BSK betreut als Kommunikationsagentur eine Reihe von Technologie-Kunden, die im IT-Sicherheitsumfeld tätig sind. Und weil wir glauben, dass zu einem umfassenden Cyber Security Schutz auch präventive Krisenkommunikation gehört, sind wir Mitglied der Cyber Protect Partnership Initiative. Wir sind aber als Unternehmen auch selbst Ziel von Cyber-Attacken. Die meisten entlocken uns nur ein müdes Gähnen. Dennoch sehen wir es natürlich als unsere Pflicht an, z. B. fortgesetzte Betrugsversuche nach dem CEO-Fraud-Modell an die Behörden zu melden, denn trotz umfangreicher Medienberichterstattung werden nach wie vor viele Unternehmen Opfer solcher Betrugsmaschen.

Aber dass es gar nicht so leicht ist, z. B. bei der Polizei einen kompetenten Ansprechpartner für das Thema zu finden, zeigt die kleine Episode, die meine Kollegin Birgit aufgeschrieben hat. Digitalisierung wird völlig überbewertet. Und das Internet ist Neuland. Viel Spaß beim Lesen!

Nachdem ich innerhalb einer Woche nun die dritte (gefakte) E-Mail unseres Geschäftsführers erhielt mit der dringenden Bitte um eine Überweisung in fünfstelliger Höhe, nahm ich Kontakt zum Cybercrime Kompetenzzentrum (neudeutsch: CCCC) beim LKA NRW auf. Der nette Herr Meyer verwies mich an die für uns zuständige Polizeidienststelle in Viersen und gab mir auch gleich die Telefonnummer mit auf den Weg. Mit der Zentrale der Polizei Viersen entspann sich folgender munterer Dialog, nachdem ich mich ordnungsgemäß mit Namen und Firma vorgestellt hatte:

„Ich hätte gern jemanden aus der Abteilung CEO Fraud oder Betrug gesprochen.“

„Um was geht es denn?“

„Ich habe gefälschte Mails erhalten, in denen unser Geschäftsführer um die dringende Überweisung einer fünfstelligen Summe bittet. Ich würde diese E-Mails inklusive Header nun gerne an Sie weiterleiten.“

„Das geht auf keinen Fall!“

„??? Warum nicht?“

„Da könnte ja ein Virus drin sein!! Sie müssen die Mails ausdrucken und damit bei der Polizei in Willich persönlich Anzeige erstatten!!“

„Das macht aber überhaupt keinen Sinn. So bekommen die Kollegen ja keinerlei Hintergrundinfos, die sich z.B. im Header befinden. So ein Quatsch!“

„—-“ Aufgelegt. Einfach so.

Ich habe dann noch einmal den netten Herrn Meyer angerufen und ihm von meinem Telefonat berichtet. Seine Reaktion würde ich zwischen Lachflash und Fremdschämen einsortieren. Dank Herrn Meyer hatte ich keine Viertelstunde später den Anruf eines wirklichen Fachmanns aus Mönchengladbach.

Der hatte sogar eine (externe) E-Mailadresse für „solche dreckige Post“, wie er sagte. Unsere Mails schaut er sich jetzt mal an. Aber wie ich nun auch weiß, können auch die Header gefakt werden. Wir werden also kaum eine internationale Betrügermafia damit aushebeln können. Aber zumindest haben wir unseren Teil dazu beigetragen, dass ein paar kleine Indizien zusammengetragen werden können.
Ich habe noch darüber nachgedacht, ob ich der Polizei in Viersen noch eine Mail schicke mit Dank für die kompetente Beratung. Aber das geht ja nicht. Ich müsste die Mail ja ausdrucken und persönlich damit zur Polizei marschieren. Och nö…