Screenshot Wirtschaft.NRW | Bildquelle: wirtschaft.nrw

Kampf gegen Coronahilfe-Betrug "Wie Hase und Igel"

Stand: 14.04.2020 06:01 Uhr

In den Betrugsfällen bei der Corona-Soforthilfe konnten Ermittler einigen der erstaunlich professionell agierenden Tätern das Handwerk legen. Der Umfang des Schadens ist jedoch noch nicht absehbar.

Von Peter Hornung, NDR

Es war ein arbeitsreiches Osterwochenende für die Cybercrime-Spezialisten der nordrhein-westfälischen Polizei. Am Sonntag waren die Ermittler durch eine Nachfrage von NDR, WDR und "Süddeutsche Zeitung" auf eine Website aufmerksam geworden, die es in sich hatte. Unter der Internetadresse wirtschaft-nrw.info stand eine nahezu exakte Kopie des gesamten Webauftritts des NRW-Wirtschaftsministeriums im Netz. Sechs Stunden lang bemühten sich die Ermittler, die Seite aus dem Netz nehmen zu lassen, gegen Abend waren sie erfolgreich.

Screenshot einer gefälschten Internet-Seite
galerie

Die Webseite des Ministeriums wurde bis ins Detail kopiert - lediglich an der Adresse ist der Betrug zu erkennen.

Auf der gefälschten Seite fanden sich alle Inhalte, die auch auf der offiziellen Seite wirtschaft.nrw zu finden sind - mit einem Unterschied: Bei der Fälschung gab es ein Online-Formular für die Corona-Soforthilfe, das man noch ausfüllen konnte. Auf der echten Seite war das Formular jedoch schon am vergangenen Donnerstag abgeschaltet und die Zahlungen an Solo-Selbstständige und Kleinstunternehmer vorerst gestoppt worden.

Der Grund waren Betrugsversuche in den Tagen zuvor, bei denen nach Angaben der Landesregierung die Daten von 3500 bis 4000 Antragstellern Kriminellen in die Hände gefallen sein sollen. Doch während die ersten Fakes sich auf das Online-Formular selbst beschränkten, betrieben die Betrüger nun deutlich mehr Aufwand, indem sie den gesamten Webauftritt eines Ministeriums kopierten. Nicht erstaunlich, geht es doch um viel Geld, das zudem noch schnell und ohne lange Prüfungen ausgezahlt wird.

Die Ironie: Auf der Fakeseite fanden sich sogar die vergangene Woche veröffentlichten Warnungen von Wirtschaftsminister Andreas Pinkwart und Innenminister Reul vor Fake-Seiten dieser Art.

Offenbar Täter mit einschlägiger Erfahrung

Wer steckt dahinter? Die Spuren führen in die USA und nach Panama. Die Seite wirtschaft-nrw.info wurde am 8. April bei einem Dienstleister in Phoenix im US-Bundesstaat Arizona registriert. Der Anmelder hat dabei seine Identität verschleiert und dafür die Dienste eines von einer großen Anwaltskanzlei betriebenen Unternehmens in Panama in Anspruch genommen.

Nach Recherchen von NDR, WDR und SZ gibt es Hinweise darauf, dass der oder die Täter schon vor vier Jahren mit Internetbetrug aufgefallen sind - mit sogenannten Phishing-E-Mails und gefälschten Webseiten des Internethändlers Amazon und des Zahlungsdienstes PayPal.

Schaden noch nicht absehbar

In Nordrhein-Westfalen hofft man jedenfalls, dass der Schaden durch die bereits vergangene Woche abgeschalteten ersten Fakeseiten möglicherweise doch nicht so hoch ist wie zunächst befürchtet. Rein rechnerisch hätte dieser in den zweistelligen Millionenbereich gehen können, wenn man davon ausgeht, dass an die bis zu 4000 Antragssteller, deren Daten abgegriffen wurden, mindestens je 9000 Euro ausgezahlt werden sollten.

Daten abgegriffen und eigene Anträge gestellt

Die Masche der Betrüger ist simpel: Mit den durch nachgemachte Antragsseiten erbeuteten Daten können sie selbst Anträge auf Corona-Soforthilfe stellen. Sie übernehmen einfach alle Angaben der echten Antragssteller - bis auf das Bankkonto. An dieser Stelle setzen die Kriminellen eigene Kontonummern ein, sogenannte Bankdrops. Das sind Bankkonten, auf die die wirklichen Inhaber keinen Zugriff mehr haben.

