Wenn Rechnungen per E-Mail kommen, ist das für viele Einrichtungen und Dienste im Alltag längst Standard. Schnell, digital, praktisch, aber leider auch verdammt gefährlich. Denn genau dieses Gewohnheitsverhalten nutzen Cyberkriminelle mittlerweile gezielt aus. Die Fälle häufen sich, in denen Einrichtungen auf manipulierte Rechnungen reinfallen und das Geld auf dem Konto eines Betrügers landet. Und wenn das Kind einmal in den Brunnen gefallen ist, geht es nicht nur um den finanziellen Schaden, sondern oft auch um juristisches Gerangel, was richtig ungemütlich werden kann.
Bei der mittlerweile weit verbreiteten Betrugsmasche handelt es sich um sogenannte Man-in-the-Middle-Angriffe, bei denen sich Kriminelle in die digitale Kommunikation einklinken, mitlesen, gezielt Rechnungen manipulieren und sich als Geschäftspartner ausgeben. In vielen Fällen bleibt das unbemerkt, bis das Geld verschwunden ist. Besonders bitter ist, dass die Zahlungen oft auf sogenannte Geldwäschekonten geleitet und binnen Minuten ins Ausland weitertransferiert werden, was eine Rückholung fast unmöglich macht.
Die Täter arbeiten dabei äußerst professionell. Über Datenlecks gelangen sie an Zugangsdaten wie E-Mail-Adressen und Passwörter, die im Darknet gehandelt werden. Mit diesen Informationen erstellen sie täuschend echte Phishing-Mails, die massenhaft verschickt werden. Der Anhang dieser Mails enthält meist Schadsoftware, die sich beim Öffnen unbemerkt installiert und dem Täter umfassenden Zugriff auf den Rechner und insbesondere auf das E-Mail-Postfach verschafft. So lesen sie mit, richten automatische Weiterleitungen ein und beobachten den laufenden Schriftverkehr. Finden sie eine Korrespondenz zu Rechnungen oder Zahlungsvorgängen, greifen sie gezielt ein, indem sie etwa die Kontodaten auf einer angehängten Rechnung durch ihre eigene, meist zu einem Geldwäschesystem gehörende IBAN ersetzen.
Der Empfänger merkt davon meist nichts und überweist in gutem Glauben das Geld, das für den eigentlichen Rechnungssteller gedacht war. Im Nachhinein beginnt dann das große Rätselraten, wer für den Schaden verantwortlich ist, wer hätte genauer hinsehen müssen und wer schlicht nicht aufgepasst hat.
Gerichte prüfen in solchen Fällen genau, welcher der Beteiligten mehr zur Vermeidung des Schadens hätte beitragen können. Dabei geht es nicht nur um die technische Machbarkeit des Angriffs, sondern auch um die Frage, ob Auffälligkeiten in der Kommunikation, etwa eine geänderte Bankverbindung, hätten bemerkt werden müssen und ob der Rechnungssteller ausreichende Schutzmaßnahmen getroffen hatte. Die rechtliche Bewertung ist dabei meist komplex und sorgt für zusätzlichen Stress.
Einrichtungen und Dienste sollten deshalb nicht warten, bis es sie selbst trifft. Die Kriminalpolizei und viele Fachstellen warnen inzwischen ausdrücklich vor dieser Masche und empfehlen konkrete Schutzmaßnahmen. Dazu gehört, dass bei Mitteilungen über geänderte Kontodaten immer ein zweiter, unabhängiger Kommunikationsweg zur Bestätigung genutzt werden sollte, möglichst telefonisch mit einer bekannten Ansprechperson. Außerdem sollte die Zwei-Faktor-Authentifizierung für E-Mail-Konten zwingend eingeführt werden, falls das noch nicht geschehen ist.
Genauso wichtig ist die regelmäßige Schulung der Mitarbeitenden. Wer mit Rechnungen, E-Mails und sensiblen Daten umgeht, muss wissen, worauf zu achten ist. Nur so lassen sich Angriffe frühzeitig erkennen. Dabei geht es nicht um Panik, sondern um eine realistische Einschätzung der Risiken im digitalen Alltag. Wer E-Mails blind vertraut, lebt gefährlich.
Natürlich gibt es keine Garantie, dass jede Attacke verhindert werden kann. Aber wer die grundlegenden Sicherheitsmaßnahmen ignoriert, handelt fahrlässig und bleibt im Schadensfall oft auf den Konsequenzen sitzen. Gerade Einrichtungen der sozialen Arbeit, die ohnehin unter hohem finanziellen und personellen Druck stehen, können sich solche Verluste kaum leisten. Deshalb ist es umso wichtiger, dass sie sich nicht allein auf technische Systeme verlassen, sondern Abläufe schaffen, die menschliches Mitdenken und kritisches Prüfen in den Mittelpunkt stellen.
Wer sich nicht allein auf Glück oder spontane Wachsamkeit verlassen will, kann gezielt nachrüsten und sich professionelle Unterstützung holen.
Datenschutz bietet in diesem Zusammenhang mehr als nur die Einhaltung gesetzlicher Vorgaben, sondern kann aktiv zur Erhöhung der digitalen Sicherheit beitragen. Eine datenschutzkonforme Schwachstellenanalyse zeigt auf, wo konkrete Risiken in der E-Mail-Kommunikation bestehen. Darauf aufbauend lässt sich ein maßgeschneidertes Sicherheitskonzept entwickeln, das klare Verhaltensregeln im Umgang mit sensiblen Daten und digitalen Zahlungsprozessen etabliert. Besonders wirksam sind regelmäßig durchgeführte Schulungen, die Mitarbeitende nicht nur technisch sensibilisieren, sondern ihnen auch vermitteln, welche datenschutzrechtlichen Anforderungen im Alltag zu beachten sind. Einrichtungen können sich zudem durch eine kontinuierliche Datenschutzberatung begleiten lassen oder die Verantwortung einem externen Datenschutzbeauftragten übertragen, der eng mit den Teams vor Ort zusammenarbeitet. Auf diese Weise wird Datenschutz zu einem praktischen Instrument, das hilft, Betrugsversuche frühzeitig zu erkennen und Schäden zu vermeiden. Weitere Infos zu unseren Datenschutzdienstleistungen finden Sie unter: https://datenschutzberatung-ijos.de
PDF