E-Mail: Schutz vor SEPA-Bankdatenbetrug

Zum Februar 2014 werden europaweit die Daten der Bankverbindungen auf das sogenannte SEPA-Verfahren verändert. Die bisherige Bankleitzahl der Banken wird durch die IBAN-Nummer ersetzt.

Die deutsche Bundesbank informiert seit einiger Zeit auf ihrer Homepage über das SEPA Verfahren.

Nach unseren Informationen treten wir nun zum Ende des Jahres 2013 bis Februar 2014 in die „heiße Phase“ der Umstellung ein. Gerade der Mittelstand wird besonders zum Jahresende die entsprechenden formalen Schritte einleiten um am SEPA-Verfahren teilnehmen zu können. Darunter fällt natürlich auch gegenüber den Kunden die SEPA konformen Bankverbindungsdaten mitzuteilen.

Wir rechnen damit, dass es vor allem über das Internet zu einer enormen Anzahl an Betrugsversuchen kommen wird. Das simulierte Beispielszenario könnte hier zum Beispiel so aussehen:

Sie erhalten von einer Ihnen bekannten E-Mail-Adresse eines Geschäftspartners / Lieferanten eine Nachricht die Sie informiert, dass sich im Rahmen des SEPA Verfahrens die Bankverbindungsdaten geändert hätten. Der E-Mail-Absender bittet Sie natürlich freundlich, die geänderten (SEPA) Daten in Ihre Systeme und Zahlungsabläufe einzupflegen. Weil Sie den Absender der E-Mail kennen und diesem diese Mitteilung zumuten, ändern Sie die Bankdaten und überweisen fortan an die neue SEPA konforme Bankverbindung. Die nächste Zahlung an den Geschäftspartner / Lieferanten wird nun also mittels SEPA Überweisung ausgeführt.

Wie eingangs betont, rechnen wir mit einem erheblichen Anstieg der Betrugsversuche.

Wussten Sie?
Rein technisch ist es möglich, die Absenderadresse und den Absendername einer E-Mail mit einfachen Mitteln zu „fälschen“.

Dies können Sie ganz einfach selbst testen (sofern Sie Administrationsrechte an Ihrem E-Mail-Programm besitzen): Gehen Sie in die Kontoeinstellungen Ihres E-Mail Postfachs, setzen Sie dort als Absendername „Herr Muster Mann“ und als E-Mailadresse „muster@mailadresse.de“ ein. Wichtig: Verändern Sie nicht den SMTP/POP-Login-Name Ihres Kontos, lediglich die Absenderadresse und den Absendername. Schicken Sie nun eine E-Mail an sich selbst. Sie werden eine E-Mail von „Herr Muster Mann“ mit der Adresse „muster@mailadresse.de“ erhalten.

 

Was ist also, wenn der Absender der E-Mail aus dem Beispielszenario in Wirklichkeit ein Betrüger ist, der sich als Geschäftspartner ausgibt? Dann haben Sie höchstwahrscheinlich an den Falschen überwiesen!

Schutz vor Betrugsversuchen:

Wenn Sie eine EDV-Abteilung haben, dann empfehlen wir, Ihren Administrator eine „SPF-Record Überprüfung auf Ihrem E-Mail Gateway aktivieren zu lassen“.

Er etabliert damit, dass jede Mail, die Sie erhalten, darauf überprüft wird, dass sie auch tatsächlich von dem Unternehmen abgeschickt wurde, das behauptet, der Absender zu sein. Sie führen also eine „Versender-Überprüfung“ durch. (Rechts neben dem Artikel finden Sie unter „Dateien zum Artikel“ auch interessante Inhalte)

Wichtig ist hierbei auch das bei Ihrer Absenderdomäne (bei uns z. B. a-concept.org) auch der entsprechende SPF Eintrag gesetzt wird. Damit hinterlegen Sie nach außen welcher Absender die Domäne z. B. „a-concept.org“ legitim benutzen darf. Somit geben Sie den Empfänger Ihrer E-Mails die Möglichkeit Sie als rechtmäßigen Absender zu legitimieren.

Außerdem: Bei SEPA wird aus Kontonummer und Bankleitzahl die „IBAN“. Für Deutschland ist die IBAN 22-stellig und besteht neben dem Länderkürzel „DE“, aus zwei Prüfziffern, der 8-stelligen Bankleitzahl und der 10-stelligen Kontonummer. Die Kontonummer wird um führende Nullen ergänzt, wenn diese nicht 10-stellig ist. Zusätzlich zu Ihren bisherigen Kontodaten müssen Sie sich nur das Länderkürzel „DE“ für Deutschland und die individuelle 2-stellige Prüfziffer merken.

veröffentlicht von Thomas Pötschan.