In NRW gab es einen ebenso professionell wie gross angelegten Online-Betrug mit der Corona-Soforthilfe. Auch hier gilt leider wieder, dass die Not-Situation vieler auch immer gleich Betrüger anzieht, wie die Notdurft die Schmeissfliegen. Das Ergebnis ist ein derzeit gestopptes Corona-Soforthilfeprogramm in NRW. Das Ganze dürfte erhebliche strafrechtliche Breitenwirkung haben.
Denn, das sage ich direkt zu Beginn: Für jedes Betroffene Unternehmen – um die 5.000 sollen betroffen sein – zeichnet sich hier schon jetzt ab, dass man auf Jahre mit hochprofessionellen Angriffen rechnen muss – die abgefangenen Daten sind insoweit ein Einfallstor von der Größe eines Scheunentores.
Das Vorgehen der Betrüger
Man muss einen erheblichen Aufwand betrieben haben: Durch täuschend echt aussehende Formulare im Stile des Soforthilfe-Programms des Landes NRW wurden Betriebe dazu verleitet, die für die Soforthilfe-Gewährung notwendigen Daten einzugeben. Dabei war wohl auch ein Timer Teil des Systems, der von 15 Minuten ausgehend herabzählte und damit zusätzlichen zeitlichen Druck erzeugte – mit dem Ergebnis, dass viele Betroffene gar nicht genau geprüft haben werden, was das nun für ein Formular war.
Wie KSTA berichtet wurde eine .de-Domain verwendet, wie die Domain verbreitet wurde ist dabei so klar bisher nicht. In meinem „SPAM-Honeypot“ (dreistelliger Schrott-Maileingang an normalen Tagen) habe ich keine zugehörigen Mails gefunden, insbesondere interessante wäre auch, ob eine Google-Positionierung erzielt werden konnte. Auch das LKA NRW berichtet eher zurückhaltend, so dass man bestenfalls mutmaßen könnte.
Das Vorgehen war dabei im Ergebnis simpel, im Aufwand aber massiv: Über gefälschte Formulare hat man alle Daten der Unternehmer abgefragt, inkl. Steuerdaten und Bankdaten. Sodann wurden beim echten Soforthilfe-Formular diese Daten eingegeben, als wäre es ein echter Antrag. Nur die Bankverbindung wird man ausgetauscht haben. Da nach meiner Kenntnis Auszahlungen nur an deutsche Konten erfolgen, wird man hier gleichwohl deutsche Konten verwendet haben, somit die Kontoinhaber identifizierbar sein. Warum das bei Ermittlungen nur wenig hilft führe ich weiter unten aus.
Massiver Schaden
Der Schaden ist massiv, nicht nur, weil nun die dringend benötigten Soforthilfen eben nicht mehr „sofort“ kommen – wer bisher gewartet hat, trifft nun sogar auf ein stillgelegtes Formular.
Ich selber bin eher skeptisch, ob das Abschalten des Formulars hilft oder eher schadet, meine Sorge wäre, dass verzweifelte Klein-Unternehmer dann erst recht versuchen, ob es irgendwo Alternativen gibt. Schon hier droht weiterer Schaden.
Doch abgesehen davon, dass das Land NRW angekündigt hat, dass die Auszahlungen auf die bisher vorliegenden Anträge ebenso gestoppt sind und nun erst einmal genauer geprüft werden droht auch im weiteren ganz massiver weiterer Schaden:
Denn das gefälschte Formular der Corona-Soforthilfen stellt sich nun einmal so dar, dass hier Daten abgefragt wurden, die für Angreifer sprichwörtlich Gold wert sind – insbesondere die Steuernummer und die internen Kommunikationsdaten laden geradezu dazu ein, dass man Wellenartig nun die Unternehmen in äusserst persönlichen Mail- und Telefon-Angriffen adressiert. Jedes betroffene Unternehmen sollte daher dringend und sofort einen Plan entwickeln, wie man die nächsten Jahre (!) mit diesem Szenario umgehen möchte. Insbesondere drängen sich Phishing-Szenarien mit dem Ziel eines CEO-Frauds geradezu auf. Ab sofort gilt für diese Unternehmen, dass zielgerichtete Cyberangriffe kein theoretisches sondern ein zu erwartendes Risiko sind!
Wo geht das Geld hin?
Natürlich werden viele Laien daran denken, dass man bei einer deutschen Bankverbindung doch RatzFatz die Übeltäter erwischt – dem ist leider nicht so. Denn hier kommen die so genannten „Finanzagenten“ ins Spiel. Das sind teilweise böswillige, teilweise auch einfach dumm-naive Menschen, die ihr Konto zur Verfügung stellen. Warum? Nun, kennen Sie diese Mails von nigerianischen Erblassern oder sonstigen Glücksrittern, die Sie angeblich auserkoren haben, ihr Geld in Empfang zu nehmen? So wirbt man FInanzangenten an und ja, es gibt Menschen, die Glauben so etwas wie das hier wirklich:
Ich kenne sogar bis heute verbreitete Anzeigen in Zeitungen, mit denen Menschen angeworben werden. Und am Ende geht es immer nur um eins: Ihre Bankverbindung und Ihre Mitarbeit. Sie sollen Geld in Empfang nehmen und weiterleiten, mal überweisen Sie an den nächsten Dummen, mal sollen Sie abheben und dann – etwa per Western Union – ins Ausland überweisen. Egal was Sie konkret als ein solcher Finanzagent tun: Sie werden damit zum so genannten „Finanzagenten“. Und das ist strafbar, selbst wenn Sie wirklich so blöd und gutgläubig wären (was Ihnen eh kein Richter mehr glauben wird) – dadurch dass Sie das Konto für Dritte und deren Zwecke nutzen bei den geschilderten Umständen sind Sie immer im Bereich der leichtfertigen Geldwäsche. Das bringt eine zumindest dicke Geldstrafe. Und das, was Ihnen zugeflossen ist (einen sehr, sehr kleinen Teil des Geldes dürfen Sie behalten) wird Ihnen der Staat hinterher im Zuge der „Einziehung“ wegnehmen. Auch wenn es längst verlebt ist.
Insoweit rechne ich am Ende zwar mit einer Vielzahl von Strafverfahren – allesamt aber nur gegen Finanzagenten und eben nicht gegen die Hinterleute, die das Geld am Ende haben.
Die Auswirkungen können massiv sein – in einem meiner grösseren Verfahren geht es um einen Finanzagenten, der hohe vier-fünfstellige Summen weitergeleitet hat. Nach der ersten Instanz gab es fast 3 Jahre Freiheitsstrafe, allerdings wurde die Entscheidung vom Bundesgerichtshof nach meiner Revision aufgehoben und es wird erneut verhandelt werden. Dies dürfte mit einer meiner grössten Finanzagenten-Fälle sein, im Regelfall bemerke ich bei leichtfertiger Geldwäsche, klassisch etwa nach eBay-Betrügereien, lediglich Geldstrafen.
Jens Ferner
Strafverteidiger & Fachanwalt für IT-RechtWas sollen betroffene Unternehmen tun?
Sofort reagieren. Wenn Sie zwar einen Bescheid aber noch kein Geld haben: Sofort Kontakt aufnehmen zu den Behörden, es hilft ja sonst nix. Kontrollieren Sie auch den Bescheid den Sie haben, dort steht ja die IBAN – wenn dies nicht Ihre IBAN ist, müssen Sie zwingend sofort reagieren.
Weiterhin rate ich nochmals dringend dazu, als betroffenes Unternehmen sofort das Thema IT-Sicherheit auf die Agenda zu nehmen. Es ist aus meiner Sicht nur eine Frage der Zeit, bis erste Mails oder Anrufe unter Verwendung der von Ihnen offenbarten Daten erfolgen. Insbesondere wenn Sie Mitarbeiter haben die Korrespondenz erledigen müssen Sie diese schulen und Regeln für die Kommunikation erarbeiten, insbesondere darf auf keinen Fall arglos irgendwie mit Geld hantiert werden. Wobei mein Alltag zeigt, dass es gerade keine Binsenweisheit ist, wenn ich das so schreibe: Immer noch allzuoft werden arglos per Mail Rechnungen verschickt, selbst bei hohen Summen. Bitte bereiten Sie sich JETZT vor.
Und nochmals, die eindringliche Warnung: Prüfen Sie sofort, ob Sie wirklich Anspruchsberechtigt sind. Spätestens mit diesem Vorfall jetzt steht für mich fest, dass nächstes Jahr auch wirklich jede gewährte Subvention genau geprüft werden wird; und wer dann im Nachhinein doch nicht Anspruchsberechtigt war – etwa weil man eben nicht wegen der Corona-Krise finanziell in Schieflage geraten ist – der findet sich schnell dem Vorwurf des Subventionsbetruges ausgesetzt.
- FBI legt Kryptobetrüger mit gefälschtem Token herein: „Operation Token Mirrors“ - 15. Oktober 2024
- Agent Provocateur - 15. Oktober 2024
- Kündigungsbutton: Anforderungen an die Gestaltung des Kündigungsprozesses bei online abgeschlossenen Verträgen - 13. Oktober 2024