Netzwerk gegen Internetkriminalität

Deutsche Internetinkasso GmbH – Ein Überfall, einige gestohlene Informationen und sehr viele Fragen

Wie op-online berichtete, wurde am letzten Dienstag ein Inkasso-Unternehmen in Heusenstamm überfallen. Dabei kann es sich nur um die Deutsche Internetinkasso GmbH (DIG) gehandelt haben.

Weiterhin berichtete hr-online, dass es der Räuber auf Dokumente und Computerfestplatten abgesehen hatte. Ein Wachmann und eine Mitarbeiterin wurden überwältigt, gefesselt und eingesperrt. Die eintreffende Polizei konnte Kleidung des Mannes sicherstellen. Soweit die bislang vorliegenden Fakten.

Hinweis: Bei den nachfolgenden Ausführungen / Fragestellungen handelt es sich lediglich um Theorien, was das mögliche Motiv des Täters angeht. Wir haben auch nur die Informationen, die in den Medien zu lesen waren. Wir unterstellen niemandem irgendetwas.

Frage 1) Wer ist der Täter?
Wer hat ein solches Interesse an den Daten der Deutschen Internetinkasso, dass er eine Anklage wegen schweren Raubes, Körperverletzung und Freiheitsberaubung in Kauf nimmt?
Es könnte sich eventuell um einen Geistesgestörten handeln. Aber dafür wäre das Vorgehen sicher zu geplant und rational. Ferner könnte es ein verärgerter “Schuldner” sein, der sich zu unrecht angemahnt gefühlt hat. Die Deutsche Internetinkasso wird ja häufiger in Verbindung mit unberechtigten Forderungen für Abofallen-Seiten gebracht. Jedoch hätte es so jemand eher auf Sachbeschädigung oder Körperverletzung der zuständigen Sachbearbeiter oder Verantwortlichen abgesehen und würde nicht erst noch Dokumente und Festplatten stehlen. Kann es sich vielleicht um jemanden handeln, der mit diesen Informationen das Inkassounternehmen erpressen möchte? Auch diese Theorie halten wir für unwahrscheinlich, denn die gestohlenen Informationen würden bei einem Gerichtstermin wohl nicht als Beweismittel zugelassen werden, da sie unrechtmäßig erlangt wurden. Auch eine mögliche Drohung des Täters mit der Veröffentlichung dieser Informationen in der Presse halten wir für nicht besonders plausibel.

Frage 2) Welche Informationen / Daten wurden entwendet?
Dazu gibt es ja noch keine Aussagen. Jedoch wurden Dokumente und Computerfestplatten entwendet. Dazu müsste sich die Deutsche Internetinkasso allerdings laut §42a Bundesdatenschutzgesetz (BDSG) demnächst bei der Datenschutzaufsichtsbehörde und den Betroffenen äußern:

Stellt eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte

- besondere Arten personenbezogener Daten (§ 3 Absatz 9),
- personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
- personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
- personenbezogene Daten zu Bank- oder Kreditkartenkonten

unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme. Eine Benachrichtigung, die der Benachrichtigungspflichtige erteilt hat, darf in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen ihn oder einen in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen des Benachrichtigungspflichtigen nur mit Zustimmung des Benachrichtigungspflichtigen verwendet werden.

Immerhin verarbeitet ein Inkassounternehmen durchaus besonders schützenswerte Daten über Schuldner, wie z.B. Kontodaten (siehe Punkt 4 oben) oder Daten über die Vermögensverhältnisse. Damit dürfte dann in Kürze doch auch klar sein, welche Daten entwendet wurden und wer der betroffene Personenkreis ist.

Frage 3) Welchen Wert haben diese Informationen eigentlich für den Täter?
Nun diese Frage lässt sich natürlich erst beantwortet, wenn klar ist, welche Art von Daten entwendet wurden. Wie bereits oben dargestellt, sind die von uns erörterten Möglichkeiten der Informationsverwendung doch eher als begrenzt anzusehen. Je nach Datensatz (z.B. inkl. Kontoverbindung und gültiger E-Mail-Adresse) können auf dem Schwarzmarkt für den Täter gute Preise erzielt werden.
Aber in einigen Foren wird auch eine gegenteilige Frage aufgeworfen: Welchen Vorteil bestehen für das Inkassounternehmen diese Daten nicht mehr in ihrem Besitz zu haben?

