Betrug im Internet

Martin Oslizlo ist ehemaliger Polizeibeamter und leitet die Abteilung Anti Fraud Management im Compliance-Bereich bei ERGO. Im Interview erklärt er, welche Betrugsmethoden im Netz gerade angesagt sind – und wie man sich schützen kann.

Herr Oslizlo, welche Betrugsmethoden im Internet sind gerade besonders angesagt?

Es sind immer noch die „Klassiker“. Sie bestellen im Internet Ware, leisten eine Vorauszahlung und die Ware kommt nicht. Oder Sie liefern die Ware und die Bezahlung kommt nicht. Das Netz ist voll mit entsprechenden Lockangeboten und viele Nutzer fallen leider immer noch darauf rein. Ziemlich bekannt ist die so genannte „Nigeria-Connection“ – seit vielen Jahren ein Synonym für Vorauszahlungsbetrügereien. Also: Sie erhalten eine E-Mail, in der sich ein Anwalt eines Prinzen aus Nigeria meldet, der auf zwei Tonnen Gold sitzt und jemanden braucht, der es nach Deutschland schaffen kann. Das Schlimme daran: Die Masche funktioniert immer noch. 

Eine weitere große Bedrohung ist das Hacking. Alte Hard- und Software sind hier meist die Einfallstore. Gängig sind zum Beispiel Schadprogramme, die Ihren Laptop verschlüsseln und Sie dann erpresst werden, damit dieser wieder entschlüsselt wird.

Welche weiteren Methoden gibt es?

Eine weitere Methode ist die Nutzung eines so genannten Finanzagenten. Ein Betrüger, der Phishing-Straftaten begeht, will seine Spuren verwischen und braucht dafür einen ahnungslosen Kontoinhaber, der Geldbeträge vom Opferkonto auf sein Konto im Ausland weiterleitet. Angeworben werden diese ahnungslosen Personen beispielsweise über gefälschte E-Mails von vermeintlich seriösen Finanzunternehmen, die mit schnellen Verdienstmöglichkeiten locken. Der Kunde müsse nur einen Geldbetrag weiter überweisen. Und dieser Geldbetrag kommt dann von einem ahnungslosen Opfer der Masche. Der Straftatbestand ist in diesem Fall Geldwäsche. Die Leute sind meistens wirklich naiv, allerdings gehen die Täter auch sehr raffiniert vor. 

Eine besondere Betrugsmasche ist CEO-Fraud. Was steckt dahinter?

Im Prinzip ist das die Weiterentwicklung des so genannten Enkeltricks, mit dem ältere Menschen häufig betrogen werden. Dabei wird den Betrugsopfern vorgegaukelt, ein naher Verwandter zu sein. Der CEO-Fraud ist noch etwas ausgefeilter. Dabei meldet sich jemand bei hochrangigeren Mitarbeitern eines Unternehmens und versucht diese zu manipulieren, damit sie hohe Geldbeträge ins Ausland überweisen. Die Täter vermitteln den Opfern den Eindruck, dass der Auftrag unmittelbar vom Chef des Unternehmens komme und schnell erledigt werden müsse. Diese Betrügereien sind häufig so perfekt inszeniert, dass die Mitarbeiter sie glauben. Es handelt sich also hier um eine Art des „Social Engineerings“, bei dem der Mensch als Schwachstelle im Sicherheitssystem fungiert. 

Was können Betroffene in diesem Fall konkret tun?

Eigentlich ist es ganz einfach: Beim Chef anrufen. Das tun einige Mitarbeiter aber leider nicht. Denn hier und da herrscht möglicherweise noch die Ansicht, dass man den Chef bei solchen E-Mails nicht anruft. Oft trauen sich die Mitarbeiter einfach nicht. Dabei wäre das so leicht aufzuklären.

Wie kann ich mich als Nutzer konkret schützen?

Sie sollten nicht gutgläubig sein. Wenn ein Angebot in einer E-Mail zu gut ist, um wahr zu sein, dann sollten Sie nicht darauf eingehen. Außerdem sollten Sie Ihr IT-System schützen, am besten mit dem sichersten Virenschutz. Eine Cybercrime-Versicherung ergibt zusätzlich auch Sinn. 

Oft ist die IT nicht die eigentliche Schwachstelle, sondern der Mensch. Denn der Mensch ist neugierig und klickt gerne auf irgendeinen Link. Da kommt dann oft Unwissenheit und Naivität zusammen. Sie sollten im Internet also eigentlich immer etwas misstrauisch sein. Seien Sie vorsichtig bei E-Mails, deren Absender Sie nicht kennen. Und achten Sie auch darauf, wie die E-Mails geschrieben sind. Bei Betrugsmails handelt es sich oft um ganz schlechte Übersetzungen. Bei vermeintlichen Mails von bekannten Unternehmen lässt sich im E-Mail-Header überprüfen, ob die Mails auch wirklich von diesen Unternehmen kommen. Im Banking-Bereich sind doppelte Authentifizierungsverfahren enorm wichtig.

