Zum Inhalt springen

Services, Wiki-Artikel und Blog-Beiträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Microsoft-Support-Betrug: Die Masche erkennen und sich schützen

Beim Microsoft-Support-Betrug (Tech Support Scam) geben sich Kriminelle als Microsoft-Mitarbeiter aus, erschleichen sich Fernzugriff auf den Computer des Opfers und fordern anschließend Zahlungen für erfundene Dienstleistungen. Dieser Artikel erklärt den Ablauf der Masche, Varianten, Warnsignale und die richtigen Schritte für Betroffene.

Inhaltsverzeichnis (6 Abschnitte)

Microsoft-Support-Betrug (englisch: Tech Support Scam) ist eine Social-Engineering-Masche, bei der Kriminelle unter dem Deckmantel eines angeblichen Microsoft-Supports oder eines anderen Technologieunternehmens Kontakt zu potenziellen Opfern aufnehmen. Ziel ist es, Fernzugriff auf den Computer des Opfers zu erlangen und anschließend Geld für nicht erbrachte oder vollständig erfundene Dienstleistungen zu fordern. Microsoft selbst bestätigt ausdrücklich: Das Unternehmen tätigt keine unaufgeforderten Anrufe, um Geräte zu bereinigen oder Sicherheitsprobleme zu beheben.

Die Masche ist besonders effektiv, weil sie technische Unwissenheit mit psychologischem Druck kombiniert: Scheinbar echte Fehlermeldungen, Dringlichkeit und Autorität des vermeintlichen "Microsoft-Technikers" verleiten auch wachsame Nutzer zur Kooperation.

Ablauf der Betrugsmasche

Phase 1: Der erste Kontakt

Der erste Kontakt erfolgt auf verschiedenen Wegen - per Telefonanruf, Pop-up im Browser oder E-Mail. Allen Varianten gemeinsam ist das Ziel, beim Opfer Verunsicherung und Panik auszulösen.

Beim Telefonanruf gibt sich ein angeblicher Microsoft-Mitarbeiter aus einem Call-Center - häufig mit ausländischem Akzent - als Techniker aus. Er behauptet, das Gerät des Opfers verbreite Viren oder sende fehlerhafte Daten an Microsoft-Server. Das Opfer müsse sofort handeln, um weitere Schäden zu verhindern.

Pop-ups erscheinen beim Surfen auf kompromittierten oder bösartig gestalteten Webseiten. Sie imitieren echte Windows-Fehlermeldungen oder -Sicherheitswarnungen und sind oft schwer zu schließen (z.B. durch blockierende JavaScript-Schleifen). Ein Werbeblocker verhindert das Erscheinen solcher Einblendungen zuverlässig. Die angezeigte Telefonnummer führt direkt zu den Betrügern.

Phase 2: Das Erschleichen des Fernzugriffs

Ist das Opfer am Telefon, werden ihm vermeintliche Beweise für den angeblichen Befall gezeigt. Die Betrüger nutzen dafür legitime Windows-Bordmittel, die harmlose Systemereignisse als Viren darstellen:

  • Event Viewer (Ereignisanzeige): Jedes Windows-System protokolliert hunderte von Ereignissen täglich - darunter völlig normale Warnungen und Fehler. Die Betrüger öffnen die Ereignisanzeige und zeigen dem Opfer die roten Fehler-Einträge als "Beweis" für einen Virenbefall.
  • CMD und Tasklist: Laufende Prozesse werden als "Hacker-Aktivitäten" bezeichnet.
  • Netstat: Netzwerkverbindungen werden als böswillige Verbindungen zu fremden Servern dargestellt.

Anschließend wird das Opfer aufgefordert, ein Fernwartungsprogramm herunterzuladen - häufig legitime Tools wie TeamViewer, AnyDesk oder Windows Quick Assist. Sobald die Verbindung steht, hat der Betrüger vollen Zugriff auf den Computer.

Phase 3: Die Manipulation

Während des Fernzugriffs führen die Betrüger mehrere Aktionen durch:

Sichtbare Manipulation: Um den Eindruck zu erwecken, das System zu "bereinigen", werden Dateien verschoben, Befehle ausgeführt und vorgetäuscht, Viren zu entfernen. Das dient rein der Überzeugung des Opfers.

Versteckte Manipulation: Die erste echte Handlung der Betrüger ist häufig das Setzen eines Passworts am gesperrten System. Dieses Passwort tritt erst beim nächsten Neustart in Kraft - das Opfer bemerkt nichts, solange der Betrüger am Computer ist. Beim ersten Neustart nach dem "Beratungsgespräch" wird dann ein Passwort verlangt, das das Opfer nicht kennt.

