Gefälschte E-Mail-Adressen:Brite legt mächtige Banker herein

Gefälschte E-Mail-Adressen: Mark Carney, Gouverneur der Bank of England, fiel auf einen E-Mail-Betrüger herein.

Mark Carney, Gouverneur der Bank of England, fiel auf einen E-Mail-Betrüger herein.

(Foto: AFP)

Er schrieb unter anderem an den Chef der Bank of England, gab sich als Kollege aus und bekam erstaunlich offenherzige Antworten. Klingt lustig, zeigt aber gefährliche Sicherheitslücken.

Von Valentin Dornis

Für einen erfolgreichen Telefonstreich muss eine Menge zusammenkommen: eine gute Idee, schauspielerisches Talent, gerne auch ein bisschen Improvisationsvermögen. Etwas einfacher scheint es zu sein, Leute per E-Mail hereinzulegen. Ein 38-jähriger Webdesigner aus Manchester hat es jedenfalls geschafft, ein paar mächtige Männer hinters Licht zu führen: Der Mann richtete sich eine Google-Mailadresse ein, mit der er unter falschen Namen Nachrichten verschickte. Eine sendete er an Jes Staley, den Geschäftführer der britischen Großbank Barclays, und gab sich als sein Vorstandskollege John McFarlane aus.

Er gratulierte Staley in der Mail zu seinem souveränen Auftritt auf der hitzigen Barclays-Generalversammlung. Der Manager schöpfte keinen Verdacht, er reagierte sogar geschmeichelt und bedankte sich herzlich für die Unterstützung: "Sie haben mich heute mit einem Mut verteidigt, wie ihn nicht viele Leute haben. Wie kann ich Ihnen danken?" Er schulde ihm dafür "einen großen Scotch", antwortete der Betrüger. So gingen mehrere Mails im Plauderton hin und her, wobei Staley immer wieder seine Bewunderung für seinen Kollegen ausdrückte. Besonders unangenehm für Staley: Der Schriftwechsel tauchte auch noch in den Medien auf.

Und der Betrüger beließ es nicht bei einem Opfer. Wie die Financial Times berichtet, ist nun ein weiterer hochrangiger Vertreter der Finanzwelt auf ihn hereingefallen. Diesmal traf es den mächtigsten Notenbanker Großbritanniens: Mark Carney, Präsident der Bank of England. Der Betrüger gab sich mit einer gefälschten Hotmail-Adresse als Anthony Habgood aus, Chef des Direktoriums der Zentralbank. Die Antworten, die er bekam, fielen einigermaßen amüsant aus.

Nachdem der Betrüger in Bezug auf den neuen Zehn-Pfund-Schein angemerkt hatte, Jane Austen sehe darauf aus wie jemand, der einen "belebenden Martini" getrunken habe, antwortete Carney: "Ich würde den Martini trinken und gleich noch zwei weitere bestellen". Das sei schließlich die normale Dosis seines Vorgängers Edward George gewesen, und zwar schon vor dem Mittagessen. Nach dieser erstaunlich offenherzigen Antwort ging der Betrüger noch einen Schritt weiter und lud den Notenbanker zu einer angeblichen "Sommerparty" ein. Er habe auch ein paar ganz besondere Bardamen bestellt: "Wenn Sie nach den Kristallgläsern fragen, können Sie ihre zauberhafte Geschicklichkeit bewundern. Ich habe die Gläser extra weit unten positioniert. Man wird nur so alt wie ich, wenn man alle Tricks kennt." Doch das ging dann auch Mark Carney zu weit: "Sorry Anthony. Das ist überhaupt nicht angemessen", lautete die Antwort des Zentralbank-Chefs.

Die Vorfälle bergen eine gewisse Komik. Sie zeigen aber auch eine gefährliche Sicherheitslücke. Wenn Manager so unbedarft vertrauliche Informationen preisgeben, riskieren sie, dass ihre Bank oder ihr Unternehmen zum Angriffsziel von Hackern wird, etwa durch sogenannte Phishing-Mails. Dabei verschicken Angreifer scheinbar harmlose E-Mails mit Links zu gefälschten Webseiten, wo die Opfer ihre Zugangsdaten eingeben sollen. Klickt ein Bankmanager so einen Link an, kann das weitreichende Folgen haben. Passwörter könnten in fremde Hände gelangen. Barclays verschärfte deshalb als Reaktion auf den Mail-Streich die Regeln. Mittlerweile öffnet sich ein Warnfenster, wenn Mitarbeiter vom Handy aus an externe Mailadressen schreiben. Zuvor hatte es diese Funktion nur für Desktopcomputer gegeben.

Es kann aber auch aus anderen Gründen problematisch sein, wenn hochrangige Manager geschäftliche Themen über private Mailadressen besprechen. Mögliche Regelverstöße können unter Umständen nicht nachgewiesen werden, wenn über private Mailadressen kommuniziert wird. Viele Banken verpflichten ihre Mitarbeiter deshalb dazu, geschäftliche Kontakte archivierbar zu machen. In Deutschland hat die Deutsche Bank ihren Mitarbeitern sogar verboten, auf Diensthandys per SMS oder Diensten wie Whatsapp zu kommunizieren.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: