Rosenheim/Passau – Ein paar veränderte Zahlen – und ein Schaden in sechsstelliger Höhe. Das ist einer Firma aus dem Landkreis Rosenheim geschehen. Ein Unternehmen aus dem Landkreis Passau hatte eine Rechnung per Mail an den Rosenheimer Betrieb geschickt, wie das Polizeipräsidium Niederbayern mitteilt. „Nach bisherigem Stand der Ermittlungen ist davon auszugehen, dass Unbekannte beim E-Mail-Versand die Rechnung „abgefangen“ und in der Folge die Bankverbindung auf der Rechnung abgeändert haben“, heißt es in der Mitteilung des Präsidiums. Das Geld ging also nicht an den eigentlichen Empfänger, sondern an einen Betrüger.
Die Folge: Zwei Geschädigte und ein massiver Verlust. Doch diese Masche ist nicht komplett neu, wie Andreas Nörr, Fachanwalt für IT-Recht in Rosenheim, erklärt. Vor etwa drei bis vier Jahren hat er sich mit den ersten Fällen dieser Art beschäftigt. Aktuell seien sie allerdings „sehr häufig“, wie er im OVB-Gespräch erklärt. Er berichtet von drei verschiedenen Angriffsszenarien bei Attacken dieser Art. „Bei Szenario eins wird das Ganze auf dem Transportweg abgefangen. Also über den E-Mail-Verkehr“, sagt er. So wie es bei den beiden Firmen aus Passau und Rosenheim der Fall war.
Beim zweiten System wird Nörr zufolge das System des Rechnungsversenders angegriffen. „Ein Beispiel: Ein Autohaus wird angegriffen, die Täter holen sich aus dem System die Akte zum Fahrzeugkauf und schicken eine gefälschte Rechnung an den Kunden”, erklärt Nörr. „Und die dritte Variante, die auch ich schon bei einem Mandanten erlebt habe: Dabei wurde im E-Mail-Postfach des Kunden eine bestehende Rechnung ausgetauscht.”
Es ist eine perfide Methode, die die Täter nutzen, um hohe Geldbeträge abzugreifen. „Das wirkt unglaublich echt”, sagt Nörr. Hellhörig sollten Menschen dann werden, wenn das Geld plötzlich auf ein Konto ins Ausland überwiesen werden soll. Ist das nicht der Fall, können Gerichte im Zweifel sogar ein gewisses Mitverschulden annehmen. „Die Fälle sind allerdings rechtlich noch nicht abschließend geklärt, da sie relativ neu sind. Es gibt momentan zwei wichtige Oberlandesgericht-Entscheidungen, mehr noch nicht”, betont Nörr.
Sollte man Opfer eines solchen Betrugs geworden sein, würde er beiden Parteien raten, eine Anzeige gegen unbekannt zu stellen. Allerdings sei es besonders bei ausländischen Banken „enorm schwierig, das Ganze nachzuverfolgen“, sagt Nörr. Heißt: Oftmals ist das Geld einfach weg – und die Forderung nach der Bezahlung steht weiterhin im Raum. „Manchmal einigen sich die beteiligten Parteien. Es gibt aber auch viele Fälle, in denen der Forderungsinhaber sagt, er könne nichts dafür, dass falsch überwiesen wurde, und verlangt den kompletten Betrag noch einmal”, erklärt Nörr. Dann müsse der Überweisende im schlimmsten Fall zweimal die geforderte Summe bezahlen.
„Wer letztlich die zivilrechtliche Verantwortung trägt, ist dann aufwendig in einem Gerichtsverfahren festzustellen, bei dem es sehr auf den technischen Sachverhalt ankommt”, macht Nörr deutlich. Also: Wo war die Ursache, dass der Hacker an die Daten kam und war es für den Überweisenden erkennbar, dass es eine gefälschte Rechnung war? „Der Unterschied zu normalen Fake-Rechnungen wie man sie bisher kannte, ist ja, dass die Forderung tatsächlich besteht und die Rechnungen echte Daten aufweisen“, sagt der Anwalt.
Daher raten sowohl Nörr, als auch die Polizei zu mehr Vorsicht bei Transaktionen dieser Art. „Ich empfehle, besonders die E-Mail-Postfächer immer mit einer Zwei-Faktor-Authentifizierung abzusichern und ein sicheres Passwort zu verwenden, das man auch nur für dieses E-Mail-Postfach verwendet und bei keinem anderen Dienst“, sagt Nörr. Zudem könnten Rechnungsversender die Rechnungen noch zusätzlich sichern. „Eine E-Mail-Verschlüsselung in Form einer Ende-zu-Ende-Verschlüsselung ist eine Möglichkeit und qualifizierte elektronische Signaturen, mit denen die PDFs unterschrieben werden.“ Die Polizei rät außerdem dazu, auch Mitarbeiter hinsichtlich dieser Betrugsart zu sensibilisieren und Zahlungsaufforderungen noch einmal verifizieren zu lassen.
Patricia Huber