Mit fingierten Rechnungen oder Bestellungen wollen Internetbetrüger Unternehmen und Onlineshops übers Ohr hauen. Der Schaden geht schnell in die Zehntausende. Doch die Betroffenen können mit guten Prozessstrukturen und überlegter Kommunikation vorbeugen.

Von Markus Montz

kompakt

• Cyberkriminelle versuchen, Unternehmensbuchhaltungen mit fingierten Zahlungsanweisungen aus der Chefetage hinters Licht zu führen.
• In einer Variante täuschen sie Änderungen von Kontoverbindungen vor. Onlinehändler wollen sie durch fehlerhafte Rückabwicklungen von Lastschriften abzocken.
• Gegen die Maschen hilft, die Angriffsfläche durch gute interne Strukturen zu verringern sowie alle Mitarbeiter über die Methoden aufzuklären.

Der Absender klingt vertraut, der Mailinhalt plausibel: Wegen eines kurzfristigen Beschlusses von ganz oben solle die Buchhaltung schnell einen höheren Betrag überweisen, damit ein gerade eingefädelter Deal nicht platzt. Doch was nach Post aus der Geschäftsleitung oder vom langjährigen Geschäftspartner aussieht, soll Buchhaltungen und manchmal sogar die Unternehmensinhaber dazu verleiten, Geld an ein Konto von Betrügern zu schicken – wo es dann meist auf Nimmerwiedersehen verschwindet.

An anderer Stelle sind derzeit Händler betroffen. Sie reagieren redlich und seriös auf Stornierungen, überweisen per Lastschrift eingegangenes Geld zurück und sehen sich plötzlich mit hohen Verlusten konfrontiert. Wir stellen drei Maschen vor, die sich gegen Unternehmen und Händler richten und von denen uns Leser berichtet haben. Dazu geben wir Tipps, wie sich die betroffenen Mitarbeiter, aber auch Unternehmensführungen oder Inhaber von Kleinunternehmen präventiv gegen die Betrugsversuche wappnen können – und wie sie den Tätern das Leben zumindest ein wenig schwerer machen können, wenn sie hereingefallen sind.

CEO-Betrug

Frieda K. arbeitet in der Kreditorenbuchhaltung eines mittelständischen Unternehmens. In ihren Aufgabenbereich fällt, das Geld für offene Rechnungen an Empfänger auf der ganzen Welt zu überweisen. An einem Freitagnachmittag erhält sie eine überraschende Mail, scheinbar direkt aus der Geschäftsführung: Sie solle noch vor dem Wochenende einen mittleren fünfstelligen Betrag an einen neuen Geschäftspartner überweisen. Die Sache sei eilig und Frieda K. müsse den Vorgang unbedingt vertraulich behandeln. Andernfalls könne ein wichtiges Erweiterungsprojekt des Betriebes platzen.

Die in Wahrheit nicht aus ihrem Unternehmen stammende Mail ist namentlich an Frieda K. adressiert und gibt als Absendernamen die Geschäftsführerin an. Auch die Anrede ist an Frieda K. gerichtet, weitere Empfänger gibt es nicht. Der Text ist knapp, aber fehlerfrei. Der Verwendungszweck klingt plausibel, es geht um die Anschaffung von Maschinen. Das Konto befindet sich zwar ebenso wie der Geschäftspartner in der Volksrepublik China. Es wäre jedoch nicht das erste Mal, dass Rechnungen von dort kommen und Überweisungen dorthin gehen.

Auf die Freigabe durch ihren direkten Vorgesetzten und das übliche Vier-Augen-Prinzip solle sie ausnahmsweise verzichten, schreibt die vorgebliche Geschäftsführerin noch. Man werde ihre Mithilfe aber bei der nächsten Gehaltsrunde berücksichtigen. Bei Rückfragen solle Frieda K. ihr auf die Mail antworten, da sie wegen einer Dienstreise telefonisch nicht erreichbar sei.

Frieda K. hat die Daten bereits in eine Überweisungsvorlage eingegeben, da wird sie misstrauisch. Sie greift zum Telefon und ruft ihren Chef an. Nach einer halben Stunde folgt die Rückmeldung: Sie solle die Überweisung auf keinen Fall ausführen und die Mail an die IT-Sicherheit weiterleiten. Die echte Geschäftsführerin sei aus allen Wolken gefallen. Die Mail müsse eine hervorragend gemachte Fälschung sein. Das vermeintliche Projekt gebe es ebenso wenig wie den chinesischen Geschäftspartner.

Gezielte Angriffe

Nicht immer handeln die Mitwirkenden so umsichtig wie in unserem Beispiel. Mitunter haben die Täter mit diesem „CEO-Betrug“ Erfolg. In zwei spektakulären Fällen haben ein deutsches und ein österreichisches mittelständisches Unternehmen vor einigen Jahren jeweils zweistellige Millionenbeträge verloren.

Der Name der Betrugsmasche leitet sich von der englischen Abkürzung CEO für „Chief Executive Officer“ ab. Dieser im englischsprachigen Raum verbreitete Titel entspricht in etwa einem Geschäftsführer oder Vorstandsvorsitzenden.

Die Masche trifft nicht nur Unternehmen. Polizeibehörden warnen vor ähnlichen Mails, die an Vereine aus Sport, Wirtschaft und Gesellschaft gehen, ebenso an Hochschulen und andere Bildungsträger. Den Ausgangspunkt bildet stets ein handwerklich gut gemachtes Social Engineering. Das bedeutet, dass beim eigentlichen Angriff niemand in die Firmensysteme eindringt, sondern dass die Täter ihre Opfer psychologisch raffiniert zu selbstschädigendem Verhalten verleiten – während diese glauben, das Richtige zu tun.

