Wirtschaftskriminalität während Corona: Profit aus der Pandemie

Der Anbieter sitzt in Phoenix, Arizona, und am Ende genügte eine E-Mail aus den Reihen der Landesregierung in Düsseldorf, um die Seite abschalten zu lassen. Unbekannte hatten unter wirtschaft-nrw.info eine Kopie der Webseite des Wirtschaftsministeriums von Nordrhein-Westfalen erstellt, mitsamt dem Antragsformular für Corona-Soforthilfen.

Gespeichert war sie auf einem Server in den USA, die Betreiber der Seite versteckten sich hinter einem Verschleierungsservice aus Panama - und hatten es offenbar auf die Daten von Unternehmern abgesehen, die wegen der Corona-Krise staatliche Unterstützung beantragen wollten. Für Landwirtschaftsminister Andreas Pinkwart (FDP) und Innenminister Herbert Reul (CDU) wurde es ein unruhiges Osterfest.

In den Tagen zuvor hatten sie von diversen Betrugsversuchen im Zusammenhang mit den staatlichen Soforthilfen erfahren, aber diese Seite stellte alles bisher Dagewesene in den Schatten. Die mutmaßlichen Betrüger hatten den Internetauftritt des Ministeriums detailgenau kopiert. Einziger Unterschied: Bei der Fälschung war das Antragsformular noch aktiv, im Original ist es bereits seit Donnerstag vorübergehend abgeschaltet. Das hatte das Wirtschaftsministerium verfügt, nachdem Kopien der Antragsseite aufgetaucht waren.

Auf diesem Weg versuchen Kriminelle offenbar, die Daten von Selbständigen und Unternehmern zu missbrauchen, um unter falscher Identität Corona-Hilfen zu beantragen. 3500 bis 4000 Antragsteller könnten nach vorläufigen Erkenntnissen von Ermittlern des Landeskriminalamts betroffen sein. Ob und wie viel Geld zu Unrecht ausbezahlt wurde, ist noch nicht sicher. Nach Recherchen der Landesregierung könnte der Schaden kleiner sein als zunächst befürchtet, da die gestohlenen Daten noch nicht in größerem Umfang genutzt wurden.

Nach den Erfahrungen der vergangenen Tage arbeitet die Landesregierung von Nordrhein-Westfalen daran, es den Betrügern schwerer zu machen. "Das Wichtigste ist, dass wir noch mehr Sicherungen einbauen", sagte NRW-Innenminister Reul. "Wir versuchen derzeit mit Finanz- und Wirtschaftsministerium ein System zu entwickeln, mit dem Fehler schneller erkannt werden."

Beim LKA beschäftigt sich eine eigene Ermittlungskommission mit den Fällen. Das Land hat mehrere Internetadressen übernommen, deren Schreibweise der offiziellen Seite ähnelt. Erwogen wird auch, die Anträge auf Corona-Soforthilfe mit den Bankkonten abzugleichen, die bei den Finanzämtern registriert sind. Ziel ist es, in Kürze wieder Anträge zu ermöglichen. Reul wies erneut darauf hin, dass die offizielle Antragsseite abgeschaltet sei.

Die gefälschten nordrhein-westfälischen Formulare zeigen wohl nur einen Ausschnitt aus einem weit verzweigten Geflecht aus betrügerischen Machenschaften im Netz, mit denen Kriminelle versuchen, aus der Pandemie Profit zu schlagen.

Die Betrugsversuche beschränken sich nicht auf NRW, sondern haben internationalen Charakter. SZ, NDR und WDR liegt eine Liste mit etwa 80 000 Webadressen mit Corona-Bezug vor, die während der vergangenen Wochen oder sogar erst in den Tagen vor Ostern registriert wurden. Darunter sind auch zahlreiche Domains, die für einen Betrug benutzt wurden oder in Zukunft benutzt werden könnten. Bei vielen davon handelt es sich um Vorratsadressen ohne bereits hochgeladene Webseite.

Forscher des Hasso-Plattner-Instituts (HPI) in Potsdam beobachten seit Wochen verdächtige Bewegungen im Netz, darunter zahlreiche Seiten, die in mutmaßlich betrügerischer Absicht freigeschaltet wurden. Diese seien zu verschiedenen Zeiten online gegangen, sagt der am HPI tätige IT-Sicherheitsexperte Christian Dörr.

Die erste sei beispielsweise bereits am 18. März freigeschaltet worden: soforthilfe-coronavirus.de. Ende des Monats sei dann soforthilfe-coronanrw.de dazugekommen. "Die war insbesondere interessant, weil die offizielle Webseite der Landesregierung ja soforthilfe-corona Punkt nrw.de ist", sagt Dörr. So nutzen Betrüger etwa Tippfehler aus. "Überraschend ist, dass diese Seiten relativ viele Besuche abbekommen", sagt der Forscher. Gibt es womöglich doch mehr Betroffene als gedacht?

Die Verdachtsmomente alarmieren jedenfalls auch die Bundesregierung. "Die rasche Auszahlung war und ist notwendig, aber gegen Betrug und Missbrauch muss konsequent und mit Härte gehandelt werden", sagte Bundeswirtschaftsminister Peter Altmaier (CDU) den Zeitungen der Funke Mediengruppe. Erste Spuren deuten darauf hin, dass hinter der gefälschten Webseite des NRW-Wirtschaftsministeriums Betrüger stecken, die zuvor mit Phishing-Attacken per E-Mail auf Amazon-Kunden und Paypal-Nutzer aufgefallen waren.