SoSafe Adventskalender: Entdecken Sie 24 Türchen voller Cyber-Sicherheits-Tipps. Mehr erfahren.

Person mit Kapuzenpullover und Sonnenbrille, die einen Hacker darstellen soll, hält einen grünen Apfel in der Hand, in den ein Totenkopf geschnitzt ist. Er symbolisiert die Risiken von Quid-pro-quo-Angriffen in der Cybersicherheit.

Quid-pro-quo-Angriffe

Die Quid-pro-quo-Methode ist eine Betrugsmasche, bei der Cyberkriminelle ihren Opfern eine vermeintliche Leistung oder Belohnung versprechen. Im Gegenzug fordern sie sensible Daten, Systemzugriff oder andere Handlungen.

10. Dezember 2024 · 12 Min

Was ist ein Quid-pro-quo-Angriff?

Quid-pro-quo-Angriffe sind eine Form des Social Engineerings. Dabei bieten die Angreifenden ihrer Zielperson eine Leistung oder einen Deal an, um so Zugriff auf Daten oder Systeme zu erlangen. Zum Beispiel könnte Sie ein Mitarbeitender des technischen Supports kontaktieren, der Ihnen anbietet, die Leistung Ihres Computers zu erhöhen. Durch vertrauenerweckendes Auftreten und die richtigen Worte überzeugt er Sie davon, dass Sie seine Dienste brauchen. Er hält auch tatsächlich seinen Teil der Vereinbarung und erhöht die Leistung Ihres Computers. Doch was, wenn er dabei ganz nebenbei Zugriff auf Ihre sensiblen Dateien erlangt und Daten stiehlt? Genau darin besteht der vermeintlich harmlose Austausch bei einem Quid-pro-quo-Angriff.

In den letzten Jahren ist die Zahl der Social-Engineering-Angriffe, darunter auch die Quid-pro-quo-Methode, stark gestiegen. Laut Internet Crime Report 2023 des FBI, haben die Tech-Support-Betrugsfälle – eine der beliebtesten Quid-pro-quo-Taktiken – im dritten Jahr in Folge zugenommen. Noch beunruhigender ist, dass es sich hierbei 2023 sogar um die Cyber-Angriffsmethode handelte, die zu den höchsten Verlusten führte – über 900 Millionen US-Dollar insgesamt.

Diese Zahlen zeigen die verheerenden Auswirkungen von Quid-pro-quo-Angriffen. Gleichzeitig verdeutlichen sie die Wichtigkeit von Schutzmaßnahmen und Wissensvermittlung, um Bewusstsein für die Angriffstaktiken der Cyberkriminellen zu schaffen.

Eine lächelnder Person erhält Angebote auf ihrem Laptop, während der Hacker im Kapuzenpullover rechts sensible Daten empfängt.

Wie funktioniert ein Quid-pro-quo-Angriff?

Von der ersten Kontaktaufnahme bis zum Datendiebstahl laufen Quid-pro-quo-Angriffe nach einem gezielt aufgesetzten Schema ab, das die Irreführung des Opfers zum Ziel hat. Da die Cyberkriminellen nach einer festen Methode vorgehen, ist es wichtig, diese im Detail zu kennen, um sich effektiv davor schützen zu können.

