Tausende Opfer weltweit sind dem „Pig Butchering“ – einer Masche an der Grenze zwischen modernem Heiratsschwindel und Anlagebetrug – bereits aufgesessen, die entstandenen finanziellen Schäden sind enorm.Wir beschreiben den Aufbau und Ablauf des Scams und geben Hinweise darauf, wann bei Betroffenen die Alarmglocken schrillen sollten.
Cyberkriminelle haben den Begriff „Pig Butchering“ in zynischer Anlehnung an die Praxis des Mästens von Schweinen vor der Schlachtung selbst für ihre Opfer geprägt.
(Bild: Dall-E / KI-generiert)
Einer Studie der University of Texas zufolge hat „Pig Butchering“ Cyberkriminellen von Januar 2020 bis Februar 2024 etwa 75 Milliarden US-Dollar in die Kassen gespült. Allein der bislang bei der Zentralstelle Cybercrime Bayern (ZCB) angezeigte Gesamtschaden beläuft sich auf etwa 29 Millionen Euro. In diesem Jahr sind bei der ZCB bereits 48 Anzeigen mit einem Gesamtschaden von 2,6 Millionen Euro eingegangen. Der durchschnittliche finanzielle Schaden liegt bei knapp 80.000 Euro. Bedenkt man, dass viele Fälle aus Scham gar nicht erst angezeigt werden, dürfte die Dunkelziffer vermutlich noch deutlich höher liegen.
Was verbirgt sich hinter dem Begriff „Pig Butchering“?
Den Begriff „Pig Butchering“ (zu Deutsch „Schweineschlachten“) haben die Cyberkriminellen in zynischer Anlehnung an die landwirtschaftliche Praxis des Mästens von Schweinen vor der Schlachtung selbst geprägt. Denn auch sie mästen ihre Opfer gewissermaßen, sei es durch ausgiebige Flirts oder indem sie ihnen vermeintlich hochrentable Anlagemöglichkeiten schmackhaft machen. In beiden Fällen besteht das Ziel darin, die Opfer dazu zu bringen, große Summen zu investieren und diese dann abzugreifen – sie also finanziell auszuschlachten.
Messaging-, Social-Media- und Dating-Apps als Ausgangspunkt
„Pig Butchering“ setzt auf ein Netzwerk von Fake-Accounts auf, das eine Vielzahl von Messaging-, Social-Media- und Dating-Apps abdeckt, darunter WhatsApp, Telegram, TikTok, X (ehemals Twitter), Instagram, Tinder, Bumble und Hinge.
Die Art der Kontaktaufnahme mit potenziellen Opfern hängt von der verwendeten App ab. Nutzer von Messenger-Diensten wie WhatsApp- und Telegram erhalten in vielen Fällen unvermittelte Nachrichten. Die Betrüger behaupten zum Beispiel, die Telefonnummer von einem gemeinsamen Freund bekommen zu haben, um ins Gespräch zu kommen. Social-Media-Nutzer können mit ähnlichen Formen der „Kaltakquise“ rechnen. Unter dem Vorwand, ein intimeres Gespräch führen zu wollen, versuchen die Betrüger, die Konversation auf WhatsApp und Telegram oder SMS zu verlagern. Im Gegensatz zu Messenger-Diensten- und Social-Media-Plattformen braucht es bei Dating-Apps ein Match, bevor die Betrüger mit potenziellen Opfern in Kontakt treten können. Häufig kommen gestohlene, mitunter auch KI-generierte Profilbilder attraktiver Frauen oder Männer zum Einsatz, um so viele Matches wie möglich zu sammeln. Kommt ein Match zustande, forcieren die Betrüger auch hier zeitnah einen Wechsel zu einem Messenger-Dienst.
Hinter den gefakten Social-Media- und Dating-Profilen verbergen sich „Herder“ (um im Bild zu bleiben: „Schweinehirten“), die einzig und allein dafür verantwortlich sind, mit so vielen potenziellen Opfern wie möglich Kontakt aufzunehmen und die Konversation dann so schnell wie möglich auf WhatsApp und Telegram oder SMS zu verlagern. Das ist nichts anderes als der Versuch, die Löschung der Fake-Profile zu verhindern – denn im Vergleich zu Social-Media-Plattformen und Dating-Apps verfügen Messenger-Dienste über weniger Moderations- und Meldefunktionen.
Wie gehen „Pig Butchers“ vor?
Ist der Wechsel vollzogen, übernehmen „Pig Butchers“, die die notwendige Erfahrung und das Fingerspitzengefühl mitbringen, um die Konversation dauerhaft aufrechtzuerhalten. In der Regel werden „Pig Butchers“
1. zunächst eine Basis für regelmäßige Kommunikation schaffen: „Pig Butchering“ ist eine langfristig angelegte Betrugsmasche, die regelmäßige Kommunikation erfordert. „Pig Butchers“ wünschen ihren Opfern einen guten Morgen und eine gute Nacht, erzählen, wie sie angeblich ihren Tag verbracht haben, und von ihren sportlichen Aktivitäten.
