Über die perfiden Tricks der Identitätsdiebe und was dagegen helfen kann sprachen wir mit Erik Manke von der Gewerkschaft der Polizei Hamburg. Webinar zum Thema am 13. April 2021

„Die COVID-19-Pandemie hat seit letztem Jahr alle gesellschaftlichen Bereiche einschneidend verändert und auch Auswirkungen auf die Kriminalitätsentwicklung in Hamburg gehabt. Mögliche Einflussfaktoren der Pandemie auf die Kriminalität finden sich in den Mobilitäts- und Kontaktbeschränkungen, Veränderungen von Angebot und Nachfrage bestimmter Warengüter, dem Anstieg des Stresslevels und der Schließung von Örtlichkeiten.“

Das sind die einleitenden Worte im Handout der Landespressekonferenz vom 02.02.2021 zur „Kriminalitätslage 2020“ der Polizei Hamburg. Und die Zahlen belegen es: Während Taschendiebstahl im Vergleich zu 2019 um 2.659 Fälle (minus 22,7 %) auf 9.063 Fälle zurückging, stieg im Vergleichszeitraum die Zahl der Fälle zum Waren- und Warenkreditbetrug um 1.135 Fälle (plus 13,7 %) auf 9.399 Fälle.

Und weil wir im eigenen Mandantenkreis die Fälle erleben, in denen selbst erfahrene Unternehmer durch ausgefeilte Betrugsvorhaben zu Schaden kommen, wollten wir wissen, wie Sie sich dagegen am besten schützen können. Und wen fragt man dafür am besten? Richtig: einen Experten der Polizei: Erik Manke, Fachbereichsvertreter Kriminalpolizei der Gewerkschaft der Polizei im Landesverband Hamburg und seit über 20 Jahren bei der Polizei Hamburg beschäftigt. Lange Jahre hat er Polizeibeamte in Hamburg intern im Bereich Betrugsbekämpfung aus- und fortgebildet. Seit Neuestem hält er auch Vorträge auf Kongressen der freien Wirtschaft mit dem Ziel, die Zusammenarbeit zwischen den Strafverfolgungsbehörden und den Unternehmen effizienter zu gestalten, um so den Betrügern das Leben schwerer zu machen.

___ Die Hamburger Kriminalitätsstatistik zeigt, wie sich die Aktivitäten von Kriminellen in Zeiten der Covid 19-Pandemie verändern. Wie erklären Sie sich das? 

Nun ja, ein Dieb wird im Volksmund ja gerne als „Langfinger“ bezeichnet. In Zeiten, in denen besonders auf Abstand geachtet wird, muss man erkennen, dass, egal, wie lang die Finger des Langfingers auch sein mögen, diese wohl nicht lang genug sein dürften, um erfolgreich zu sein. Darüber hinaus fällt für Ladendiebe bei geschlossenen Einkaufsläden aufgrund des Lockdowns schlichtweg die Arbeitsgrundlage weg.

Man kommt nicht umhin zu erkennen, dass Täter, die maßgeblich oder ganz von der Begehung von Straftaten leben, in Zeiten der Wegnahme der Möglichkeiten jetzt auf einmal einer legalen und geregelten Arbeit mit Sicherheit nicht nachgehen werden. Vielmehr habe ich bereits im März 2020 davor gewarnt, dass Täter „umschulen“ werden und der Betrug immens zunehmen wird. Und das ist auch geschehen. Es überrascht mich leider nicht.

Das Webinar zum Thema:

Geschäftliche und privat Betrugsprävention durch sorgfältige Vertragsgestaltung, systematische Bonitäts- und Identitätsprüfungen sowie rigorose Schutzmaßnahmen

___ Welche Betrugstaten genau sind das und wie funktionieren die?

Das Feld ist hier breit gespannt. Im Wesentlichen ist die Grundlage vieler Taten jedoch der mittlerweile allgemein bekanntgewordene Identitätsdiebstahl.

