Rhein-Berg – Eine unscheinbare Kleinanzeige mit Foto und Beschreibung. Eine hochwertige Markenjacke bietet der private Verkäufer darin an. Kaum getragen. Ein echtes Schnäppchen. Michael W. (Name geändert) überlegt nicht lange und nimmt Kontakt auf. Er denkt sich nichts dabei, als der Verkäufer ihn bittet, den Kaufbetrag über sein Papal-Konto per „Familien- und Freunde-Funktion“ anzuweisen, weil dadurch keine Gebühren anfallen würden. Ein Schritt, der sich noch rächen wird. Michael bezahlt – aber die Ware kommt nie bei ihm an. Und auch das Geld ist weg.

„Bei der Funktion „Familie und Freunde„ ist die Transaktion nicht durch Käuferschutz abgesichert, das Geld ist sofort weg. Deswegen heißt das ja auch „Familie und Freunde“, sagt Thomas Wilcke. „Wahrscheinlich hat es die Jacke gar nicht gegeben“, weiß Wilcke aus Erfahrung. Fälle wie diese landen fast jeden Tag auf dem Schreibtisch des Kriminalhauptkommissars. Bei der rheinisch-bergischen Kreispolizei ist Wilcke unter anderem für Betrugsermittlungen im Zusammenhang mit dem Internet, aber auch für andere Formen der Internetkriminalität (siehe „Cybercrime“) zuständig, die vom  „Phishing“ persönlicher Zugangsdaten bis hin zu Netzwerkeinbrüchen und der Verbreitung von Schadsoftware reicht.

Globales Unterfangen

Längst ist Betrug im Internet ein globales Unterfangen, da auch Betrüger, die gefälschte Verkaufsanzeigen im Internet aufgeben, in jedem Winkel der Erde sitzen können. „Und der Schaden, der durch das Internet, sei es Cybercrime oder  Betrug, auch hier im Kreis entsteht, liegt oft höher als der, der durch Wohnungseinbrüche entsteht, was aber auch auf die Menge der Taten zurückzuführen ist. Der höchste Schaden im Bereich Cybercrime war in der letzten Zeit bei einer hier im Bereich ansässigen Firma und deren ausländischem Standort.

Tipps für ein starkes Passwort

Fast überall wird im Internet nach einem Passwort gefragt, um persönliche Daten zu schützen. Ein  Passwort sollte aus mindestens zehn Zeichen bestehen, Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen enthalten, rät Kriminalhauptkommissar Thomas Wilcke. Da solche Passwörter deswegen schwer zu merken sind, gibt es einen Trick: „Erstellen Sie einen kompletten Passwortsatz, zum Beispiel „Ich hab Bock auf 2 Döner & 3 Pommes rot-weiß!“ und verwenden Sie nur die Anfangsbuchstaben der einzelnen Wörter: IhBa2D&3Pr-w!“. „So ein Passwort kann man nicht mal eben »hacken«“, sagt Ermittler Thomas Wilcke: „Wenn der Täter trotzdem ein Benutzerkonto übernimmt, sei es ein E-Mailkonto oder ein Verkaufsportal, dann war ihm dieses Passwort bekannt, er hat es nicht erraten. Und spätestens dann sollte man sich fragen woher er dieses haben kann, vielleicht durch Selbsteingabe auf einer Phishingseite? Weitere Beispielsätze, um sich selbst ein starkes Passwort zu kreieren,  gibt’s im Internet. (wg)

Hier lag die Schadenshöhe bei knapp eine  Million Euro – aber auch erschlichene Überweisungen von Privatpersonen  mit mittleren vier- oder fünfstelligen Beträgen sind keine Seltenheit. Aber auch hier gilt: „Der menschliche Faktor war jeweils der entscheidende.“ „Gerade vor Festen wie Weihnachten tauchen vermehrt auch komplette Fakeshops auf, in denen hochwertige Ware angeboten wird“, hat Wilcke beobachtet. „Oft sind die nach ein paar Tagen dann wieder weg – die Täter aber haben irgendwo auf der Welt in einer Woche schon einen fünfstelligen Betrag abkassiert.“

Verbreitet sind auch sogenannte Dreiecks-Betrugsfälle, bei denen ein Betrüger Ware anbietet, als Konto zur Bezahlung allerdings nicht sein Konto angibt, sondern ein anderes Konto – „nämlich das, wo der Täter selbst die Ware bestellt hat“, erklärt Thomas Wilcke. „Das heißt: Ich bezahle für den Täter die Ware, bei dem, bei dem er sie bestellt hat. Der Betrüger holt daraufhin die Ware ab. Und dann guckt derjenige in die Röhre, der die Ware rausgegeben hat. Denn ich versuche natürlich, mein Geld wieder zu holen, weil ich keine Ware erhalte, die der Verkäufer bereits an den Betrüger rausgegeben hat.“ Solche Betrugsmaschen werden laut Wilcke auch häufig über Kleinanzeigen auf Internetportalen abgewickelt.

