Olaf Zimmermann kann es immer noch nicht wirklich fassen. Sein erster Gedanke, als er den Betrugsversuch bemerkte: „Dass man vor gar nichts mehr sicher ist!“ Dabei war es zunächst ein Auftrag wie jeder andere für den Heizungsbauer.
Für ein großes Unternehmens sanierte er eine Heizung, baute eine Wohnung aus und stellte schließlich die Rechnungen – in Höhe von 27.000 Euro. Was er damals noch nicht wusste: Betrüger hatten ein E-Mail-Postfach des Heizungsbauers gehackt. Hacker lasen alle Mails mit und warteten auf den richtigen Moment: die Abwesenheitsnotiz. Als der Handwerker im Urlaub war, übernahmen die Betrüger das E-Mail-Postfach.
IBAN-Betrug: eine ausgeklügelte Masche
Die Täter fingen die kürzlich verschickte Rechnung ab und schrieben dem Kunden im Namen des Heizungsbetriebs eine neue Mail – mit der vermeintlich neuen Bankverbindung des Heizungsbetriebs. „Die haben eins zu eins unser Formular nachgemacht und auch gewusst, wer persönlich involviert ist – und wir haben von nichts mitbekommen“, sagt Olaf Zimmermann.
Besonders perfide: Die Betrüger schrieben direkt dem zuständigen Sachbearbeiter. Der merkte erst einmal nichts – die Mail sah schließlich aus wie von Herrn Zimmermann: Das Logo, der Betrag, die E-Mail-Adresse und die Auftragsdaten waren korrekt. Nur eines unterschied die Rechnung vom Original: die IBAN. Und die führte nach Portugal zum Konto der Betrüger.
Betrugsversuche häufen sich – aber noch kein Massenphänomen
Gesicherte Zahlen, wie oft solche Betrugsversuche vorkommen, gibt es nicht. Olaf Zimmermann ist zumindest kein Einzelfall. Auch der Handwerksbetrieb von Lukas Pimperl ist Opfer dieser Masche geworden. In seinem Fall saßen die Hacker im E-Mail-Postfach eines Hausverwalters. Von dort haben die Betrüger die falsche Rechnung an den Hauseigentümer geschickt. Der Kunde hat nichts bemerkt und das Geld auf das falsche Konto überwiesen: 15.000 Euro.
„Seit diesem Jahr treten diese Fälle auf und es werden immer mehr“, beobachtet Sasha Straub von der Verbraucherzentrale Bayern. Ein Massenphänomen sei es aber noch nicht. Besonders anfällig für diese Art von Betrug seien Rechnungen, die als PDF-Datei per E-Mail verschickt werden. Diese seien leichter zu manipulieren. „Wenn dann nur die IBAN verändert wurde, gibt es kaum eine Chance, den Betrug zu erkennen“, sagt Straub.
Im Zweifel hilft ein Anruf oder Brief
Die Industrie- und Handelskammer Oberbayern betont, man solle sich nicht durch kurze Zahlungsfristen von etwa drei Tagen unter Druck setzen zu lassen, auch nicht von vermeintlichen Rechnungen von Amtsgerichten, Berufsgenossenschaften oder Versicherungen. Vorsicht sei besonders bei IBAN-Nummern geboten, die nicht mit dem deutschen Ländercode DE beginnen.
Verbraucherschützer Straub weist daraufhin, dass eine deutsche IBAN aber keine Garantie für eine korrekte Rechnung sei. Inzwischen gebe es auch Betrüger, die deutsche Bankkonten nutzen. Sein Rat daher: Kunden sollten sich bei höheren Beträgen die Rechnungsdaten noch einmal bestätigen lassen. Und das am besten ganz analog: per Telefon oder Brief. Langfristig sollten aber alle ihre E-Mail-Postfächer gut schützen, zum Beispiel durch Zwei-Faktor-Authentifizierung oder eine Ende-zu-Ende-Verschlüsselung.
Nachrüsten im E-Mail-Postfach
Seine Mails besonders gut gesichert hat inzwischen auch Heizungsbauer Olaf Zimmermann. Gerettet hat ihn bei dem Hackerangriff aber nicht die Technik, sondern eine aufmerksame Buchhalterin bei seinem Kunden. Die portugiesische IBAN hat sie stutzig gemacht. Die 27.000 Euro hat sie erstmal nicht überwiesen. Trotzdem hat Olaf Zimmermann Anzeige erstattet. Die Ermittlungen wurden nach einigen Wochen eingestellt, die Betrüger nicht gefunden.
