutet nicht automatisch 100 Prozent Sicherheit. Außerdem sollten niemals private oder vertrauliche Dateien bei solchen Diensten hochgeladen werden.

Gerätegrundlagen: Langweilig, aber wirksam

Digitale Sicherheit besteht nicht nur aus dem Erkennen von Betrug. Auch die eigenen Geräte brauchen Basisschutz. Das klingt vielleicht langweilig, funktioniert aber wirklich.

• Updates installieren: für Handy, Laptop, Browser und Router.
• Antivirus aktivieren: für viele Menschen reicht der integrierte Schutz moderner Systeme bereits aus.
• Bildschirmsperre nutzen: PIN, Fingerabdruck oder Gesichtserkennung schützen vor fremdem Zugriff.
• Nur offizielle Stores nutzen: Apps sollten aus dem App Store, Play Store oder von Herstellerseiten kommen.
• Backups machen: Fotos, Dokumente und wichtige Dateien regelmäßig sichern.
• Schreibtisch aufräumen: Passwörter gehören nicht auf Haftnotizen neben dem Bildschirm.

Ich habe geklickt. Was nun?

Ein besonders wichtiger Teil des Workshops war der Notfallplan. Denn niemand ist perfekt. Selbst vorsichtige Menschen können in einem stressigen Moment klicken. Die wichtigste Botschaft war: Nicht zahlen. Nicht schämen. Melden hilft auch anderen.

• Sofort das Passwort ändern, besonders beim betroffenen Konto.
• Alle aktiven Sitzungen abmelden, wenn der Dienst diese Möglichkeit anbietet.
• Konto und Einstellungen prüfen: Weiterleitungen, Telefonnummern, Wiederherstellungsadressen und unbekannte Geräte kontrollieren.
• Bank informieren, wenn Zahlungsdaten betroffen sein könnten. In Deutschland hilft zusätzlich die Sperr-Hotline 116 116.
• Anbieter, Organisation oder Polizei kontaktieren, wenn ein Schaden entstanden ist oder andere betroffen sein könnten.

Betrüger-Bingo: Warnsignale spielerisch erkennen

Zum Abschluss wurde es noch einmal interaktiv: mit dem Betrüger-Bingo. Dabei wurden typische Warnsignale gesammelt, die viele Menschen aus echten Nachrichten wiedererkennen.

• Dringlichkeit wie „jetzt handeln!“
• Ein angeblich gesperrtes Konto
• Ein unbekannter Link
• Eine komische Absender-Adresse
• Ein „Du hast gewonnen!“-Versprechen
• Eine unerwartete Zahlungsaufforderung
• Ein zufälliger QR-Code
• Ein unerwarteter Anhang
• Eine Frage nach Passwort oder PIN
• Eine Nachricht, die sich als Bank oder Paketdienst ausgibt

Hier heißt „Bingo“ nicht klicken, sondern löschen, prüfen oder melden.

Der persönliche Sicherheitsplan

Am Ende des Workshops ging es um Transfer. Denn ein guter Workshop endet nicht mit „Vielen Dank“, sondern mit der Frage: Was nehme ich konkret mit?

Unser Fazit vom Digitaltag

Der Workshop am 26. Juni hat gezeigt: Digitale Sicherheit ist kein Thema nur für Expertinnen und Experten. Sie betrifft uns alle. Und sie wird leichter, wenn wir offen darüber sprechen.

Niemand muss alles wissen. Niemand muss perfekt sein. Aber jede Person kann lernen, Warnsignale besser zu erkennen, kurz innezuhalten und die eigenen Konten Schritt für Schritt zu schützen.