Wie man einen Kurzlink vor dem Aufrufen überprüft

18.03.26
8 min.
6 Ansichten
Copilot_20260318_090731.png

Stell dir folgende Szene vor: Jemand schreibt dir auf Telegram einen unbekannten Namen, schickt einen kurzen Link und schreibt: „Dringend, schau mal rein.“ Oder in einem Arbeitschat postet jemand ohne Erklärung surl.li/abcdef. Oder du siehst in der Stadt einen QR-Code an einem Laternenpfahl mit der Aufschrift „90 % Rabatt“. Was macht der Durchschnittsmensch? Genau – er klickt drauf. Weil es interessant klingt. Weil es tatsächlich ein Rabatt sein könnte. Weil ein Kollege ihn gepostet hat, also ist es normal.

Reduzieren, verfolgen, verwalten!

Registrieren Sie sich auf surl.li und behalten Sie die Kontrolle über Ihre Links!

Versuchen


Und dann passiert etwas völlig Unerwartetes. Manchmal gibt es einen echten Rabatt. Manchmal landet man auf einer Phishing-Seite, die aussieht wie die der eigenen Bank. Manchmal lädt man automatisch etwas Unangenehmes herunter. Manchmal werden einfach nur Daten über einen gesammelt: IP-Adresse, Gerät, Standort.

Ein Kurzlink verbirgt naturgemäß die endgültige URL. Das ist sowohl sein größter Vorteil (Kompaktheit, Komfort) als auch seine größte Schwäche (niemand weiß, wohin er führt). Aber es gibt gute Nachrichten: Einen Link vor dem Anklicken zu überprüfen ist viel einfacher als gedacht. Und es dauert buchstäblich nur eine Minute.

Warum sind Kurzverbindungen überhaupt gefährlich?

Zunächst ein wenig Theorie, um zu verstehen, womit wir es zu tun haben:

  • Ein normaler Link ist transparent. Man sieht die Domain, den Pfad und versteht ungefähr, wo man landet. https://privatbank.ua/login ist eindeutig, aber https://privat-bank-login.ru/secure wirkt bereits verdächtig, und die meisten Nutzer werden das bemerken.

  • Der Kurzlink ist undurchsichtig. https://surl.li/abcdef gibt keinerlei Auskunft über die endgültige URL. Es könnte sich um die offizielle Website der Privatbank handeln oder um eine exakte Kopie auf einer russischen Domain. Der einzige Unterschied liegt im Ziel der Weiterleitung. Und das lässt sich nur durch eine Überprüfung feststellen.

Genau das nutzen Angreifer aus. Phishing-Kampagnen, Spam-E-Mails, Schadsoftware – sie alle verwenden aktiv Kurzlinks, um Filter zu umgehen und Verdacht zu vermeiden. Jemand sieht einen praktischen Kurzlink, nicht eine furchtbar lange URL mit einer verdächtigen Domain – und verliert dadurch die Wachsamkeit.

Methode 1: Links vor der Navigation erweitern

Die einfachste und naheliegendste Methode ist, sich anzusehen, wohin ein Link führt, bevor man ihn anklickt. Dafür gibt es verschiedene Möglichkeiten:

  1. Bitly-Plus-Trick: Wenn Sie einen Link von Bitly sehen (Format: bit.ly/xxxxx), hängen Sie ein Pluszeichen (+) an das Ende der URL an und öffnen Sie sie in einem Browser. Beispiel: bit.ly/3xKm9pQ+. Anstatt einer Weiterleitung wird Ihnen eine Statistikseite mit der endgültigen URL angezeigt.

  2. Online-Bereitstellungsdienste. Es gibt spezielle Tools, mit denen Sie einen Kurzlink einfügen und die endgültige URL erhalten, ohne den üblichen Prozess durchlaufen zu müssen. Eines davon ist https://surl.li/en/check-short-url . Fügen Sie einen verdächtigen Link ein, klicken Sie auf „Prüfen“ – und sehen Sie, wohin er führt, noch bevor der Browser eine einzige Weiterleitung vorgenommen hat. Bequem, schnell und ohne Installation.

  3. Bewegen Sie den Mauszeiger im Browser darüber. Wenn der Link als anklickbarer Text auf der Seite angezeigt wird, erscheint die URL dann unten links im Browserfenster. Diese Methode ist jedoch nicht für Mobilgeräte geeignet.

