de en
Zurück zur Übersichtsseite
13.12.2024
Top Themen Digitalisierung

Beruflich wie privat: So schützen Sie sich vor Internetbetrug

Weihnachten steht vor der Tür – insbesondere jetzt werden der Komfort und die große Auswahl der unzähligen Online-Shops gerne genutzt, um Geschenke für unsere Liebsten zu kaufen. Leider gibt es mehr und mehr Fake-Anbieter im Netz, die nicht immer auf den ersten Blick zu erkennen sind. Im schlimmsten Fall wird Betrügern viel Geld überwiesen, die Ware wird aber nie versendet. Gut zu wissen: Dabei kann es sich um eigenständige Internetseiten, aber auch um Anbieter auf etablierten Verkaufsplattformen wie Amazon oder Ebay handeln.

Um Ihre Weihnachtseinkäufe ein bisschen sicherer zu machen, haben wir zusammengetragen, wie Sie betrügerische Shops im Internet erkennen und was Sie tun können, wenn Sie trotz aller Vorsicht Opfer geworden sind. 

Illegale Aktivitäten mit schwerwiegenden Folgen finden nicht nur im privaten, sondern vermehrt auch im beruflichen Alltag statt. Unsere Experten erläutern im zweiten Teil des Artikels, welche Schadenszenarien kursieren und ordnen sie rechtlich sowie versicherungstechnisch für Sie ein. 


Was sind Fake-Shops? 

Auf den ersten Blick sind Fake-Shops schwer zu erkennen, auch weil es sich teilweise um täuschend echte Kopien real existierender Websites handelt. 

Häufig werben die Anbieter mit Schnäppchen und verlangen eine Zahlung per Vorkasse. Die versprochene Ware kommt beim Verbraucher jedoch nie an. Laut Verbraucherzentrale täuschen die betrügerischen Händler sogar Lieferschwierigkeiten vor und vertrösten Betroffene, um diese daran zu hindern, weitere Schritte einzuleiten. 

Welche Möglichkeiten haben Sie, wenn Sie bereits Opfer eines Betrügers geworden sind? 

Im Fall einer getätigten Zahlung kontaktieren Sie umgehend Ihre Bank, die je nach Tageszeit und Wochentag die Zahlung stoppen kann. Ein Stopp ist im Durchschnitt einige Stunden, manchmal nur einige Sekunden möglich. Haben Sie per Lastschrift gezahlt, kann das Geld seitens der Bank wiederum bis zu acht Wochen nach Einzug zurückgeholt werden. Sichern Sie darüber hinaus sämtliche Belege, die mit Ihrer Online-Bestellung zusammenhängen. Dazu zählen zum Beispiel der Kaufvertrag und die Bestellbestätigung sowie ein Screenshot des Angebots. 

Im rechtlichen Sinn handelt sich die gesamte Situation eindeutig um einen Betrug. Opfer können die Unterlagen von der Verbraucherzentrale prüfen lassen und Strafanzeige bei der Polizei stellen. 
 

Prävention: Hier können Sie Online-Shops überprüfen

Die Verbraucherzentrale bietet ein Tool für gesteigerten Schutz beim Online-Shopping: Mit dem Fakeshop-Finder können Sie die URL einer Website einfach überprüfen. Nach Eingabe der Webadresse in der Maske schätzt das Tool den Online-Shop ein, listet technische Merkmale auf, die Hinweise auf Fake Shops geben und informiert über bereits vorhandene Bewertungen in bekannten Portalen. 

Hier können Sie das Tool nutzen. 


Online-Betrug findet auch am Arbeitsplatz statt

Doch nicht nur zur Weihnachtszeit im privaten Kontext, auch im beruflichen Alltag nimmt die Anzahl der Betrugsfälle zu. 