Manche Varianten installieren zusätzlich:

  • Remote-Access-Trojaner (RAT) für dauerhaften Fernzugriff
  • Keylogger zur Aufzeichnung von Passwörtern und Bankdaten
  • Ransomware als "letztes Druckmittel"

Phase 4: Die Zahlungsforderung

Nachdem der angebliche "Service" erbracht wurde, folgt die Rechnung - häufig um die 300-400 Euro für eine "Einmalige Bereinigung" oder ein "Sicherheitspaket". Bevorzugte Zahlungswege sind:

  • Geschenkkarten (iTunes, Amazon, Google Play) - nicht rückverfolgbar
  • Kryptowährungen
  • Überweisungen auf ausländische Konten
  • Zahlungen über Western Union oder MoneyGram

Geschenkkarten sind das beliebteste Zahlungsmittel, weil sie schnell einlösbar, nicht rückverfolgbar und international nutzbar sind. Kein seriöses Unternehmen fordert Bezahlung in Geschenkkarten.

Varianten der Masche

Telefonanruf (Vishing)

Der klassische Telefonanruf ist die älteste und weiterhin verbreitete Variante. Anrufer nutzen Voice-over-IP-Dienste mit manipulierten Rufnummern (Spoofing), sodass die angezeigte Nummer tatsächlich einer bekannten Microsoft-Nummer ähneln kann. Die Betrüger operieren häufig aus organisierten Call-Centern in Südasien.

Browser-Pop-up

Pop-ups sind besonders effektiv, weil sie einen echten technischen Eindruck erwecken. Moderne Varianten nutzen:

  • Vollbild-Overlays, die die gesamte Benutzeroberfläche verdecken
  • Warntöne oder computergenerierte Stimmen, die den Alarm lautsprechend verkünden
  • Imitierte Windows-Fehlermeldungen mit echten Microsoft-Logos
  • Countdown-Timer, die Dringlichkeit erzeugen

Ein häufiger Trick: Das Browser-Fenster lässt sich scheinbar nicht schließen. Lösung - den Browser über den Task-Manager beenden (Strg+Alt+Entf → Task-Manager → Browser-Prozess beenden).

E-Mail-Variante

E-Mail-basierte Tech-Support-Scams tarnen sich als offizielle Microsoft-Sicherheitswarnungen. Sie behaupten, ein verdächtiger Login sei erkannt worden, oder die Lizenz sei abgelaufen und müsse sofort erneuert werden. Links führen zu gefälschten Microsoft-Webseiten oder öffnen automatisch ein Pop-up.

Variante mit Erstattungsbetrug

Bei dieser Variante behaupten die Betrüger, dem Opfer stehe eine Rückerstattung für einen abgelaufenen Servicevertrag zu. Um die "Erstattung" zu überweisen, benötigen sie angeblich Zugriff auf das Online-Banking des Opfers. Mit einem Trick (z.B. schwarz gefärbtem Bildschirm während des Fernzugriffs) manipulieren sie dann die Bankkontoansicht und täuschen eine versehentliche Überweisung eines zu hohen Betrags vor - woraufhin das Opfer gebeten wird, die "Differenz" zurückzuüberweisen.

Warnsignale

Folgende Signale deuten eindeutig auf einen Betrugsversuch hin:

Warnsignale - sofort auflegen/Fenster schließen:

□ Unaufgeforderter Anruf von "Microsoft" oder einem anderen Tech-Konzern
□ Anruf mit der Behauptung, Ihr Computer versende Viren
□ Pop-up mit Telefonnummer und Aufforderung anzurufen
□ Dringlichkeitsaufbau und Zeitdruck ("Sie müssen JETZT handeln")
□ Aufforderung, ein Fernwartungsprogramm zu installieren
□ Vorlegen der Windows-Ereignisanzeige als "Beweis"
□ Zahlungsaufforderung in Geschenkkarten, Krypto oder Western Union
□ Anfrage nach Kreditkartendaten oder Bankzugangsdaten
□ Angebliche "Erstattung" erfordert Online-Banking-Zugriff
□ Angebliche Microsoft-Mitarbeiter mit ausländischem Akzent aus Call-Center-Umgebung

Was tun bei einem Betrugsversuch

Wenn der Anruf läuft

Sofort auflegen. Es muss keine Erklärung gegeben werden. Die Betrüger sind darauf trainiert, Zweifel zu zerstreuen und Druck aufzubauen - je länger das Gespräch dauert, desto schwieriger wird es, zu unterbrechen.

