Zum Inhalt springen

Services, Wiki-Artikel und Blog-Beiträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Internetbetrug erkennen: Warnsignale, Methoden und Schutzmaßnahmen

Internetbetrug umfasst alle betrügerischen Handlungen, die über digitale Kanäle begangen werden - von Phishing und Fake-Shops bis hin zu Romance Scam und Tech-Support-Betrug. Dieser Artikel erklärt die häufigsten Betrugsarten, die zehn wichtigsten Warnsignale, konkrete Sofortmaßnahmen für Betroffene, Präventionsstrategien sowie die rechtliche Lage in Deutschland.

Inhaltsverzeichnis (5 Abschnitte)

Internetbetrug bezeichnet alle betrügerischen Handlungen, die über digitale Kanäle - E-Mail, Websites, soziale Netzwerke, Messenger oder Telefon - begangen werden, um sich unrechtmäßig finanzielle Vorteile zu verschaffen, Identitäten zu stehlen oder Zugang zu fremden Systemen zu erlangen. Der Begriff ist bewusst weit gefasst: Er umschließt technische Angriffe wie Phishing ebenso wie psychologische Manipulationsverfahren, die unter dem Begriff Social Engineering zusammengefasst werden. Gemeinsam ist allen Spielarten die Absicht, das Opfer durch Täuschung zu einer Handlung zu bewegen - sei es ein Klick, eine Zahlung oder die Preisgabe persönlicher Daten.

Die Grundmuster des Internetbetrugs sind älter als das Internet selbst. Der sogenannte "Spanische Gefangene" - ein Vorschussbetrugsmuster, das in einem New York Times-Artikel von 1898 dokumentiert ist - funktioniert heute als Nigeria-Mail nach identischem Prinzip. Wie im Blogbeitrag An diesen 10 Zeichen kann jeder einen Internetbetrug erkennen! beschrieben, haben sich die Kanäle geändert, nicht jedoch die psychologischen Mechanismen dahinter.

Häufige Betrugsarten

Phishing

Phishing ist die verbreitetste Form des Internetbetrugs. Angreifer versenden gefälschte E-Mails, SMS (Smishing) oder Sprachanrufe (Vishing), die legitimen Absendern täuschend ähnlich sehen - Banken, Paketdiensten, Behörden oder bekannten Online-Diensten. Ziel ist es, Empfänger dazu zu bringen, auf manipulierte Links zu klicken und auf gefälschten Websites Zugangsdaten, Kreditkarteninformationen oder TANs einzugeben.

Spear-Phishing ist die zielgerichtete Variante: Angreifer recherchieren vorab persönliche Informationen über das Opfer und erstellen individuell zugeschnittene Nachrichten, die kaum von echten Mitteilungen zu unterscheiden sind. Business E-Mail Compromise (BEC) ist eine besonders schadhafte Unterform, bei der Firmenmitarbeiter - häufig in der Buchhaltung - dazu gebracht werden, hohe Geldbeträge auf Konten der Täter zu überweisen.

Fake-Shops

Betrügerische Online-Shops locken mit ungewöhnlich niedrigen Preisen für begehrte Produkte - Elektronik, Markenkleidung, Sportartikel. Nach der Zahlung per Vorkasse, Überweisung oder Kryptowährung wird die Ware entweder nie geliefert, ist gefälscht oder hat keinerlei Ähnlichkeit mit dem beworbenen Produkt. Fake-Shops verschwinden oft nach wenigen Wochen und tauchen unter neuem Namen wieder auf. Sie sind häufig professionell gestaltet, mit gefälschten Kundenbewertungen und kopierten Produktbildern echter Anbieter ausgestattet.

Romance Scam

Beim Romance Scam - auch Liebesbetrug genannt - bauen Täter über Wochen oder Monate eine vorgetäuschte romantische Beziehung auf. Kontakt wird über Dating-Plattformen, soziale Netzwerke oder Messenger hergestellt. Das Profil des Täters ist mit gestohlenen Fotos attraktiver Personen ausgestattet. Sobald ausreichend Vertrauen aufgebaut ist, beginnen Geldforderungen - zunächst für vermeintliche Notfälle (Krankheit, Reisekosten, Zollgebühren), die sich endlos weiterentwickeln. Romance Scam verursacht nicht nur finanzielle Schäden, sondern auch schwere psychische Belastungen bei den Betroffenen.