Frage 4) Wieviel Zeit hatte der Täter?
Der Täter war bewaffnet, offenbar zu Vielem bereit und hatte ein geplantes Vorgehen. Vom Zeitpunkt der Alarmierung (wer hat eigentlich die Polizei informiert ??) bis zum Eintreffen der Polizei muss schon einige Zeit vergangen sein. Wenn wir vom Diebstahl von Dokumenten und Computerfestplatten lesen, dann kann man sich darüber schon einige Gedanken machen. Der Täter muss dann wohl genug Zeit gehabt haben, um zunächst die Mitarbeiterin und den Wachmann zu bedrohen, zu fesseln und einzusperren. Danach konnte er wohl noch einige Dokumente sichten und an sich nehmen. Außerdem hat er (wenn im Plural gesprochen wird) doch wohl auch noch die Zeit gehabt, mindestens zwei PCs aufzuschrauben, die Festplatten (welche ebenfalls wohl mit 4 Schrauben befestigt sind) auszubauen – es darf ja sicher als unwahrscheinlich gelten, dass die Festplatten bereits ausgebaut irgendwo herumlagen – und sich dann noch unbemerkt (mal abgesehen von der zurückgelassenen Kleidung) mit dem Diebesgut aus dem Staub zu machen. Zeitlich ein bemerkenswerter Ablauf  …

Es möge sich jeder Leser ein eigenes Bild machen. Interessant noch die Täterbeschreibung:

Es soll sich um einen 25 bis 30 Jahre alten, zwischen 1,70 und 1,85 Meter großen und sehr schmalen Südländer handeln. Er sprach mit Akzent, dem Klang nach mit einem französischen. Beim Überfall trug er einen dunklen langen Mantel, eine schwarze Hose und einen schwarzen Hut.

Klingt bedrohlich … Die Polizei nimmt unter (069/8098-1234) gerne weitere Hinweise entgegen.

Wir wünschen dem Wachmann und der Angestellten auf jeden Fall, dass sie sich von diesem Schock gut erholen…

Erste Tipps aus dem neuen Buch “Versandhandelsbetrug zu einfach gemacht”

Bild eCommerce Berater Dr. Ralf ClasenDr. Ralf Clasen arbeitet als eCommerce-Berater seit Jahren mit Versandhändlern in eCommerce-Projekten – vom Start-Up bis zur Top-Marke. Sein Wissen aus diesen Projekten macht er in Vorträgen und Veröffentlichungen anderen Versandhändlern zugängig. Aktuell arbeitet er an dem Buch “Versandhandelsbetrug zu einfach gemacht”, in dem er praktische Tipps für das Risikomanagement gibt. Einen ersten Einblick in dieses Buchprojekt erhalten Sie hier:

Gibt es sichere Zahlungsmittel? – Vorkasse

“Ich verkaufe nur gegen Vorkasse – dann habe ich keine Zahlungsausfälle!”, so hört man immer wieder von Händlern. Sehr weit verbreitet ist diese Einstellung bei Händlern, die hochpreise Ware mit wenig Marge verkaufen. Ein Beispiel in dieser Kategorie sind Elektronikprodukte wie Fernseher. Wenn beispielsweise ein niedergelassener Fernsehhändler seinen Umsatz steigern will, richtet er einen Online-Shop ein und bietet dort Fernseher zum Kauf gegen Vorkasse an. Er denkt mit und will potentielle Retouren auch als “Vorführgeräte” im eigenen Ladengeschäft verkaufen.

So weit – so gut. Mittels Vorkasse schlägt er zwei Fliegen mit einer Klappe. Zum einen dauert die Zahlung wenige Werktage, so dass er selbst die Ware noch vom Großhändler beschaffen kann. Zum anderen wähnt er sich sicher gegen Zahlungsausfälle und hat keine Kosten für ein Zahlungsmittel.

Allerdings hat der Fernsehhändler die Rechnung ohne professionelle Betrüger gemacht. Bestellt ein Betrüger die Ware, so bekommt er eine Vorkasserechnung mit dem Hinweis unter Angabe der Rechnungsnummer den Rechnungsbetrag auf das Konto des Fernsehhändlers zu zahlen.