Was kann ich konkret tun, wenn ich Opfer einer Betrugsmasche geworden bin?

Das Wichtigste: Gehen Sie zur Polizei, auch wenn diese nicht sofort den Täter ermitteln kann. Aber die Polizei beobachtet das Phänomen intensiv und hat in den vergangenen Jahren enorm aufgerüstet. Es gibt Undercorver-Ermittler im Netz, die Schwerstkriminalität bekämpfen. Darum ist eine Anzeige wichtig, weil die Polizei ja Erkenntnisse haben kann, die Ihnen nicht vorliegen. Dort erhalten Sie auch weiterführende Hilfe. Außerdem sollten Sie konkret analysieren, woran es bei Ihnen gelegen hat. Also gab es eine bestimmte Sicherheitslücke in ihrem System? Haben sie auf bestimmte Links in E-Mails geklickt oder ist Ihre IT-Schutzsoftware veraltet?

Welche Chancen habe ich als Betrugsopfer denn überhaupt?

Das lässt sich schwer sagen. Bei einem Kleinbetrug mit Beträgen unter 1.000 Euro ist die Chance, dass Sie das Geld wiederbekommen, relativ gering. Auch bei einem größeren Betrug muss das Geld erst mal gefunden werden. Auch die Überführung des Täters ist keine Garantie dafür.

Wie ist Ihr beruflicher Hintergrund? 

Ich habe schon ganz verschiedene Jobs gehabt. Begonnen habe ich als Koch und Hotelkaufmann. Dann bin ich zur Polizei gegangen, wo ich mich in erster Linie bei der Kriminalpolizei mit Wirtschaftskriminalität befassen durfte. Darunter waren auch damals schon Versicherungsbetrügereien, manipulierte Verkehrsunfälle oder fingierte Schäden. Darüber bin ich zu dem Thema Compliance gekommen, in dem ich dann auch meinen Master-Studiengang absolviert habe. Letztlich durfte ich dann bei ERGO die Abteilung Internal Investigations aufbauen.

Ihre bisherigen beruflichen Erfahrungen helfen Ihnen im aktuellen Job bestimmt …

Ich würde sogar sagen, diese Erfahrungen sind eine Voraussetzung dafür. Ich kenne mich schon recht gut damit aus, wie Betrug eigentlich genau entsteht und wie dieser dann auch aufzuklären ist. Und das ist auch wichtig. Da das Thema viele Schnittstellen hat, müssen wir uns als Team sehr divers aufstellen. In der Abteilung arbeiten sowohl Rechtsanwälte als auch Kollegen, die Versicherungskaufmann gelernt haben und dann in unterschiedlichen Bereichen des Unternehmens tätig waren, beispielsweise im Vertrieb.

Unsere Ermittlungen müssen einer gerichtlichen Überprüfung standhalten. Deshalb haben wir hier viel Verantwortung. Keine Toleranz bei Wirtschaftskriminalität, das ist die Leitlinie bei ERGO.  

Interview: Benjamin Esche

Weitere Infos: Betrugsversuche im Netz 

Betrugsversuche im Netz finden immer häufiger statt. Phishing-Angriffe und CEO-Fraud etwa befinden sich immer noch auf einem hohen Niveau. Allerdings sei der Trend aktuell etwas abnehmend, heißt es vom IT-Dienstleister ITERGO. Dies könne beispielsweise durch erfolgreiche Aktionen des Bundeskriminalamtes und weiterer Behörden gegen Hacker-Infrastrukturen erklärt werden.

In letzter Zeit sei eine verstärkte Verbreitung von sogenannten „Fake Sextortion“-E-Mails zu verzeichnen. In diesen E-Mails behaupten Angreifer, kompromittierendes Foto- oder Videomaterial des Mail-Empfängers zu besitzen und dieses zu veröffentlichen, sofern keine Lösegeldzahlung in Form von Bitcoin erfolgt. 

Die Angreifer ließen sich ständig neue Wege einfallen, um ihre Angriffe erfolgreich durchzuführen. „Der Mensch“ und somit Mitarbeiter eines Unternehmens spiele bei der Vereitelung solcher Angriffe eine wichtige Rolle. Phishing E-Mails etwa seien ein gutes Beispiel, heißt es aus dem Bereich Global IT-Security der ITERGO. Daher ist sei sehr wichtig, alle Mitarbeiter mit entsprechenden Awarness-Maßnahmen für solche Angriffe zu sensibilisieren.