Tech-Support-Betrug

Beim Tech-Support-Betrug wird dem Opfer - häufig über eine aufdringlich große Browser-Warnmeldung oder einen unangekündigten Anruf - suggeriert, der eigene Computer sei mit Schadsoftware infiziert. Ein angeblicher Microsoft- oder Apple-Mitarbeiter bietet Hilfe an. Nimmt das Opfer Kontakt auf, wird es dazu gebracht, Fernzugriffsoftware (z. B. AnyDesk, TeamViewer) zu installieren. Der Täter erhält damit vollen Zugriff auf das System, stiehlt gespeicherte Zugangsdaten und Bankdaten und fordert Bezahlung für die angebliche Hilfe - oft in Form von iTunes-Karten oder Kryptowährung.

Identitätsdiebstahl

Beim Identitätsdiebstahl beschaffen sich Täter personenbezogene Daten einer anderen Person - Namen, Geburtsdatum, Adresse, Ausweisdaten, Steueridentifikationsnummer - und missbrauchen diese, um auf fremde Kosten Verträge abzuschließen, Kredite aufzunehmen, Bankkonten zu eröffnen oder Online-Bestellungen aufzugeben. Die Beschaffung der Daten erfolgt häufig über Phishing-Angriffe, Datenpannen bei Online-Diensten oder den Kauf im Darknet. Opfer erfahren vom Missbrauch oft erst durch unerklärliche Mahnungen, Schufaeinträge oder Kontopfändungen.

Vorschussbetrug

Beim Vorschussbetrug - international bekannt als Advance-Fee-Fraud oder 419-Betrug - wird dem Opfer eine große Geldsumme in Aussicht gestellt, die angeblich nur durch eine Vorauszahlung freigegeben werden kann. Die Geschichte variiert: ein Lotteriegewinn, ein Erbschaftsfall, eine Auslandshilfe oder ein Geschäftsangebot. Jede geleistete Zahlung wird durch neue angebliche Hindernisse gefolgt, die weitere Zahlungen erfordern. Die versprochene Auszahlung findet nie statt. Das Grundprinzip ist seit Jahrhunderten unverändert - nur die technischen Mittel haben sich gewandelt.

Warnsignale - die 10 wichtigsten Zeichen

Das konsequente Erkennen von Warnsignalen ist die wichtigste Schutzmaßnahme gegen Internetbetrug. Die folgenden zehn Zeichen sollten unmittelbares Misstrauen auslösen:

1. Künstlicher Zeitdruck Formulierungen wie "Nur noch heute", "Sofort handeln" oder "Angebot läuft in 10 Minuten ab" sind klassische Manipulationstechniken. Legitime Angebote erzeugen keinen künstlichen Stress.

2. Zu gute Angebote Preise deutlich unter dem Marktpreis, garantierte Renditen oder "risikofreie Investitionen" sind nahezu immer ein Betrugsindikator. Wenn ein Angebot zu gut klingt, um wahr zu sein, ist es das in der Regel nicht.

3. Gebühren vor einem Gewinn Jede Forderung, Geld zu zahlen, um einen Preis, eine Erbschaft oder eine Förderung zu erhalten, ist Betrug. Seriöse Gewinnspiele und Institutionen verlangen keine Vorauszahlungen.

4. Ungewöhnliche Zahlungsarten Überweisungen per Western Union oder MoneyGram, Zahlungen per Paysafe-Karte, iTunes-Geschenkgutscheinen oder Kryptowährungen sind für Betrüger schwer rückverfolgbar. Seriöse Anbieter akzeptieren gängige, rückverfolgbare Zahlungsarten.

5. Grammatik- und Rechtschreibfehler Viele Betrugsnachrichten stammen aus automatisierter Übersetzung oder von nicht-muttersprachlichen Verfassern. Auffällige Fehler, unnatürliche Formulierungen oder fehlende Umlaute sind Warnsignale - auch wenn fehlerfreier Text keinen Schutz bietet.

6. Verdächtige Absender und URLs Legitime Unternehmen versenden E-Mails von ihrer offiziellen Domain. E-Mail-Adressen wie support@paypal-sicherheit-konto.de oder URLs wie amazon-kundendienst.net imitieren bekannte Marken und sind Fälschungen. Immer die vollständige URL vor einem Klick prüfen.