  • Kontaktaufnahme: Der Angriff beginnt mit einer angeblich gutgemeinten und harmlosen Kontaktaufnahme. Die Angreifenden geben sich beispielsweise als Service-Personal oder Mitarbeitende eines IT-Unternehmens aus und ködern ihre Zielperson mit einem verlockenden, scheinbar legitimen Angebot. Zum Beispiel könnten Sie ein Pop-up in Ihrem Webbrowser erhalten, das Sie über einen Virus auf Ihrem Computer informiert, und Ihnen kostenlose Antivirus-Software anbietet.
  • Vertrauensaufbau: Hat das Opfer erst einmal angebissen, gehen die Angreifenden im nächsten Schritt dazu über, sich sein Vertrauen zu erschleichen. Indem sie die versprochene Hilfe oder Dienstleistung erfüllen oder ein vermeintlich legitimes Produkt bereitstellen, verstärken sie den Eindruck, dass es sich um einen harmlosen Austausch handelt.
  • Ausbeutung: Sobald die Angreifenden das Vertrauen ihres Opfers erlangt haben, nutzen sie es im letzten Schritt aus. Sie fordern die Angabe sensibler Daten oder Zugriff auf ihre Geräte. Haben sie erst einmal Zugang zu vertraulichen Daten erlangt, haben sie ihr Ziel erreicht.
Aus drei Schritten bestehende Grafik, die den Aufbau eines Quid-pro-quo-Angriffs darstellt. Im ersten Schritt, der Kontaktaufnahme, machen die Angreifenden der Zielperson ein außergewöhnlich gutes Angebot. Im zweiten Schritt erfüllen die Angreifenden ihren Teil der Vereinbarung und gewinnen so das Vertrauen ihres Opfers. Im letzten Schritt kommt es zur Ausbeutung, indem die Angreifenden sensible Daten fordern und das Opfer diese preisgibt.

So erkennen Sie einen Quid-pro-quo-Angriff

Quid-pro-quo-Angriffe sind nicht immer einfach von legitimen Angeboten zu unterscheiden. Doch es gibt einige Warnsignale, die Ihnen helfen können, Quid-pro-quo-Angriffe zu erkennen. In den folgenden Fällen sollten Sie Vorsicht walten lassen und gegebenenfalls Unterstützung suchen:

  • Unangeforderte Angebote oder Anfragen: Angebote, die Sie nicht angefordert haben, können ein Hinweis auf einen Quid-pro-quo-Angriff sein. Machen Sie sich bewusst, dass Unternehmen normalerweise nicht einfach irgendwen mit einer vermeintlichen Traumstelle kontaktieren und dass vertrauenswürdiger Tech-Support nicht wie magisch aus dem Nichts erscheint. Genauso werden legitime medizinische Lösungen nur nach vorheriger Beantragung angeboten.
  • Druck: Cyberkriminelle sind wahre Meister darin, ein Gefühl der Dringlichkeit zu erzeugen, um ihre Zielpersonen zu unüberlegten Handlungen zu verleiten. Die folgenden Aussagen sind klare Warnsignale: „Angebot gilt nur für kurze Zeit“, „Wir haben schon viele andere Interessenten“, „Es gibt schon einige andere Bewerber“ oder „Die Anzahl an Plätzen ist begrenzt“.
  • Forderung nach personenbezogenen oder Finanzdaten: Da Quid-pro-quo-Angriffe meist als legitimes Geschäft dargestellt werden, kann der Eindruck entstehen, dass die Angabe persönlicher Daten ein normaler Bestandteil des Prozesses ist. Bei ungewöhnlichen Forderungen, wie der Frage nach der Sozialversicherungsnummer oder Ihren Bankdaten, sollten Sie jedoch misstrauisch werden. Bei rechtlich unbedenklichen Transaktionen müssen vorab normalerweise keine sensiblen Daten ausgetauscht werden.
  • Unklare oder unrealistische Versprechen: Was zu gut klingt, um wahr zu sein, ist es meistens auch. Das gilt auch für die Quid-pro-quo-Methode. Ob Wunderheilmittel, Über-Nacht-zum-Millionär-Versprechen oder Jobangebote, die ein hohes Gehalt bei minimalem Aufwand versprechen – bei solchen Angeboten sollten Sie sofort skeptisch werden. Dabei handelt es sich nicht selten um Köder, mit denen Cyberkriminelle an Ihre Daten oder Ihr Geld kommen wollen.
  • Verdächtige Zahlungsaufforderungen: Alles, was mit Finanzen zu tun hat, sollte transparent und schlüssig sein. Wenn sich ein Service-Anbieter plötzlich mit einer Zahlungsaufforderung für Dienstleistungen, Kurse oder Ausrüstung bei Ihnen meldet, die Sie nie gekauft bzw. angefordert haben oder die er nie geleistet hat, haben Sie guten Grund, misstrauisch zu sein. Lassen Sie bei unspezifischen und unbegründeten Zahlungen Vorsicht walten und stellen Sie immer sicher, dass die Zahlung zuvor autorisiert wurde.