Nun möchte der Betrüger aber die Ware bekommen, ohne zu bezahlen? Keine Chance für ihn? Doch! Er muss sich nur ein bisschen Mühe machen. Der Betrüger muss andere Menschen dazu bewegen, seine Rechnung zu bezahlen.

Und das ist einfacher als gedacht. Der Betrüger suggeriert demjenigen, der seine Rechnung bezahlen soll, dass der Zahler etwas anderes bekommt, das er gerne haben möchte: Beispielsweise eine Last-Minute-Reise in die USA zu Top-Konditionen.

Die bewirbt er per Email mit einer kleinen Web-Site und dem Hinweis, dass er wegen des Rücktritts anderer Reiseteilnehmer den sensationell günstigen Preis anbieten kann. Auf der Web-Site ist ein Anmeldeformular für die Reise vorhanden. Von den Informationen braucht der Betrüger in erster Linie die Email-Adresse des neu geworbenen Reisegastes. An diese schickt er ihm eine Vorkasserechnung – genau wie der Fernsehhändler. Diese Vorkasserechnung enthält die Aufforderung den Betrag für die Reise auf ein Konto zu überweisen und den Hinweis, dabei unbedingt die Buchungsnummer anzugeben.

Diese vom Betrüger übermittelte Buchungsnummer ist identisch mit der Bestellnummer beim Fernsehhändler und die Bankverbindung ist die des Fernsehhändlers.

Läuft es für den Betrüger gut, passiert das Folgende:

  • Der Reisegast zahlt mit der vermeintlichen Buchungsnummer das Geld an den Fernsehhändler.
  • Der Fernsehhändler freut sich über den Zahlungseingang und versendet den Fernseher.
  • Der Betrüger nimmt den Fernseher entgegen – typischerweise an einer Adresse an der er nicht beheimatet ist – und ist mit der Ware verschwunden. Die Ware nutzt er selbst oder verkauft sie weiter.
  • Irgendwann bemerkt der Reisegast, dass er keine Reiseunterlagen erhalten hat und hinterfragt den Vorgang. Dabei stellt er möglicherweise fest, dass das Konto auf das er sein Geld überwiesen hat, dem Fernsehhändler gehört.
  • Da kein Rechtsgeschäft zwischen dem Zahler und dem Fernsehhändler besteht, kann der Zahler sein Geld zurückfordern. Die Juristen reden hier von einem “Anspruch aus unberechtigter Bereicherung”.
  • Der Reisegast ist zwar nicht im Urlaub, hat aber sein Geld zurück und ist somit mit einem “blauen Auge” aus dem Betrug entkommen.
  • Der Fernsehhändler steht mit leeren Händen da, er hat seine Ware versendet und musste das eingegangene Geld auch wieder abgeben.

In der Praxis gibt es kaum eine Chance für den Fernsehhändler wieder an seine Ware zu kommen oder jemanden zu finden, der ihm seinen Schaden ersetzt. Erfahrene Betrüger nutzen nicht Ihre eigene Adresse für die Anlieferung von Waren. Zudem sind die persönlichen Angaben in der Regel nicht die eigenen. Entweder nutzt der Betrüger fiktive Daten oder die Daten von real existierenden Personen.

Was hätte der Fernsehhändler denn tun können, um diese negative Erfahrung zu vermeiden?

Vorweg gesagt sei, dass dieses Betrugsmodell bis vor einigen Jahren nur sehr eingeschränkt funktionierte, weil die Banken eine sogenannte “Kontoanrufkontrolle” durchführen mussten. Dabei haben sie kontrolliert, ob der bei der Überweisung angegebene Zahlungsempfänger mit dem Kontoinhaber (oder einem Verfügungsberechtigen) identisch ist. Nicht passende Angaben führten zur Ablehnung der Gutschrift und somit zur Rücküberweisung des Betrags. Der Betrüger musste damals die Identität des Fernsehhändlers vortäuschen. Das war eine signifikante Hürde.