Mit solchen Bankdrops wird im Darknet gehandelt, sie werden auch für den Betrug mit zahllosen Internet-Fakeshops benutzt. Dass das offizielle Antragsformular gerade nicht funktioniert, ist dafür unerheblich. Die Täter können ja warten, bis die Antragstellung wieder möglich ist.

Einige Versuche flogen auf

Nach ersten Erkenntnissen der Ermittler wurden jedoch nicht alle erbeuteten Daten von den Betrügern für echte Anträge benutzt. Zudem habe man Anträge mit ausländischen Kontonummern genauer geprüft, mit der möglichen Folge, dass Betrug verhindert wurde. "Das Wichtigste ist, dass wir noch mehr Sicherungen einbauen", sagte NRW-Innenminister Herbert Reul im ARD-Interview. "Wir versuchen derzeit mit Finanz- und Wirtschaftsministerium ein System zu entwickeln, mit dem Fehler schneller erkannt werden."

Den Recherchen zufolge wird unter anderem diskutiert, die auf Soforthilfe-Anträgen angegebenen Kontoverbindungen mit Bankkonten abzugleichen, die den nordrhein-westfälischen Finanzämtern bereits bekannt sind. Auch werde man möglicherweise die Antragsteller selber bitten, vor einer Auszahlung die Kontoverbindung noch einmal zu kontrollieren, so Innenminister Reul.

Landesregierung sichert Internetadressen

Zu den Maßnahmen gegen Online-Betrug gehört zudem, dass sich die Landesregierung Internetadressen sichert, die ähnliche Namen wie die offizielle Seite aufweisen und die deshalb für Betrügereien mit nachgeahmten Formularen gut geeignet sind. Grundsätzlich sei der Kampf gegen Online-Betrüger aber ein bisschen wie "Hase und Igel", so ein leitender Polizeiermittler - denn die Kriminellen zaubern immer neue Internetadressen aus dem Hut, auf dem sie ihre Fakeseiten platzieren. Angelockt werden potentielle Antragssteller mit Google-Anzeigen, die - weil sie bezahlt sind, - ganz oben in den Suchergebnissen erscheinen.

80.000 Internet-Adressen zu Corona

Wie unübersichtlich das Internet in Sachen Corona inzwischen ist, zeigt eine NDR, WDR und SZ vorliegende Liste mit knapp 80.000 Webadressen, die seit März weltweit registriert wurden und die Begriffe "Corona" bzw. "Covid-19" enthalten. Da ist alles dabei: von Corona-Selbsthilfen über Schutzmasken-Shops und angeblichen Heil- und Hilfsmitteln ("spermidin-bremst-coronavirus.info" oder "hypnose-corona-virus.de") bis hin zu Impfstoffen ("schutzimpfung-corona.online"). Solche Adressen werden oft hundertstückweise reserviert, um sie zu einem späteren Zeitpunkt gewinnbringend zu verkaufen.

Forscher des Hasso-Plattner-Instituts (HPI) beobachten schon seit einigen Wochen Gefahren im Cyberraum, die im Zusammenhang mit Corona stehen. Darunter waren zahlreiche mehr oder minder professionelle Seiten, die in mutmaßlich betrügerischer Absicht freigeschaltet wurden.

Betrüger agieren blitzschnell

"Wir haben eine Reihe von Seiten beobachtet, die zu verschiedenen Zeiten online gegangen sind", sagt Christian Dörr, Professor für Cybersicherheit am HPI. So sei die erste dieser Seiten schon am 18. März freigeschaltet worden: soforthilfe-coronavirus.de. Ende des Monats sei dann soforthilfe-coronanrw.de dazugekommen. "Die war insbesondere interessant, weil die offizielle Webseite der Landesregierung ja soforthilfe-corona.nrw.de ist", sagt Dörr.

Wer die Corona-Soforthilfe im Internet beantragen, kann den kleinen Unterschied leicht übersehen. Im Fall der Seite "ohne Punkt" ist das aber inzwischen kein Problem mehr,  denn diese Seite hat sich die Landesregierung vergangenen Donnerstag gesichert. Wer die falsche Internetadresse aufruft, wird umgeleitet - auf die richtige Seite des Wirtschaftsministeriums.

Corona-Soforthilfe: NRW will Betrug verhindern
Peter Hornung, ARD
14.04.2020 08:51 Uhr

Download der Audiodatei

Wir bieten dieses Audio in folgenden Formaten zum Download an:

Hinweis: Falls die Audiodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Über dieses Thema berichtete Deutschlandfunk am 13. April 2020 um 18:23 Uhr.

Autor

Peter Hornung, NDR Logo NDR

Peter Hornung, NDR

Darstellung: