Vor einigen Tagen klingelte es morgens auf meinem Festnetzanschluss. Am Telefon meldete sich jemand mit dem Namen Matthew und gab sich als Mitarbeiter von Microsoft aus. Er sprach mit indischem Akzent und wollte wissen, ob ich lieber Deutsch oder Englisch mit ihm reden wollte. Ich entschied mich für Englisch, denn sein Deutsch war viel schlechter als mein Englisch.
Er hätte eine wichtige Information für mich, denn beim Microsoft Security Team würde mein Computer ständig einen Alarm auslösen. Ich fragte ihn nach meiner IP. “Das wisse doch nur mein Internet Anbieter”, ließ mich Matthew wissen. Auf die Frage, woher er denn wisse, dass es sich um meinen Computer handelt, sagte er mir, “jeder Windows-Computer sei ständig über seine Lizenznummer mit dem Microsoft-Security Center verbunden und damit identifizierbar, wenn es Probleme gibt.”
Ich fragte ihn danach, ob er mir denn dann meine Windows-Lizenznummer nennen könne, damit wüsste ich ja, dass sein Anruf echt ist. Meine Lizenznummer dürfte er mir aus Datenschutzgründen nicht nennen, die sei geheim, die könne man als Nutzer übrigens auch nicht wissen. Meine ausführliche Erklärung, wo und wie ich meine Seriennummer bei Windows finden kann, ignorierte er höflich und fragte mich, ob ich ein Techniker wäre. Ich sagte nein. Er sagte, er sei einer und aus diesem Grund müsste ich ihm unbedingt zuhören und seinen Anweisungen folgen.

“Sir, Sie haben ein großes Sicherheitsproblem mit Viren und Trojanern auf ihrem Computer.”

“Ihnen ist doch auch aufgefallen, dass Ihr Computer langsam bootet und Programme sich in letzter Zeit langsamer starten lassen, oder?” Ich fragte Matthew, woher er das denn so genau wisse.

“Sir, das sehe ich alles auf meinem Monitor hier bei Microsoft im Security Department. Ich kann das Ihnen beweisen”

Ganz ausführlich erklärte er mir nun, dass sich auf meinem Keyboard eine Taste mit vier Fahnen befindet. Diese solle ich zusammen mit der Taste R drücken. (Dabei öffnet sich übrigens eine Suchmaske/ Eingabezeile). Und damit ich das auch ja richtig mache, buchstabierte er mir, dass ich “Echo, Victor, Echo, Northpole, Theodor, Victor, Whisky, Richard” eingeben müsse. (Der Befehl eventvwr öffnet die interne Ereignis-Anzeige / Event-Viewer). Nun erklärte er mir ausführlich, wie ich darin die Fehlermeldungen finde (wovon ich tatsächlich einige auf meinem 10 Jahre alten Laptop habe…) und dass das alles von bösen Viren komme.

“Sir, you need help”.

Unser Gespräch dauerte inzwischen schon 10 Minuten, er listete mir nämlich alle möglichen Gefahren auf, die mich grad bedrohten. “Bad hackers, Phishing, Viruses”, die ganze Palette des Bösen. Ich erzählte Matthew mit ironischem Unterton, dass ich ihm so dankbar bin, dass er mich auf die “big problems” auf meinem Computer hingewiesen hat und entschuldigte mich bei ihm, dass ich ihm und Microsoft mit meinem viren-infizierten Laptop so viel Ärger mache.

“Sir, you know Teamviewer?”