Dabei suchen sich die Täter ihre Opfer bewusst aus. Sie verfügen über Detailinformationen zum Unternehmen und kennen häufig auch die interne Aufgabenverteilung. Die Täter verschicken mit diesem Wissen gezielte Phishingmails an relevante Personen, in selteneren Fällen rufen sie auch an oder nutzen die Briefpost – präzise wie mit einem Wurfspieß, weshalb man auch von „Spearphishing“ spricht.

Die Schreiben geben vor, vom oberen Management, aus der Vereinsführung oder aus dem Präsidentenbüro zu stammen. Sie sollen betroffene Mitarbeiter aus Buchhaltungen respektive Kassenwarte überrumpeln, kurzum: Personen, die Überweisungen im Auftrag ihrer Institution ausführen dürfen.

Sofort, dringend überweisen!

Auch das inhaltliche Schema, mit dem die Täter Frieda K. hinters Licht führen wollten, ist typisch. Der Absender und die Interna zur Betriebserweiterung sollten ihr ein Gefühl von Authentizität geben, obwohl die Mail ungewöhnlich war und die Handlungsanweisung gegen interne Regeln und Konventionen verstieß.

Der dringliche Charakter des Schreibens und die in Aussicht gestellte Gehaltserhöhung hatten das Ziel, Frieda K. zu schnellem Handeln zu verleiten und auf Rückfragen verzichten. Alternativ hätte die Mail auch Drohungen oder Schmeicheleien enthalten können. Eine Antwort auf die Mail wäre bei den Tätern gelandet, die mit weiteren Interna oder emotionalem Druck zurückgeschrieben hätten.

Hätte Frieda K. die gefälschten Anweisungen befolgt und den Betrag ohne die sonst übliche Prüfung überwiesen, wäre er auf einem von den Betrügern kontrollierten Konto gelandet. Im Fall von Frieda K. befand sich das Konto in Übersee, außerhalb der Reichweite deutscher Ermittler. Doch auch bei einem Konto in Deutschland hätten die Täter die Beute rasch weiter ins Ausland überwiesen und so den Verbleib verschleiert.

Wohlinformierte Täter

Die Täter operieren in gut organisierten Banden und spähen Firmen professionell gezielt aus. Dabei nutzen sie zunächst alles, was sie frei zugänglich finden. Bereits die Websites vieler Firmen bieten einen mehr oder minder großen Fundus: Inhaber und einzelne Mitglieder der Geschäftsleitung sind immer namentlich genannt. Man findet sie im juristisch obligatorischen Impressum, oft aber auch in Unternehmensporträts. Ebenso präsentieren viele Firmen ihre Geschäftsfelder samt Geschäftspartnern auf der Homepage. Für bestimmte Geschäftsbereiche verantwortliche Manager oder Ansprechpartner für Kunden erhalten häufig eine eigene Bühne.

Oftmals ergattern die Täter jedoch auch Informationen, die für die Außendarstellung des Unternehmens nicht erforderlich sind. Dazu gehören beispielsweise Organigramme oder andere Hinweise auf Namen von Mitarbeitern, die Zahlungen ausführen – eine wahre Goldgrube für Kriminelle, denn selbst wenn die Mailadresse fehlt, können sie diese aus dem Schema erschließen. Wenn man den Vertriebsleiter unter max.mustermann@angriffsziel.de erreicht und weiß, dass die Buchhalterin Frieda K. heißt, ist frieda.k@angriffsziel.de naheliegend.

Je nach Organisationsform der Firma gewinnen Täter außerdem Wissen aus den Einträgen im Handelsregister sowie den Unternehmensabschlüssen im Bundesanzeiger. Diese verraten zum Beispiel Geschäftsmodelle oder Bilanzvolumina, aus denen die Täter realistische Summen für einzelne Aufträge ableiten.

Eine weitere Fundgrube stellen die Social-Media-Auftritte dar. Manche Unternehmen plaudern dort erstaunlich zwanglos über ihre Prozesse und ihre Beschäftigten – oder die Mitarbeiter selbst berichten auf ihrem privaten Twitter- oder Instagram-Account über ihre Firma, ihre Kollegen und deren Tätigkeiten.

Noch ergiebiger sind für die Täter allerdings Zugänge zu echten Interna. Bei vielen (oftmals unerkannten) Angriffen auf die IT-Systeme von Unternehmen schnorcheln die Hacker als Hauptziel oder Beifang alle Informationen ab, die sie bekommen können. Diese verwenden sie dann entweder selbst oder verkaufen sie an spezialisierte Banden.

Zur Beute gehören Mails, Geschäftsprozesse und Planungsunterlagen samt Namen und Zuständigkeiten. Vieles davon gibt zusätzlich Aufschluss über externe Geschäfts- und Ansprechpartner. Diese Unternehmen und Personen geraten nun ebenfalls ins Fadenkreuz. Denkbar ist außerdem ein Mitarbeiter, der bewusst oder unbewusst Interna weitergibt. Je detaillierter die Täter eine Organisation kennen, umso gezielter können sie einzelne Mitarbeiter attackieren.

Gegenmaßnahmen im Unternehmen

Vor diesem Hintergrund müssen kleine wie große Unternehmen das Angriffspotenzial erfassen und minimieren. Dabei kommt es nicht nur auf eine gute IT-Sicherheitsstrategie an, um unbemerkte Einbrüche in das Unternehmensnetzwerk zu verhindern, sondern auch auf eine überlegte Kommunikation.

