„Ihr Rechner ist infiziert":
der Support-Betrug, der mit Angst arbeitet
Eine grelle Warnung füllt den Bildschirm, ein Warnton schrillt, eine Nummer soll sofort gewählt werden. Am anderen Ende: ein angeblicher Techniker, der helfen will – und genau das ist die Falle.
Der Anruf oder das Pop-up kommt unerwartet, wirkt offiziell und behauptet ein akutes Problem: Der Rechner sei infiziert, das Konto in Gefahr, die Sperrung stehe bevor. Wer jetzt der vermeintlichen Hilfe folgt, öffnet keinem Virus die Tür, sondern einem Menschen, der genau darauf gewartet hat.
Der Tech-Support-Betrug gehört zu den hartnäckigsten Maschen überhaupt, weil er nicht die Technik überwindet, sondern den Menschen davorsetzt. Er funktioniert ohne Schadsoftware, ohne geknacktes Passwort, ohne Sicherheitslücke. Die einzige Schwachstelle, die er braucht, ist ein erschrockener Mensch, der schnell das Richtige tun will. Schauen wir uns an, wie die Masche aufgebaut ist, warum sie so zuverlässig wirkt – und an welcher einen Stelle sie zusammenbricht.
Wie der Betrug in vier Akten abläuft
Jede Stufe baut auf der vorigen auf
Wird eine einzige Stufe unterbrochen, läuft der gesamte Betrug ins Leere
Was der Tech-Support-Betrug ist
Beim Tech-Support-Betrug geben sich Täter als technischer Kundendienst aus – mal als Hersteller des Betriebssystems, mal als Anbieter eines Sicherheitsprogramms, mal als der eigene Internet- oder Telefonanbieter. Das gemeinsame Drehbuch: Es gebe ein dringendes technisches Problem, und nur durch sofortiges Handeln lasse es sich abwenden. In Wahrheit gibt es kein Problem – es wird erst durch das Eingreifen der angeblichen Helfer geschaffen.
Das Ziel ist immer eines von dreien: Geld (eine angebliche Service-Gebühr, ein „Sicherheitspaket", eine Rückerstattung mit Zahlendreher), Zugriff (eine Fernwartungs-Verbindung auf den Rechner) oder Daten (Zugangsdaten, Bankverbindung, interne Informationen). Oft beginnt es mit dem einen und endet bei allen dreien, weil ein einmal gewährter Zugriff jede weitere Tür öffnet.
Wichtig zur Einordnung: Diese Masche ist eine Form des Social Engineering – der Manipulation von Menschen statt von Maschinen. Sie ist eng verwandt mit dem Stimmklon-Betrug am Telefon und nutzt dieselbe Grundmechanik: Vertrauen erzeugen, Dringlichkeit aufbauen, eine einzige Handlung erzwingen, bevor jemand nachdenken kann.
Der Betrug überwindet keine Firewall und kein Passwort. Er setzt an der Sekunde an, in der ein Mensch erschrickt und schnell handeln will – und genau deshalb hilft die beste Technik wenig, wenn niemand die Masche kennt.
Wie der Betrug in vier Akten abläuft
So unterschiedlich die Einstiege sind, der Ablauf folgt fast immer demselben Muster. Wer die vier Akte kennt, erkennt die Masche schon am Anfang – und steigt aus, bevor Schaden entsteht.
Akt 1: Der Köder
Eine alarmierende Warnung erscheint – als Vollbild im Browser, als E-Mail oder als unerwarteter Anruf. Sie nennt eine angebliche Infektion, eine gesperrte Lizenz oder einen verdächtigen Zugriff und blendet eine Telefonnummer ein, die „sofort" zu wählen sei. Häufig begleitet ein schriller Ton die Anzeige, manchmal lässt sich der Bildschirm scheinbar nicht mehr schließen.