___ Was genau ist denn eigentlich ein Identitätsdiebstahl und wie funktioniert er?

Darunter versteht man im Allgemeinen das Ausspähen einer fremden Identität zur anschließenden missbräuchlichen Nutzung. Wobei ich gleich erwähnen möchte, dass es nicht nur um die Identität von Personen geht, sondern auch um die Identität von Unternehmen.

Noch vor 15 Jahren waren die Prüfungsmechanismen vieler Unternehmen relativ unausgereift und es ist ein Einfaches gewesen, sich eine x-beliebige Identität auszudenken und diese für Bestellungen auf Rechnung und Konsumentenkredite zu benutzen. Seinerzeit konnte man unter Nutzung eines ausgedachten Namens – bei der Polizei sagt man dazu im Übrigen „Alias-Personalie“ – betrügen: der Händler bzw. die Bank, die betrogen werden sollte, fragte bei ihrer Auskunftei nach Negativeintragungen und das wurde dann verneint. Denn wer nicht existiert, kann ja auch keinen Negativeintrag haben (lacht).

___ Sie sagen, früher war das so. Hat sich daran etwas geändert? 

Exakt! Heute ist es so, dass die Schufa nach einer gewissen Historie gefragt wird. Und da die bei ausgedachten Alias-Personalien nicht vorhanden ist, haben die Täter reagiert und Personalien, echte „Fake-Personen“ quasi zum Leben erweckt. Es gibt darüber zwar keine Studie, aber unter Betrugsjägern ist es längst bekannt, dass die Personalien teilweise über ein Jahr lang und länger mit Leben gefüllt werden, um so einen guten Score zu erreichen.

___ Und wie kann ich mich dagegen schützen?

Betrugsprävention ist mittlerweile zu einem Industriezweig geworden. Neben den vier großen Auskunfteien, Arvato, Creditreform-Boniversum, CrifBürgel und Schufa gibt es noch zahlreiche andere Unternehmen, die sich im Gegensatz zu den vieren, die sich neben der Bonitätsprüfung auch mit Betrugsprävention befassen, ausschließlich um Betrugsprävention kümmern. Bei der Betrugsprävention geht es unter anderem darum, anhand der bloßen Kundendaten zu erkennen, ob es sich eindeutig oder zumindest mit einer sehr hohen Wahrscheinlichkeit um eine betrügerische Bestellabsicht handelt. Der Fachmann spricht von einem fraudulenten Handeln. Jedes Unternehmen ist hier auf eine hohe Trennschärfe aus, weil man die zahlende Kundschaft natürlich nicht verlieren will. Das ist stets ein Ritt auf Messers Schneide. In den einzelnen Unternehmen herrscht immer ein Abwägen zwischen Interessen des Vertriebs versus Interessen der Revision.

___ Können Sie bezüglich der auszuwertenden Kundendaten von Details berichten?

Ein einfaches Bespiel, welches auch gut nachvollzogen werden kann, ist das Datum der Wohnanschrift. Wenn sich jeder mal versucht daran zu erinnern, als er das letzte Mal ein Bankkonto eröffnet hat. Da gibt es im Kontoeröffnungsantrag ein Feld, das ausgefüllt werden muss, wenn die aktuelle Wohnanschrift jünger ist als drei Jahre. Dem liegt die statistische Erkenntnis zugrunde, dass Auskunfteien „wissen“, dass es dann ein erhöhtes Risiko des Zahlungsausfalls gibt. Aus diesem Grund sehe ich übrigens auch das Airbnb-Angebot zumindest skeptisch, da insbesondere die vorübergehende Wohnanschrift von Betrügern gerne für ihre kriminellen Machenschaften genutzt wird.