Sandra Dammalacks, Spartenleiterin Financial Lines und Cyber bei der deas, schildert ein häufiges Szenario: „Beim sogenannten E-Mail-Spoofing fingieren Dritte in betrügerischer Absicht E-Mails von bekannten Vertragspartnern, Kunden oder Kolleginnen und Kollegen. Auf den ersten Blick ist nicht erkennbar, dass es sich nicht um die ausgewiesene Person handelt, da zum Beispiel Schriftbild und weitere Details professionell gefälscht werden.“ Dabei suggerieren die Täter zum Beispiel, dass sich die Bankverbindung geändert habe und nicht mehr der ursprünglich angegebenen entspreche. Nicht selten handelt es sich bei der „neuen“ Bankverbindung um eine ausländische IBAN. Im guten Glauben an die Richtigkeit der Änderung berücksichtigen die Mitarbeitenden der Buchhaltung die Bankverbindung und zahlen den Rechnungsbetrag an die vermeintlich echte Bankverbindung aus. Der Betrug fällt dann oft erst später auf, wenn sich der Vertragspartner meldet, an die noch zur Zahlung offene Rechnung erinnert und auf Ausgleich der Forderung besteht.

Bemühungen, das an die falsche Bankverbindung gezahlte Geld über einen Bankrückruf zurückzuerhalten, verlaufen oft erfolglos: Aufgrund des verstrichenen Zeitraums und das durchgeplante Tatgeschehen ist das Geld in der Regel bereits weitergeleitet worden und ein Zugriff unmöglich. Strafverfahren verlaufen oftmals im Sand, da die Täter zumeist aus dem Ausland agieren.
 

Rechtliche Bewertung und Einordnung des Versicherungsschutzes

Juristisch ist die Frage, ob man durch die Zahlung an die falsche Bankverbindung von der ursprünglichen Zahlungsverpflichtung befreit worden ist, recht eindeutig zu beantworten. Alexander Bayer, Volljurist und Teamleiter Financial Lines Rechtsschutz bei der Ecclesia Gruppe, erläutert: „Soweit klar ist, dass der Zugriff allein dem Verantwortungsbereich eines Unternehmens zuzuordnen ist, besteht die ursprüngliche Forderung des echten Vertragspartners weiter. Mit anderen Worten: Die fehlerhafte Zahlung muss sich der Vertragspartner nicht zurechnen lassen, Sie müssen an ihn – erneut – zahlen. Anders kann dies sein, wenn die Täter in das EDV-System Ihres Vertragspartners eingedrungen sind und so Kenntnis von der Forderung erhalten haben.“ Dies nachzuweisen sei in der Praxis oft außerordentlich schwierig. Es drehe sich dabei immer um die Frage, in wessen Verantwortungsbereich der Eingriff der Täter liegt.

Grundsätzlich fallen derartig gelagerte Fälle in die Vertrauensschaden-Versicherung, soweit eine entsprechende Deckung besteht und sogenannte Täuschungsschäden durch Dritte mitversichert sind. 
 

Wie können derartige Schäden vermieden werden?

Alexander Beyer: „Im Idealfall kommt es erst gar nicht zum Schadenfall. Leider stellen wir in der Schadenpraxis zunehmend fest, dass die Täter immer professioneller agieren und so ein Erkennen der Täuschung für die Tatopfer zunehmend schwerer wird.“ Die ersten Fälle waren noch geprägt von Nachrichten in gebrochener deutscher Sprache und mit offensichtlich abweichenden Mailadressen, mittlerweile sind die Täuschungen nur mit äußerster Aufmerksamkeit aufzudecken. 

Was können Sie tun, um Schäden zu vermeiden? Zum einen sollte bei Zahlungsvorgängen immer ein erhöhtes Aufmerksamkeitsniveau herrschen. Wir regen an, dass Sie eine Handlungsanweisung erstellen, wie im Falle der Änderung einer Bankverbindung vorzugehen ist und welche Schritte einzuhalten sind. Gerade ausländische Bankverbindungen sollten immer als deutliches Warnzeichen gesehen werden, sofern nicht regelmäßig Geld ins Ausland gezahlt wird. Eindringlich empfehlen wir, bei Zahlungsvorgängen immer mehrere Personen einzubinden – Stichwort: Vier-Augen-Prinzip.  

