CEO-Fraud – CEO-Betrug

Beim CEO-Fraud (CEO-Betrug) geht es um eine Variation des Social-Engineerings: Hier versuchen Täter, zielgerichtet entscheidungsbefugte Personen in einem Unternehmen zu manipulieren, insbesondere mit dem Ziel dass diese hohe Geldbeträge ins Ausland überweisen. Man besorgt sich vorher umfangreiche und umfassende Informationen über das Unternehmen, um die Vorspiegelung geschickt wirken zu lassen, am Erfolg versprechendsten sind Unternehmen mit zahlreichen Mitarbeitern. Mir sind aber auch Fälle in kleinen Unternehmen bekannt, in denen dann angeblich veränderte Zahlungsmodalitäten eines Geschäftspartners unter psychischem Druck am Ende zu Zahlungen führten.

Grundsätzlich gilt: Bei ungewöhnlichen Zahlungsanweisungen sollen vor Veranlassung der Zahlung Kontrollen greifen. So sollten Sie eine mit Zahlungsanweisungen eingegangene E-Mail genau auf Absenderadresse und korrekte Schreibweise prüfen. Wichtiger wäre es aus meiner Sicht, bei plötzlich geänderten Zahlungsmodalitäten (wie insbesondere bei geänderten Bankverbindungen) die Zahlungsaufforderung beim vermeintlichen Auftraggeber durch einen Rückruf oder eine schriftliche Rückfrage (nicht per Antwort auf die Mail!) zu kontrollieren.

Infografik des BKA zum CEO-Fraud

Dazu auch: Beitrag bei Haufe zum CEO-Fraud

„CEO-Fraud – CEO-Betrug“ weiterlesen


Überwachung: Telekommunikationsüberwachung obliegt Behörde und darf nicht delegiert werden

Man ist ja manchmal Fassungslos, auf welche Ideen Staatsanwaltschaften so kommen und wozu sich der BGH äußern muss. In einem aktuellen Beschuss zum Thema Überwachung klärt der BGH (StB 7/15) wenig überraschend, dass man nicht als Staatsanwaltschaft originäre Ermittlungstätigkeit auf den Provider verlagern darf.

Der Staatsanwaltschaft ging es um die Besucher einer bestimmten Internetseite. Um diese zu ermitteln wurde ein Provider angewiesen, die IP-Adressen der Besucher einer Webseite zu erfassen. Dazu sollte der Provider als erstes Anfragen an von ihm betriebene DNS-Server erfassen, die sich auf die Domain bezogen haben. Wer die Domain aufrief, sollte auf einen speziell eingerichteten Proxy-Server umgeleitet werden. Sodann im zweiten Schritt sollte der Provider so simit nunmehr zielgerichteten umgeleiteten und damit zu bearbeitenden Daten auf weitere Merkmale – Sub-URL sowie Browserversion – untersuchen. Die dann letztlich durch den Provider gewonnenen Daten sollten gesammelt an die Staatsanwaltschaft herausgegeben werden.

Dass das nicht angehen kann drängt sich schnell auf, wenn man sich vor Augen hält, dass hier eine Telekommunikationsüberwachung unmittelbar durch den Provider erfolgt, der Zugriff auf grundrechtlich geschützte Daten nimmt. Das sah der Provider auch so, befremdlicher Weise die Staatsanwaltschaft aber nicht. Der BGH hat klar gestellt: So geht es nun wirklich nicht. Wenn Daten erfasst werden, dann ist es Aufgabe der Staatsanwaltschaft diese zu sichten, zu filtern etc.

Allerdings: Die konkrete Ermittlungsmaßnahme wurde vom BGH ausdrücklich abgesegnet. Es dürfte also nunmehr davon auszugehen sein, dass verstärkt Zugriffe auf Internetkommunikation im Zuge der Abfrage von DNS-Zugriffsdaten durch Ermittlungsbehörden erfolgt. Die damit verbundenen Risiken, gerade im Hinblick auf Verdachtsmomente gegen Unschuldige, liegen auf der Hand.
„Überwachung: Telekommunikationsüberwachung obliegt Behörde und darf nicht delegiert werden“ weiterlesen



Darf eine Staatsanwaltschaft Domains beschlagnahmen?

Ein Artikel in der ZEIT-Online beschäftigt sich mit der Frage des Vorgehens im Fall “kino.to”: Hier wurde die laufende Webseite abgeschaltet, die Server-Hardware beschlagnahmt und der Inhalt der Webseite durch eine eigene Seite ersetzt. Nun fragt sich nicht nur Thomas Stadler: Geht das überhaupt? Ich versuche – in aller Kürze – ein wenig auszuhelfen.

„Darf eine Staatsanwaltschaft Domains beschlagnahmen?“ weiterlesen



Wikileaks: Kein Geheimnisverrat nach §94 StGB

War das Leaken der Wikileaks-Dokumente strafbar? Ist das “Spiegeln” der Wikileaks-Dokumente eine Straftat nach deutschem Recht?

In meinem ersten Artikel zum Thema Wikileaks habe ich kurz am Rande erwähnt, dass ich durch die Veröffentlichung von (mehr oder minder) geheimen Bortschafts-Depeschen den Tatbestand des §94 StGB (“Landesverrat / Geheimnisverrat”) nicht betroffen sehe. In den letzten Tagen hat sich nun gezeigt, dass diese Frage hin und wieder aber sehr wohl zu Diskussionen führte – Stadler hat u.a. ein paar Zeilen mehr zu der Frage geschrieben. Daher lege ich hier kurz mit einigen Informationen zum Thema nach.
„Wikileaks: Kein Geheimnisverrat nach §94 StGB“ weiterlesen



Verfassungsbeschwerde wegen Hausdurchsuchung bei Linksetzung auf Wikileaks nicht angenommen

Vor wenigen Tagen wurde – nur minimal Beachtet – bekannt, dass das Bundesverfassungsgericht am 18.3.2010 die eingereichte Beschwerde in Sachen “Hausdurchsuchung bei Wikileaks-Link” nicht zur Entscheidung angenommen hat. Diese Entscheidung des BVerfG ist gleich in zweifacher Hinsicht fatal:

  1. Dieser Fall ist nie wirklich in der breiten Öffentlichkeit wahrgenommen worden. Vielmehr wird der hier vorliegende Fall mit einem anderen (“Hausdurchsuchung bei Wikileaks-Domain-Inhaber”) verwechselt. Es wird sogleich gezeigt, dass dies ein gravierender Fehler ist, geht es doch um die Frage, ob ein einfacher Link schon für eine Hausdurchsuchung reichen kann.
  2. Ohne Begründung hat das BVerfG den Fall abgewiesen, dabei geht es hier um ein fundamentales und ständiger Rechtsprechung folgendes Kernthema des BVerfG.

„Verfassungsbeschwerde wegen Hausdurchsuchung bei Linksetzung auf Wikileaks nicht angenommen“ weiterlesen