Akt 2: Der Druck
Am Telefon meldet sich eine ruhige, kompetent wirkende Stimme. Sie nennt Fachbegriffe, behauptet eine offizielle Funktion und baut konsequent Zeitdruck auf: Jede Minute zähle, sonst breite sich der Schaden aus oder das Konto werde gesperrt. Diese Dringlichkeit ist kein Zufall, sondern das Herzstück der Masche.
Akt 3: Der Zugriff
Der angebliche Techniker bittet darum, ein „Diagnose-Programm" zu installieren – tatsächlich eine ganz normale Fernwartungs-Software, mit der er den Bildschirm sieht und den Rechner fernsteuert. Anschließend führt er eine inszenierte Diagnose vor: harmlose Systemmeldungen werden als dramatische Funde ausgegeben, um die erfundene Bedrohung zu „belegen".
Akt 4: Der Schaden
Jetzt folgt die Forderung: eine Zahlung für die „Reparatur", der Kauf eines überflüssigen Schutzpakets, die Eingabe von Bankdaten oder das Vorlesen eines Codes. Bei Zugriff auf den Rechner werden zugleich Passwörter, Postfächer und Dateien abgegriffen. Nicht selten meldet sich später ein zweiter „Mitarbeiter" wegen einer angeblichen Rückerstattung – die nächste Stufe desselben Betrugs.
Über welche Wege der Kontakt kommt
Der erste Kontakt entsteht über mehrere Kanäle – mal sucht der Täter das Opfer, mal sorgt er dafür, dass das Opfer ihn selbst kontaktiert. Letzteres ist besonders perfide, weil der Angerufene glaubt, die Initiative ergriffen zu haben.
- Gefälschte Warn-Seiten: Eine manipulierte oder verseuchte Website öffnet ein Vollbild-Fenster mit Warnton und Hotline-Nummer
- Kalte Anrufe: Ein angeblicher Techniker meldet sich unaufgefordert und behauptet, ein Problem „festgestellt" zu haben
- Untergeschobene Hotline-Nummern: Bei der Suche nach einer echten Support-Nummer landet man über eine bezahlte Anzeige bei den Tätern
- E-Mails mit Schreck-Botschaft: Eine angebliche Rechnung, Abo-Verlängerung oder Sperrandrohung mit Rückruf-Nummer im Text
- Pop-ups in Apps und auf Mobilgeräten: Auch Smartphones und Tablets zeigen die gefälschten Warnungen, oft beim Surfen
Allen Wegen gemeinsam ist die eingeblendete oder genannte Telefonnummer. Sie ist der Dreh- und Angelpunkt: Erst der Anruf bringt das Opfer mit dem Täter zusammen. Wer diese Nummer nie wählt, hat den Betrug an seiner empfindlichsten Stelle unterbrochen. Dieselbe Vorsicht beim unbekannten Ziel kennen Sie aus dem Umgang mit der Quishing-Masche per QR-Code – erst prüfen, dann handeln.
Eine eingeblendete Support-Nummer wird für echt gehalten, weil das Logo und die Aufmachung professionell wirken. Kein seriöser Hersteller zeigt eine Notfall-Hotline in einem Browser-Pop-up an. Offizielle Kontaktwege stehen ausschließlich auf der selbst aufgerufenen Hersteller-Website – nie in einer Warnung, die sich von allein öffnet.
Warum die Masche so zuverlässig wirkt
Der Tech-Support-Betrug ist kein technisches, sondern ein psychologisches Manöver. Er zieht an drei Hebeln gleichzeitig, die zusammen das nüchterne Nachdenken ausschalten.
Angst
Eine drohende Infektion, ein gesperrtes Konto, der mögliche Datenverlust: Die Warnung erzeugt eine konkrete, sofort spürbare Bedrohung. Unter Angst greift der Mensch zu schnellen, einfachen Lösungen – und die angebotene „Hilfe" ist genau das.
Autorität
Die Täter berufen sich auf eine offizielle Funktion und sprechen die Sprache der Technik. Wer sich mit IT unsicher fühlt, neigt dazu, einer scheinbaren Fachperson zu vertrauen und die Verantwortung abzugeben – statt sie zu hinterfragen.