Nach außen hin müssen Unternehmen sorgfältig abwägen, wie umfangreich sie sich darstellen. Ein Beispiel: Oft gilt es als Zeichen der Wertschätzung, möglichst das gesamte Team mit Namen, Funktion und womöglich Kontaktdaten zu präsentieren. Doch das birgt zugleich das Risiko, dass Kriminelle dieses Wissen ausnutzen.

Intern sollten Unternehmen ihre Mitarbeiter über denkbare Betrugsmaschen aufklären und für Angriffe sensibilisieren – insbesondere für den Fall, dass sie ungewöhnliche, vermeintlich interne Anweisungen erhalten. Dabei helfen robuste Prozesse ohne Ausnahmen (auch keine informellen), um Zahlungen an Kunden oder Lieferanten auf Authentizität zu prüfen und Überweisungen freizugeben. Für regelwidrige Aufforderungen brauchen Mitarbeiter ein verlässliches Meldeverfahren, kompetente Ansprechpartner und die Gewissheit, dass ihnen bei Fehlalarmen keine Konsequenzen drohen.

Dabei müssen Unternehmen sämtliche Mitarbeiter auf ein gesundes Misstrauen verpflichten und ihnen verdeutlichen, dass Angreifer bereits aus der vermeintlich harmlosen Außenkommunikation viele interne Informationen gewinnen. Ebenso sollte es zur Unternehmenskultur gehören, die eigenen Security-Maßnahmen nicht als unfehlbar zu betrachten, sprich: Jedes Unternehmen muss davon ausgehen, dass die Täter bei Social-Engineering-Angriffen Informationen besitzen, die sie durch Einbrüche ins eigene Netz oder die Systeme von Geschäftspartnern erlangt haben. Anders ausgedrückt: Eine Mail oder ein Anruf sind noch lange nicht authentisch, wenn sie vermeintliche Insider-Informationen enthalten.

Tipps für Mitarbeiter

Die Beschäftigten selbst müssen sich ausnahmslos an die Verfahrensvorgaben halten, insbesondere für Buchhaltung und Zahlungen, und dürfen auch unter Druck nicht von den Regeln und Prüfmechanismen abweichen. Gerade solche Mails wie die an Frieda K. oder auch Anrufe bedürfen einer sorgfältigen Prüfung – nach dem alten Grundsatz „Vertrauen ist gut, Kontrolle ist besser“. Selbst wenn der angezeigte Name in einer Mail stimmt, kann die eigentliche Mailadresse abweichen. Bei Anrufen kann man die Anrufernummer technisch leicht fälschen, bald wohl auch die Stimme. Bei ungewöhnlichen Nachrichten zieht man daher Kollegen und Vorgesetzte hinzu, am besten auch die IT-Sicherheitsabteilung.

Sämtliche Mitarbeiter müssen Mails grundsätzlich mit Vorsicht behandeln. Links können auf präparierte Websites führen, Anhänge Schadcode enthalten. Beides öffnet Angreifern womöglich die Tür in die Unternehmenssysteme und liefert ihnen die Munition, die sie für Spearphishing gegen das eigene Unternehmen oder Geschäftspartner brauchen; von anderen Bedrohungen wie Ransomware oder dem Diebstahl von Geschäftsgeheimnissen ganz zu schweigen.

Genau wie die Unternehmen selbst sollten Mitarbeiter keine Interna mit Dritten teilen. Das betrifft besonders den digitalen Raum: Informationen über die Tätigkeit von Kollegen oder Strukturen im Unternehmen gehören nicht auf Instagram & Co. Aber auch das persönliche Gespräch auf Messen oder in Meetings kann kritisch werden, wenn es sich um Details zu Hierarchien, Prozessen und Sicherheitsmaßnahmen dreht.

Egal ob der Betrugsversuch glückt oder nicht: Unternehmen sollten bereits beim Verdacht Beweise wie Mails sichern, den Fall dokumentieren und Anzeige bei der Polizei erstatten. Die Wahrscheinlichkeit, dass diese die Täter ermittelt, mag gering erscheinen. Ohne Anzeige ist sie jedoch null. Außerdem lohnt es sich, den Vorfall intern zu kommunizieren und Mitarbeiter wie Geschäftspartner zu warnen – vielleicht nehmen die Betrüger schon den nächsten Kollegen ins Visier. Wenn Dritte in die Systeme eingedrungen sind und sensible Informationen entwendet haben, sind Unternehmen in vielen Fällen außerdem nach DSGVO verpflichtet, mögliche Geschädigte wie zum Beispiel Geschäftspartner zu informieren. Ohnehin ist das ein Gebot der IT-Sicherheit, damit sich auch Dritte gegen mögliche Angriffe wappnen können.

Variante: Rechnungsbetrug

Verwandt mit dem CEO-Betrug ist der Invoice- oder Rechnungsbetrug. Auch bei dieser Masche haben sich die Täter Insiderwissen über Geschäftsbeziehungen eines Unternehmens besorgt. Sie kennen die zuständigen Mitarbeiter aus der Buchhaltung oder wissen, dass der Inhaber selbst die Rechnungen von seinen Lieferanten und Dienstleistern begleicht.

In einem c’t bekannten Fall erhielt der Buchhalter eines mittelständischen Unternehmens eine Mail. Der Absender schien der Vertriebsleiter eines langjährigen Lieferanten aus Japan zu sein. Die Mailadresse der Firma wich zwar von der bekannten ab, las sich aber plausibel.

Freundlich fragte der „Vertriebsleiter“ im üblichen nicht ganz korrekten Englisch, ob es noch offene Rechnungen gebe und wenn ja, welche. Es sei wichtig und dringend: Man habe ein Problem mit dem bisherigen Konto und ein neues eröffnet. Nun wolle man sichergehen, dass kein Geld an die alte Verbindung fließe.

