Dein Chef schreibt per WhatsApp und braucht dringend eine Überweisung? Vorsicht – Rufnummern-Spoofing macht es Betrügern erschreckend leicht, sich als jemand anderes auszugeben. Wir zeigen dir, wie du dein KMU schützt.
Rufnummern-Spoofing und gefälschte WhatsApp-Nachrichten gehören zu den am schnellsten wachsenden Betrugsmaschen in Deutschland. Das BKA verzeichnet einen kontinuierlichen Anstieg von Social-Engineering-Angriffen – und die Dunkelziffer liegt weit höher, weil viele Fälle aus Scham nie gemeldet werden.
Das Perfide: Die Angreifer brauchen keine technischen Schwachstellen. Sie nutzen Vertrauen, Zeitdruck und menschliche Hilfsbereitschaft – und ein gefälschtes Absenderdisplay, das täuschend echt aussieht.
137.000
Cybercrime-Fälle in Deutschland (BKA 2024)
61 %
der Social-Engineering-Angriffe zielen auf KMU
4,3 Mrd. €
Schäden durch Cyber-Betrug in Deutschland pro Jahr
< 10 Min.
dauert ein typischer Spoofing-Angriff vom Erstkontakt bis zur Zahlung
Quellen: BKA Bundeslagebild Cybercrime 2024, Bitkom Wirtschaftsschutz 2025
Beim Rufnummern-Spoofing manipulieren Angreifer die Absenderkennung eines Anrufs oder einer Nachricht. Auf deinem Display erscheint eine beliebige Nummer – zum Beispiel die deiner Geschäftsführung, deiner Bank oder eines Lieferanten. Technisch ist das erschreckend einfach: Im Internet gibt es VoIP-Dienste, die das für wenige Cent ermöglichen.
Bei WhatsApp funktioniert der Betrug ähnlich: Die Angreifer registrieren eine neue Nummer, setzen ein bekanntes Profilbild und den richtigen Namen ein – oder sie nutzen gestohlene Accounts. In Kombination mit gezielt recherchierten Informationen aus LinkedIn, Handelsregister und Firmenwebsite entsteht ein täuschend echtes Szenario.
Der entscheidende Punkt: Du kannst dem Absenderdisplay nicht vertrauen. Weder bei Anrufen noch bei Messenger-Nachrichten. Die angezeigte Nummer ist kein Beweis für die Identität des Absenders.
Ein WhatsApp-Spoofing-Angriff folgt einem klaren Muster. Wer die Schritte kennt, erkennt den Betrug früher.
Die Angreifer sammeln öffentlich verfügbare Informationen: LinkedIn-Profile, Handelsregister, Firmenwebsite. Sie kennen Namen, Positionen und Geschäftsbeziehungen – bevor sie den ersten Kontakt herstellen.
Per Rufnummern-Spoofing erscheint die Nummer der Geschäftsführung, eines Lieferanten oder der Hausbank auf dem Display. Die WhatsApp-Nachricht kommt scheinbar von einer vertrauten Person.
Die Nachricht klingt authentisch: „Ich bin gerade in einem Meeting, kannst du kurz etwas für mich erledigen?“ – persönlicher Ton, interne Details, kein Misstrauen.
Jetzt wird Zeitdruck aufgebaut: Eine Überweisung muss sofort raus, ein Gutscheincode wird dringend benötigt, oder Login-Daten sollen „kurz“ bestätigt werden.
Geld ist überwiesen, Zugangsdaten preisgegeben oder Schadsoftware installiert. Die Betrüger verschwinden – und die echte Geschäftsführung weiß von nichts.
Konzerne haben Security-Abteilungen mit Dutzenden Mitarbeitern. KMU haben Vertrauen, kurze Wege und Pragmatismus – und genau das machen sich Angreifer zunutze.
In KMU kennt jeder jeden. Wenn die „Chefin“ per WhatsApp schreibt, wird selten hinterfragt. Genau diese Vertrautheit nutzen Angreifer gezielt aus.
Keine festen Freigabeprozesse für Überweisungen, keine Zwei-Kanal-Bestätigung – in vielen KMU reicht ein Anruf oder eine Nachricht für eine Zahlung.
Loyale Mitarbeiter wollen helfen und schnell reagieren. Wer lange zusammenarbeitet, möchte dem Chef keine unangenehmen Rückfragen stellen – eine gefährliche Höflichkeit.
Ohne dedizierte IT-Security-Abteilung und regelmäßige Awareness-Schulungen fehlt das Wissen über aktuelle Angriffsmuster – und der Schutz bleibt lückenhaft.
Diese Maßnahmen kannst du sofort umsetzen – ohne Budget, ohne Technikwissen. Sie sind dein wichtigster Schutzschild gegen Social Engineering.
Definiere klare Regeln: Keine Überweisung, keine Datenweitergabe und keine Software-Installation auf Basis einer einzelnen WhatsApp-Nachricht – egal, von wem sie zu kommen scheint.
Bitte per WhatsApp um eine Überweisung? Dann Rückruf auf der bekannten Festnetznummer. Immer über einen zweiten, unabhängigen Kanal bestätigen – niemals über denselben Messenger.
Regelmäßige Security-Awareness-Trainings mit realen Beispielen. Dein Team muss wissen, wie Spoofing funktioniert und woran man gefälschte Nachrichten erkennt.