Zeitdruck
„Jetzt sofort, sonst …" ist der wirksamste Teil. Druck verhindert den entscheidenden Moment des Innehaltens. Genau deshalb ist die einzige verlässliche Gegenmaßnahme, sich diesen Moment bewusst zu nehmen: auflegen, durchatmen, über einen zweiten Weg gegenprüfen.
Diese drei Hebel sind die immer gleichen Werkzeuge des Social Engineering. Wer sie einmal als Muster erkannt hat, durchschaut auch verwandte Betrugsformen – etwa die Domain-Rechnung-Masche, die mit demselben Mix aus Autorität und Dringlichkeit arbeitet.
Woran Sie den Betrug erkennen
Es braucht kein technisches Wissen, um die Masche zu durchschauen – nur ein paar feste Merkmale, die in der Kombination eindeutig sind.
- Der Kontakt kommt unaufgefordert und meldet ein Problem, das Sie selbst nicht bemerkt haben
- Eine Warnung blendet eine Telefonnummer ein und drängt zum sofortigen Anruf
- Es wird Zeitdruck aufgebaut und mit Sperrung, Datenverlust oder Schaden gedroht
- Sie sollen eine Fernwartungs-Software installieren oder einen Zugriff bestätigen
- Es wird eine Zahlung, ein Gutscheincode oder die Eingabe von Bank- und Zugangsdaten verlangt
- Die Bildschirm-Sperre lässt sich angeblich nur über die angegebene Nummer lösen
Die zuverlässigste Faustregel ist die Richtung des Kontakts: Echter Support reagiert auf Ihre Anfrage – er drängt sich nicht mit einer Notfall-Meldung auf. Sobald jemand von sich aus anruft oder ein Fenster Sie zum Anruf auffordert, ist Misstrauen die richtige erste Reaktion.
Legen Sie für Ihren Betrieb eine einzige, allen bekannte Anlaufstelle für IT-Probleme fest – eine interne Nummer oder den Namen Ihres Dienstleisters. Wenn klar ist, dass Hilfe ausschließlich von dort kommt, läuft jeder fremde „Techniker" automatisch ins Leere, ganz ohne technisches Wissen im Team.
Schon reagiert? Die ersten Schritte
Wenn ein Anruf bereits weiter ging als gewollt, zählt vor allem Tempo – und Ruhe. Scham ist hier der schlechteste Ratgeber, weil sie das Melden verzögert. Diese Reihenfolge bringt die Lage am schnellsten unter Kontrolle.
- Verbindung sofort trennen: Gerät vom Netzwerk nehmen – WLAN aus, Kabel ziehen – und die Fernwartungs-Software schließen.
- Passwörter ändern: Von einem anderen, sauberen Gerät aus, beginnend mit E-Mail-Postfach, Online-Banking und allen während des Zugriffs geöffneten Konten.
- Bei Zahlung das Geldinstitut informieren: Über eine bekannte, selbst herausgesuchte Nummer; nach Rückbuchung oder Sperrung fragen.
- Gerät prüfen lassen: Vor der weiteren Nutzung durch fachkundige Hände auf eingeschleuste Software kontrollieren.
- Intern melden und Anzeige erstatten: Damit Kolleginnen und Kollegen gewarnt sind und der Fall aktenkundig wird – auch ohne Geldverlust.
Wurden während des Zugriffs auch Dateien oder Postfächer berührt, ist eine saubere Wiederherstellung aus einer Sicherung Gold wert. Warum ein geprüftes Backup im Ernstfall den Unterschied macht, behandelt der Beitrag Datensicherung: die 3-2-1-Regel ausführlich.
So schützen Sie Betrieb und Team
Weil die Masche den Menschen angreift, liegt der wirksamste Schutz nicht in einem Programm, sondern in klaren Abläufen und einem informierten Team. Technik flankiert, sie ersetzt die Aufklärung nicht.