Der Buchhalter schöpfte keinen Verdacht und übermittelte ihm die Rechnungsnummern von zwei Lieferungen (eine davon bereits überwiesen) samt der hohen vierstelligen Rechnungsbeträge. Auf zusätzliche Rückfrage nannte der Buchhalter auch das Überweisungsdatum der einen und die Zahlungsfrist der anderen Rechnung.

Artig bedankte sich der vorgebliche japanische Vertriebsleiter und nannte die neue Bankverbindung, „ein Konto unserer Zweigstelle in Australien“. Die noch offene sowie alle zukünftigen Zahlungen solle man dorthin überweisen. Der Buchhalter tat, wie ihm geheißen, und änderte die Bankverbindung in den eigenen Systemen. Offenbar schien alles geklappt zu haben, denn nach der Überweisung zum vereinbarten Termin meldete sich der „Vertriebsleiter“ erneut und bedankte sich für den Zahlungseingang.

Der Buchhalter war beruhigt, bis ihn zwei Tage später die tatsächlichen Kollegen des japanischen Unternehmens anschrieben und höflich an die noch ausstehende Zahlung erinnerten. Die habe er doch auf das neue Konto überwiesen, ließ er wissen. Nachdem ihm die Japaner jedoch versichert hatten, dass es kein neues Konto gebe und die erste Zahlung regulär eingegangen sei, dämmerte ihm, dass er einem Schwindel aufgesessen war.

Parallelen und Prävention

Die Muster gleichen denen des CEO-Betruges: Mit Insiderwissen und bekannten Namen zielen die Täter auf Firmenangehörige mit Zahlungsbefugnis oder Selbstständige. Sie gaukeln aber keinen neuen Geschäftspartner vor, sondern eine Kontoänderung bei einem bestehenden Kontakt. Die Interna besorgen sich die Täter genau wie beim CEO-Betrug. Der Angriff erfolgt meistens per Mail, kann aber auch telefonisch oder postalisch ablaufen.

Die Polizei warnt außerdem, dass Täter alternativ zu angeblichen Kontoänderungen auch immer häufiger versuchen, den Opfern komplett erfundene Rechnungen unterzuschieben. Bei der Prävention gibt es in beiden Fällen von klar definierten Prozessen bis zur internen und externen Kommunikation kaum Unterschiede zum CEO-Betrug – bis auf einen: Um einen Rechnungsbetrug bei einer Zahlung auszuschließen, benötigen Unternehmen in diesem Fall fest vorgegebene Wege, um Kontoänderungen bei regelmäßigen Lieferanten und anderen Geschäftspartnern zu verifizieren. Insbesondere sollte man nicht direkt auf eine verdächtige Mail reagieren, sondern die Kontaktdaten aus vorangegangener Korrespondenz nutzen und am besten anrufen – und dafür gleichbleibende Ansprechpartner vereinbaren.

Überschreitet eine Rechnung einen Schwellwert, helfen zusätzliche formelle Wege, um die Kontoverbindung zu bestätigen. Denkbar ist zum Beispiel, sich mit dem Geschäftspartner in einer Videokonferenz zu treffen. Die Zahlung bestätigt man anschließend per Mail, einschließlich der Namen der Banken und den letzten vier Ziffern der Kontonummer. Wie beim CEO-Betrug gilt auch hier: Bereits den Versuch sollte ein Unternehmen sorgfältig dokumentieren und bei der Polizei anzeigen. (mon@ct.de)

Lastschrift-Betrug gegen kleine Händler

Derzeit versuchen Kriminelle gezielt, kleine, meist inhabergeführte Onlineshops mit Lastschriftzahlungen übers Ohr zu hauen. Zunächst bestellen sie im Namen beliebiger Personen samt passender Mailadressen einen größeren Posten für mehrere tausend Euro. In einem c’t bekannten, zur Anonymisierung leicht abgewandelten Beispiel orderten sie bei einem Sportartikelhändler mehrere hundert Bälle.

Als Zahlungsart wählen die Täter SEPA-Lastschrift. Das Konto des „Kunden“ befindet sich häufig im EU-Ausland; im vorliegenden Beispiel wies die IBAN auf die italienische Dépendance der französischen Business-Digitalbank Olinda („Qonto“). Da es sich um betrügerisch eröffnete Konten handeln dürfte, sind aber auch deutsche Konten denkbar, beispielsweise bei N26 [1].

Wenig später schicken die Täter eine Mail. Als vorgeblicher „Kunde“ schreiben sie, dass ihnen ein Zahlendreher unterlaufen sei. Daher würden sie um eine Bestellungs- und Rechnungskorrektur bitten, in unserem Beispiel von 150 auf 15 Stück – eine typische Größe für eine Trainingsgruppe.

Im Kalkül der Täter erstattet der Händler die Differenz nun zurück, entweder per Banküberweisung oder über seinen Zahlungsabwickler (Payment Service Provider, PSP). Erfolg haben sie aber auch, wenn der Händler misstrauisch wird, den Auftrag storniert und den kompletten Betrag zurücküberweist. Sobald das Geld nämlich auf dem von den Tätern kontrollierten Konto landet, buchen sie die Lastschrift ebenfalls zurück (Rücklastschrift). Der Händler kann dies ebenso wenig umkehren wie die Überweisung und hat nun einen Schaden in Höhe des Überweisungsbetrages.

Bei der Masche nutzen die Täter die Regeln für das Lastschriftverfahren aus: Kunden können eine Lastschrift ohne Angabe von Gründen acht Wochen lang bei ihrer Bank widerrufen; die Bank holt das Geld ohne weitere Nachfrage zurück. Der Händler muss eine berechtigte Forderung dann auf dem Rechtsweg geltend machen. Weder sein PSP noch seine Bank können den Inhaber des betrügerisch genutzten Kontos ermitteln; das dürfen nur Strafverfolgungsbehörden auf eine Anzeige hin. Da die Täter das Konto in diesem Fall jedoch unter falscher Flagge und dazu im EU-Ausland führen, kann man sie und das Geld kaum noch ausfindig machen.

