Externe IT-Dienstleister genießen in Unternehmen ein hohes Maß an Vertrauen – doch genau dieses Vertrauen machen sich organisierte Betrüger zunutze. Aktuelle Erkenntnisse zeigen, dass manche Tech-Support-Anbieter selbst zur Bedrohung werden: mit gefälschten Identitäten, psychologischem Druck und einer erschreckend professionellen Infrastruktur.
Tech-Support-Betrug: Wenn der Dienstleister selbst zur Bedrohung wird
Unternehmen, die externe Tech-Support-Anbieter beauftragen, gehen davon aus, dass diese im Interesse ihrer Kunden handeln. Neue Erkenntnisse zeigen jedoch, dass manche dieser Dienstleister selbst betrügerische Praktiken betreiben – und dabei gezielt die Mitarbeiter ihrer Auftraggeber als Zielgruppe nutzen.
Callcenter als Ausgangspunkt organisierter Betrugsmaschen
Im Mittelpunkt aktueller Untersuchungen stehen insbesondere Callcenter-Strukturen, die unter dem Deckmantel legitimer IT-Dienstleistungen operieren. Mitarbeiter werden dabei telefonisch kontaktiert, erhalten glaubwürdig klingende Warnmeldungen über angebliche Systemprobleme und werden anschließend dazu verleitet, Remote-Zugriffe zu gewähren oder sensible Zugangsdaten preiszugeben. Die Masche ist nicht neu, aber sie wird zunehmend professioneller umgesetzt – mit gefälschten Unternehmensidentitäten, lokalisierten Skripten und technisch überzeugenden Szenarien.
Besonders perfide: In einigen dokumentierten Fällen versuchten ertappte Anbieter, ihre Betrugsaktivitäten nicht etwa einzustellen, sondern durch eine zusätzliche Täuschungsschicht zu verschleiern – durch neue Strukturen, die nach außen hin Compliance und Seriosität vortäuschen.
Warum klassische Schutzmaßnahmen oft nicht ausreichen
Viele Unternehmen setzen auf technische Abwehrmaßnahmen wie Spam-Filter, Endpoint-Protection oder Multi-Faktor-Authentifizierung. Diese Werkzeuge sind sinnvoll, greifen aber dann zu kurz, wenn der Angriff über einen offiziell beauftragten Dienstleister erfolgt. Denn der Anrufer kann sich auf reale Vertragsverhältnisse beziehen, kennt möglicherweise interne Prozesse und klingt für den Mitarbeiter am Telefon vollkommen legitim.
Das eigentliche Einfallstor ist in solchen Fällen das mangelnde Bewusstsein auf Mitarbeiterebene – kombiniert mit fehlenden klaren Eskalationsprozessen.
Wenn ein Angestellter nicht weiß, wie er eine verdächtige Anfrage verifizieren soll, handelt er oft aus Hilfsbereitschaft oder Druck heraus – und öffnet damit die Tür für Angreifer, die genau auf diesen Reflex setzen.
Gegenmaßnahmen: Prozesse vor Personen
Sicherheitsverantwortliche empfehlen einen mehrschichtigen Ansatz:
1. Dienstleisterverträge prüfen
Klare Protokolle für den Support-Kontakt sollten vertraglich festgelegt sein – inklusive definierter Kommunikationskanäle und Identifikationsverfahren. Ein Callcenter, das unaufgefordert Mitarbeiter kontaktiert und Remote-Zugriff fordert, sollte grundsätzlich als verdächtig gelten.
2. Security Awareness Training etablieren
Regelmäßige Schulungen sollten konkrete Szenarien abdecken – also nicht nur klassische Phishing-E-Mails, sondern auch Vishing (Voice Phishing) und Social Engineering am Telefon. Praxisnahe Simulationen erhöhen die Widerstandsfähigkeit deutlich.
3. Internes Verifikationsverfahren einführen
Mitarbeiter, die einen verdächtigen Support-Anruf erhalten, sollten diesen eigenständig beenden und den Kontakt über eine intern hinterlegte, verifizierte Nummer neu aufnehmen – niemals über Rückrufe auf vom Anrufer genannte Nummern.
Einordnung für deutsche Unternehmen
Für Unternehmen im deutschsprachigen Raum ist das Thema besonders relevant, da die Auslagerung von IT-Support-Leistungen an externe Anbieter – auch internationale – weit verbreitet ist. Die gesetzlichen Anforderungen aus DSGVO und IT-Sicherheitsgesetz 2.0 verlangen ohnehin eine sorgfältige Auftragsdatenverarbeitung und regelmäßige Überprüfung von Dienstleistern.
Wer seine externen Partner nicht aktiv kontrolliert, überlässt Angreifern eine fertig aufgebaute Vertrauensbrücke in die eigene Organisation.
Unternehmen sollten diese Pflicht nicht nur als Compliance-Aufgabe verstehen, sondern als konkreten Schutzmechanismus gegen genau solche Angriffsvektoren.