Betroffene geben selbst Daten heraus

Apropos Internet: In den meisten Fällen, in denen dort sensible Daten „gestohlen“ werden, haben die Betroffenen sie selbst herausgegeben, wie Kriminalhauptkommissar Wilcke immer wieder feststellt: „Das größte Problem ist, wenn man seine Kontodaten samt Passwort auf sogenannten Phishing-Seiten eingibt. Das sind Seiten, die Betrüger täuschend echt den Originalseiten nachgebaut haben. Und dann schicken sie eine E-Mail, mit der sie Menschen auf diese Seiten leiten und auffordern, beispielsweise die Daten ihres Amazon-Kontos zu „verifizieren„ oder vermeintliche Bestellungen zu stornieren.“ Wer dann auf der gefälschten Seite seine Zugangsdaten eingibt, liefert den Betrügern alles Nötige frei Haus, damit diese mit einem fremden Konto shoppen gehen können. Die Versandadresse haben sie schnell im Konto geändert, gegebenenfalls auch das Zugangspasswort, und bevor es der eigentliche Besitzer des Kontos merkt, sind zu Lasten seines Kontos bereits Großeinkäufe getätigt und die Ware an irgendwelchen Abholadressen von den Betrügern in Empfang genommen worden.

„Wenn ich im Internet unterwegs bin, muss ich als Nutzer immer sehen, wo ich unterwegs bin“, sagt Kriminalhauptkommissar Wilcke und rät, beispielsweise im Internetbrowser stets auf die tatsächlichen Domains, also die  Adressen von Internetseiten (sogen. URL) zu achten, auf die man durch einen Link gelangt ist. „Einige Grundregeln muss ich einfach kennen, wie beispielsweise den Unterschied zwischen Domain und Subdomain. Hierzu ein Beispiel: betrug.polizei.de oder polizei.betrug.de. Obwohl bei beiden das Wort Polizei drin steht, bin ich doch nur bei betrug.polizei.de auch bei der Polizei. Bei polizei.betrug.de bin ich auf der Seite betrug.de, auch wenn sie genauso wie das Original der Polizei aussehen kann“, erläutert Thomas Wilcke. „Das muss ich wissen, denn sonst kann ich nicht unterscheiden, wo ich mich gerade befinde, und gebe vielleicht meine Daten auf einer falschen Seite ein!  Wenn ich ohne Führerschein Auto fahre, baue ich irgendwann einen Unfall – im Internet ist das nicht anders“, sagt Thomas Wilcke.

Mensch als Sicherheitsschwachstelle

„Die größte Sicherheitsschwachstelle ist fast immer der Mensch“, sagt der Kriminalermittler, der bereits im Internet unterwegs war und selbst programmierte, als das World-Wide-Web in den 90er Jahren noch in den Kinderschuhen steckte. Daher weiß er von Anfang an, wie schwer es ist, im weltweiten Netz jemanden dingfest zu machen. „Oft ist meine Arbeit ein riesiges Puzzle.“ Dass am Ende tatsächlich ein Täter zur Verantwortung gezogen werden kann, gelingt dabei zwar selten, aber es gelingt.

Aber auch am Telefon sollte man niemals sensible Daten preisgeben. Selbst in Telefonaten, in denen es um die eigene Authentifizierung gehe. „Wenn der Anrufer seriös ist, müssen ihm beispielsweise die letzten Ziffern meiner Kundennummer oder Kontonummer ausreichen, um zu sehen, dass ich tatsächlich der bin, den er anrufen wollte“, sagt Thomas Wilcke. „Man kann es Betrügern schon mit ein paar Grundregeln schwer machen. Das wichtigste dabei ist: Nicht selbst sensible Daten herauszugeben und wenn’s um Kunden-, Konto- oder Zugangsdaten geht, immer doppelt vorsichtig sein – und vor allem: Niemals eine übermittelte Transaktionsnummer (TAN) über das Telefon weitergeben, egal was die Person gegenüber auch angibt.“