Eine bekannte Anlaufstelle statt vieler Wege
Wenn alle wissen, an wen sie sich bei IT-Problemen wenden, hat kein fremder „Techniker" eine Chance. Diese eine Regel ist günstiger und wirksamer als jedes Schutzpaket.
Die Masche im Team besprechen
Ein kurzes, regelmäßiges Durchsprechen aktueller Betrugsformen senkt das Risiko deutlich. Wer den Ablauf einmal gehört hat, erkennt ihn im Ernstfall wieder. Das gilt für den Support-Betrug ebenso wie für gefälschte Absender – wie Sie den Missbrauch Ihrer eigenen Firmen-Adresse technisch eindämmen, steht im Beitrag zu Phishing mit Ihrer Firmen-Adresse.
Technische Flankierung
Ein aktueller Browser mit Werbe- und Skript-Blocker fängt viele gefälschte Warn-Seiten ab. Aktuelle Systeme, eingeschränkte Benutzerrechte und das Entfernen nicht benötigter Fernwartungs-Software verkleinern die Angriffsfläche zusätzlich.
Eine Kultur ohne Schuldzuweisung
Der größte Schaden entsteht durch verspätetes Melden aus Angst vor Tadel. Wer im Betrieb klarmacht, dass ein gemeldeter Beinahe-Fehler richtig und nicht peinlich ist, gewinnt im Ernstfall die entscheidenden Minuten.
Allen im Team bekannt – fremde „Techniker" laufen damit automatisch ins Leere
Wer den Ablauf kennt, erkennt ihn im Ernstfall wieder
Werbe- und Skript-Blocker, eingeschränkte Rechte, keine überflüssige Fernwartung
Ein gemeldeter Beinahe-Fehler ist richtig – nicht peinlich
Die 5 häufigsten Fehler im Umgang mit der Masche
Im Rückblick auf reale Vorfälle wiederholen sich dieselben Muster – quer durch Branchen und unabhängig von der Betriebsgröße.
Erst der Anruf bringt das Opfer mit dem Täter zusammen
Ein einziger Zugriff öffnet Postfach, Buchhaltung und Dateien
Die Dringlichkeit ist inszeniert – kein echtes Problem braucht Sekunden
Scham verzögert das Melden – und genau das nutzen die Täter
Der angebliche Rückerstattungs-Anruf ist die nächste Stufe desselben Betrugs
Die Punkte 1 bis 3 entscheiden über den Schaden – sie betreffen das Verhalten im Moment des Anrufs, nicht die Technik.
Häufig gestellte Fragen
Am Anlass und an der Richtung des Kontakts. Ein echter Hersteller ruft nicht unaufgefordert an, um ein Problem zu melden, das Sie selbst nicht bemerkt haben. Stutzig machen sollten: ein angeblicher Techniker, der von sich aus anruft oder den Sie über eine eingeblendete Hotline-Nummer erreicht haben; die Aufforderung, sofort eine Fernwartungs-Verbindung aufzubauen; Zeitdruck und Drohungen mit Datenverlust oder Sperrung; sowie jede Bitte um Zahlung, Gutscheincodes oder Zugangsdaten. Im Zweifel auflegen und den Hersteller oder Ihren bekannten IT-Dienstleister über eine selbst herausgesuchte Nummer zurückrufen.
Zuerst die Verbindung trennen: Gerät vom Netzwerk nehmen (WLAN aus, Kabel ziehen) und die Fernwartungs-Software schließen oder deinstallieren. Danach von einem anderen, sauberen Gerät aus alle Passwörter ändern, die auf dem betroffenen Rechner verwendet wurden — beginnend mit E-Mail-Postfach und Online-Banking. Wurde gezahlt, das Geldinstitut über eine bekannte Nummer informieren und eine Rückbuchung prüfen lassen. Den Vorfall intern melden und das Gerät durch fachkundige Hände auf eingeschleuste Software prüfen lassen, bevor es wieder genutzt wird. Schnelligkeit entscheidet hier mehr als alles andere.