Quid-pro-quo-Angriffe vs. Baiting-Methode

Quid-pro-quo-Angriffe sind genauso wie die Baiting-Methode eine Social-Engineering-Taktik, die auf der Manipulation der Zielperson basiert. Es gibt jedoch einige wichtige Unterschiede.

Der größte Unterschied liegt im Element des Austauschs. Bei Quid-pro-quo-Angriffen wird der Zielperson etwas Bestimmtes angeboten. Die Angreifenden nehmen Kontakt auf und bieten beispielsweise Antivirus-Software, eine Leistung oder ein kostenloses Upgrade an, und fordern im Gegenzug sensible Daten oder Gerätezugriff. Bei Baiting-Angriffen wird das Opfer hingegen ohne spezifische Vereinbarung zu einer Handlung bewegt. Mit scheinbar unwiderstehlichen Angeboten oder Inhalten wird das Opfer zu einer Handlung gebracht, die im Interesse der Cyberkriminellen ist. Ein vorheriger Austausch steht dabei nicht im Vordergrund. Ein klassisches Beispiel ist das Angebot von einer kostenlosen Software, die in Wahrheit schädlich ist, und über deren Download Malware auf Ihr Gerät eingeschleust wird.

Quid-pro-quo-Angriffen liegt meistens eine weitsichtigere und methodischere Vorgehensweise zugrunde. Die Angreifenden bieten Hilfe oder eine Dienstleistung an und gewinnen nach und nach das Vertrauen ihrer Zielperson, das sie danach ausnutzen. Im Gegensatz dazu basieren Baiting-Angriffe vor allem auf Täuschung und machen sich die Neugierde oder die Wünsche der Personen zunutze. Dabei wird ein Gefühl der Dringlichkeit und Neugier aufgebaut, um sie zu einer unüberlegten Handlung zu bewegen. 

Ist das Opfer erst einmal in die Falle getappt, besteht das Ziel eines Quid-pro-quo-Angriffs darin, Zugriff auf sensible Daten und Systeme zu erlangen. Bei Baiting-Angriffen liegt der Fokus eher darauf, das Opfer durch Täuschung zu einer bestimmten Handlung, wie den Klick auf einen schädlichen Link, zu bewegen.

Quid-pro-quo-Angriffe basieren auf dem psychologischen Prinzip der Reziprozität, das bei Personen den Drang auslöst, etwas zurückzugeben. Die Opfer geben im Gegenzug für die erhaltene Hilfe bereitwillig ihre Daten preis. Baiting-Angriffe basieren im Gegensatz dazu vielmehr auf Zwang, wobei die Begierde und FOMO („Fear of missing out“) der Zielperson ausgenutzt werden. Sie führt dabei eine Handlung aus, weil sie etwas Wertvolles dafür erhält – das Gefühl der Reziprozität ist hier weniger relevant.

Eine Abbildung, die die Unterschiede zwischen Quid-pro-quo- und Baiting-Angriffen in der Cybersicherheit aufzeigt. Links wird Quid-pro-quo als Austausch bzw. Geschäft dargestellt, wobei die Werkzeuge für eine Dienstleistung stehen, der Handschlag die Vereinbarung darstellt und ein offenes Schloss den Zugriff auf sensible Daten. Rechts wird Baiting als Angebot dargestellt. Rabatte oder Geschenke führen zu Malware, durch ein Trojanisches Pferd und ein Vorhängeschloss dargestellt. Beide Methoden werden in einigen kurzen Stichpunkten erläutert.