Den Tätern hilft bei der Masche, dass viele Händler ihren Kunden mit einem Vertrauensvorschuss begegnen und ihnen bei Fehlern kulant entgegenkommen. Zudem sind in kleinen Onlineshops keine Zahlungsverkehrsexperten tätig. Generell stehen Händler beim Lastschriftverfahren nämlich vor einem Dilemma: Es ist bei deutschen Kunden als sichere Bezahlmethode sehr beliebt und für den Händler sehr preisgünstig. Durch die Möglichkeit der Rücklastschrift besteht aber ein erhöhtes Betrugsrisiko.

Experten raten daher, dass ein Händler Lastschriften mit hohem Volumen nicht an unbekannte Kunden zurücküberweisen sollte – auch nicht teilweise. Stattdessen teilt er dem Kunden per Mail mit, dass der Shop die Bestellung vollständig storniert habe. Der Kunde möge bitte selbst eine Rücklastschrift bei seiner Bank veranlassen. Um Schäden von vornherein zu begrenzen, kann der Händler mit seinem PSP außerdem eine Obergrenze für Lastschriften vereinbaren. Wenn der Zahlungsbetrag darüber liegt, bekommen Kunden an der Onlinekasse nur noch andere Zahlungsarten angeboten.

Im Regelfall kann ein Händler nämlich nicht hoffen, den Schaden aus einer betrügerischen Lastschrift vom PSP ersetzt zu bekommen. Normalerweise schließt er dies in seinen AGB aus, weshalb man auch von „nicht abgesicherten“ Lastschriften spricht. Einige PSP, etwa Ratepay und Klarna, bieten zwar sogenannte „abgesicherte“ Lastschriften an und übernehmen das Ausfallrisiko. Das lassen sie sich vom Händler aber mit höheren Entgelten bezahlen.

Auch die Wahl des PSPs spielt eine Rolle. Einige machen es den Tätern leichter als andere. Das beginnt bei der Aufklärung über Risiken bestimmter Zahlungsmethoden wie der SEPA-Lastschrift sowie Empfehlungen zum Ablauf von Rückerstattungen. Leitfäden für Händler sollten verständlich sein, der Support die eigene Sprache sprechen und mit den landestypischen Zahlungsmethoden vertraut sein – SEPA-Lastschrift ist zwar ein europäisches Verfahren, aber vor allem in Deutschland gebräuchlich. Auch eine automatische Betrugserkennung sowie konkrete Hilfestellungen in konkreten Rückerstattungsfällen sind hilfreich.

Ein c’t bekannter Fall betraf den irisch-amerikanischen Dienst Stripe: Obwohl der Händler einen Betrugsversuch erkannte, kam es zu einem Missverständnis, als er den Betrugserkennungs-Ratgeber konsultierte. Er überwies daraufhin die Lastschrift zurück und verlor sein Geld; der ohnehin nur englischsprachige Chat-Support von Stripe lehnte eine Erstattung unter Verweis auf die Nutzungsbedingungen ab.

1. Literatur
2. Markus Montz, Vom Bankentester zum Geldwäscher, Wie Cyberkriminelle arglose Jobsucher rekrutieren, c’t 3/2023, S. 126

Internetbetrüger nutzen oft Konten von Strohleuten, um Geld aus Vorkasse-Überweisungen zu waschen. Wir erklären, wie die Täter mithilfe ahnungsloser Opfer solche Konten eröffnen, welche finanziellen und strafrechtlichen Folgen drohen und wie man sich dagegen schützt.

Von Markus Montz

kompakt

• Internet-Betrüger ködern Arbeitssuchende auf Jobportalen und verleiten sie dazu, bei angeblichen Produkttests „Testkonten“ bei Banken wie N26 zu eröffnen.
• In Wahrheit handelt es sich um echte Girokonten, die auf den Namen der Opfer laufen, während die Täter damit Geld aus Betrugsgeschäften waschen.
• Handeln die Opfer nicht, droht ihnen eine Anklage wegen Geldwäsche und sie haften zivilrechtlich für die Schäden, die Dritten dadurch entstehen.

Die Anzeigen auf einigen Jobportalen klingen verlockend: einfacher Nebenjob von zu Hause, keine Vorkenntnisse und schnelle Einarbeitung. Es reichen ein Computer, ein Smartphone und eine stabile Internetverbindung. Doch was nach leicht verdientem Geld aussieht, entpuppt sich als böse Falle, wenn die zukünftigen Opfer im Auftrag angeblicher Marktforschungsagenturen Konten bei N26 und anderen Banken eröffnen sollen. Während sie selbst nie Zugriff auf diese Konten haben, verschieben die Täter damit Geld aus krummen Geschäften auf eBay Kleinanzeigen oder in Fake-Shops [1, 2] – bis im schlimmsten Fall die Polizei auf der Matte steht.

Eine Leserin von c’t ist auf den Trick hereingefallen. Sie hat aber nicht nur schnell und überlegt gehandelt und dadurch Schlimmeres verhindert, sondern uns den Fall auch minutiös geschildert. Anhand ihres Beispiels zeigen wir, wie raffiniert die Täter vorgehen, um ihre wahren Absichten zu verschleiern – und wie sie dabei die Unkenntnis selbst vorsichtiger Opfer ausnutzen. Wir erklären außerdem, an welchen Anzeichen man einen kriminellen Hintergrund erkennt und wie man Schaden abwendet, wenn man doch auf den Trick hereingefallen ist.

