Betrüger sollen es schwerer haben

Sandra Mückstein hat vor wenigen Monaten ihren Salon für Kosmetik und Make-up eröffnet - die Hautliebelei im 22. Bezirk. Die Sonderschulpädagogin hat damit den Sprung in die Selbstständigkeit gewagt und sich einen Traum erfüllt: „Im Kosmetikstudio Hautliebelei steht das ganzheitliches Wohlbefinden im Mittelpunkt. Hochwertige Naturkosmetik pflegt und stärkt die Haut, jede Behandlung folgt einem klaren Konzept und bezieht Körper, Seele und Geist mit ein.” Individuelle Behandlungen wie Gua Sha Massage, Kerzenölmassage, Moxen und Schröpfen werden in ihrer stilvollen Wohlfühloase gezielt auf Hautzustand und Wohlbefinden abgestimmt.

Kurz vor Weihnachten wirbelte jedoch ein Betrugsversuch ihr unternehmerisches Leben tagelang durcheinander: Sie erhielt eine E-Mail, die von der Wirtschaftskammer zu kommen schien. Darin wurde sie aufgefordert, ihre Daten zu aktualisieren - harmlose Daten wie Name, Adresse, aber auch ihre Kontonummer. Soweit kein Problem - bis wenige Tage später ein Mann anrief, der vorgab, für ihre Hausbank zu arbeiten. Die Telefonnummer, von der aus er anrief, war exakt jene von Mücksteins Hausbank - nur mit deutscher Vorwahl. Der Betrüger bezog sich auf die erwähnte E-Mail, warnte davor und versicherte, sie als Kundin der Bank schützen zu wollen. Nur Augenblicke später hatte er sich Zugang zu ihrem Computer verschafft, drang in ihr Bankkonto ein und versuchte, 10.000 Euro an ein fremdes Konto zu überweisen. Doch die Unternehmerin hatte den Schwindel erkannt. Sie beendete das Gespräch, sperrte alle Konten, erneuerte alle Passwörter und schlug auch bei der WK Wien Alarm. „Ich kann nur an alle appellieren, fünfmal nachzufragen und auch bei der Wirtschaftskammer direkt anzurufen, wenn einem etwas seltsam vorkommt”, sagt Mückstein. Sie hat nun einen neuen Computer mit besseren Sicherheitssystemen - sonst ist kein Schaden entstanden. Jedem Anrufer und jeder E-Mail begegnet sie nun noch kritischer.

WKO im Visier der Betrüger

Die Wirtschaftskammer und ihre Mitgliedsbetriebe sind in den letzten Monaten immer wieder ins Visier von großflächigen Betrugs-Kampagnen geraten. Die Phishing-Mails wirken täuschend echt und sind deshalb besonders perfide. Seit Sommer 2025 kontaktieren Betrüger WKO-Mitgliedsbetriebe per Mail und telefonisch mit einer falschen Zahlungsaufforderung der Kammerumlage 2025. Ein Verweis auf die Zahlungsfrist dient als Druckmittel, um auf die Nachricht zu reagieren. Die Phishing-Mail beinhaltet eine Rechnung als Anhang, bei deren Öffnen eine WKO-Anmeldeseite des Benutzerkontos simuliert wird. Keines Falls sollten Links oder Anhänge geöffnet und Anmeldedaten eingegeben werden. In einer weiteren Variante mahnen die Betrüger wegen noch offener oder überfälliger Grundumlagen-Rechnungen mit der Drohung, dass das Benutzerkonto anderenfalls eingeschränkt oder blockiert werde.

Zum Jahresstart 2026 versendeten Betrüger Phishing-Mails im Namen der WKÖ mit der Aufforderung, Unternehmensdaten zu aktualisieren. Bei Nichtvornahme wurden weitere Schritte angedroht. Auch hier gilt: Nicht auf Links oder Buttons klicken und keinesfalls Daten eingeben. Zudem wurden auch Betrugs-SMS, Smishing genannt, von wechselnden österreichischen Telefonnummern versendet. Sie forderten auf, über Links Unternehmensdaten zu aktualisieren oder eine WKO-ID zu erneuern.