In aller Regel nicht wirklich. Die meisten dieser Warnungen sind nur Webseiten, die den Bildschirm mit einem Vollbild-Fenster und einem Warnton überdecken und so eine Sperre vortäuschen. Der Rechner selbst ist nicht infiziert und nicht gesperrt. Meist lässt sich das Fenster über das Schließen des Browsers oder einen Neustart entfernen; hartnäckige Varianten verschwinden, wenn der Browser ohne Wiederherstellung der letzten Sitzung neu gestartet wird. Die eingeblendete Telefonnummer auf keinen Fall anrufen — sie führt direkt zu den Tätern.
Weil in Unternehmen mehr zu holen ist und die Hemmschwelle niedriger liegt. Beschäftigte arbeiten unter Zeitdruck, geben Verantwortung gern an einen vermeintlichen Fachmann ab und haben oft Zugriff auf Zahlungsfreigaben, Kundendaten und interne Systeme. Ein einziger gewährter Fernzugriff kann dem Täter Tür und Tor zu Postfächern, Buchhaltung und Netzlaufwerken öffnen. Hinzu kommt: Wer im Job einen Fehler macht, meldet ihn aus Scham oft zu spät — und genau diese Verzögerung nutzen die Täter aus.
Nur teilweise. Der Tech-Support-Betrug greift nicht die Technik an, sondern den Menschen: Es wird keine Schadsoftware überwunden, sondern eine Person überredet, freiwillig Zugriff zu gewähren oder zu zahlen. Ein aktueller Virenscanner und ein Werbe- und Skript-Blocker im Browser fangen einen Teil der gefälschten Warn-Seiten ab, aber gegen einen Anruf oder eine überzeugend gespielte Dringlichkeit helfen sie nicht. Der wirksamste Schutz ist ein Team, das die Masche kennt, und eine klare Regel, an wen sich alle bei IT-Problemen wenden.
Ja. Ein erfolgter oder versuchter Betrug gehört zur Anzeige bei der Polizei — auch dann, wenn kein Geld geflossen ist, weil jede Meldung das Lagebild schärft. Intern sollte der Vorfall offen kommuniziert werden, damit Kolleginnen und Kollegen gewarnt sind und niemand denselben Anruf für echt hält. Wurden Kundendaten zugänglich, kann zusätzlich eine Meldepflicht greifen — das gehört in fachkundige Hände. Wichtig ist eine Kultur, in der ein gemeldeter Beinahe-Fehler als richtig und nicht als peinlich gilt.
Der beste Schutz ist der unterbrochene Anruf
Der Tech-Support-Betrug lebt von einer einzigen Sekunde: dem Moment, in dem Schreck und Druck das Nachdenken überholen. Genau deshalb ist die wirksamste Gegenmaßnahme so unspektakulär – auflegen, das Fenster schließen, über einen bekannten Weg gegenprüfen. Wer diesen Moment gewinnt, hat den Betrug bereits durchschaut.
Für den Betrieb heißt das: nicht auf das eine perfekte Programm setzen, sondern auf eine klare Anlaufstelle, ein informiertes Team und eine Kultur, in der ein Beinahe-Fehler offen gemeldet wird. Diese drei kosten wenig und wirken mehr als jede Technik. Wenn Sie prüfen lassen möchten, wie gut Ihr Betrieb gegen solche Maschen aufgestellt ist, sehen wir uns Ihre Abläufe gemeinsam an.
Wir sehen uns Ihre IT-Abläufe in 2 Werktagen an und zeigen Ihnen, wo der Tech-Support-Betrug und verwandte Maschen bei Ihnen ansetzen könnten – und wie Sie Ihr Team dagegen wappnen.
Wie KI Prozesse im Unternehmen verändert.
Wöchentlich ein fundierter Fachbeitrag mit Beispielen aus der Praxis. Jederzeit abbestellbar.
Zu den KI-News