Unmoralische Angebote

Franziska E. suchte einen Minijob, den sie bequem von zu Hause erledigen konnte. Auf der Website der Jobbörse Indeed stieß sie auf ein passendes Angebot: Für die „Datenerhebung im Homeoffice“ bei Firma A. sollten Bewerber laut Stellenbeschreibung einfache Marktforschungstätigkeiten im Internet erledigen. Vorkenntnisse und eine lange Einweisung seien nicht erforderlich, man brauche lediglich einen Computer, ein Smartphone und eine Internetverbindung.

Zur Sicherheit googelte Franziska E. den Firmennamen und stieß auf ein norddeutsches Unternehmen, das mit SEO-Optimierung und Social-Media-Marketing warb. Das Impressum wirkte vollständig, die angegebene Adresse war auf Google Maps zu finden. Auf Franziska E. wirkte das seriös, also klickte sie auf „Schnellbewerbung“. Dabei füllen Nutzer auf Stellenbörsen wie Indeed einige Felder aus; die Börse leitet den Inhalt dann weiter.

Kurz darauf meldete sich ein angeblicher Vertreter von Firma A. per Mail und wollte unter anderem wissen, ob Franziska E. Facebook, Twitter, Instagram und N26 kenne. Die ersten drei Fragen bejahte sie, bei der Digitalbank N26 musste sie passen. Für die Firma schien das aber kein Problem zu sein: Franziska E. bekam umgehend einen ersten Probeauftrag, der bereits mit 50 Euro vergütet werden sollte. Der Arbeitsvertrag würde nach den ersten Einsätzen folgen. Anschließend einigte man sich auf einen ersten Arbeitstermin. Die Firma A. schickte Franziska E. einen Link zu einem Livechat auf der Firmenhomepage, bei dem sie sich zum vereinbarten Zeitpunkt melden sollte. Franziska E. stutzte zwar kurz, weil der Link zu einer anderen Homepage als der gegoogelten führte, hielt diese dann aber für eine Mitarbeiterseite.

Warnsignale

Die Masche ist in diesem frühen Stadium schwer zu erkennen. Ein Indiz ist aber das Schema der Stellenausschreibungen: Es handelt sich stets um „einfache“ Tätigkeiten, die keine Vorerfahrung erfordern und vollständig digital im Homeoffice stattfinden sollen. Bei Franziska E. hieß das Ganze „Homeoffice/Datenerhebung“, andere Beispiele sind „Kundendienstmitarbeiter/in“ oder „Financial Controller“. Meist geht es um Mini- oder Teilzeitjobs. Stutzig machen sollte außerdem, wenn das Unternehmen beim Arbeitnehmer ein Smartphone oder Tablet sowie eine funktionierende und stabile Internetverbindung voraussetzt.

Prüfen Sie daher stets die angegebene Homepage, so wie es auch Franziska E. tat. Beginnen Sie mit dem Impressum: Gewerbliche Internetauftritte müssen ihre Anschrift, Umsatzsteuer-ID und, je nach Unternehmensform, Handelsregisternummer vermerken. Letztere und die Anschrift gleichen Sie auf handelsregister.de ab (ct.de/y6cu). Betrüger setzen allerdings häufig Links zu seriösen Unternehmen oder kopieren Namen und Adressen von anderen Homepages. Auch eine professionell aussehende Fake-Homepage inklusive Livechat kann man mit Baukästen in wenigen Stunden zusammenklicken.

Googeln Sie zusätzlich den Unternehmensnamen und schauen Sie, ob es weitere Unternehmen mit ähnlichen Namen gibt: Betrüger arbeiten gerne mit leicht angepassten Bezeichnungen und URLs, die seriösen Angeboten ähneln. Manchmal ahmen sie sogar das Design der Homepage nach. Auch die Homepage selbst liefert mögliche Hinweise: Wollen die Unternehmensbeschreibung und die angebotene Tätigkeit nicht recht zueinander passen, seien Sie skeptisch.

Erkundigen Sie sich noch vor der Bewerbung beim Unternehmen nach Inhalten der Tätigkeit – mit einer Bewerbung fließen ja bereits Ihre persönlichen Daten. Fragen Sie bei allgemeinen Angaben wie „Marktforschung“, um welche Branchen es geht und ob das Unternehmen Referenzen besitzt. Ein seriöses Unternehmen antwortet sachlich und konkret, andernfalls brechen Sie den Kontakt ab.

Haben Sie einen vollständig online durchgeführten Bewerbungsprozess begonnen, sollten Sie alle unklaren Namen und Begriffe recherchieren. Geht es darum, Marktforschung oder Produkttests zu Finanzinstituten oder Identifikationsverfahren durchzuführen, brechen Sie ab. Abbrechen sollten Sie auch, wenn man im Bewerbungsverlauf eine Ausweiskopie von Ihnen haben will: So etwas ist auf keinen Fall seriös und kann Ihnen weitere Schwierigkeiten bringen [1].

Kommt ohne echtes Auswahlverfahren bereits eine Zusage, ist das ebenfalls kein gutes Zeichen. Manchmal versuchen die Betrüger, zusätzlich durch einen Arbeitsvertrag Vertrauen zu schaffen. Doch auch der kann gefälscht sein. Probeaufträge, bei denen der Arbeitsvertrag lediglich in Aussicht steht, sind noch verdächtiger. Ansonsten gilt dasselbe wie vor der Bewerbung: Gibt es Ungereimtheiten, Verdachtsmomente oder kommt Ihr Gegenüber erst nach der Zusage mit der eigentlichen Jobbeschreibung heraus, brechen Sie ab. Das gilt auch für Jobs, bei denen man Sie lediglich über Mail, Livechats oder Messenger wie WhatsApp begleiten will, aber ein telefonisch erreichbarer Ansprechpartner fehlt. Melden Sie solche Anzeigen bei der Jobbörse, damit sie diesen nachgeht.

