Cyberkriminelle haben eine sehr raffinierte Methode entwickelt, um Unternehmen und Einzelpersonen zu täuschen: Sie hacken E-MailKonten, mischen sich in laufende Konversationen ein und versenden gefälschte Rechnungen mit neuen Bankverbindungen, um Geld abzuziehen. So geschehen im Kreis Pinneberg.
Bauern im norddeutschen Raum sollten bei der Online-Überweisung größerer Summen genauer auf die Rechnungen schauen. Diesen Ratschlag gibt ein Landwirt aus dem Kreis Pinneberg, der in der vergangenen Woche Opfer eines perfiden Betrugs geworden ist. Der Geschädigte ist Betreiber eines größeren Milchviehbetriebes und möchte anonym bleiben. Sein Name ist der Redation aber bekannt. Los geht die Geschichte, als der Betroffene bei einem Hersteller einen Güllewagen mit Scheibenegge und Gestänge bestellt. Die Egge und das Gestänge werden bei einem externen Hersteller bestellt und an den Güllewagen-Produzenten geliefert. Dieser Hersteller schickt dem Milchviehhalter nach Eingang der Güllewagen-Komponenten wie vereinbart die Rechnung. Mit der Summe von 43.000 € sollte der externe Hersteller bezahlt werden.
„Alles war ganz normal, die Rechnung wurde als PDFDatei versendet, das Geld habe ich dann online überwiesen“, erzählt der Landwirt. Rund eine Woche nach der Überweisung fällt der Milchviehhalter dann aus allen Wolken: Der Hersteller des Güllewagens ruft an – und fragt, wann denn die vereinbarte Kaufsumme komme. Der Landwirt schickt daraufhin per Mail eine Kopie der Überweisung an den Hersteller. Dieser antwortet, dass die Kontodaten auf der Überweisungskopie falsch seien. Der Betroffene schaltet dann eine IT-Firma ein, über eine Fernwartung untersuchen die Computerspezialisten die Rechnersysteme des Landwirts. Ergebnis: Die Computer des Landwirts sind sauber – und nicht von Viren oder Schadsoftware befallen. „Ich achte selbst auf Sicherheit und habe AntivirusSoftware auf den Systemen zu laufen“, erklärt der Landwirt. Während der Computerprüfung äußert der Chef der IT-Firma den Verdacht, dass die Täter das E-Mail-Passwort geknackt haben könnten, obwohl der Geschädigte dafür eine Kombination aus Klein- und Großbuchstaben verwendet.
Die IT-Experten gehen davon aus, dass die Täter mit dem erbeuteten Passwort in den Server des E-Mail-Anbieters eingedrungen sind. Dort lauerten sie auf Beute – und fingen die Rechnung des Güllewagen-Herstellers ab, änderten darin die Kontodaten und schickten die Rechnung an den Empfänger. Die 43.000 € flossen per Online-Banking auf ein Konto einer bekannten deutschen Bank. Der Landwirt vermutet als Besitzer einen mittellosen Menschen. „Das Geld ist sicherlich zu den eigentlichen Tätern weitertransferiert worden, bei dem Kontobesitzer ist bestimmt nichts mehr zu holen.“
Eine Versicherung gibt es nicht, das Geld hat er abgeschrieben. Ob es Unterstützung von der Polizei gab? Der Betroffene winkt ab: „Eine Dreiviertelstunde musste ich auf der Polizeistation warten, bis endlich ein Beamter die Anzeige aufnahm.“ Die Kaufsumme hat er inzwischen erneut überwiesen, dieses Mal an die korrekten Kontodaten. Mittlerweile hat er von einem zweiten Betrugsfall im Kreis Pinneberg gehört. Wieder hat es einen Landwirt getroffen, wieder wurde das E-Mail-Passwort erbeutet. Der Verlust der 43.000 € ärgert ihn sehr, die Berufskollegen ruft er deshalb zu mehr Vorsicht auf. „Der entscheidende Punkt sind die Kontodaten. Wenn sich die Kontoverbindung ändert, immer telefonisch nachfragen, ob das der Wahrheit entspricht.“ Sven Tietgen
„Payment Diversion Fraud“ – Schuldner ist bei Zahlungsbetrug zahlungspflichtig
Nach einem Urteil des OLG Karlsruhe vom 27. Juli dieses Jahres sind Schuldner allein für die Sicherstellung einer geschuldeten Zahlung gegenüber dem Gläubiger verantwortlich. In dem dort verhandelten Fall wurde die Kaufsumme für einen Gebrauchtwagen vom Käufer auf ein falsches Konto überwiesen, nachdem der E-Mail-Verkehr zwischen Verkäufer und Käufer gehackt wurde. Dem Käufer wurde dadurch glaubhaft vorgetäuscht, dass sich die Bankverbindung des Verkäufers geändert habe (Payment Diversion Fraud).
Der Käufer hat den Betrag arglos auf das falsche Konto überwiesen, ohne sich die Änderung nochmals telefonisch bestätigen zu lassen. Da Banken bisher nicht verpflichtet waren, die Bankverbindung mit dem Kontoinhaber abzugleichen, liegt die Verifizierung der Zahlungsinformationen allein beim Schuldner. Der Käufer kann sich also gegenüber dem Gläubiger nicht darauf zurückziehen, dass der E-Mail-Account des Verkäufers gehackt wurde, weswegen ihm (dem Käufer) eine falsche Bankverbindung zugespielt worden sei. Laut OLG bestehen für den Rechnungsversender keine gesetzlichen Vorgaben für Sicherheitsmaßnahmen beim Versand von geschäftlichen E-Mails. Im Rahmen der EU-Instant-Payment-Verordnung sind Banken allerdings ab dem 9. Oktober 2025 bei jeder Überweisung zur Prüfung verpflichtet, ob die IBAN des Zahlungsempfängers zu dem Namen des angeblichen Zahlungsempfängers passt (sogenannter IBAN-Name-Check). Über eventuell auftretende Unstimmigkeiten muss der Auftraggeber informiert werden, sodass er von einer Zahlung (Überweisung) Abstand nehmen oder sie auf eigenes Risiko freigeben kann. Diesen Service müssen Banken kostenfrei anbieten, und zwar auf allen Kanälen, auf denen Überweisungen vorgenommen werden können. Je nach Vertragskonstellation und Versicherungsunternehmen können solche Schäden (Payment Diversion Fraud oder Fake President Trick) über eine CyberVersicherung (Baustein Vertrauensschadenversicherung) oder durch eine Versicherung gegen Internet- und Wirtschaftskriminalität gedeckt werden. Unternehmer sollten sich die Mitversicherung der gewünschten Delikte von ihrem Versicherer bestätigen lassen. Ein Leistungsanspruch besteht, sofern die Obliegenheiten zur Verhinderung eines Schadens vom Versicherungsnehmer beachtet wurden. Wolf Dieter Krezdorn, BVSH
