Falscher Heller, echte Cyberkriminelle
Hüttenberg (pad). Cyberkriminelle hatten es auf die Gemeinde Hüttenberg abgesehen: Sie gaben sich als Bürgermeister Christof Heller aus und wollten so Hunderttausende Euro ergaunern.
Alles begann mit einer E-Mail, die am 12. Juli im Postfach der Kassenleitung der Gemeinde einging. Absender war angeblich der Bürgermeister. Er forderte darin Kontodaten an. Da dies kein ungewöhnlicher Vorgang ist, erfolgte prompt eine Antwort mit 14 Kontodatensätzen von Unternehmen.
Einen Tag später wurde es zunehmends merkwürdiger: Erneut meldete sich der »Bürgermeister«. Eine sechsstellige Summe solle überwiesen werden. Dabei würde es sich um einen Transfer handeln, der »höchst vertraulich« zu behandeln und daher auch nicht den Abteilungsleitern zu melden sei. Diese ungewöhnliche Anweisung stieß auf Skepsis - und auf einen überraschten Bürgermeister, als bei ihm persönlich nachgefragt wurde, was denn dahinter stecke.
Tatsächlich ist es technisch gesehen relativ leicht, eine falsche E-Mail-Adresse vorzugaukeln. So kann es etwa vorkommen, dass sich »Gott« bei einem per E-Mail meldet, wenn Freunde sich einen Scherz erlauben. Damit die Rückantwort auf eine andere Adresse umgeleitet wird, braucht es aber technisches Know-How - und zudem kriminelle Energie.
»Es war für mich ein stückweit ernüchternd, weil es nicht ersichtlich war, dass es sich um eine gefälschte E-Mail handelt«, sagte Bürgermeister Heller in einer Online-Konferenz am Montagnachmittag. »Jemand gibt sich für den Chef aus und versucht, so Geld zu ergaunern.« Die Gemeinde habe sofort die Abteilung Cyber- und IT-Sicherheit des Hessischen Innenministeriums sowie den Hessischen Datenschutzbeauftragten informiert, zudem Anzeige bei der Polizei erstattet.
Da die Kontodaten von Unternehmen kein Geheimnis sind - IBAN und Besitzername befinden sich auf jeder Rechnung und auch vielen Homepages - hieß es von den Behörden, es sei kein Schaden entstanden. Der Datenschutzbeauftragte empfahl jedoch vor wenigen Tagen, die Unternehmen zu informieren, damit diese besonders auf gefälschte Lastschriften achten können.
In Hüttenberg wäre der Betrugsversuch spätestens am Vier-Augen-Prinzip gescheitert, sagt Heller. Die Verwaltungsmitarbeiter würden trotzdem noch einmal besonders geschult - und ihnen ans Herz gelegt, beim geringsten Zweifel auch mal zum Telefonhörer zu greifen und nachzufragen, ob die E-Mail auch wirklich vom vermeintlichen Absender stamme.