Ein unseriöser Job

Wie vereinbart meldete sich Franziska E. pünktlich im Livechat an. Der Operator erklärte ihr nun erstmals ihre Aufgabe: Man teste „in erster Linie den Live-Support und Identifikationsservice von Banken“ in deren Auftrag. Dazu müsse sie sich mit den Zugangsdaten, die er ihr übermitteln würde, in der App einer Bank registrieren und „eine Videoverifikation durchführen“. Sie würde aber lediglich ein Testkonto eröffnen, das anschließend wieder gelöscht werde, log der Operator weiter.

Anschließend bat er Franziska E., die Daten aus der Bewerbung abzugleichen und eventuelle Zweitnamen entsprechend ihrem Personalausweis anzugeben. Den solle sie überdies bereithalten. Der Auftrag sei „bei der N26 Bank“, sie solle aber nichts von einem Job oder einer Marktforschung erwähnen, „da der Mitarbeiter sich so verhalten soll, als wären Sie ein echter Kunde“. Frage man sie nach dem Grund der Verifizierung, solle sie sagen, dass es sich um „ein Girokonto bei der N26 Bank“ handele. Während des Probeauftrags müsse sie im Livechat bleiben, wo man ihr wichtige Daten und Links zusenden würde. Außerdem solle sie sich Notizen zum Mitarbeiter, dem Ablauf und der Nutzerführung in der App machen.

Nachdem Franziska E. die N26-App installiert hatte, bekam sie vom Operator Zugangsdaten in Form einer Mailadresse, einer Handynummer und eines Passworts zugesandt, mit denen sie sich registrieren sollte. Diese Daten solle sie auf Nachfrage auch dem Mitarbeiter im Videochat mitteilen, so der Operator. Alle anderen Felder füllte Franziska E. mit ihren persönlichen Daten aus. Zum Abschluss sandte ihr der Operator den Link, mit dem sie die Mailadresse bestätigen sollte – wie von N26 vorgegeben auf demselben Gerät, auf dem sie sich registriert hatte.

Es folgte die eigentliche Kontoeröffnung: Als Kontotyp gab der Operator das kostenlose Business-Modell „Standard“ mit virtueller Karte vor, das nur auf Kundenwunsch eine Plastikkarte umfasst. Für den erneuten Login schickte der Operator Franziska E. über den Chat den erforderlichen „SMS Code“, der zuvor auf seinem Handy landete. Danach absolvierte sie das Video-Ident-Verfahren. Die per Mail versandte sechsstellige Bestätigungs-TAN zum Abschluss des Video-Idents bekam sie gleichfalls vom Operator des Livechats – außerdem gab er ihr den vierstelligen „Bestätigungscode“ vor, mit dem man Änderungen im Konto bestätigt.

Zum Abschluss sollte Franziska E. ihre Bewertung abgeben, anschließend informierte man sie über ihre Einstellung – und schlug gleich einen nächsten Termin für den Folgetag vor. Das Konto werde man im Übrigen nach spätestens 72 Stunden schließen. Nun wurde Franziska E. misstrauisch und bat um die Zugangsdaten, um selbst Hand anlegen zu können. Außerdem forderte sie den Operator auf, ihre persönlichen Daten zu löschen.

Straf- und zivilrechte Aspekte

Franziska E.s Bedenken waren berechtigt: Sie hatte den Tätern geholfen, ein echtes N26-Girokonto zu eröffnen. Obwohl es auf ihren Namen und ihre Identität lief, hatte sie keinen Zugriff auf das Konto – den besaßen nur die Täter, während sie nicht einmal die IBAN kannte. Geschickt hatten die Täter das Sicherheitsverfahren von N26 ausgetrickst, indem sie Franziska E. überall dort vorschickten, wo N26 Identitäten prüft.

Unser Rat ist daher derselbe wie im Bewerbungsprozess: Brechen Sie spätestens dann den Kontakt ab, wenn Sie bei einer vollkommen unbekannten Agentur Marktforschung oder einen Produkttest für eine Bank durchführen sollen. Das gilt umso mehr, wenn Sie dabei ein Konto eröffnen; insbesondere, aber nicht nur bei N26. Wir haben bereits von ähnlichen Versuchen bei anderen Banken gehört, auch solchen im EU-Ausland.

Stoppen Sie als Betroffener den Prozess nicht, können Sie sowohl straf- als auch zivilrechtlich belangt werden. Die Täter nutzen die Konten in aller Regel, um darüber Geld aus Betrugsgeschäften zu waschen. Im einfachsten Fall eröffnen oder kapern sie Nutzerkonten auf eBay Kleinanzeigen, stellen dort Verkaufsangebote ein und verleiten Interessenten dazu, ihnen Geld auf das für die Betrüger eröffnete Konto zu überweisen.

Während diese Interessenten nie die Ware bekommen, überweisen die Täter das Geld auf Konten im Ausland weiter. Fliegt der Schwindel auf, wenden sich die Strafverfolgungsbehörden zunächst unter dem Verdacht der Geldwäsche an den Kontoinhaber. Damit nicht genug, können die Opfer zivilrechtliche Ansprüche gegen ihn geltend machen. Dabei geht es schnell um viele tausend Euro [1].

