Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Update: Missbrauch von Behörden- und Unternehmensdaten

- Warnmeldung

Die CSBW warnt vor einer aktuellen Welle an Betrugsversuchen. Cyberkriminelle versuchen dabei Konto- und Rechnungsdaten auf verschiedenen Wegen bei Behörden und Unternehmen abzugreifen und die erbeuteten Daten zu missbrauchen.
Mann sitzt vor Laptop. Vor Laptop-Tastatur erscheinen verschiedene Symbole wie ein Kreditkarten-Symbol, ein E-Mail-Symbol, ein Warnsymbol und ein Schloss.

© Adobe Stock

Die Warnmeldung wurde am 28. März 2024 aufgrund weiterführender Informationen aktualisiert. 

Betrüger fokussieren Bank- und Rechnungsinformationen

Bei der CSBW gingen im Zeitraum vom 23. Januar 2024 bis zum 8. Februar 2024 mehrere Meldungen zu Betrugsversuchen bei Behörden ein. Die vermeintlichen Absender waren baden-württembergischen Unternehmen. Im selben Zeitraum meldeten mehrere baden-württembergische Unternehmen eine missbräuchliche Verwendung ihrer Daten und E-Mail-Adressen. Allen Fällen gemein ist, dass die Manipulation von und mit Bank- sowie Rechnungsinformationen im Fokus der Betrüger stehen.

Die nachfolgenden Abschnitte schildern die unterschiedlichen Ereignisse und Vorfälle.

Erschleichung von Rechnungsinformationen

Eine Behörde meldete der CSBW folgendes betrügerische Vorgehen, mit dem Kriminelle Rechnungsdaten erschleichen wollten:

  • Betrüger registrierten eine E-Mail-Adresse im Namen eines angeblichen Mitarbeiters der betroffenen Behörde.
  • Über diese Adresse meldeten sich die Kriminellen bei einem Unternehmen, mit dem die Behörde in Geschäftsbeziehung steht. Die notwendigen Informationen hierzu erhielten die Akteure wahrscheinlich auf einer öffentlich einsehbaren Vergabeplattform.
  • In der E-Mail gaben sich die Betrüger als ein Mitarbeiter der Behörde aus und erfragten Informationen zu offenen Rechnungen.

Der Betrugsversuch wurde als solcher enttarnt und war erfolglos. Wenn er erfolgreich gewesen wäre, dann wären die Rechnungsinformationen mit hoher Wahrscheinlichkeit für eine der weiter unten beschriebenen Betrugsmaschen verwendet worden.

Im Zusammenhang mit der oben beschriebenen Masche warnt das Landesamt für Sicherheit in der Informationstechnik (LSI) Bayern vor dem Missbrauch von Ausschreibungsdaten und Kontaktformularen auf der Ausschreibungsplattform TED der Europäischen Union. Diese werden ebenfalls für das geschilderte Vorgehen verwendet.

Missbrauch von Unternehmensdaten und E-Mail-Adressen für Betrugsversuche

Mehrere Unternehmen meldeten folgendes betrügerisches Vorgehen:

  • Betrüger verschickten E-Mails im Namen der Firmen, welche die Empfänger dazu aufforderten, ihre Kontodaten zu ändern.
  • Die Aufforderung zur Änderung der Bankverbindung erfolgte im Zusammenhang mit offenen Rechnungen, die die Empfänger gegenüber den Unternehmen tatsächlich zu begleichen haben oder angeblich hätten.
  • Die Absende-Adressen der E-Mails wurden bei diesen Betrugsversuchen entweder von der echten E‑Mail-Adresse einer Firma abgeleitet oder waren erfundene Gmail-Adressen. In einigen Fällen begann die gefälschte E-Mail-Adresse beispielsweise mit Buchhaltung@firmenname.de

Betrugsversuche bei Behörden mit Konto- und Rechnungsdaten im Fokus

Nachfolgend werden der CSBW gemeldete Betrugsversuche beschrieben. In beiden Fällen wurden Gmail-Accounts mit erfundenen Namen verwendet.