Multi-Faktor-Authentifizierung für alle Konten, professionelle E-Mail-Security gegen parallele Phishing-Angriffe und Endpoint-Schutz auf allen Geräten.
Mehr zu Endpoint SecurityDokumentierter Ablauf für den Ernstfall: Wer wird informiert? Wie werden Konten gesperrt? Welche Behörden müssen benachrichtigt werden? Wenn es passiert, ist keine Zeit für Improvisation.
Du hast auf einen Spoofing-Angriff reagiert? Keine Panik – aber handle schnell. Diese 6 Schritte minimieren den Schaden.
Kontaktiere sofort deine Bank. Bei Überweisungen besteht in den ersten Minuten oft noch die Möglichkeit, die Transaktion zurückzurufen. Jede Minute zählt.
Wenn Login-Daten weitergegeben wurden: Passwörter sofort ändern, MFA aktivieren, aktive Sitzungen beenden. Alle potenziell betroffenen Konten prüfen.
Melde den Vorfall deinem IT-Dienstleister. Wir prüfen, ob über den Angriff Schadsoftware eingeschleust wurde und ob weitere Systeme betroffen sind.
Erstatte Anzeige bei der Polizei (Cybercrime-Stelle). Bei Schäden über 100.000 € übernimmt das LKA. Die Anzeige ist auch für Versicherungsansprüche wichtig.
Informiere alle Mitarbeiter transparent über den Vorfall. So verhinderst du, dass weitere Personen auf denselben Angriff hereinfallen – und schaffst Awareness für die Zukunft.
Sichere alle Chatverläufe, Anruflisten und Screenshots. Diese Dokumentation ist entscheidend für die Ermittlungen und für die Verbesserung eurer Schutzmaßnahmen.
Du brauchst sofort Hilfe? +49 2131 751784 0 – wir sind für dich da.
Unser Geschäftsführer Neils Shoobridge war als IT-Fachmann in der WDR Lokalzeit zum Thema Phishing und Social Engineering zu sehen. Im Beitrag erklärt er, warum gerade KMU im Visier stehen, wie Angreifer vorgehen und welche einfachen Maßnahmen sofort schützen.
Als IT-Dienstleister aus Kaarst bei Düsseldorf betreuen wir täglich KMU, die mit genau solchen Bedrohungen konfrontiert werden. Unsere Erfahrung aus der Praxis fließt direkt in unsere Beratung ein.
Mehr über Shoobridge erfahrenSocial Engineering lässt sich nicht allein mit Technik lösen – es braucht Prozesse, Wissen und kontinuierliche Begleitung.
Wir prüfen deine bestehenden Prozesse, Zugriffsrechte und Kommunikationswege auf Schwachstellen – gezielt im Hinblick auf Social-Engineering-Risiken.
Auf Basis der Analyse erstellen wir ein maßgeschneidertes Schutzkonzept: Freigabeprozesse, Verifizierungsregeln und technische Maßnahmen.
Dein Team erhält praxisnahes Training mit realen Beispielen. Keine PowerPoint-Folien, sondern interaktive Workshops, die im Alltag wirken.
Wir bleiben dran: regelmäßige Updates zu neuen Angriffsmustern, jährliche Auffrischungs-Schulungen und schnelle Hilfe im Verdachtsfall.
Leider nicht immer. Spoofing-Nachrichten sehen auf den ersten Blick authentisch aus. Achte auf diese Warnsignale: ungewöhnlicher Ton, Zeitdruck, Bitte um Geld oder Zugangsdaten. Im Zweifel: Immer über einen zweiten Kanal verifizieren – zum Beispiel per Anruf auf der bekannten Festnetznummer.
Ja. In Deutschland ist das Vortäuschen einer falschen Rufnummer nach § 66k TKG verboten. In der Praxis werden die Täter aber selten gefasst, da die Anrufe häufig über ausländische Server laufen. Deshalb ist Prävention so wichtig – darauf verlassen, dass das Gesetz schützt, kannst du nicht.
Multi-Faktor-Authentifizierung für alle Zugänge, professionelle E-Mail-Sicherheit gegen parallele Phishing-Angriffe und Endpoint-Schutz auf allen Geräten. Außerdem empfehlen wir eine regelmäßige IT-Auditierung, um Schwachstellen proaktiv zu erkennen.
Mindestens einmal jährlich – besser halbjährlich. Die Angriffsmethoden entwickeln sich ständig weiter, und das Wissen deiner Mitarbeiter muss Schritt halten. Neue Mitarbeiter sollten direkt beim Onboarding geschult werden. Mehr dazu in unserem Ratgeber Cybersicherheit für KMU.
Die Schäden variieren stark: von einigen Tausend Euro bei kleineren Überweisungsbetrug bis hin zu sechsstelligen Beträgen bei CEO-Fraud. Dazu kommen indirekte Kosten wie Reputationsschäden, Arbeitszeit für die Aufklärung und ggf. DSGVO-Meldepflichten. Prävention kostet einen Bruchteil davon – sprich uns an für eine kostenlose Erstberatung.
Lass uns gemeinsam prüfen, wie gut dein KMU gegen Spoofing und Social Engineering geschützt ist. Kostenlose Erstberatung.
