Vermeintlicher Tech Support: Scam-Kampagne adressiert C-Level in Unternehmen

Zeitspanne vom Erstkontakt bis zur Ausführung bösartiger Skripte kann unter zwölf Minuten liegen – die neue Scam-Kampagne stellt rein reaktiv angelegte IT-Sicherheit ernsthaft auf die Probe

[datensicherheit.de, 07.05.2026] „Vor Kurzem hat Reliaquest in einem Blog-Beitrag eine neue Tech-SupportScam-Kampagne vorgestellt, die es auf Mitglieder der Geschäftsführung von Unternehmen abgesehen hat. Haben sich die Angreifer ein Ziel ausgewählt, starten sie zunächst eine ,E-Mail-Bombing’-Attacke und dann – via ,Teams’ oder per Telefon – den eigentlichen ,Tech Support Scam’“, berichtet Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4. Das Besondere an diesem Vorgehen: Die Zeitspanne vom Erstkontakt bis zur Ausführung der eigentlichen bösartigen Skripte könne bei unter zwölf Minuten liegen. Bei solch einer hohen Geschwindigkeit werde rein reaktiv angelegte IT-Sicherheit ernsthaft auf die Probe gestellt.

Foto: KnowBe4

Dr. Martin J. Krämer rät Unternehmen, ihre Risiken signifikant zurückzufahren und Mitarbeiter zur besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen

Scam-Angriff beginnt mit „E-Mail-Bombing“-Attacke

Den Anfang des Angriffs mache eine „E-Mail-Bombing“-Attacke: „Innerhalb weniger Minuten findet eine wahre Flut von E-Mails – oftmals mehrere hundert – Eingang in das Postfach des Opfers.“ Deren Ziel sei es, beim Opfer Überforderung, Ablenkung und Panik auszulösen.

• Fast zeitgleich – in einem dokumentierten Fall sogar innerhalb von nur 29 Sekunden – trete der Angreifer dann – entweder via „Teams“ oder auch per Telefon – mit dem Opfer in Kontakt.

Krämer führt aus: „Hierbei gibt er sich dann als Mitarbeiter des unternehmenseigenen IT-Supports aus, der das vermeintliche ‚E-Mail-Problem‘ schon selbst bemerkt habe und es nun möglichst rasch lösen wolle. Dazu würde er aber die Hilfe des Opfers benötigen…“

IT-Sicherheitsteams haben zumeist weniger als 12 Minuten Zeit, Scam-Angriffe zu erkennen

„Fällt das Opfer auf die Anfrage herein, erlangt der Angreifer sein Vertrauen, fordert er es auf, eine ,Remote Monitoring and Management’-(RMM)-Sitzung zu starten. Meist kommt hierbei ‚Supremo Remote Desktop‘ zum Einsatz – ein legitimes ,Tool’, das häufig nicht standardmäßig von Sicherheitslösungen blockiert wird; oder auch das in ,Windows 11‘ nativ integrierte ‚Quick Assist‘“, berichtet Krämer.

• Ist die Verbindung zwischen Angreifer und Opfer dann hergestellt, startet der Angreifer demnach seine bösartigen, als harmlose „Tools“ getarnten Skripte. „Der eigentliche Angriff beginnt!“, so Krämer.

IT-Sicherheitsteams hätten in aller Regel weniger als zwölf Minuten Zeit, den Angriff zu erkennen, zu analysieren und geeignete Gegenmaßnahmen einzuleiten, um die Angriffskette zu unterbrechen.

Hohe Geschwindigkeit der Scam-Attacken erfordert proaktive Abwehrmaßnahmen

Rein technisch-reaktiven Verteidigungsansätzen mache die hohe Geschwindigkeit dieser Attacken stark zu schaffen. Weit besser eigneten sich proaktive Abwehrmaßnahmen, welche auch und gerade den „Faktor Mensch“ in den Blick nehmen, wie etwa:

• Für jede Remote-Sitzung sollte ein „Out-of-Band“-Verfahren, wie ein telefonischer Rückruf auf eine hinterlegte Nummer oder eine Authenticator-App-Freigabe, zwingend vorgeschrieben werden. Der IT-Support sollte sich niemals ausschließlich über „Teams“ oder E-Mail legitimieren können.
• Unternehmen sollten strenge „Application-Allow-Listing“-Richtlinien implementieren. Nicht zwingend benötigte RMM-Tools, wie „Supremo“, sollten sowohl am Endpunkt als auch am Netzwerkperimeter blockiert werden. Native „Tools“, wie „Quick Assist“, sollten für Endanwender – insbesondere für das Top-Management – via „AppLocker“ gesperrt und streng auf das IT-Personal beschränkt werden.
• Sicherheitssysteme sollten in die Lage versetzen werden, schwache Einzelsignale – wie massive E-Mail-Eingänge, „Teams“-Chats von externen Quellen und den Start eines RMM-„Tools“ – durch KI-gestützte Verhaltenserkennung zu korrelieren und sofortige automatisierte Isolierungsmaßnahmen einzuleiten.
• Standard-Awareness-Schulungen allein genügen nicht mehr aus: Der C-Level müsse in spezifischen Trainingssimulationen auf unterschiedlichste Angriffsszenarien – wie eben dieses – vorbereitet werden.

Unternehmen sollten Mitarbeiter zur besten Verteidigung im Kampf gegen Cyberbedrohungen – wie Scam-Kampagnen – machen

Am effektivsten – da umfassendsten – lasse sich dieser Ausbau des Sicherheitsbewusstseins durch den Einsatz eines modernen „Digital Workforce Security“-Systems bewerkstelligen.

• Dessen Anti-Phishing-Trainings, -Schulungen und -Tests ließen sich mittels Künstlicher Intelligenz (KI), mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen, um Mitarbeiter zu stärken. Seine modernen Anti-Phishing-E-Mail-Technologien kombinierten KI mit „Crowdsourcing“, um neueste Zero-Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren.

„Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, ihre Risiken signifikant zurückzufahren und Mitarbeiter zur besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen!“, betont Krämer abschließend.

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

RELIAQUEST, ReliaQuest Threat Research, 14.04.2026
Are Former Black Basta Affiliates Automating Executive Targeting?

knowbe4
Security Awareness Training: Personalisiertes, relevantes und anpassungsfähiges Security Awareness Training für Human Risk Management

KnowBe4, 2023
The Future of Phishing Defense: AI Meets Crowdsourcing

datensicherheit.de, 19.10.2025
Task Scam: Laut McAfee-Warnung 1.000 % Zunahme dieser Job-Betrugsmasche / Besonders alarmierend ist demnach, dass Job-Scamming zunehmend in Form von „Task Scam“ erfolgt – Interessierte werden mit leichten Arbeitsaufträgen und vermeintlich hohem Lohn auf gefälschte Stellenanzeigen und Webseiten bekannter Unternehmen gelockt

datensicherheit.de, 30.08.2025
Task Scams: Trend Micro warnt vor digitalem Job-Betrug / Aktuelle Forschungsergebnisse von Trend Micro künden von einer globalen Schattenindustrie mit „gamifizierten“ Betrugsplattformen, Fake-Websites und Missbrauch von „Krypto-Währungen“