Erfahrungsgemäß ist das effektivste Mittel, um nicht Opfer einer entsprechenden Betrugstat zu werden, wenn Sie sich telefonisch beim Vertragspartner erkundigen. Eine Nachfrage per E-Mail ist in der Regel gänzlich ungeeignet, da die Täter Ihre E-Mailkorrespondenz verfolgen, die Mail abfangen und beantworten. 
 

Weitere Schadensszenarien: Vermeintlicher IT-Helpdesk und Deepfakes

Abdullah Keser, Fachexperte Cyber bei der deas, berichtet: „Aktuell erreichen Mitarbeitende in Unternehmen vermehrt gefakte Teams-Anrufe des vermeintlichen IT-Helpdesks. Die Täter versuchen so, auf das EDV-System zuzugreifen. Hier ist es wichtig, keine persönlichen Informationen – wie zum Beispiel Passwörter – mit Dritten zu teilen und keinen Zugriff auf das Netzwerk zu erlauben (zum Beispiel durch die Aufforderung zur Installation einer Software). Sollte ein IT-Mitarbeitender tatsächlich nach Passwörtern fragen, geben Sie keine Auskunft und nehmen Sie eigenständig Kontakt zu Ihrer IT-Abteilung auf.“ Auch hier ist erhöhte Awareness innerhalb der Belegschaft gefordert. Der Experte empfiehlt weiterhin: „Es sollte geprüft werden, ob die Sicherheitseinstellungen des Unternehmens strenger reguliert werden müssen. Dazu zählt beispielsweise, dass eine Bildschirmfreigabe über Teams mit externen Gesprächspartnern technisch nicht möglich ist. Alternativ könnte die Teams-Kommunikation mit externen Kontakten vollständig eingeschränkt werden.“ 

Besonders kritisch sind sogenannte Deepfakes: In Anrufen oder Videocalls werden die Stimmen und Gesichter von Vorständen und Geschäftsführern durch KI gefälscht oder 1:1 nachgebildet und Zahlungsaufträge in der Buchhaltung ausgelöst. Entscheidend ist, dass vor Tätigung von Zahlungen verifiziert wird, dass es sich um einen Zahlungsauftrag der tatsächlichen Person handelt. Wenn ohne eine schriftliche Beauftragung, nur auf Basis des Deepfake-Anrufs, Überweisungen getätigt werden, besteht voraussichtlich weder über die Vertrauensschadenversicherung noch über die Cyberversicherung ein Versicherungsschutz, weil diese jeweils eine schriftliche Anweisung voraussetzen. 
 

Fazit

Was können Sie mitnehmen? Im gesamten Zahlungsverkehr – sei es privat oder im Unternehmen – sollte immer ein erhöhtes Aufmerksamkeitslevel herrschen. Um Fehler im beruflichen Kontext zu vermeiden bzw. aufzudecken, empfiehlt es sich, Mitarbeitende durch geeignete Schulungsmaßnahmen zu sensibilisieren und grundsätzlich ein Vier-Augen-Prinzip einzurichten, von dem nicht abgewichen werden darf. Kommt es zu Abweichungen im Hinblick auf die Begleichung von Rechnungen wie Änderungen der Bankverbindung, sollte immer telefonisch Kontakt mit dem Vertragspartner aufgenommen und sich von der Richtigkeit überzeugt werden. Achten Sie beim Online-Shoppen grundsätzlich auf die Echtheit der Seite und überprüfen Sie diese im Zweifel sorgfältig, bevor Sie einen Kauf abschließen. 

Falls Sie Fragen zu dem Thema haben, sprechen Sie uns gern an.