Die häufigsten Taktiken bei Quid-pro-quo-Angriffen

Quid-pro-quo-Angriffe gibt es in den verschiedensten Varianten – vom attraktiven Jobangebot über listigen Spendenbetrug bis hin zu raffinierten Investment-Tricks. Doch sie alle haben eins gemeinsam: Sie machen ihrer Zielperson ein vielversprechendes Angebot und verlangen dafür eine Gegenleistung. Werfen wir einen genaueren Blick auf einige der häufigsten Methoden bei Quid-pro-quo-Angriffen:

  • Service-Personal: Der Angreifende gibt sich als Teil des technischen Support-Teams eines bekannten Unternehmens aus. Sie locken mit dem Versprechen, ein fiktives Problem auf Ihrem PC zu beheben, wie einen angeblichen Computervirus. Um diese „Hilfe“ leisten zu können, fordern sie Remote-Zugriff auf Ihr System. Dieser scheinbar harmlose Austausch führt dazu, dass die Angreifenden Zugriff auf sensible Daten erhalten oder Schadsoftware auf Ihrem Gerät installieren können.
  • Software-Upgrade: In diesem Fall geben sich die Angreifenden als Mitarbeitende bekannter Softwareanbieter aus und machen der Zielperson ein verlockendes Angebot – wie ein kostenloses oder preislich stark reduziertes Software-Upgrade. Dabei gibt es jedoch einen entscheidenden Haken: Um dieses vermeintlich lukrative Angebot nutzen zu können, muss das Opfer persönliche Informationen oder Anmeldedaten preisgeben.
  • Ausbildungs- oder karrierebezogene Angebote: Bei dieser Betrugsvariante stellen die Angreifenden vielversprechende Ausbildungs- oder Karrierechancen in Aussicht. Mitunter versprechen sie einen Platz an einer angesehenen Bildungseinrichtung oder einen lukrativen Job im Austausch gegen persönliche Daten.
  • Kostenloses WLAN oder Zugangspunkte: Besonders listige Cyberkriminelle richten WLAN-Netzwerke oder Zugangspunkte meist mit legitim klingenden Namen ein und bieten kostenlosen Internetzugang an. Sobald sich ein User mit dem schädlichen Netzwerk verbindet, können die Angreifenden seinen Datenverkehr überwachen und wertvolle Anmeldedaten oder sensible Informationen abfangen.
  • Sonderangebote: Die Angreifenden bieten kostenlose Produkte oder Gutscheine an, um ihre Zielpersonen dazu zu bewegen, persönliche Daten, beziehungsweise sensible Informationen zu teilen. Solche „Freebies“ sind oft erfunden, doch der finanzielle Vorteil ist so verlockend, dass die Zielpersonen bereitwillig ihre Daten preisgeben, ohne letzten Endes etwas dafür zu erhalten.
  • Umfragen-Scams: Bei dieser Methode nutzen die Angreifenden eine Umfrage als Köder und versprechen bei Teilnahme verlockende Belohnungen. Durch mögliche Preise oder Geschenke angelockt, stellt sich beim Ausfüllen heraus, dass die Umfrage allein dazu entwickelt wurde, persönliche oder sensible Daten zu sammeln und diese später für betrügerische Zwecke zu missbrauchen.
  • Bitte um Bewertungen: Auch hier ist Vorsicht geboten, denn betrügerische Anfragen für Unternehmensbewertungen können Sie per E-Mail, SMS oder Telefonanruf erreichen. Auch bei dieser Methode versuchen Cyberkriminelle, wertvolle Daten zu erhaschen – rechtmäßig agierende Unternehmen befolgen normalerweise einen festen Feedback-Prozess.
  • Marktforschungsexperimente: Manchmal geben sich die Angreifenden als angebliche Forschende aus und versuchen auf diese Weise, an sensible Daten zu gelangen. Lassen Sie sich immer einen Nachweis zeigen und fragen Sie nach dem Zweck der Forschungsarbeiten, um einen möglichen Betrug zu erkennen.

Man könnte meinen, dass Quid-pro-quo-Angriffe leicht zu erkennen sein müssten, doch genau darauf setzen die Angreifenden. Denn wenn wir uns unserer Sache zu sicher sind, machen wir uns umso angreifbarer.

Faktor Mensch: Warum sind Quid-pro-quo-Angriffe so effektiv?

Ihren Erfolg verdanken Quid-pro-quo-Angriffe den Methoden der emotionalen Manipulation, die die Angreifenden dabei ausnutzen. Indem sie eine Leistung oder Hilfe anbieten, lösen sie bei ihrer Zielperson das Gefühl aus, etwas schuldig oder zu etwas verpflichtet zu sein – sie sind somit eher dazu geneigt, einer Forderung nachzukommen. Dieser Wunsch ist tief im menschlichen Verhalten verankert.

