```html

Spam-Anrufe im Business: Wie erkennt man betrügerische Telefonnummern?

Für Unternehmen in Deutschland gehören unerwünschte Anrufe längst zum Alltag – doch der Schaden, den Telefonbetrug verursachen kann, wird oft unterschätzt. Spam-Anrufe im Unternehmensumfeld erkennen und abwehren ist daher keine optionale Maßnahme mehr, sondern ein integraler Bestandteil moderner Unternehmenssicherheit. Laut Bundesnetzagentur gingen allein im Jahr 2023 über 50.000 Beschwerden wegen unerlaubter Telefonwerbung und betrügerischer Anrufe ein – und die Dunkelziffer dürfte um ein Vielfaches höher liegen. Dieser Artikel zeigt, wie betrügerische Telefonnummern identifiziert werden können und welche Maßnahmen Unternehmen konkret ergreifen sollten.

Warum Spam-Anrufe für Unternehmen ein unterschätztes Risiko darstellen

Während Privatpersonen vor allem mit nervigen Werbeanrufen konfrontiert werden, sind die Gefahren für Unternehmen deutlich vielschichtiger. Kriminelle nutzen gezielt Geschäftsnummern, um über sogenannte Social-Engineering-Angriffe sensible Informationen zu erschleichen. Typische Szenarien umfassen:

  • CEO-Fraud per Telefon: Angreifer geben sich als Geschäftsführung oder Vorstand aus und fordern Mitarbeitende zur sofortigen Überweisung von Geldern auf.
  • Vendor-Impersonation: Betrüger imitieren bekannte Lieferanten oder Dienstleister und versuchen, Kontodaten zu ändern oder Zahlungen umzuleiten.
  • IT-Support-Betrug: Angebliche Microsoft- oder IT-Techniker behaupten, einen Sicherheitsvorfall entdeckt zu haben, und fordern Remote-Zugang zu Firmensystemen.
  • Phishing per Voice (Vishing): Mitarbeitende werden aufgefordert, Zugangsdaten oder interne Informationen telefonisch zu bestätigen.

Der finanzielle Schaden durch Telefonbetrug liegt in Deutschland im dreistelligen Millionenbereich jährlich. Hinzu kommen Reputationsschäden und mögliche Haftungsrisiken, wenn etwa Kundendaten kompromittiert werden.

Spam-Anrufe im Unternehmen erkennen: Typische Merkmale betrügerischer Nummern

Ein geschultes Auge – beziehungsweise ein geschultes Ohr – ist die erste Verteidigungslinie. Folgende Merkmale deuten auf eine betrügerische oder missbräuchlich verwendete Telefonnummer hin:

  • Spoofing bekannter Nummern: Betrüger manipulieren die Anrufer-ID, sodass vertrauenswürdige Nummern angezeigt werden – zum Beispiel die echte Nummer eines Lieferanten oder einer Behörde.
  • Ungewöhnliche Auslandsvorwahlen: Nummern aus Ländern wie +232 (Sierra Leone), +269 (Komoren) oder bestimmte karibische Vorwahlen (+1-649 etc.) sind häufig mit Betrug assoziiert.
  • 0800/0900-Nummern mit hohen Kosten: Rückrufe auf diese Nummern können teuer werden und werden teils durch betrügerische „Missed Call"-Taktiken provoziert.
  • Keine Nummer oder unterdrückte Anzeige kombiniert mit ungewöhnlich dringendem Kommunikationsstil.
  • Inkonsistente Unternehmensangaben: Wer den Anrufer bittet, seine Firmendaten zu bestätigen, erhält bei Betrügern oft vage oder widersprüchliche Antworten.

Ergänzend empfiehlt sich der Einsatz von Phone Intelligence-Diensten, die Rufnummern in Echtzeit auf Missbrauchsmuster, Beschwerdevolumen und geografische Anomalien prüfen. Diese Technologie wird zunehmend in Unternehmens-Telefonanlagen und CRM-Systeme integriert.

Technische und organisatorische Gegenmaßnahmen

Die Abwehr von Telefonbetrug erfordert eine Kombination aus technischen Lösungen und klaren internen Prozessen. Folgende Maßnahmen haben sich in der Praxis bewährt:

  • STIR/SHAKEN-Protokoll: Dieses technische Verfahren zur Verifizierung von Rufnummern wird von Mobilfunknetzen genutzt und reduziert Spoofing erheblich. Unternehmen sollten prüfen, ob ihr Telefondienstleister diesen Standard unterstützt.
  • Callback-Verfahren: Bei unerwarteten Anfragen – insbesondere zu Zahlungen oder Zugangsdaten – sollte grundsätzlich eine Rückruf-Verifikation über die offiziell bekannte Nummer des Anrufers erfolgen.
  • Allowlisting und Blocklisting: Modernes Call-Center-Management erlaubt es, bekannte Spam-Nummern automatisch zu blockieren und nur zugelassene Nummern durchzustellen.
  • Mitarbeiterschulungen: Regelmäßige Awareness-Trainings zu Social Engineering und Vishing sind essenziell. Mitarbeitende im Finanz- und HR-Bereich sind dabei besonders zu sensibilisieren.
  • Zwei-Personen-Prinzip: Bei Zahlungsanweisungen oder kritischen Systemzugängen, die telefonisch initiiert wurden, sollte stets eine zweite Person die Legitimität bestätigen.

Unternehmen, die ohnehin bereits auf digitale Verifizierungsprozesse setzen – etwa zur Überprüfung von Geschäftspartnern über Dienste wie VAT Verifizierung – profitieren davon, ähnliche Sorgfalt auch auf die Kommunikationsebene auszudehnen.

Rechtlicher Rahmen: Was erlaubt ist und was nicht

In Deutschland ist die Rechtslage zu unerwünschten Anrufen eindeutig geregelt. Das Gesetz gegen den unlauteren Wettbewerb (UWG) verbietet Kaltakquise ohne vorherige ausdrückliche Einwilligung im B2C-Bereich, und auch im B2B-Kontext gelten strenge Anforderungen. Die Bundesnetzagentur ist die zuständige Behörde für die Bearbeitung von Beschwerden und verhängt bei Verstößen empfindliche Bußgelder.

Unternehmen, die Opfer von Telefonbetrug wurden, können und sollten Anzeige bei der Polizei erstatten sowie den Vorfall der Bundesnetzagentur melden. Bei gezieltem CEO-Fraud oder Datenverlust besteht zudem unter der DSGVO möglicherweise eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde innerhalb von 72 Stunden.

Phone Intelligence als strategisches Instrument

Fortschrittliche Unternehmen gehen über reaktive Maßnahmen hinaus und nutzen Phone Intelligence-Plattformen proaktiv. Diese Dienste aggregieren Beschwerdedaten, analysieren Anrufmuster und gleichen Nummern mit internationalen Missbrauchsdatenbanken ab. Für die Integration in bestehende Infrastrukturen bieten viele Anbieter API-Schnittstellen an, die sich in UCaaS-Lösungen (Unified Communications as a Service) oder CRM-Systeme einbinden lassen.

Ein konkretes Beispiel: Ein mittelständischer Maschinenbauer in Bayern erhielt wiederholt Anrufe von einer Nummer mit Hamburger Vorwahl, die sich als Buchhaltung eines bekannten Zulieferers ausgab und Kontoänderungen durchsetzen wollte. Durch eine Echtzeit-Nummernprüfung via Phone