Matthews’ nächste Frage war, ob ich die Software Teamviewer kenne und ob ich das Remote-Tool bei mir installiert habe. Ich zeigte mich wieder begriffsstutzig, so dass er mir erstmal Teamviewer buchstabieren musste. Es folgte erneut ein Tango, Echo, Alpha usw. Ich sagte ihm, dass ich die Software nicht kenne und fragte ihn, wozu ich das brauche und wieviel mich das kostet. Es sei eine Microsoft-Software, womit er auf meinen Computer zugreifen kann, um die Probleme und Viren auf meinem Computer zu entfernen. Erneut zeigte ich mich begeistert. Er sagte mir, dass ich auf die Webseite von Teamviewer gehen müsse, um mir die Software zu installieren. Ich sagte ihm, dass ich das jetzt tue und da so ein Download und die Installation dauert, übte ich mich im Smalltalk. Wie das Wetter so und wo sein Office wäre, wie lange er bei Microsoft arbeiten würde, wie vielen Menschen er schon geholfen habe usw.
Er wich aus, sagte nur, er dürfe mir aus Sicherheitsgründen nicht verraten, wo sein Standort ist – nur, dass er und sein Team jeden Tag vielen Menschen helfen würde. Nach zwei Minuten sagte ich ihm, die Software sein nun installiert. Er fragte mich nun, was ich auf meinem Monitor sehen würde. (Ich habe mir Teamviewer nicht installiert, sondern die Bildervorschau bei Google geöffnet, mit Teamviewer hatte ich jedoch früher schon gearbeitet).
Endlich gab er mir eine Informationen, womit ich etwas anfangen konnte, seine Teamviewer-Adresse. Ich hatte nun ganze 20 Minuten darauf gewartet, dass er mir endlich eine Webseite mit einer schädlichen Software oder alternativ seine Teamviewer-Adresse nennt. Letztere hatte ich nun.
Matthew fragte mich nun, was ich sehen würde. Ich sagte ihm, ich sehe nun, wie sich meine Maus von alleine bewegt. Und sagte ihm “Sir, you are such a genius, thank you for helping me”. Mehrmals wiederholte er seine Frage, was ich sehen würde. Ich wiederholte meine Story mit der Maus, bis er laut wurde und fragte: “Sir, are you fooling me?”

“Sir, are you fooling me?”

Ich sagte Matthew: “Yes, but you started fooling me first! Thanks for the talk, have a good day” – und legte auf.
In der Folge klingelte mein Telefon noch 3x, diesmal mit unterdrückter Telefonnummer. Beim ersten Mal nahm ich den Hörer noch ab, es war wieder Matthew, der weiterhin insisitierte, ich hätte ein Problem, ich bräuchte Hilfe. Die beiden letzten Anrufe ignorierte ich dann.

Microsoft Fake Anrufe

Bei dem Anruf hat es sich selbstverständlich um einen Microsoft Fake Anruf gehandelt. Microsoft führt niemals unaufgeforderte Telefonanrufe durch, erst recht nicht in denen das Unternehmen anbietet, ein schadhaftes Gerät zu reparieren. Selbst auf offizielle Support-Anfragen erfolgen nach eigener Aussage Hilfestellungen fast ausschließlich per E-Mail.

Wir raten dringend davon ab:

  • Sich überhaupt auf solche Gespräche einzulassen
  • Persönliche Informationen über sich preiszugeben
  • Software auf Bitte eines Anrufers zu installieren
  • Fremden Remote-Zugriff auf den eigenen Computer zu geben

Was kann ich tun? 

Microsoft hat für diese Art von Betrug eine eigene Abteilung, die Digital Crime Unit, und geht mit eigenen Ermittlern sowie in enger Zusammenarbeit mit Polizeibehörden weltweit gegen die Urheber dieser Betrügereien vor. Microsoft selbt gibt folgende Tipps, denen wir uns anschließen:

  • Beenden Sie derartige Telefongespräch so schnell wie möglich und erwerben oder installieren Sie keine Fremdsoftware auf ihrem Endgerät.
  • Fragen Sie den Anrufer, ob für das Gespräch oder den Service irgendwelche Gebühren anfallen. Wenn ja, beenden Sie das Telefonat sofort.
  • Geben Sie niemals während eines solchen Gesprächs einen Fernwartungszugriff auf Ihr Endgerät frei.
  • Falls Sie auf Drängen des Anrufers oder durch Anweisungen im Internet bereits Software installiert haben, trennen Sie das Gerät so schnell wie möglich vom Netz.
  • Kümmern Sie sich um die Beseitigung der installierten Software und ändern Sie von einem sicheren Gerät aus Ihre Passwörter, speziell für Ihren Online Banking-Account.


Um die Ermittlungsarbeit gegen die international operierenden Erpressergruppen zu unterstützen, sollten Sie im Fall eines Fake-Anrufs die Details bei Microsoft unter https://www.microsoft.com/de-de/reportascam/?locale=de-DE melden. Sollten Sie durch so einen Angriff geschädigt worden sein, sollten Sie zudem eine Strafanzeige stellen. Dies ist auch online möglich, eine Übersicht über die Online-Wachen der Bundesländer finden Sie z.B. auf unserer Partner-Seite SUSII.koeln.
Über den Autor
Peter Meyer ist der Leiter von Botfrei und hat sich bewusst auf diesen Anruf eingelassen, um aus erster Hand zu erfahren, wie solche Anrufe in der Praxis erfolgen. Neben der Meldung bei Microsoft hat er auch veranlasst, dass bei Teamviewer die für diesen Betrug verwendete ID gesperrt wird.