Hinzu kommt, dass sich die Angreifenden bei der Quid-pro-quo-Methode oft als vertrauenswürdige Autorität oder als Experte ausgeben, wie als Mitarbeitende des IT-Supports oder Kundenservice. Die Zielpersonen sind eher dazu geneigt, den Aufforderungen einer Autoritätsperson nachzukommen und fassen leichter Vertrauen. 

Darüber hinaus erzeugen die Angreifenden durch Drohungen oder eine zeitliche Begrenzung der Angebote oft ein Gefühl der Dringlichkeit. Das setzt die Zielperson unter Druck und kann sie zu unüberlegten Handlungen veranlassen.

Quid-pro-quo-Angriffe: Beispiele aus dem echten Leben

Mit ihren betrügerischen Strategien zur psychologischen Manipulation schaffen es Cyberkriminelle, selbst die stärkste Organisation und die wachsamsten Personen hinters Licht zu führen – mit oft verheerenden Folgen, wie wir im Folgenden sehen werden.

Kryptowährungs-Scam in Millionenhöhe

Die Welt der Kryptowährungen ist ein beliebter Spielplatz für Cyberkriminelle, insbesondere für Quid-pro-quo-Angriffe. 2022 gab sich die Hackergruppe Lazarus auf LinkedIn als Recruiter aus. Sie schafften es, einen Senior Engineer von Sky Mavis, dem Unternehmen hinter Axie Infinity, zur Teilnahme an einigen gefakten Job-Interviews zu bewegen. Im Rahmen der Interviews lud der Ingenieur eine mit Spyware infizierte Jobangebots-Datei herunter. Die Angreifenden verschafften sich Zugang zum Blockchain-Netzwerk von Axie Infinity und stahlen Kryptowährung im Wert von 617 Millionen US-Dollar. Dieser Zwischenfall ist der bisher größte Kryptowährungs-Betrug.

Quid-pro-quo-Betrug im Gesundheitswesen

Wir haben alle miterlebt, wie sich Cyberkriminelle die Pandemie 2020 zu ihrem finanziellen Gewinn zunutze machten. Leider kommen Scams im Gesundheitswesen, die auf diejenigen abzielen, die am angreifbarsten sind, auch weiterhin häufig vor.

Nicht selten werden ältere Menschen durch falsche Versprechungen dazu gebracht, ihre medizinischen Informationen preiszugeben, wie Anfang 2024 in den USA, als Cyberkriminelle ältere Menschen im Gesundheitswesen ins Visier nahmen. Sie versprachen Dienste, medizinische Ausrüstung oder Gutscheine im Austausch gegen ihre personenbezogenen Daten und den Nachweis für ihren Medicare-Anspruch. Ihre Zielpersonen kontaktierten sie per Telefonanruf, Online-Werbung oder Textnachrichten und behaupteten, sie hätten Anspruch auf kostenlose oder gebührenfreie Leistungen.

Bei einem ähnlichen Betrugsfall schickten die Angreifenden ihren Zielpersonen Gentests, die weder sie noch ihr Arzt bestellt hatten. Die Ziele waren Identitätsdiebstahl und betrügerische Abrechnungen. Wichtig zu erwähnen: Wenn die Zielpersonen die nicht genehmigten Tests tatsächlich durchführen, kann der Gesundheitsdienstleister die Übernahme der Kosten verweigern. Die Opfer müssen die Kosten von Tausenden Dollar letztlich selbst tragen.

Digitale Hygiene: Wie Sie sich vor Quid-pro-quo-Angriffen schützen

Eine Garantie zur Abwehr von Quid-pro-quo-Angriffen gibt es zwar nicht. Doch einige Best Practices können den Schutz Ihrer Organisation stärken. Mit den folgenden Punkten verbessern Sie die digitale Hygiene Ihrer Organisation und helfen Ihren Mitarbeitenden, Quid-pro-quo-Angriffe zu erkennen und abzuwehren.