7. Aufforderung zur Datenweitergabe Anfragen nach Passwörtern, Kreditkartendaten, Ausweiskopien oder TANs per E-Mail, Chat oder Telefon sind ausnahmslos verdächtig. Keine legitime Institution fordert sensible Daten auf diesem Weg an.

8. Fernzugriff auf den eigenen Computer Die Bitte, Fernzugriffsoftware zu installieren - gleich ob von vermeintlichem Support, einer Behörde oder einem Unbekannten - ist ein sicheres Zeichen für Tech-Support-Betrug oder Schadsoftware-Installation.

9. Fehlende oder unklare Kontaktdaten Seriöse Online-Shops und Dienste verfügen über ein vollständiges Impressum mit Anschrift, Handelsregisternummer und erreichbaren Kontaktdaten. Fehlt das Impressum oder ist es nicht überprüfbar, ist erhöhte Vorsicht geboten.

10. Druck auf romantische oder emotionale Nähe Überschwängliche Zuneigung von einer erst kurz bekannten Online-Bekanntschaft, kombiniert mit dem Vermeiden von Videoanrufen oder persönlichen Treffen, deutet auf Romance Scam hin.

Was tun als Opfer

Sofortmaßnahmen nach einem Betrugsvorfall

Anzeige erstatten: Internetbetrug ist eine Straftat. Jede Anzeige erhöht den Ermittlungsdruck und hilft, Tätermuster zu erkennen. Anzeigen können bei der örtlichen Polizeidienststelle, über die Online-Wachen der Landespolizeien oder bei der Zentralen Ansprechstelle Cybercrime (ZAC) erstattet werden. Alle Belege sichern: Screenshots, E-Mails, Chat-Verläufe, Transaktionsnachweise.

Kontosperrung und Rückbuchung: Bei unautorisierten Kontoabbuchungen sofort die Bank kontaktieren und eine Sperrung veranlassen. Überweisungen lassen sich unter Umständen rückgängig machen, wenn die Bank schnell informiert wird - insbesondere bei SEPA-Überweisungen innerhalb Europas. Kreditkartentransaktionen können über ein Chargeback-Verfahren angefochten werden.

Passwörter sofort ändern: Alle Passwörter, die möglicherweise kompromittiert wurden, sofort ändern - beginnend mit E-Mail-Konten, da diese für Passwort-Zurücksetzen-Funktionen aller anderen Dienste missbraucht werden können. Für jeden Dienst ein einzigartiges, zufälliges Passwort verwenden; ein Passwort-Manager unterstützt dabei.

Zwei-Faktor-Authentifizierung aktivieren: Auf allen relevanten Konten - E-Mail, Banking, soziale Netzwerke - sofort MFA einrichten. Auch wenn das Passwort bekannt ist, schützt der zweite Faktor vor unbefugtem Zugriff.

Schufa-Auskunft anfordern: Bei Verdacht auf Identitätsdiebstahl eine kostenlose Schufa-Selbstauskunft einholen und auf unbekannte Einträge prüfen. Bei Missbrauch kann ein Sperrvermerk beantragt werden.

Beratung suchen: Die Verbraucherzentralen bieten kostenlose Erstberatung für Betrugsopfer. Für komplexere Fälle - insbesondere bei hohen Schadenssummen - ist anwaltliche Beratung empfehlenswert.

Prävention

Der wirksamste Schutz vor Internetbetrug ist ein gesundes Maß an Skepsis kombiniert mit konkreten technischen Maßnahmen:

Passwort-Hygiene: Jeder Online-Dienst erhält ein einzigartiges, zufällig generiertes Passwort mit mindestens 16 Zeichen. Passwörter werden niemals per E-Mail, Chat oder Telefon weitergegeben.

Zwei-Faktor-Authentifizierung: MFA auf allen wichtigen Konten aktivieren. TOTP-Apps (Google Authenticator, Aegis) oder Hardware-Keys (FIDO2) sind sicherer als SMS-basierte Codes.

Software aktuell halten: Betriebssystem, Browser und alle installierten Anwendungen zeitnah aktualisieren. Viele Angriffe nutzen bekannte Sicherheitslücken in veralteter Software.

URLs vor dem Klicken prüfen: Niemals auf Links in unaufgeforderten E-Mails oder SMS-Nachrichten klicken. Stattdessen die bekannte Adresse manuell im Browser eingeben oder ein gespeichertes Lesezeichen verwenden.