 

    • Betroffene wurden in einer authentisch wirkenden E-Mail mit real existierenden Absendern dazu aufgefordert, Kontoinformationen der in der gleichen Behörde arbeitenden Absendern für zukünftige Gehaltszahlungen zu ändern.
    • Die Absendernamen und Signaturen waren die von echten Behördenmitarbeitern, die Absende-Adressen waren jedoch erfunden.

    • Betroffene wurden in einer authentisch wirkenden E-Mail mit vermeintlich realem Absender dazu aufgefordert, offene Rechnungen zu begleichen.
    • Der Absender schrieb im Namen eines tatsächlich existierenden Unternehmens, mit dem die betroffene Behörde in Geschäftsbeziehung steht.
    • Die in der E‑Mail enthaltenen Rechnungsinformationen wie Rechnungsbetrag und Rechnungsnummern waren ebenfalls echt. Die Absende-Adresse war jedoch erfunden.
    • Weiter wurde in der E-Mail nachgefragt, ob die Bankverbindung noch geändert werden könne, an welche die Opfer die offenen Beträge überweisen sollten. Die Bankverbindung sei seit einem bestimmten Datum eine andere und das Unternehmen erwarte die Zahlung auf das neue Bankkonto. Zudem bat der Absender um Rückmeldung und die E-Mail war mit einer echt scheinenden Signatur versehen.

Wenn Betroffene nicht auf die erste betrügerische E-Mail reagierten, erhielten sie in manchen Fällen eine ähnlich authentisch wirkende zweite E-Mail. In dieser wurden sie gebeten, den Erhalt der ersten Betrugs-Mail zu bestätigen.

Reaktionen auf die Vorfälle

Die betroffenen Behörden reagierten folgendermaßen, nachdem die Vorfälle erkannt worden waren:

  • Sie beantragten, die falschen Absenderadressen zu sperren.
  • Sie verschickten Warnmeldungen an potenziell betroffene Institutionen innerhalb der Landesverwaltung oder leiteten Meldungen betroffener Unternehmen weiter.
  • Sie erstatteten Anzeige bei den Strafverfolgungsbehörden.
  • Den Unternehmen, in deren Namen die Betrugsversuche unternommen wurden, rieten die betroffenen Behörden, Anzeige bei den Strafverfolgungsbehörden zu erstatten.

Bewertung der Betrugsmaschen und Vorgehensmuster

Die beschriebenen betrügerischen Maschen sind nicht neu. Die Vorgehensweisen ähneln vergangenen Kampagnen, die alle wellenartig verliefen. Dennoch ist äußerste Vorsicht geboten, denn sensible und persönliche Daten sind oft leichter zugänglich als gedacht. Kompromittierungsindikatoren (Indicators of Compromise, kurz: IoC) können zu den genannten Vorfällen nicht identifiziert oder erstellt werden, da sich die Infrastruktur, die Vorgehensweisen der Kriminellen sowie ihre Betrugsmaschen zu schnell ändern.

Informationen für Kriminelle leicht zugänglich

Außerdem gehen Kriminelle immer dreister und raffinierter vor. Ihnen reichen oft einfache Informationen für ihre betrügerischen Zwecke wie eine E-Mail-Adresse auf einem Werbeplakat oder ein auf einer öffentlichen Plattform einsehbarer Rechnungsbetrag. Wenn eine Masche erfolgreich ist, ist damit oft großer finanzieller und daten- sowie persönlichkeitsrechtlicher Schaden verbunden.

Aus diesen Gründen sollte sich jede Person die Tragweite und das hohe Risiko bewusstmachen, bevor sie geschäftliche und persönliche Informationen in der Öffentlichkeit preisgibt. Dieses Bewusstsein sollte auch bestehen bleiben, während die Daten öffentlich sind und nachdem sie entfernt oder gelöscht wurden. Eine gewisse Skepsis und ein gesunder Argwohn sollten beim Umgang mit und der Preisgabe von Daten immer vorherrschen.

Handlungsempfehlungen der CSBW

Die CSBW hat Handlungsempfehlungen zusammengefasst, damit Sie sich besser gegen Betrugsversuche und Informationsdiebstahl wappnen können.