Achtung vor Anhängen

Auch im Namen der Datenschutzbehörde haben Betrüger im Oktober 2025 Spam-E-Mails mit Anhängen mit dem Betreff „Fristgebundene Stellungnahme erforderlich” verschickt. Welche Schäden durch das Öffnen entstanden sind, ist nicht bekannt. Jedoch haben sich binnen kürzester Zeit hunderte Personen an die Datenschutzbehörde gewandt, um das Schreiben zu hinterfragen. Die Behörde behandle diese Betrugsfälle transparent, wie Elisabeth Wagner, stellvertretende Leiterin der Datenschutzbehörde (DSB), erläutert. Es werde über die Website aufgeklärt, gewarnt bzw. auf individuelle E-Mails und Anrufe geantwortet, die Fälle werden auch technisch geprüft. „Insbesondere bei Phishing-Attacken besteht die Gefahr, dass auf das eigene Postfach zugegriffen wurde und gespeicherte Kontakte zum Versenden von Betrugs-E-Mails verwendet werden. Hier wäre zu prüfen, ob eine Meldung dieser Sicherheitsverletzung an die DSB erforderlich ist”, so Wagner. Auch die eigene Belegschaft werde regelmäßig für die Gefahren von Phishing-Attacken sensibilisiert.

Kontaktdaten online reduzieren

„Unternehmen sollen keine sensiblen Daten preisgeben und nichts online oder persönlich unterschreiben, was sie nicht zuordnen können. Prüfen Sie Dokumente und Verträge genau, weil Unternehmer nicht dieselben Rücktrittsrechte wie Verbraucher haben!”, warnt Hannes Seidelberger, Geschäftsführer des Schutzverbands gegen unlauteren Wettbewerb, der fairen Wettbewerb fördert sowie irreführende und betrügerische Geschäftspraktiken bekämpft. Im Fokus der Betrüger stünden Unternehmen aller Branchen und Größen, deren Kontaktdaten im Internet verfügbar sind, so Seidelberger. Er rät deshalb, nur die Office-Telefonnummer und Office-E-Mail-Adresse anzuführen: „Kontaktdaten sollten möglichst reduziert werden, um Betrügern weniger Eingänge auf der Website zu bieten. Man kann es mit Burgen vergleichen, bei denen Eintrittspforten bewacht werden müssen.” Die Mitarbeitenden seien manchmal das schwächste Glied im Unternehmen. „Es reicht, wenn einer in die Falle tappt und die Tore öffnet.” Laut Seidelberger sind Online-Betrüger heute durch Kryptowährungen teilweise noch schwieriger zu fassen. Bei dubiosen Verträgen, Aussendungen oder Anrufen können sich Betriebe für eine Prüfung per Mail an office@schutzverband.at wenden. Aktuelle Betrugswarnungen sind auf der Info-Plattform „Watchlist Internet”, beim Europäischen Verbraucherzentrum Österreich und auf wko.at gelistet.

Künstliche Intelligenz verschärft Lage

Wer Betrugsversuche erkennen will, wird durch den zunehmenden Einsatz von Künstlicher Intelligenz (KI) oftmals ausgebremst, wie Reinhard Nosofsky erklärt. Er leitet die Betrugsermittlungen im Bundeskriminalamt des Innenministeriums. „Betrüger können heute täuschend echte E-Mails, Rechnungen oder sogar Stimmen erzeugen”, warnt er im Interview mit der WIENER WIRTSCHAFT (siehe unten). Sollte bei einer Kontaktaufnahme auch nur der geringste Zweifel bestehen, solle man innehalten, prüfen und nachfragen. Dass immer mehr betrogen wird und die Betrugsmaschen immer raffinierter werden, bestätigt er: „Ja, dieser Eindruck ist richtig. Betrugsversuche nehmen deutlich zu und werden gleichzeitig immer professioneller.” KI senke die Einstiegshürden für Täter und ermögliche automatisierte, maßgeschneiderte Angriffe. Deshalb reiche technische Absicherung allein nicht mehr aus. „Aufmerksamkeit, klare Abläufe, das Vier-Augen-Prinzip und der Mut, im Zweifel nachzufragen, sind heute entscheidende Faktoren”, sagt der Kriminalist. „Ein gesundes Maß an Misstrauen ist kein Zeichen von Unsicherheit, sondern Ausdruck verantwortungsvollen Handelns.” Vertrauen allein biete keinen ausreichenden Schutz mehr vor perfekt gemachtem Betrug. Es brauche daher ein achtsames, gesundes Hinterfragen. „Und wenn doch einmal etwas passiert, gilt: Offen darüber zu sprechen, ohne Scham, schützt andere und macht Organisationen stärker”, ist der Betrugsermittler überzeugt.