Käufe auf seriösen Plattformen: Bei unbekannten Online-Shops Impressum und Bewertungen prüfen, bevorzugt per Kreditkarte bezahlen (Chargeback-Option) und Vorkasse-Zahlungen vermeiden. Portale wie "Fakeshop-Finder" der Verbraucherzentrale helfen bei der Überprüfung.

Security Awareness aufbauen: Für Unternehmen sind regelmäßige Schulungen und Phishing-Simulationen unverzichtbar. Mitarbeiter sind das häufigste Einfallstor für Betrugsangriffe - nicht weil sie unvorsichtig sind, sondern weil Angreifer systematisch psychologische Schwachstellen ausnutzen. AWARE7 bietet Security Awareness Trainings und Phishing-Simulationen an, die Mitarbeiter gezielt auf reale Angriffsszenarien vorbereiten.

Datenleck-Checks durchführen: Regelmäßig prüfen, ob eigene E-Mail-Adressen in bekannten Datenpannen aufgetaucht sind - etwa über Have I Been Pwned oder den HPI Identity Leak Checker. Kompromittierte Passwörter sofort ersetzen.

Rechtliche Lage in Deutschland

Straftatbestände

Internetbetrug ist in Deutschland keine eigenständige Straftat, sondern wird über verschiedene Paragraphen des Strafgesetzbuchs (StGB) verfolgt:

§ 263 StGB - Betrug: Der klassische Betrugstatbestand erfasst jede Täuschungshandlung, die zu einem Vermögensschaden führt. Er gilt auch für Online-Betrug. Strafrahmen: Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. Besonders schwere Fälle (z. B. gewerbsmäßiger Betrug) sind mit Freiheitsstrafe von sechs Monaten bis zu zehn Jahren bedroht.

§ 263a StGB - Computerbetrug: Speziell für Fälle, in denen nicht ein Mensch, sondern eine Datenverarbeitungsanlage getäuscht wird - zum Beispiel bei unbefugter Nutzung von Bankzugangsdaten für Online-Überweisungen. Gleicher Strafrahmen wie § 263 StGB.

§ 202a StGB - Ausspähen von Daten: Für das unbefugte Verschaffen von Zugangsdaten durch Phishing oder andere Angriffe auf Computersysteme. Strafrahmen: Freiheitsstrafe bis zu drei Jahren oder Geldstrafe.

§ 238 StGB - Nachstellung (Stalking): Relevant für Romance-Scam-Varianten mit intensiver Belästigung. Strafrahmen: Freiheitsstrafe bis zu drei Jahren.

Zuständige Behörden

In Deutschland sind die Landeskriminalämter (LKA) und das Bundeskriminalamt (BKA) für die Verfolgung von Cyberkriminalität zuständig. Viele Bundesländer haben spezialisierte Zentralstellen Cybercrime (ZAC) eingerichtet, die über eigene Online-Anzeigemöglichkeiten verfügen. Für internationale Fälle arbeiten die deutschen Behörden mit Europol (EC3 - European Cybercrime Centre) und Interpol zusammen.

Zivilrechtliche Möglichkeiten

Neben der Strafanzeige haben Betrugsopfer zivilrechtliche Ansprüche auf Schadenersatz. In der Praxis scheitert die Durchsetzung jedoch häufig daran, dass Täter anonym agieren, im Ausland sitzen oder über keine pfändbaren Vermögenswerte verfügen. Bei Online-Plattformen und Marktplätzen, über die Betrugsgeschäfte abgewickelt wurden, können unter Umständen Ansprüche gegen die Plattform selbst entstehen - insbesondere wenn diese ihren Prüfpflichten nicht nachgekommen ist.

DSGVO und Meldepflichten

Wenn ein Unternehmen Opfer eines Datenlecks wird, das Kundendaten betrifft, besteht nach Art. 33 DSGVO eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls. Betroffene Personen sind nach Art. 34 DSGVO zu benachrichtigen, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht. Verstöße gegen diese Meldepflichten können mit empfindlichen Bußgeldern geahndet werden.

Internetbetrug ist ein Massenphänomen - die Dunkelziffer nicht angezeigter Fälle ist hoch, weil viele Opfer sich schämen oder die Erfolgsaussichten einer Anzeige als gering einschätzen. Jede Anzeige trägt jedoch dazu bei, Täterstrukturen aufzudecken und andere potenzielle Opfer zu schützen.

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 15.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de