___ Wie genau geht das mit der neuen Adresse?

Wenn man etwas im Internet oder ganz oldschool per Telefon bestellt, dann gibt man Namen und Adresse an. Das Geburtsdatum wird ganz oft nicht abverlangt. Das Versandhaus fragt jetzt bei zum Beispiel bei einer Auskunftei an, ob es mit dem Namen und der Anschrift Negativerfahrungen gibt. Da der Täter gerade „frisch“ zur Begehung von Straftaten seinen Wohnsitz geändert hat, weiß die Auskunftei da noch nichts von und erklärt, dass keine Negativmerkmale vorhanden sind und schon „rutscht“ die Tat durch. Würde den Auskunfteien auch das Geburtsdatum übermittelt werden, könnte sie jetzt prüfen, ob die Personalie anderenorts negativ aufgefallen ist und einen Warnhinweis geben. Aber bei über 83 Millionen Einwohnern wäre es fatal, einen Warnhinweis nur bei Übereinstimmung von Vor- und Nachnamen zu geben. „Michael Meier“ ist schließlich ein Sammelbegriff.

___ Aber warum warnen die Bonitätsauskünfte nicht besser?

Das ist ganz einfach: Es kommt auf die Fragestellung des Versandhauses an. Wenn man nur fragt, ob es Negativmerkmale gibt, bekommt man auch nur darauf eine Antwort, die auch noch günstiger ist als eine umfangreichere Auskunft. Die Unternehmen verstehen teilweise selbst zu wenig von Betrug und ahnen noch nicht einmal, dass sie besser fragen könnten. Hier gibt es viel Nachholbedarf und gerade junge Onlineshops machen oft bitterliche Erfahrungen.

___ Also tragen Datensammlungen zu mehr Sicherheit bei?!

Genauso ist es. Natürlich ist der Datenschutz ein sehr wichtiges Gut, und es muss eine exakte Kontrolle seitens der Datenschutzbeauftragten stattfinden, wann welches Datum wie genutzt wird. Aber wie sehr qualitativ hochwertige Daten im Bereich der Prävention wichtig sind, sehen wir bei der Corona-Pandemie. Um Infektionsketten nachvollziehen zu können, müssen außerhalb des Lockdowns Gastronomiebetriebe die Gästedaten erfassen. Ich wünsche mir, dass die Selbstverständlichkeit der Datensammlung zum Erkennen einer Infektionskette auch dazu beitragen wird, dass wir zur Abwehr von Betrug auch bereitwilliger unsere Daten preisgeben.

___ Womit wir wieder beim Identitätsdiebstahl wären. Ich fasse kurz zusammen: Betrüger spähen heutzutage also echte Personalien aus und nutzen diese, um ihre Taten zu begehen. Etwaige Bonitätsauskünfte geben keine Warnsignale, weil die Personalien konkret zugeordnet werden können und bisher nicht negativ aufgefallen sind. So weit so gut. Aber wenn der Täter jetzt zum Beispiel meine Daten ausgespäht hat und etwas zu mir nach Hause bestellt, wie kommt er dann an die Beute? Wenn ich Sie richtig verstanden habe, muss er die ja zu mir senden, weil im Rahmen einer mutmaßlichen Bonitätsauskunft auch die Adresse abgefragt werden könnte.

Es ist so perfide, wie es klingt: Die Paketversender bieten heute im Rahmen der höchstmöglichen Kundenfreundlichkeit unter anderem an, dass Sie Ihre Ware, die sich bereits auf dem Versandweg befindet, noch umleiten können. Aufgrund der Trackingfunktionen ist das für jeden Täter sehr gut überwach- und steuerbar. Kurz vor Auslieferung an die Adresse der Person, deren Daten ausgespäht worden sind, wird die Ware dann zum Beispiel an einen Kiosk mit „DHL-Funktion“ umgeleitet. Der Täter holt das Paket dort in aller Ruhe und Bequemlichkeit – und vor allem mit dem Schutz vor Entdeckung – ab.