“Früher war alles besser!”, hilft dem Fernsehhändler als Aussage aber nicht wirklich. Er kann aber selbst einige Maßnahmen ergreifen, um sein Risiko deutlich zu reduzieren:

Zahlungseingänge genau beobachten

  • Sind Überweiser und Besteller identisch? Natürlich wird es immer wieder vorkommen, dass die Zahlen für eine Rechnung von einen nahen Angehörigen mit abweichendem Namen durchgeführt wird. Auch kann dieser durchaus sein Konto in einer ganz anderen Region haben. (Die Region erkennt man übrigens aus der Bankleitzahl.) Es empfiehlt sich, den Besteller anzurufen, um sicher zu gehen. Ob Betrüger nun ans Telefon gehen, ist nicht vorhersagbar. Bei gebraucht erworbenen Pre-Paid-Handys ist es sogar wahrscheinlich. Fragt man den Betrüger nach der überweisenden Bank oder den letzten beiden Stellen der Kontonummer, so filtert man ihn mit sehr hoher Wahrscheinlichkeit heraus. Nicht jeder Besteller hat die Daten des für ihn überweisenden Angehörigen sofort zur Hand, aber er kann sie schnell besorgen.
  • Ist der angegebene Zahlungsempfänger richtig? Immer dann, wenn die Angabe des Zahlungsempfängers auffällig vom eigenen Firmennamen abweicht, ist Vorsicht geboten. Eine Rückfrage drängt sich förmlich auf – notfalls bei der Bank des Überweisenden mit der Bitte um Klärung.
  • Ist der Verwendungszweck auffällig? Wenn neben der Bestellnummer weitere Angaben im Verwendungszweck angegeben sind, können darin Hinweise auf den Betrug enthalten sein. Wird da ein vom bestellten Fernseher abweichendes Produkt oder eine abweichende Dienstleistung genannt, so ist Vorsicht geboten. Auch hier bietet sich die telefonische Kontaktaufnahme mit dem Besteller an.

Häufungen von Bestellungen

  • Betrüger, die Waren ergaunern, machen diese Waren häufig zu Geld. Das gelingt ihnen nur mit einem Abschlag auf den tatsächlichen Wert – beispielsweise als Hehlerware. Daher sind viele Betrüger nicht mit einem Betrugsfall “zufrieden”. Sie müssen mehrere Betrugsfälle durchführen. Wenn mehrere dieser Betrugsfälle zeitnah in einem Shop getätigt werden, so hat der Händler eine Chance, dieses zu erkennen.
  • Regionale Häufungen von Bestellungen sind besonders verdächtig. Nehmen wir an, dass der Händler typischerweise 20 Bestellungen pro Tag bekommt. Wenn nun 5 dieser Bestellungen aus nah beieinander liegenden Postleitzahlen kommen, sollte das auffallen.
  • Datenschutzrechtlich umstritten ist es IP-Adressen von Bestellern zu speichern. Im Bestellprozess sollte der Händler die IP-Adressen auf jeden Fall berücksichtigen. Werden zwei Bestellungen mit unterschiedlichen Identitäten unter der gleichen IP-Adresse getätigt, ist ein Betrugsversuch wahrscheinlich. Auch bei Bestellungen mit IP-Adressen aus dem Ausland sollte jeder Händler vorsichtig umgehen. Es ist nicht zu erklären, warum beispielsweise ein Fernseher zur Auslieferung in Berlin aus der Ukraine heraus bestellt wird.

Identitätsfragen auch bei Vorkasse klären

  • Viele Geschäfte machen wir nur mit Menschen, die wir kennen. Das heißt, unser Geschäftspartner muss sich identifizieren. Dieses ist beispielsweise dann üblich, wenn der Händler jemandem Kredit gibt – also ein Risiko eingegangen wird. Ein Risiko wird auch bei der Vorkasse eingegangen. Somit bietet es sich an, zu prüfen, ob der Besteller existiert oder ein “Pseudonym” ist. Hört sich kompliziert an, ist es aber nicht. Im letzten Jahrhundert hätte man im Telefonbuch nachgesehen, ob es den Besteller unter der angegebenen Lieferadresse gibt. Heutzutage bieten sich Datenbanken an, mit denen die Identität einer Person unter einer Adresse überprüft werden kann. Für die Nutzung dieser sogenannten “Bonitätsdatenbanken” ist eine Gebühr fällig, die sich aber schnell auszahlt. Voraussetzung zur erfolgreichen Nutzung dieser Datenbanken ist häufig die Kenntnis des Geburtsdatums.

Befolgt der Händler diese Tipps, kann er sich bei der Vorkasse deutlich sicherer fühlen – oder endlich so sicher fühlen, wie er es immer schon tat.