Gönnheim 
Turnverein übers Ohr gehauen
Eigentlich war es für den Kassenwart des TV Gönnheim, Thomas Gräff, ein ganz normaler Vorgang: Vereinschefin Christine Kirsch bat in einer E-Mail – auf den ersten Blick gesendet über ihr iPhone – um eine Überweisung. Dass hinter der Mail gar nicht die Vereinschefin stand, sondern Betrüger vor dem Computer irgendwo in dieser Welt, war für ihn nicht im geringsten ersichtlich. Es macht ihn wütend und beschämt, dass ihm das passiert ist. Und er will andere Vereinskollegen warnen.
„Kannst du eine Überweisung machen?“, stand in der Mail, in deren Absender „Christine Kirsch – vorsitz@tv-goennheim.de“ zu sehen war. „Kann ich sofort“, antwortete Gräff daraufhin und bekam wenig später die Überweisungsdaten. Gerade im Januar fallen viele Überweisungen für Versicherungen und Verbände an, einen Grund stutzig zu werden, hatte er zunächst nicht, die Mail-Absenderangaben schienen absolut authentisch. Der Betrag war kaum auf das angegebene Konto überwiesen, war er auch schon wieder weg.
Etwas war dann doch anders
Dennoch war in dem Fall etwas anders: Hat Gräff zuvor etwas für den Verein überwiesen, hat er sich zuerst mit Kirsch telefonisch abgesprochen. „Da ist mir gedämmert, dass was faul sein könnte“, sagt der Vereinskassierer. Ein Kontrollanruf bei Kirsch ergab: Es war etwas faul, sie hatte die Überweisung nicht in Auftrag gegeben, sie wusste von nichts.
Kirschs Stellvertreter Sven Hafner, gelernter Informatiker, stellte Recherchen an, um die technischen Zusammenhänge der gefälschten Mails aufzuzeigen. Der Verein hat Anzeige erstattet und Hafners Recherchen der Polizei zur Verfügung gestellt.
Bei der Ansicht der erweiterten E-Mail-Informationen, die der normale E-Mail-Nutzer, im vorliegenden Fall der Kassenwart, nicht sehe, könne man die echten (technischen) Absende-Informationen erkennen, so Hafner. Es handle sich um Email-Spoofing, das direkt auf die Personen im Vorstand (Kassenwart und 1. Vorsitzende) zugeschnitten wurde. An beide Namen und E-Mail-Adressen kommt man leicht, sie finden sich auf der Webseite des Vereines.
Eine Spur führt nach Nigeria
Offensichtlich wurde Gräffs E-Mail auch direkt von den Absender-Personen, die in diesem Betrug auftreten, beantwortet. So wurde innerhalb einer Stunde die Bankverbindung mitgeteilt. Die IP- Adresse liegt auf einem Server in Paris und gehört laut Hafner zu einer bekannten Quellen-Adresse für Cyber-Bedrohungen. Die „reply-to“-Adresse ist eine andere als die Absender-Adresse, aber auch sie ist bekannt für Spam. Gräff hatte das Geld auf eine deutsche Direktbank überwiesen, die sich auf die Kontoführung per Smartphone spezialisiert hat. Sie tauche immer wieder mal in den Medien um gekaperte Konten und Betrugsfälle auf, weiß der Vereinsvize. Die Spur des überwiesenen Geldes zeigt laut Hafner nach Nigeria, an die exakten Details kämen allerdings nur professionelle IT Cybersecurity Experten. Die Antworten zeigten aber auch, dass die Betrüger ausgezeichnet Deutsch sprechen müssten.
Nach dieser Erfahrung warnt Gräff andere Vereinskollegen: „Jede Überweisung mit dem Anweisenden vorher unbedingt telefonisch absprechen. Nur das stellt sicher, dass man nicht auf diese Betrugsmasche hereinfällt.“ Den Betrag im niedrigen vierstelligen Bereich will er dem Verein aus eigener Tasche ersetzen.
Internetbetrug ist bei der Dürkheimer Polizei ein ständiges Thema. Dass man im Internet etwas bestellt und bezahlt und es dann nicht geliefert bekommt, ist Alltag, aber: „Wir sind Polizeibeamte und keine IT-Experten“, stellt der stellvertretende Leiter der Polizeiinspektion, Daniel Mischon, klar. Bekomme man aber Anhaltspunkte wie Hafners Internetrecherche und stoße selbst „an Grenzen“, könne man eine Fachabteilung um Unterstützung bitten.