Methode 2: Überprüfen Sie die endgültige Domäne

Sie haben den Link angeklickt und die endgültige URL gesehen – aber damit ist es noch nicht getan. Jetzt müssen Sie die Domain selbst genauer unter die Lupe nehmen. Worauf Sie achten sollten:

  1. Ähnlichkeit mit einer bekannten Marke mit geringfügigen Abweichungen. privatbank.ua ist echt, privat-bank.ua, privatbannk.com und privatbank-secure.xyz sind höchstwahrscheinlich Phishing-Seiten. Dies nennt man Typosquatting: Eine Domain, die einer bekannten Domain ähnelt, wird registriert und Nutzer werden dorthin gelockt.

  2. Ungewöhnliche Top-Level-Domain. Wenn Ihre Bank oder Ihr Dienst bisher immer auf .ua oder .com erreichbar war und der Link zu .ru, .xyz, .tk oder .ml führt, sollten Sie vorsichtig sein. Kostenlose Top-Level-Domains werden häufig für Phishing-Websites missbraucht.

  3. Kein HTTPS. Im Jahr 2026 wird jede seriöse Website, die Daten sammelt, HTTPS verwenden. Wenn der Link zu http:// ohne das „s“ führt, sollten Sie den Tab schließen.

  4. Unklare URL-Struktur. Eine seriöse Bankseite sieht nicht so aus: secure-login.verification-id-12345.com/privatbank/auth. Legitime Seiten haben eine klare und verständliche URL-Struktur.

Methode 3: URL-Reputationsprüfung nutzen

Wenn Sie nicht nur die endgültige URL sehen, sondern auch überprüfen möchten, ob diese als schädlich bekannt ist, gibt es Tools zur Reputationsprüfung:

  • Google Safe Browsing. In Chrome und den meisten modernen Browsern integriert. Wenn eine Website als Phishing-Seite bekannt ist oder Schadsoftware enthält, zeigt der Browser eine Warnung an. Dies ist jedoch eine reaktive Maßnahme, da Google nicht sofort von gefährlichen Websites erfährt.

  • VirusTotal. Ein kostenloser Dienst, bei dem Sie eine URL einfügen und diese gleichzeitig mit über 70 Antivirendatenbanken abgleichen lassen können. Es wird angezeigt, ob eine der Datenbanken ein Problem erkannt hat. Besonders nützlich für Links, die neu aufgetaucht sind und noch nicht zu Google Safe Browsing hinzugefügt wurden.

  • Whois- und Domainprüfung. Wenn die Domain erst vor einer Woche registriert wurde, ist das ein deutliches Warnsignal. Phishing-Seiten sind nicht lange aktiv und werden schnell gesperrt, weshalb Angreifer neue registrieren. Das Registrierungsdatum der Domain lässt sich über jeden Whois-Dienst überprüfen.

Methode 4: Sandbox – offene Verbindungen isoliert betrachten

Manchmal muss man einen Link öffnen, möchte dies aber auf sichere Weise tun. Dafür gibt es sogenannte „Sandboxes“ – isolierte Umgebungen, in denen die Website geladen wird, ohne dass auf Ihr Gerät zugegriffen wird.

Der Inkognitomodus bietet nur minimalen Schutz. Er speichert zwar keine Cookies und Sitzungsdaten, schützt aber überhaupt nicht vor Schadcode.

Browser-Sandboxes. Dienste wie Browserling oder Any.run ermöglichen es Ihnen, eine URL in einem entfernten Browser zu öffnen und zu beobachten, was passiert – ohne Ihr Gerät zu gefährden. Sie sehen die Seite auf Ihrem Bildschirm, die eigentliche Interaktion findet jedoch auf deren Servern statt.

Ein separates Gerät oder eine virtuelle Maschine. Wenn Sie im Bereich Sicherheit oder Testing tätig sind, ist es sinnvoll, eine separate virtuelle Maschine oder ein altes Telefon ausschließlich zum Öffnen verdächtiger Links zu verwenden.

Für den Durchschnittsnutzer mag Sandboxing etwas paranoid wirken. Doch wenn Sie einen Link von einer unbekannten Quelle erhalten haben, der Finanzen, Passwörter oder persönliche Daten betrifft, ist Vorsicht besser als Nachsicht.

Warnsignale: Wann man definitiv nicht drängen sollte

Es gibt Situationen, in denen keine Verifizierung erforderlich ist – der Link sollte einfach gar nicht erst geöffnet werden:

  • Unbekannter Absender + Kurzlink ohne Kontext. Wenn Ihnen eine Person, der Sie nicht vertrauen oder die Sie gar nicht kennen, einen einfachen Link ohne Erklärung schickt, ist die Wahrscheinlichkeit, dass dieser für Sie nützlich ist, nahezu null.

  • Druck und Dringlichkeit. „Dringend!“, „Nur heute!“, „Ihr Konto wird gesperrt!“ sind typische Manipulationstechniken. Seriöse Anbieter verhalten sich nicht so.