___ Das klingt ja zu einfach.

Ist es auch. Nicht umsonst ist bekannt, dass europäische Täter ihr Wirkungsfeld auf Deutschland verlagert haben, weil es hier so schön einfach ist. Der Kauf auf Rechnung macht es möglich. In anderen Ländern ist diese Art der Bezahlung – oder vielmehr Nicht-Bezahlung – gar nicht möglich. Trotz der Einfachheit ist das Vorgehen höchst kriminell und kann empfindlich bestraft werden.

___ Kann man sich als Privatperson davor denn schützen?

Es gibt dazu allgemeine Hinweise, die zwar alle der Wahrheit entsprechen, ich diese jedoch als relativ lasch empfinde. Natürlich ist es unbedingt wichtig, nicht nur sichere Passwörter, sondern für alle seine Online-Accounts auch unterschiedliche Passwörter zu benutzen. Darüber hinaus muss man den Grundsatz verinnerlichen, dass z. B. eine Bank NIEMALS bei einem anrufen und irgendein Passwort am Telefon oder gar die Eingabe einer PIN oder TAN abverlangen wird. Gerade in den vorherrschenden Corona-Zeiten fallen Bürgerinnen und Bürger aber leider immer wieder darauf rein, da der Betrüger am Telefon erklärt, dass man aufgrund der Kontaktbeschränkungen gerade nicht in die Filiale gehen solle und daher eine Sicherheitsabfrage am Telefon stattfinden muss. Der Bürger verkennt, dass das seitens einer Bank niemals stattfinden wird. Auch nicht während Corona!

___ Das klingt ja perfide. Das funktioniert?

Wie geschnitten Brot, kann ich da nur sagen. Viele Menschen haben durch die Unsicherheit eine gewisse Grundangst, und diese Tatsache machen sich Täter seit einigen Monaten vermehrt zunutze, indem sie die Maßnahmen zur Bekämpfung der Pandemie als Masche verwenden.

___ Gibt es weitere Empfehlungen, die Sie aussprechen können?

Zurzeit diskutiere ich einige Lösungsansätze mit Unternehmen. Es wäre einfach, wenn der Bürger verstehen würde, dass die Abgabe der eigenen Daten an ganz bestimmte Unternehmen ein sehr guter Schutz sein kann. Das ist jedoch ein dickes Brett, das gebohrt werden muss. Da sind wir als Gewerkschaft allerdings dran.

___ Was macht die Politik diesbezüglich?

Leider viel zu wenig. Und das bisschen, das sie macht, macht sie oft auch nicht richtig. Als vor einigen Jahren zum Beispiel Daten von reichlich Bundestagsabgeordneten ausgespäht und missbräuchlich für Bestellungen genutzt worden sind, hat der Bundestag einige Zeit später der Inkassobranche auferlegt, besser zu prüfen, wem sie da ein Inkassoschreiben zustellt.

___ Aber dann ist doch die Betrugstat längst geschehen?!

Genau. Bei der „Lösung“ wird der Überbringer der schlechten Botschaft bestraft und gegen den Betrug selbst nichts unternommen. Ich persönlich halte das nicht nur für totalen Unsinn, sonder für Blödsinn!

___ Zurück zum Einzelnen. Was kann ich tun? Wie kann ich mich schützen?

Es gibt eine Lösung, derer ich mich selbst bediene. Die nennt sich Sicurnet. Das ist ein Produkt von CrifBürgel. Der Dienst dabei ist, dass CrifBürgel im Darknet meine Daten einem Monitoring unterzieht und mich warnt, sobald meine Daten missbräuchlich eingesetzt oder gar gehandelt werden.

___ Lieber Herr Manke, vielen Dank für das Interview! Ich weiß, Sie haben noch viel mehr Informationen und Tipps für unsere Leser, aber die wollen wir dem geplanten Webinar am 13. April 2021 zu diesem Thema vorbehalten.

Die Fragen stellte Dr. Jens-Christian Posselt, Rechtsanwalt bei bdp Hamburg Hafen.