13.11.2025
StartcybercrimeWoher kennen die Betrüger meine Daten? - Ein Blick hinter die Kulissen...

Woher kennen die Betrüger meine Daten? – Ein Blick hinter die Kulissen des Datenmissbrauchs

cybercrimedata privacynews

Published on

By Editorial Office
4 min.
Image: ChatGPT / AI generated
Image: ChatGPT / AI generated

Immer wieder erreicht das Bundesamt für Cybersicherheit (BACS) die besorgte Frage von Bürgerinnen und Bürgern: «Woher kennen die Betrüger meinen Namen, den Namen meiner Bank, oder sogar meine Adresse?» Diese Frage ist mehr als berechtigt, denn Anrufe und E-Mails von Kriminellen wirken oft glaubwürdig, wenn sie persönliche Informationen enthalten, die vermeintlich privat sein sollten. Die Antwort auf diese Frage ist komplex und offenbart die methodische und systematische Vorgehensweise moderner Cyberkrimineller.

Kriminelle nutzen im Wesentlichen zwei Hauptstrategien, um an persönliche Daten zu gelangen. Dieser Wochenrückblick beleuchtet beide Methoden. Er zeigt auf, dass persönliche Daten der Rohstoff für modernen Betrug sind. Kriminelle agieren dabei wie Analysten: Sie sammeln scheinbar nicht zusammenhängende Datenpunkte aus verschiedensten Quellen und fügen sie zu detaillierten Profilen zusammen. Diese Profile ermöglichen es ihnen, hochgradig überzeugende und damit schwierig zu erkennende Angriffe durchzuführen.

Zwei Hauptstrategien:

  • Passive Beschaffung: Hierbei sammeln Betrüger massenhaft Daten, die aus sogenannten «Datenlecks» stammen. Diese Daten bilden das Fundament für zukünftige Angriffe.
  • Aktive Beschaffung: Durch gezielte Täuschungsmanöver, bekannt als «Informations-Phishing», bringen sie Personen dazu, ihre Daten freiwillig preiszugeben. Dabei geht es nicht nur um Passwörter, sondern auch um andere persönliche Identifikationsmerkmale.

Passive Beschaffung: Daten aus Lecks und Pannen

Ein «Datenleck» (auch «Datenpanne» oder «Data Leak» genannt) bezeichnet einen Sicherheitsvorfall, bei dem sensible oder vertrauliche Daten ungewollt aus einer Organisation nach aussen gelangen. Im Gegensatz zu einer «Datenschutzverletzung» («Data Breach»), die oft das Ergebnis eines gezielten Hackerangriffs ist, entstehen Datenlecks häufig durch interne Schwachstellen, menschliches Versagen oder technische Fehlkonfigurationen.Bei solchen Vorfällen können verschiedenste Arten von Daten offengelegt werden. Dazu gehören typischerweise Namen, E-Mail-Adressen, Telefonnummern, Wohnadressen, Geburtsdaten und oft auch Passwörter, die glücklicherweise meist verschlüsselt vorliegen. In gravierenderen Fällen können auch Finanzinformationen wie Kreditkartennummern oder die Bestellhistorie bei einem Online-Shop betroffen sein.Sobald diese riesigen Datensätze durch ein Leck an die Öffentlichkeit gelangen, werden die Daten zur Ware. Cyberkriminelle sammeln und verkaufen diese Daten auch wieder. Für andere kriminelle Gruppen sind solche Datensätze eine wertvolle Ressource. Die unmittelbare Folge für eine Person, deren Daten Teil eines solchen Lecks sind, ist oft eine spürbare Zunahme von unerwünschten Spam- und Phishing-E-Mails, da ihre Kontaktdaten nun auf weit verbreiteten Listen kursieren.

Ein Datenleck ist also vielmehr der Anfang und nicht das Ende einer Angriffskette. Ein Krimineller, der eine Liste mit Namen und E-Mail-Adressen von Kunden eines bestimmten Online-Händlers kauft, besitzt nun eine qualifizierte Liste von potenziellen Zielen. Anstatt zufällig E-Mails zu versenden, kann er nun eine Phishing-Kampagne starten, die sich gezielt an die Kunden dieses Händlers richtet. Eine E-Mail, die vorgibt, von eben jenem Unternehmen zu stammen, wirkt sofort glaubwürdiger und hat eine deutlich höhere Erfolgschance.