Backup unbedingt erforderlich

Laut aktueller KPMG-Umfrage sind 68 Prozent der Betriebe von Phishing betroffen. Jeder sechste Cyberangriff in Wien war im vergangenen Jahr erfolgreich. Martin Heimhilcher, Obmann der Sparte Information & Consulting der WK Wien, warnt daher: „Es ist weniger eine Frage, ob es zu einem Cyberangriff kommt, als vielmehr, wann dies der Fall sein wird. Unternehmer sind gut beraten, auf eine mögliche Cyberattacke optimal vorbereitet zu sein. Prävention ist ein zentrales Thema.” Dies gelte für jedes Unternehmen, egal wie klein. „Auch die Mitarbeitenden müssen sensibilisiert und geschult werden, denn der Mensch ist und bleibt eine der größten Schwachstellen - gerade bei Phishing-Attacken”, sagt Heimhilcher. Zudem könne ein Backup, das unbedingt an einem anderen Ort gelagert sein muss, ein Unternehmen vor dem Untergang bewahren. Und: Ausgedruckte Notfallpläne mit den wichtigen Schritten helfen, das IT-System des Betriebs möglichst rasch wieder zum Laufen zu bringen.

Steckbrief

„Bei Betrug zählt jede Minute.”
Reinhard Nosofsky, Leiter Betrugsermittlungen im Innenministerium

WELCHE BETRUGSFORMEN BETREFFEN BETRIEBE VOR ALLEM?
Unternehmen sind heute vor allem von Social-Engineering-Betrug betroffen, bei denen nicht Technik, sondern Menschen manipuliert werden. Dazu zählen gefälschte E-Mails im Namen von Geschäftsführungen oder -partnern, manipulierte Rechnungen sowie angeblich dringende Zahlungsaufforderungen. Besonders häufig kommt es zu Rechnungsbetrug, bei dem Kontodaten geändert oder täuschend echte Zahlungsanweisungen übermittelt werden.
 
WIE KÖNNEN BETRIEBE BETRUG IM ZEITALTER VON KI ERKENNEN?
KI hat die Spielregeln verändert. Betrüger können heute täuschend echte E-Mails, Rechnungen oder sogar Stimmen erzeugen. Sprachfehler, holprige Formulierungen oder offensichtliche Ungereimtheiten - woran man Betrug früher erkannt hat -, gibt es oft nicht mehr. Genau deshalb wird Betrug schwerer erkennbar. Eine professionell formulierte Nachricht ist heute kein Qualitätsmerkmal mehr. Wir müssen ein gewisses natürliches Misstrauen entwickeln - und das ist nicht negativ. Im Gegenteil: Es ist eine notwendige Schutzmaßnahme. Beim geringsten Zweifel gilt: innehalten, prüfen, nachfragen. Entscheidend ist, verdächtige Inhalte direkt mit dem Geschäftspartner über bekannte, unabhängige Kontaktwege abzuklären. Links in E-Mails oder die dort angegebenen Kontaktdaten sollten bei Unsicherheit niemals verwendet werden. Dieses bewusste Innehalten ist heute eine der wichtigsten Schutzmaßnahmen.

WAS TUN, WENN DER BETRUGSVERSUCH ERFOLGREICH WAR?
Dann zählt jede Minute. Zunächst sollte sofort die Bank kontaktiert werden, um Zahlungen möglichst zu stoppen oder rückzuholen. Parallel dazu müssen betroffene Zugänge gesperrt und Passwörter geändert werden. Der Vorfall sollte dokumentiert und zur Anzeige gebracht werden. Ganz wichtig ist dabei: Scham hat hier keinen Platz. Betrug kann heute jede Organisation treffen - gerade weil die Methoden so professionell sind. Ebenso wichtig ist es, offen über den Vorfall zu sprechen. Nur wenn Betrug angesprochen wird, können andere gewarnt, Abläufe verbessert und künftige Schäden verhindert werden. Schweigen hilft nur den Tätern, Offenheit schützt das Unternehmen.