  • Ein unerwarteter Preis oder Gewinn. Sie haben an keinem Gewinnspiel teilgenommen, aber plötzlich ein iPhone gewonnen? Das ist kein Zufall, sondern Social Engineering.

  • SMS-Links von angeblichen Banken oder Lieferdiensten. Seriöse Banken versenden SMS von offiziellen Nummern und fordern Sie niemals auf, auf einen Link zu klicken, um Ihr Passwort oder Ihre Kartendaten einzugeben. Lieferdienste senden möglicherweise Tracking-Links, aber wenn Sie nichts bestellt haben, ist es nicht Ihr Paket.

Was tun, wenn Sie bereits umgezogen sind?

Nun ja, manchmal klickt die Hand schneller, als das Gehirn denkt. Keine Panik, aber Handeln ist gefragt:

  1. Wenn die Seite zur Eingabe auffordert, geben Sie nichts ein und schließen Sie den Tab. Das bloße Öffnen der Seite ist in der Regel nicht kritisch; die Gefahr beginnt erst mit der Dateneingabe oder dem Herunterladen von Dateien.

  2. Wenn Sie etwas herunterladen, öffnen Sie die Datei nicht. Führen Sie sofort einen Virenscan durch. Falls Sie keinen Virenscanner besitzen, laden Sie die kostenlose Version von Malwarebytes herunter und scannen Sie die Datei.

  3. Wenn Sie ein Passwort eingegeben haben, ändern Sie es sofort bei dem Dienst, unter dessen Namen die Website sich ausgegeben hat. Wird dasselbe Passwort auch anderswo verwendet, ändern Sie es überall. Deshalb sind unterschiedliche Passwörter für jeden Dienst keine Paranoia, sondern unerlässlich.

  4. Wenn Sie Ihre Kartendaten eingegeben haben, rufen Sie Ihre Bank an und lassen Sie die Karte sperren. Es ist besser, eine neue Karte auszustellen und ein paar Tage darauf zu verzichten, als monatelang auf eine Rückerstattung zu warten.

Wie Linkverkürzungsdienste dagegen ankämpfen

Verantwortungsbewusste Linkverkürzungsdienste wissen, dass ihre Plattform nicht nur von seriösen Marketern genutzt wird. Deshalb verfügen seriöse Dienste – wie auch Surli – über eigene Moderations- und Linkprüfungen auf Schadsoftware. Links, die zu bekannten Phishing- oder schädlichen Seiten führen, werden plattformweit blockiert.

Das bedeutet aber nicht, dass Sie die Verantwortung vollständig auf den Dienst abwälzen können. Ständig tauchen neue schädliche Webseiten auf, und es vergeht immer ein Zeitfenster zwischen ihrer Erstellung und ihrer Sperrung. Daher ist Ihre eigene Wachsamkeit und die Überprüfung über https://surl.li/en/check-short-url keine übertriebene Paranoia, sondern eine kluge Angewohnheit.

Zusammenfassung: Die Zwei-Sekunden-Regel

Das Prüfen eines Kurzlinks vor dem Anklicken dauert nicht länger als zwei Sekunden – wenn man weiß, wie es geht. Einfach in den Link-Prüfer einfügen, die endgültige URL ansehen und die Domain prüfen. Fertig.

Es ist nicht schwierig und erfordert keinerlei technisches Wissen. Es braucht lediglich eine Gewohnheit – genau wie die Überprüfung des Absenders vor dem Öffnen eines E-Mail-Anhangs. Wir alle haben gelernt, unbekannte Anhänge nicht zu öffnen. Jetzt ist es an der Zeit, zu lernen, nicht auf undurchsichtige Links zu klicken, ohne sie zumindest minimal zu überprüfen.

Denn ein Klick an der falschen Stelle kann viel mehr kosten als die zwei Sekunden, die Sie sparen wollten.

yanchenko_natalia avatar
Natalia Yanchenko
Artikel geschrieben: 396
Blog editor with 10 years of experience. Areas of interest include modern technologies, targeting secrets, and SMM strategies. Experience in consulting and business promotion is reflected in relevant professional publications.
Biografie anzeigen

Letzte Artikel

Copilot_20260319_090751.png
19.03.26
8 min.
1 Ansichten

Wie kann man einen Link in einem Google-Formular kürzen?

Mehr lesen
Copilot_20260317_115910.png
17.03.26
8 min.
9 Ansichten

Kurzlinks für QR-Codes: Was ist die richtige Wahl im Jahr 2026?

Mehr lesen
Copilot_20260316_091210.png
16.03.26
8 min.
23 Ansichten

Die häufigsten Fehler bei der Verwendung von URL-Kürzern und wie man sie vermeidet

Mehr lesen
Surli icon
Nun kurz: