Beiträge

Scam – Betrug durch E-Mails

Scam ist eine besonders gefährliche Art, auf räuberische Art und Weise per E-Mail an Geld zu gelangen. Täter sind in seltenen Fällen Mail-Bots. Meistens hat man es bei Scammern mit echten Menschen zu tun, die der eigenen Sprache mächtig sind. In ihren E-Mails laden sie zu vermeintlich einfachen Tätigkeiten ein, die für sich genommen nachvollziehbar sein können und in der Konsequenz das Opfer nachhaltig schädigen. Perfide, denn nur sehr wenige Sicherheitsmechanismen können die gut getarnten E-Mails als gefährlich einstufen und den Empfänger warnen.

Anweisungen der Geschäftsleitung ist Folge zu leisten

… dachte sich auch an dem Tag Manfred*, als er die E-Mail von Jürgen* las.
(* Namen geändert)

SCAM MailsManfred vertraut schon seit über 25 Jahren seinem Chef Jürgen, der das mittelständische Produktionsunternehmen bereits in der dritten Generation führt. Vertrauen ist wichtig zwischen den beiden – Manfred ist Prokurist bei der Denkmal Metall GmbH & Co. KG*. Gemeinsam mit Horst, einem Finanzbuchhalter, verwaltet er die Mittel der Firma und gestaltet die Buchhaltung.

So ist es nicht verwunderlich, als er von Manfred um 11:05 Uhr eine E-Mail bekommt. Wie so oft ist Manfred kurz angebunden, was man ihm nicht persönlich nehmen muss. In der Branche ist der Ton rau, und bei einer schnellen Mail (offensichtlich vom Mobilgerät) spart man sich Zeit und Umgangsformen:

Guten Tag, Manfred, bin im Meeting. Haben wir auf unserem KK gerade 108t EUR frei? JD

Ein Blick ins Onlinebanking und nur vier Minuten später antwortet der verlässliche Prokurist seinem vermeintlichen Geschäftsführer.

Hallo Jürgen, ja, wir haben im Moment auf dem Kontokorrent ca. 170′ verfügbar. Darf ich fragen, weshalb? Liebe Grüße Manfred

Die Antwort kommt prompt.

Bitte überweis genau 107.640 EUR auf folgende IBAN: DE12 1234 1234 1234 1234 88. Ich bin bei der Hans Dampf KG* und muss etwas gerade ziehen. Die Rechnung gebe ich dir später!

Nur ein Zufall verhindert Schlimmeres

Allein aus Zeitgründen bleibt das Unternehmen verschont: Manfred geht heute ins Nebenbüro und beauftragt einen weiteren Buchhalter, die Überweisung durchzuführen. Dem Kollegen kommt die untypische Aufforderung seltsam vor. Er betrachtet die Mail von Jürgen genauer und ruft uns an: Er hat den versuchten Betrug entdeckt und unterlässt die Überweisung.

Wie man Scam entlarvt

  1. Seien Sie wachsam. Prüfen Sie genau die Absendeadresse der E-Mail, nicht bloß den Namen des Absenders. Auch, wenn der Absender in unserem Beispiel „Jürgen Müller“ heißt, gibt ein einfacher Unterschied in der Schreibweise der E-Mailadresse die Abweichung preis. Hier lautet der Name immer gleich, dennoch stellen sie zu unterschiedlichen Adressaten zu.
    1. Jürgen Müller <j.mueller@firma.de>
    2. Jürgen Müller <j.mueller@firma.email.to>
    3. Jürgen Müller <j.mueller.firma.de@gmail.com>
  2. Prüfen Sie mit alternativen Wegen: Wenn Ihnen eine E-Mail eines vermeintlich Bekannten seltsam vorkommt, rufen Sie ihn/sie doch an! Im Beispiel hätte Manfred einen Rückruf von Jürgen verlangen können. Seine Stimme ist ihm bekannt, er hätte hier die Bestätigung erhalten müssen – spätestens hierbei wäre der Schwindel aufgeflogen.
  3. Sichern Sie kritische Prozesse mit dem Sechs-Augen-Prinzip ab. In unserer Geschichte konnte der zweite Buchhalter das Schlimmste verhindern.
  4. Bitten Sie Ihren Administrator um Hilfe. Er kann Ihnen mithilfe eines geschulten Blicks die Herkunft einer E-Mail bestätigen bzw. aufklären.

Eine Anmerkung

  1. Der Fall ist echt und traf Anfang des Jahres einen unserer Kunden.
  2. Der E-Mailverkehr ist so passiert – zwischen einem professionellen Scammer und einem leitenden, überweisungsberechtigten Angestellten. Sogar der Betrag stimmt.
  3. Wie auch in der Geschichte ging dieser Fall glimpflich aus und konnte mit einem Aufklärungsgespräch mit der Belegschaft freundschaftlich geklärt werden.
  4. Fälle wie dieser können wirklich jedem passieren.

Gut zu wissen: Unsere Kunden rufen in dem Fall den IT-Support an. Wir begutachten im Zweifelsfall die E-Mail und können prüfen, ob es sich um eine echte Nachricht handelt, oder ob ein professioneller Scammer dahintersteckt.

Die DSGVO tritt am 25. Mai 2018 in Kraft

Die Datenschutzgrundverordnung (DSGVO) ist bereits am 14. April 2016 beschlossen worden und tritt Ende Mai diesen Jahres in Kraft. Damit löst die europaweit geltende Verordnung die Datenschutzrichtlinie aus dem Jahr 1995 ab – was aufgrund der technischen Veränderungen dringend notwendig ist.

DSGVO - Die neue Datenschutzgrundverordnung

DSGVO – Die neue Datenschutzgrundverordnung

In eigener Sache: Ich bin weder Jurist noch Datenschutzbeauftragter. Demnach darf dieser Artikel nicht als Rechtsberatung oder Vorgabe verstanden werden. Allerdings bediene ich mich als freier Berater in Sachen IT-Sicherheit an meinem Kontakt-Netzwerk und konsultiere in Detailfragen unsere Anwälte und externen Datenschutzbeauftragten. Mein Fachwissen über die gängigen Entwicklungen in der IT-Sicherheit befähigen mich dazu, Aussagen über die Werbeversprechen der Softwarehersteller zu treffen. In der Diskussion um die Datenschutzgrundverordnung ergibt sich für mich eine Schere: einerseits unterschätzen viele Unternehmen die Wichtigkeit des Datenschutzes, so dass es dringend Not tut, per Gesetz Personendaten zu schützen. Andererseits verspricht die Marketingmaschine der Software- und Hardwareprodukte in der IT-Sicherheit das Blaue vom Himmel und vermittelt den Eindruck, dass mit Erwerb der Lösung der Firma XY plötzlich alles gut wird.

So habe ich er mir in diesem Beitrag zur Aufgabe gemacht, den Mythos DSGVO einmal für mich zu entzaubern. Ich verfolge für meine Mandanten und unser eigenes Unternehmen die Frage, wieviel Datenschutz wirklich grundverordnet ist und stelle dem gegenüber, welche Maßnahmen im Bereich IT-Sicherheit meiner Meinung nach sinnvoll in der Umsetzung der DSGVO sind. Deshalb habe ich mir das Datenschutzrecht (DatSchR) in der 9. Auflage 2017 in der gebundenen Ausgabe gekauft und informiere mich – mit Hinblick auf die IT-Sicherheit in der gängigen Praxis für den Deutschen Mittelstand.

Die meisten der namhaften Hersteller von Produkten aus der IT-Sicherheit haben sich inzwischen die DSGVO auf die Fahne geschrieben und verkaufen ihre Produkte als „DSGVO-geprüft“, „GDPR-compliant“ oder wie auch immer. Ich finde an immer mehr Stellen im Internet kostenfreie DSGVO-Checklisten, die mit vermeintlich einfachen Fragen in der Produktpalette des Herstellers enden.

Namensgebung: EU-DSGVO / DSGVO / DS-GVO / GDPR?

Die verschiedenen Abkürzungen besagen dasselbe. Die Datenschutzgrundverordnung (DSGVO) ist keine bundesweite, sondern eine europäische Richtlinie. Die allgemeine, englische Bezeichnung lautet GDPR oder EU-GDPR (General Data Protection Regulation).