Den Vorfall bei Microsoft melden: Microsoft stellt ein Online-Formular unter microsoft.com/de-de/concern/scam zur Verfügung.

Wenn ein Pop-up erscheint

Den Browser über den Task-Manager schließen. Unter Windows: Strg+Alt+Entf → Task-Manager → Browser-Prozess auswählen → Task beenden. Nicht auf die angezeigte Nummer anrufen. Nach dem Schließen des Browsers die angezeigte Webseite nicht erneut aufrufen.

Wenn bereits Fernzugriff gewährt wurde

  1. Netzwerkverbindung sofort trennen - Netzwerkkabel ziehen oder WLAN deaktivieren
  2. Fernwartungsprogramm deinstallieren (TeamViewer, AnyDesk etc.)
  3. Alle Passwörter ändern - von einem sicheren, nicht betroffenen Gerät
  4. Online-Banking überprüfen - Kontoauszüge auf unberechtigte Abbuchungen prüfen, ggf. Konto sperren lassen
  5. IT-Fachmann beauftragen - vollständige Überprüfung des Systems auf Malware, Keylogger und Backdoors
  6. Strafanzeige erstatten - bei der lokalen Polizei oder online über die Polizeiwebseiten der jeweiligen Länder

Wenn bereits bezahlt wurde

Bei Zahlung per Kreditkarte: sofort bei der Kartengesellschaft melden und Rückbuchung (Chargeback) beantragen. Bei Banküberweisung: sofort die Bank kontaktieren und Rückruf der Überweisung initiieren (funktioniert nur innerhalb weniger Stunden). Geschenkkarten-Zahlungen lassen sich in der Regel nicht rückgängig machen.

Prävention

Aufklärung und Sensibilisierung

Der effektivste Schutz ist informierte Nutzer. Besonders gefährdet sind ältere Menschen, die weniger Erfahrung mit Windows-Fehlermeldungen haben, und neue Nutzer ohne technisches Grundwissen. Regelmäßige Security-Awareness-Schulungen, die explizit auf Tech-Support-Scams eingehen, reduzieren die Erfolgsquote dieser Angriffe erheblich.

Klare Botschaft die jeder kennen sollte: Microsoft ruft nicht unaufgefordert an. Kein Technologieunternehmen fordert Zahlungen in Geschenkkarten.

Technische Maßnahmen

  • Werbeblocker: uBlock Origin im Browser installiert verhindert die meisten Pop-up-basierten Varianten
  • DNS-Filterung: Unternehmensweite DNS-Filter (z.B. Cisco Umbrella, Pi-hole) blockieren bekannte Scam-Domains
  • Softwarerichtlinien: In Unternehmensumgebungen die Installation von Fernwartungssoftware durch Richtlinien einschränken
  • Browser-Konfiguration: Benachrichtigungen von unbekannten Webseiten blockieren

Rechtliche Lage

In Deutschland ist Microsoft-Support-Betrug in mehrfacher Hinsicht strafbar:

§ 263 StGB - Betrug: Die Vortäuschung eines Sicherheitsproblems und die Forderung einer Zahlung für eine nicht erbrachte Leistung erfüllt den Betrugstatbestand. Strafrahmen bis zu 5 Jahren Freiheitsstrafe, im besonders schweren Fall bis zu 10 Jahren.

§ 202a StGB - Ausspähen von Daten: Das unbefugte Eindringen in fremde Computersysteme - auch wenn das Opfer dem Fernzugriff initial zugestimmt hat, die Zustimmung jedoch durch Täuschung erlangt wurde - kann als Ausspähen von Daten gewertet werden.

§ 303b StGB - Computersabotage: Das Setzen von Passwörtern oder die Installation von Malware auf fremden Systemen erfüllt den Tatbestand der Computersabotage.

Die Strafverfolgung ist schwierig, da die Täter meist aus dem Ausland operieren. Dennoch sollte Strafanzeige erstattet werden - zum einen für die eigene Dokumentation (relevant für Versicherungsansprüche), zum anderen weil Ermittlungsbehörden wie das LKA Cybercrime Tätermuster auswerten und in Kooperation mit internationalen Behörden gelegentlich Erfolge verzeichnen.

Opfer haben unter Umständen zivilrechtliche Ansprüche gegenüber Zahlungsdienstleistern, wenn diese bekannte Scam-Methoden ermöglicht haben.

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 15.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de