Mehr zum Thema «Umgang mit digitalen Daten»: Woche 29: Digitale Zugänge sichern

Aktive Beschaffung: Wenn Betrüger gezielt nach Informationen fischen

Neben den Daten aus den oben erwähnten Abflüssen beobachtet das BACS in letzter Zeit auch immer wieder Angriffe, bei welchen Betrüger die Daten aktiv beschaffen. Während klassisches Phishing primär darauf abzielt, Passwörter und Zugangsdaten zu E-Banking- oder E-Mail-Konten zu stehlen, zielen diese Kampagnen auf die Erhebung eines breiteren Spektrums persönlicher Daten. Das Ziel ist hier nicht die sofortige Übernahme eines Kontos, sondern das Sammeln fehlender Puzzleteile, um ein möglichst vollständiges Datenprofil des Opfers zu erstellen.Besonders verbreitet ist aktuell eine Masche, bei der Betrüger täuschend echte Webseiten mit dem Erscheinungsbild von vertrauenswürdigen Institutionen wie Banken, Versicherungen, Krankenkassen oder Zahlungsdienstleistern erstellen.Der Vorwand ist fast immer derselbe: Die Nutzer werden aufgefordert, ihre Daten zu «verifizieren» oder zu «aktualisieren». Diese Aufforderungen spielen gezielt mit dem Bedürfnis der Nutzer, ihre Konten sicher zu halten. Oft wird dabei Zeitdruck erzeugt, indem mit einer Kontosperrung oder Konsequenz gedroht wird, falls die Daten nicht umgehend bestätigt werden.

Auf diesen gefälschten Seiten werden gezielt persönliche Informationen abgefragt, die für spätere Betrugsversuche wertvoll sein können. Bei einem aktuellen Fall ging es beispielsweise um eine angebliche Rückerstattung und es wurde neben den persönlichen Informationen auch nach einer digitalen Unterschrift gefragt. Die abgefragten Daten waren:

  • Vollständiger Name und Adresse
  • Telefonnummer
  • IBAN
  • Vertragsnummer / Policennummer
  • Kopien von Ausweisdokumenten (ID oder Pass)
  • Digitale Unterschrift

Empfehlungen

  • Die wichtigste Verteidigungslinie ist ein gesundes Misstrauen gegenüber jeder unaufgeforderten Kommunikation, die persönliche Daten verlangt oder zu dringendem Handeln auffordert – egal, wie legitim sie erscheint.
  • Verwenden Sie für jedes Online-Konto ein einzigartiges und starkes Passwort. Starke Passwörter sind mindestens 12 Zeichen lang und bestehen aus Gross- und Kleinbuchstaben, Sonderzeichen und Ziffern. Aktivieren Sie die Mehr-Faktoren-Authentisierung (MFA) (auch Zwei-Faktor-Authentisierung (2FA) genannt) wo immer möglich. Sie bietet eine zusätzliche Sicherheitsebene und ist eine der wirksamsten Massnahmen gegen die Übernahme von Konten, selbst wenn Ihr Passwort gestohlen wurde.
  • Klicken Sie niemals auf Links und rufen Sie keine Telefonnummern an, die in einer verdächtigen Nachricht angegeben sind. Rufen Sie stattdessen die offizielle Webseite des Unternehmens direkt in Ihrem Browser auf oder nutzen Sie die offizielle App, um sich einzuloggen und nach Benachrichtigungen zu suchen. Suchen Sie die Telefonnummer in einem Online-Verzeichnis (z. B. TelSearch) oder auf der Website des entsprechenden Unternehmens heraus.
  • Gehen Sie bewusst mit Ihren Daten um. Geben Sie z. B. auf Online-Formularen nur jene Informationen ein, die zwingend notwendig sind (oft mit einem «*» gekennzeichnet).
  • Wurden Sie selbst Opfer? Rufen Sie umgehend Ihre Bank oder Ihren Kreditkartenanbieter an und lassen Sie die betroffenen Karten und Konten sperren. Erstatten Sie bei finanziellem Schaden Anzeige bei Ihrer kantonalen Polizeistelle. Auf der Seite von Suisse ePolice können Sie Polizeiposten in Ihrer Nähe suchen
  • Melden Sie den Phishing-Versuch zudem über das offizielle Meldeformular des BACS oder auf der vom BACS betriebenen Website «antiphishing.ch».
Source://Bundesamt für Cybersicherheit (BACS)

More like this

outbound links

Verlorenes iPhone – Die Phishing-Falle nach dem Verlust

cybercrime

Cyber Security Month: Tipps für Seniorinnen und Senioren

Das Internet ist praktisch - ob für Bankgeschäfte, Einkäufe oder den Kontakt mit Familie, Freundinnen und Freunden. Doch es gibt auch Gefahren. Eine der grössten ist «Phishing». Dabei versuchen...
social media

Digitales Erbe: Was passiert mit Online-Zugängen nach dem Tod?

Berlin - Fotos in der Cloud, Chatverläufe auf dem Smartphone oder Profile bei sozialen Netzwerken – unser digitales Leben hinterlässt viele Spuren. Doch nur ein knappes Drittel der Internetnutzerinnen und...
outbound links

BACS: Täuschung hoch zwei – Betrüger gegen Betrüger

Load more
updates

WordPress 6.9 Release Candidate 1

ai

Traditional Data Centers ‘Not Fit for Purpose,’ Say Half of EMEA IT Leaders, as AI and Energy Pressures Collide

New research from Lenovo inspires concept designs showing how data centers must evolve to meet tomorrow’s compute and climate demandsMany existing data center designs are failing to meet...
outbound links

Europa braucht KI-Souveränität: AI@HPI Conference

Load more

< recent >

outbonds

releases

updates

< most read >

outbonds

releases

updates

< icymi >

Load more
Load more

outbonds

Load more

releases

Load more

updates

Load more