  • Training der Mitarbeitenden: Vermitteln Sie Ihren Teams wichtiges Wissen zu Quid-pro-quo-Angriffen und stellen Sie klare Anweisungen bereit, wie sie sich im Falle einer potenziellen Bedrohung verhalten sollen. Regelmäßige Trainingseinheiten festigen die Awareness und Wachsamkeit.
  • Sichere Authentifizierung: Sichere Authentifizierungsmethoden helfen Ihnen, die Identität von Personen zu überprüfen, die sensible Daten oder Systemzugriff anfordern. Dazu gehören Multi-Faktor-Authentifizierung (MFA) und andere Überprüfungsmethoden.
  • Umfassende Sicherheitsrichtlinien: Führen Sie umfassende Sicherheitsrichtlinien zum Umgang, Teilen und Schutz sensibler Daten ein und stellen Sie sicher, dass Ihre Mitarbeitenden die Richtlinien kennen und befolgen.
  • Incident Response Plan: Mit einem Notfallplan sind Sie auf den Worst Case vorbereitet. Er gibt vor, welche Schritte im Falle eines Sicherheitsvorfalls zu befolgen sind, denn schnelles Handeln kann die Tragweite eines erfolgreichen Angriffs reduzieren.
  • Monitoring und Risikobewertung: Stetiges Monitoring und regelmäßige Risikobewertungen helfen Ihnen, den Sicherheitsstatus Ihrer Organisation ganzheitlich einzuschätzen. Durch regelmäßige Security-Audits erkennen Sie außerdem Schwachstellen und Bereiche mit Optimierungsbedarf.

Verlockende Versprechungen: So stärken Sie die Resilienz Ihrer Organisation mit SoSafe

Ein erfolgreicher Quid-pro-quo-Angriff kann schwerwiegende Folgen für Ihre Organisation haben. Bei der durch KI und Deepfakes bedingten Vielschichtigkeit neuer Cyberbedrohungen stellt sich nicht mehr die Frage, ob man sich schützen sollte, sondern wie. Mit einer umfassenden Human-Risk-Management-Strategie können Ihre Mitarbeitenden zu Ihrer stärksten Verteidigungslinie werden, indem sie Bedrohungen selbstbewusst erkennen und melden, anstatt ihnen zum Opfer zu fallen.    

Bei SoSafe steht der Faktor Mensch im Mittelpunkt der Cyber-Sicherheitsstrategie. Deshalb bietet unsere E-Learning-Plattform eine immersive und personalisierte Lernerfahrung, bei der jeder Mitarbeitende nur das lernt, was er wirklich in seiner Rolle braucht, ohne wertvolle Zeit zu verschwenden. Gamification-Elemente und storybasierte Lektionen sorgen außerdem dafür, dass Ihr Team motiviert bleibt und kontinuierlich Fortschritte macht.

Awareness geht über die reine Wissensvermittlung hinaus – Ziel ist es, das Erlernte auch im echten Leben anzuwenden und eine langfristige Verhaltensänderung zu erreichen. Unsere Phishing-Simulationen sind auf die Bedürfnisse und Verhaltensweisen der einzelnen User abgestimmt und schließen Wissenslücken so effektiv.

Mit einem umfassenden Human-Risk-Management-Ansatz stärken Sie die Resilienz Ihrer Organisation im Angesicht der immer komplexeren Cyber-Bedrohungslage.

Bleiben Sie Cyberkriminellen immer einen Schritt voraus

Melden Sie sich für unseren Newsletter an, um die neuesten Beiträge zum Thema Informationssicherheit sowie News zu Events und Security-Ressourcen zu erhalten.
Immer up-to-date – immer sicher!

Newsletter visual

Demo anfragen

Erfahren Sie, wie unsere Plattform Ihrem Team dabei hilft, Cybergefahren kontinuierlich abzuwehren und Ihre Organisation abzusichern. Vereinbaren Sie jetzt eine Produktdemo und wir melden uns zeitnah bei Ihnen.

G2 Europe Leader Winter 2025 G2 Leader Winter 2025 G2 Momentum Leader Winter 2025 The Forrester Wave™ Strong Performer 2024: Human Risk Management Solutions