Der Hinweis am 23. Dezember war deutlich und klang alarmierend: „Achtung, Betrugsversuch! Phishing-Mails im Namen der Stadt“ teilte die Stadtverwaltung mit. So eine Warnung so kurz vor Weihnachten? Das ließ aufhorchen. Und die eilige Warnung an dem Tag, an dem eigentlich schon alle im Weihnachtsurlaub waren, ließ einige Fragen offen.
Im Gegensatz zu Phishing-Mails, die im Namen bundesweit tätiger Firmen oder Organisationen versandt werden, etwa von Banken, Versicherungen oder großen Firmen, ist der Kreis der potenziellen Opfer bei einem Betrugsversuch mit dem Namen der Stadt Unterschleißheim relativ gering. In den anderen Fällen können „mit der Gießkanne“ nahezu beliebige E-Mail-Konten angeschrieben werden. Ein bestimmter Prozentsatz ist wahrscheinlich immer mit dem jeweils im Mittelpunkt der Betrugsversuche stehenden Unternehmen in Kontakt, so dass die gefälschte Nachricht erst einmal Aufmerksamkeit erweckt.
Der Aufwand beim kleinen Empfängerkreis derjenigen, die sich durch den Missbrauch des Namens der Stadt Unterschleißheim möglicherweise überlisten lassen, würde sich für klassische Phishing-Betrüger daher nur lohnen, wenn der verwendete Adressverteiler mit hoher Wahrscheinlichkeit Adressen aus Unterschleißheim enthält. Sind also einem Unternehmen, einem Verein oder gar der Stadt E-Mail-Adressen gestohlen worden?
Berechtigte Warnung, überschaubare Gefahr
Diese Fragen konnten jetzt durch eine Anfrage von Ushel.news bei der Stadt geklärt werden. Vorab soviel: Die Warnung war berechtigt, es besteht aber kein Grund zur Panik und es liegen keine Hinweise auf einen Datendiebstahl vor.
Bisher ist nur ein Fall solch einer Mail an die Informationssicherheitsbeauftragte der Stadt herangetragen worden. „Da es sich aber um eine Masche handelt, die auch andere Stadtverwaltungen betroffen hat, war es unseres Erachtens sinnvoll, hierüber zu berichten, um die Öffentlichkeit hinsichtlich Phishing-Mails zu sensibilisieren“, teilt die Stadt mit. Denn bei Betrug im Internet, zumal in Zusammenhang mit einer öffentlichen Verwaltung reagiere man „äußerst sensibel, nicht zuletzt, um das hohe Vertrauen der Bürgerinnen und Bürger in die Stadtverwaltung nicht zu gefährden.“
Eine Firma gezielt angeschrieben
In dem bekannt gewordenen Fall war explizit eine Firma angeschrieben worden, die in Verbindung mit der Stadtverwaltung steht, beziehungsweise gestanden hat. Auf einen möglicherweise gestohlenen Adressbestand lässt diese eine Mail keine Rückschlüsse zu. Es handelte sich um eine allgemeine Firmen-E-Mail-Adresse und nicht um die Adresse einer Einzelperson.
Das deutet eher auf einen „Schuss ins Blaue“ als eine großangelegte kriminelle Kampagne hin. Allerdings könne auch solche Schreiben – per E-Mail oder sogar per Post – hohe Glaubwürdigkeit vortäuschen. Seit Jahren bekannt ist zum Beispiel eine Masche, bei der Firmen nach einer Neueintragung oder Änderung im Handelsregister umgehend einen vermeintlichen „Gebührenbescheid“ erhalten.
Die Betrüger greifen dazu auf öffentlich verfüpbare Daten im Handelsregister zurück, der Brief kommt umgehend nach der Veröffentlichung der Daten. Das Fiese daran: Es fallen tatsächlich Gebühren an, die echte Rechnung trifft aber oft erst einige Tage später ein und fällt zudem deutlich geringer aus.
Wie es weiter geht und was man tun kann
Im aktuellen Fall hat die Stadt die Polizeiinspektion 48 informiert. Nach bisherigem Kenntnisstand ist kein Schaden entstanden. Sollten Bürgerinnen und Bürger weitere Fragen haben, können sie sich an die Pressestelle der Stadt (presse@ush.bayern.de) wenden. Von dort werden die Meldungen an die verantwortlichen Stellen weitergeleitet.
Tipps zum Verhalten bei dubiosen E-Mails und was Experten raten, wie Ihr Euch schützen könnt und solltt, findet Ihr auch im Beitrag über die ursprüngliche Warnung bei Ushel.news von Dezember.
