Die vollständige Kette, Schritt für Schritt
Das Leck
Eine Behörde, ein Krankenhaus, ein Sportverband oder ein Telekommunikationsanbieter wird gehackt. Sie haben nichts falsch gemacht — die Sicherheitslücke liegt bei dem Dritten, der Ihre Daten verwaltet hat. Siehe das Dossier Datenlecks in Deutschland für dokumentierte Fälle.
Die Zirkulation
Die gestohlenen Daten werden zum Verkauf angeboten oder frei zugänglich gemacht, oft in spezialisierten Foren oder auf Marktplätzen im Dark Web. Ein vollständiger Datensatz (Name, Adresse, Geburtsdatum, teils Kontoinformationen) lässt sich für vergleichsweise wenig Geld handeln — die genauen Preise schwanken stark, das Prinzip bleibt aber gleich: Angebot und Nachfrage wie auf jedem anderen Markt.
Europol, Bericht zu kriminellen Marktplätzen im Dark WebDer Aufbau des Szenarios
Das ist der am wenigsten sichtbare und zugleich entscheidendste Schritt. Der Betrüger arbeitet nicht nach dem Zufallsprinzip: Er verknüpft mehrere Lecks oder Quellen zu einem stimmigen Szenario — Ihre Bank, Ihre Filiale, Ihr Arbeitgeber, manchmal sogar Ihr Sportverein oder Ihr letzter Urlaub. Social Engineering setzt an der menschlichen Psychologie an, nicht an einer technischen Lücke: Der Angriff wird in Schichten aufgebaut, mit wachsender wahrgenommener Legitimität bei jedem zusätzlichen, tatsächlich zutreffenden Detail.
BSI, Hinweise zu Social EngineeringDie Ausführung
Der Kontakt erfolgt per Telefon, SMS oder WhatsApp — mit einer konstruierten Dringlichkeit („auf Ihrem Konto läuft gerade ein Betrug", „Ihr Angehöriger sitzt nach einem Unfall in Haft"). Die Polizeiliche Kriminalstatistik 2025 erfasste die Deliktsbereiche Enkeltrick, Schockanruf und falsche Polizeibeamte erstmals systematisch bundesweit — ein Beleg dafür, wie sehr diese personalisierten Maschen inzwischen ins Gewicht fallen. In Rheinland-Pfalz etwa erreichte allein die Schadenssumme durch falsche Polizeibeamte im ersten Halbjahr 2025 bereits 1,44 Millionen Euro — mehr als im gesamten Jahr 2024.
BKA, Polizeiliche Kriminalstatistik 2025 · Innenministerium Rheinland-Pfalz, Januar 2026Die finale Forderung
Überweisung auf ein „sicheres Konto", Herausgabe eines Bestätigungscodes, Übergabe von Bargeld oder Wertsachen an einen „Boten" — oder Weiterleitung auf eine gefälschte Website. Allein in Niedersachsen verursachten 2025 die abgeschlossenen Fälle von Callcenterbetrug einen Schaden von rund 8,45 Millionen Euro, bei bundesweit über 117 Millionen Euro Gesamtschaden durch Enkeltrick, falsche Polizeibeamte und Schockanrufe im Jahr 2023 — dem bislang höchsten je gemessenen Wert.
LKA Niedersachsen, 2026 · Landeskriminalämter, ausgewertet von der Neuen Osnabrücker Zeitung, 2024Was die offiziellen Zahlen bestätigen
Das Bundeslagebild Cybercrime 2025 des BKA (veröffentlicht am 12. Mai 2026) und die Polizeiliche Kriminalstatistik 2025 zeigen eine klare Beschleunigung genau bei den Betrugsarten, die auf personalisierten, aus Datenlecks stammenden Informationen aufbauen:
Die einzelnen Bundesländer erfassen Telefonbetrug nach unterschiedlichen Kriterien — ein Grund, warum ein einheitlicher bundesweiter Gesamtschaden für 2025 noch nicht vorliegt und die Zahlen hier bewusst als regionale Belege statt als eine einzige Summe dargestellt werden.
Wer im Fokus steht
Das BKA benennt ältere Menschen ausdrücklich als bevorzugtes Ziel von organisiertem Callcenterbetrug — nicht zufällig, sondern aus nachvollziehbaren Gründen:
Bevorzugtes Ziel
Das BKA identifiziert ältere Menschen als Hauptzielgruppe von Enkeltrick, Schockanruf und falschen Polizeibeamten in seiner Auswertung der Betrugskriminalität.
Nur rund 20 %
Anteil der Betrugsdelikte in Deutschland, die überhaupt zur Anzeige gebracht werden — die tatsächliche Fallzahl liegt laut BKA deutlich höher als die offizielle Statistik.
Kumulierte Faktoren
Geringere digitale Erfahrung, angesammeltes Vermögen (Ersparnisse, Immobilienbesitz, stabile Rente) und teils soziale Isolation machen die Zielgruppe für Täter wirtschaftlich attraktiver.
Eine wichtige Nuance
Personalisierte Szenarien, die auf echten gestohlenen Daten basieren, funktionieren branchenweit auch bei jüngeren und digital erfahrenen Zielgruppen — der übliche Vorteil von Medienkompetenz wird dadurch teilweise ausgehebelt.
Häufig gestellte Fragen
Führt ein Datenleck automatisch zu einem Betrugsanruf?
Nicht automatisch und nicht sofort — gestohlene Daten zirkulieren, werden weiterverkauft und teils erst Monate nach dem ursprünglichen Leck genutzt. Der statistische Zusammenhang ist aber klar belegt: Die Polizeiliche Kriminalstatistik 2025 erfasste die Kategorien Enkeltrick, Schockanruf und falsche Polizeibeamte erstmals systematisch, weil ihre Fallzahlen so deutlich gestiegen sind.
Woher kennt ein Betrüger meine echten persönlichen Details?
Meist aus einem oder mehreren Datenlecks, die Ihre Bank, eine Behörde, einen Verein oder einen Onlinedienst betroffen haben. Kriminelle kaufen solche Datensätze gezielt, um ein Szenario zu bauen, das nicht wie ein Zufallstreffer wirkt, sondern wie ein Anruf, der wirklich von Ihrer Bank stammen könnte.
Warum sind ältere Menschen besonders häufig betroffen?
Das BKA benennt ältere Menschen ausdrücklich als bevorzugtes Ziel von organisiertem Callcenterbetrug wie Enkeltrick, Schockanruf und falschen Polizeibeamten. Eine Kombination aus geringerer digitaler Erfahrung, oft vorhandenem Vermögen (Ersparnisse, Immobilienbesitz) und sozialer Isolation macht diese Gruppe wirtschaftlich attraktiver für Täter — personalisierte, auf echten Daten basierende Szenarien untergraben aber den Vorteil, den erfahrenere Zielgruppen sonst hätten.