Inkasso-Welle: Simulation oder Cyber-Angriff?

Verbraucher und Arbeitnehmer erhalten derzeit vermehrt bedrohliche E-Mails eines vermeintlichen „EDB Inkasso-Dienstes”. Doch Vorsicht: Hinter manchen Nachrichten steckt ein harmloses Sicherheitstraining – hinter anderen echte Malware.

Wer in diesen Tagen eine aggressive Zahlungsaufforderung der „EDB” erhält, ist häufig nicht Betrugsofer, sondern Testperson einer internen Sicherheitsschulung. Die Cybersicherheitsfirma Perseus nutzt dieses Szenario, um das Sicherheitsbewusstsein von Mitarbeitern zu trainieren.

Die E-Mail wirkt perfekt realistisch: Sie fordert zur Zahlung einer offenen Rechnung auf und drängt zum Öffnen eines Anhangs oder zum Klick auf einen Link. Wer dem Druck nachgibt, landet auf einer Lernseite mit der Meldung „Ups! Sie haben auf eine simulierte Phishing-Mail geklickt!”. Die Adresse „Sandufer 33″ in Berlin gilt unter Kennern als zuverlässiges Erkennungszeichen dieser Übungen.

Viele Unternehmen unterschätzen, wie schnell eine realistisch wirkende Inkasso-Mail ein ganzes Netzwerk gefährden kann. Studien zeigen, dass Mitarbeiter trotz Schulungen auf manipulative Phishing-Mails hereinfallen — oft mit hohen Folgekosten. Ein kostenloses E‑Book erklärt praxisnah, wie Sie Awareness im Team stärken, Quishing- und Malware-Attacken erkennen und einfache Schutzmaßnahmen sofort umsetzen. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Trotzdem verbreitet sich Verunsicherung. In Foren und sozialen Netzwerken tauschen verunsicherte Nutzer ihre Erfahrungen aus. Genau das ist das Ziel: Die Simulation zeigt, wie leicht auch geschulte Anwender durch juristischen Druck aus der Ruhe zu bringen sind.

Die echte Bedrohung: Malware statt Schulung

Das Problem: Echte Kriminelle nutzen identische Taktiken mit verheerenden Folgen. Aktuelle Wellen gefälschter Inkasso-Mails missbrauchen Namen wie „EOS Inkasso”, „Riverty” oder „Jedermann Inkasso”. Im Gegensatz zur harmlosen EDB-Simulation enthalten diese Nachrichten konkrete Gefahren.

Drei Angriffsszenarien sind derzeit verbreitet:

• Schadsoftware in ZIP-Dateien: Angreifer verstecken den „Lumma Stealer” in angeblichen Rechnungsanhängen. Einmal geöffnet, saugt die Malware Passwörter, Browser-Cookies und Krypto-Wallet-Daten ab.
• Gefälschte Zahlungsportale: Links führen auf täuschend echt aussehende Seiten. Wer dort Kreditkartendaten oder Online-Banking-Zugangsdaten eingibt, liefert Kriminellen direkten Kontozugriff.
• Einschüchterungstaktik: Drohungen mit Schufa-Einträgen und Lohnpfändung sollen rationales Denken ausschalten und zu übereilten Handlungen führen.

KI und QR-Code-Tricks: Die Täter werden smarter

Warum solche Mails heute kaum noch zu durchschauen sind? Angreifer setzen zunehmend auf Künstliche Intelligenz für fehlerfreie, professionell klingende Schreiben. Schlechtes Deutsch und merkwürdige Absenderadressen – lange zuverlässige Warnsignale – gehören der Vergangenheit an.

Ein neuer Trend verschärft die Lage: Quishing (QR-Code-Phishing). Gefälschte Inkasso-Briefe enthalten QR-Codes mit der Aufforderung, diese zu scannen, um „bequem zu bezahlen” oder die „Akte einzusehen”. Da E-Mail-Filter QR-Codes als Bilder schlechter erkennen als Links, passieren diese Nachrichten häufiger den Spam-Filter. Der Scan führt dann auf verseuchte Webseiten oder installiert mobile Malware.

So schützen Sie sich

Die sichere Unterscheidung zwischen Schulung und Angriff ist entscheidend. Folgende Prüfschritte helfen:

Absender überprüfen: Klicken Sie auf den Namen des Absenders, um die echte E-Mail-Adresse zu sehen. Seriöse Inkassobüros versenden keine Mails von Gmail-Adressen oder kryptischen Domains wie „inkasso-service-24@xyz.net”.

Keine Anhänge öffnen: ZIP-Dateien oder Word-Dokumente in Zahlungsaufforderungen sind untypisch. Echte Rechnungen kommen als direktes PDF – aber auch hier bleibt Vorsicht geboten.

Plausibilität hinterfragen: Haben Sie tatsächlich eine offene Rechnung? Betrüger behaupten oft, es ginge um nie abgeschlossene Abos oder Gewinnspielbeteiligungen.

Inkasso-Register nutzen: Das Deutsche Rechtsdienstleistungsregister (rechtsdienstleistungsregister.de) ermöglicht kostenlose Überprüfung. Existiert das Unternehmen dort nicht, ist die Forderung illegal.

Warum gerade jetzt?

Der Januar gilt als psychologisch günstiger Zeitpunkt für solche Angriffe. Nach den teuren Dezember-Feiertagen sind Konten belastet und Nerven angespannt. Kriminelle nutzen diese saisonale Unsicherheit gezielt aus. Gleichzeitig starten Unternehmen ihre Sicherheitstrainings zum Jahresstart – was die Verwechslung mit echten Angriffen begünstigt.

Die Häufung dieser Phänomene zeigt ein zentrales Problem: Der menschliche Faktor bleibt das kritischste Einfallstor für Cyber-Angriffe. Wenn Mitarbeiter nicht zwischen Übung und echtem Angriff unterscheiden können, steigt das Infektionsrisiko für ganze Unternehmensnetzwerke.

Ausblick: Personalisierte Angriffe

Sicherheitsforscher erwarten für 2026 eine Zunahme von „Spear Phishing” im Inkasso-Bereich. Täter könnten durch Datenlecks an echte Rechnungsdaten gelangen und Mahnungen mit korrekten Bestellnummern und Adressen versenden – optisch kaum noch von echten zu unterscheiden.

Der beste Schutz liegt nicht darin, Fälschungen zu erkennen, sondern in strikter Prozess-Hygiene: Niemals auf Druck reagieren. Immer den Original-Anbieter über offizielle Kanäle kontaktieren. Im Zweifel lieber einmal zu viel die IT-Abteilung fragen – egal, ob es sich um Kriminelle oder nur um eine Lektion der Firma handelt.

PS: Sie sind unsicher, ob es sich um eine Simulation oder echten Angriff handelt? Der gleiche Leitfaden bietet Checklisten für Notfallreaktionen, Vorlagen für Mitarbeiterschulungen und praktische Maßnahmen, die IT-Abteilungen sofort umsetzen können. Ideal für kleine und mittlere Unternehmen, die ihre Mitarbeiter stärken wollen, ohne große Budgets. Jetzt Gratis-Leitfaden zur Cyber-Security anfordern