Schwachstelle N26

N26 ist im Vergleich zu anderen deutschen Banken – auch anderen Digital- sowie Direktbanken – relativ häufig von Identitätsmissbrauch betroffen. Aus Sicht vieler Experten haben die internen Strukturen der Bank zur Abwehr krimineller Aktivität nicht Schritt mit dem Kundenwachstum gehalten. Das Bundesamt für Finanzdienstleistungsaufsicht (Bafin) hat die Bank daher im Mai 2019 erstmals öffentlich wegen Mängeln in der Prävention von Geldwäsche und Terrorismusfinanzierung gerügt und mit einer Geldbuße belegt. Zwei Jahre später bekam N26 zur Kontrolle zusätzlich einen Sonderbeauftragten der Bafin ins Haus geschickt, seit November 2021 darf die Bank maximal 50.000 Neukunden im Monat aufnehmen.

c’t hat N26 nach einer direkten Kontaktmöglichkeit für Opfer der Masche gefragt. N26 antwortete, dass man sich in solchen Fällen „grundsätzlich zunächst an die Strafverfolgungsbehörden wenden“ solle; N26 kooperiere dann mit diesen. Gleichzeitig nehme man Meldungen von potenziell betrügerischen Konten „außerordentlich ernst“ und folge dabei strengen regulatorischen Vorgaben. Außerdem überarbeite man „im Austausch mit den Behörden laufend [die] Prozesse zur Bearbeitung von Hinweisen Dritter“ und behandle Hinweise auf potenzielle Betrugsfälle „mit hoher Priorität“. Gemessen an den wenig hilfreichen und unstrukturiert wirkenden Reaktionen, die Franziska E. auf ihre Kontaktversuche erhielt, scheint N26 die Überarbeitung allerdings noch nicht gänzlich abgeschlossen zu haben.

Schadensbegrenzung

Franziska E. wandte sich direkt an N26, um Schlimmeres zu verhindern. Dort stand ihr aber lediglich ein Livechat zur Verfügung. Ob es bei N26 ein Konto auf ihren Namen und ihre Anschrift gebe, wollte sie dort wissen; sie sei Opfer eines Identitätsdiebstahls geworden. Mitarbeiter „S.“ riet ihr knapp, sich an die Polizei zu wenden. Erst als Franziska E. im zweiten Anlauf konkret darauf hinwies, dass mit ihrer Identität und einer fiktiven Mailadresse ein Girokonto eröffnet worden sei, bat Mitarbeiter „V.“ sie um eben jene Mailadresse. Weitere Auskünfte bekam sie nicht.

Bei der Polizei ihres Wohnortes ließ man Franziska E. auf Nachfrage zunächst wissen, dass man nichts machen könne, solange ihr kein Schaden entstanden sei. Daraufhin wandte sie sich an heise online und c’t. Auf unseren Rat hin fuhr Franziska E. unverzüglich zur nächsten Polizeiwache und erstattete wegen des Identitätsdiebstahls und -missbrauchs Anzeige. Fünf Tage darauf beschwerten sich die Täter in einer letzten Mail, dass sie entgegen der „Richtlinien“ Kontakt zur Bank aufgenommen habe – und bestätigten damit indirekt, dass N26 das Konto geschlossen hatte.

Haben Sie festgestellt, dass Sie selbst oder jemand anderes Opfer dieser Masche geworden sein könnte, handeln Sie schnell. Andernfalls drohen besagte straf- und zivilrechtliche Konsequenzen. Sichern Sie alle Daten wie Telefonnummern und Mailadressen sowie alle Chatverläufe und Mails. Machen Sie Screenshots von Stellenanzeigen, Homepages und Livechats. Mit diesem Material bringen Sie den Identitätsdiebstahl zur Anzeige.

Sie haben das Recht auf eine Anzeige, und zwar auch dann, wenn ein materieller Schaden noch nicht eingetreten ist. Die Behörden veranlassen dann, dass die Bank das Konto schließt. Sie müssen nicht einmal eine Polizeidienststelle aufsuchen, sondern können die Onlinewache Ihres Bundeslandes nutzen; Ihre Rechte können Sie in der sogenannten „Opferfibel“ nachlesen (Links unter ct.de/y6cu). Ab dem Zeitpunkt der Anzeige sind sie vor Ansprüchen dritter Geschädigter sowie Strafverfolgung weitgehend geschützt.

Geben Sie zu Protokoll, dass Sie über den Ausgang des Verfahrens informiert werden möchten, und stellen Sie außerdem Strafantrag. Normalerweise bietet die Polizei Ihnen beides an. Sie können dies aber noch bis zu drei Monate nach der Anzeige tun. Zum einen informieren Sie Polizei und Staatsanwaltschaft dann über den weiteren Verlauf und Abschluss des Verfahrens. Zum anderen kann ein Rechtsanwalt über den Strafantrag optional Akteneinsicht verlangen.

Zusätzlich sollten Sie Mailadressen beim Mailprovider (beispielsweise Hotmail) und die Stellenanzeige bei der Jobbörse melden. Sie können außerdem versuchen, über eine WhoIs-Abfrage (bei DE-Homepages über die Denic, ct.de/y6cu) den Nameserver/Provider einer Website herauszufinden und sie diesem anzuzeigen. Auch wenn die Täter wahrscheinlich schnell eine neue Homepage und Stellenanzeige online haben, kann man ihnen so zumindest ein paar Steine in den Weg legen. (mon@ct.de)

1. Literatur
2. Markus Montz, Perfektes Schauspiel, Wie Betrüger mit Fakt und Fiktion Gebrauchtkäufer abzocken, c’t 21/2022, S. 132
3. Nick Akinci, Niemals ausgeliefert, Fake-Shops erkennen und vermeiden, c’t 2/2023, S. 150

Handelsregister, Onlinewache, Opferfibel: ct.de/y6cu