2. Interesse am Wohlergehen des Opfers signalisieren: Das tun sie häufig über das Thema Ernährung. So erkundigen sich „Pig Butchers“ etwa, ob ihre Opfer gesund gefrühstückt, zu Mittag oder zu Abend gegessen haben und teilen Fotos ihrer eigenen Mahlzeiten.
3. von ihrem seriös klingenden Job erzählen und ihr vermeintliches Wissen über Geldanlagen durchscheinen lassen: Arbeit und Beruf sind vor allem auf Dating-Apps ein häufiges Gesprächsthema. Die Betrüger erfinden Geschichten rund um die Jobs ihrer Personae und deren finanzielle Erfolge mit Immobilien, an der Börse oder mit Kryptowährungen – und klopfen die Erfahrungswerte ihrer Opfer mit traditionellen (Aktien, Immobilien) und alternativen Investments (Kryptowährungen, Gold) ab.
4. versuchen, mit ihren Investment-Erfolgen zu beeindrucken: Sie teilen Candlestick-Charts ihrer angeblich hochrentablen Assets – seien es Kryptowährungen wie Bitcoin, Ethereum oder Litecoin, Stablecoins wie Tether oder auch Gold. Darauf aufsetzend bieten sie ihren Opfern an, ihnen mit Anlagetipps unter die Arme zu greifen und stellen ihnen ähnliche Gewinne in Aussicht, in der Regel unter einer Bedingung: Geheimhaltung. So suggerieren die „Pig Butchers“ Intimität und Vertrauen – Gefühle, die sie dann ausnutzen.
5. das Opfer von einem Investment überzeugen: Das hartnäckige Social Engineering gipfelt für die Betrüger im Idealfall in einem Investment des Opfers – in Form von Geld oder Kryptowährung – in eines der von ihnen als sicher und hochrentabel angepriesenen Anlageinstrumente. Dazu gehören Kryptowährungs-Tokens wie Bitcoin, Ethereum und Litecoin, Stablecoins wie Tether, oft aber auch Gold.
6. das Opfer dazu bringen, immer mehr zu investieren und es letztendlich mit leeren Händen zurücklassen: Das Ziel der „Pig Butchers“ ist es, so viel Geld wie möglich von ihren Opfern zu stehlen. Um kein Misstrauen zu erwecken und ihre Opfer weiter „anzufüttern“, wenden sie Taktiken an, die auch bei Schneeballsystemen und anderen Formen des Anlagebetrugs zum Einsatz kommen. Zum Beispiel zeigen sie ihren Opfern frühzeitig angebliche Gewinne und – besonders perfide – erlauben ihnen mitunter sogar, einen Teil davon abzuheben. Dabei handelt es sich in Wahrheit jedoch höchstwahrscheinlich um Gelder, die von anderen Opfern gestohlen und umverteilt oder auf fingierten, von den Betrügern kontrollierten Investment-Websites als Gewinne ausgewiesen wurden.
Gesunde Skepsis zahlt sich wortwörtlich aus
Angesichts der beträchtlichen finanziellen Schäden und emotionalen Belastungen, die durch das „Pig Butchering“ entstehen, ist eines ganz besonders wichtig: eine gesunde Skepsis. Betroffene sollten ganz genau hinsehen, wer sie anschreibt. Besondere Vorsicht ist geboten bei Chat-Anfragen von Unbekannten und wenn diese Unbekannten nach dem Erstkontakt schnell von Social-Media-Plattformen und Dating-Apps zu Messenger-Diensten wechseln wollen. Auch wenn ihnen hohe Renditen bei kurzer Laufzeit und geringem Risiko in Aussicht gestellt und Zahlungen in Kryptowährungen verlangt werden, sollten Betroffene hellhörig werden, eine Investition kritisch hinterfragen und gründlich zu Investment-Websites oder -Apps recherchieren. Kurzum: Wenn die Versprechungen zu schön scheinen, um wahr zu sein, dann sind sie es in der Regel auch nicht.
Über den Autor: Satnam Narang ist Senior Staff Research Engineer beim Exposure-Management-Spezialisten Tenable.
(ID:50066414)
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/0f/89/0f89176a6dfec829870e90b56b26c9c7/0126536181v1.jpeg "Manipulierte Smart Contracts: Gefälschte Trading-Bots im Ethereum-Netzwerk leiten Anlegergelder direkt in die Wallets der Täter. (Bild: © immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/96/e2/96e2998dfe9be8204868ee9b6be40230/0125380433v2.jpeg "Für viele Privatpersonen aber auch Unternehmen sind die geplanten, personalisierten Werbeanzeigen in WhatsApp ein Ärgernis. Zeit also, sich nach einem datensichereren Messenger umzusehen? (Bild: gemeinfrei)")