NRW-Soforthilfe: Vorsicht, Betrug!

Die Corona-Krise fordert in der Wirtschaft auf allen Seiten Opfer. Betriebe müssen ihr Geschäft reduzieren oder gar ganz einstellen. Millionenfach gehen Arbeitnehmer in Kurzarbeit. In den USA klettern die Anträge auf Arbeitslosenhilfe derzeit auf Höhen, wie man sie zuletzt bei der Weltwirtschaftskrise 1929 gesehen hat. Die Wirtschaft hat ein Problem, das uns noch über Jahre verfolgen könnte. Einen kleinen Lichtblick gibt es zumindest. Damit sich insbesondere kleine und mittelständische Unternehmen nicht ganz im Stich gelassen fühlen, will die Bundesregierung Betrieben auf Antrag mit bis zu 25.000 Euro Soforthilfe unter die Arme greifen. Darüber freuen sich nicht nur Unternehmer, sondern auch windige “Geschäftsleute”. Die Corona-Krise entwickelt sich leider zunehmend zur Betrugsmasche.

Soforthilfe oder sofort geleimt?

Und so geht es: Suchen Sie auf Google mit ausgeschaltetem Adblocker etwa nach “Soforthilfe NRW”, wird in den Google-Anzeigen sofort auf das Antragsformular verwiesen. Der Teufel versteckt sich bei dieser perfiden Masche im Detail. Probieren Sie es selbst – zwischen der offiziellen Seitehttps://soforthilfe-corona.nrw.de – und der Betrugsmasche auf https://nrw-corona-soforthilfe.de bestehen nur wenige Unterschiede.
Allein schon der Name der Seite ist dem Original so ähnlich, dass eine Verwechslung beim Überfliegen schnell passiert. Die Betrüger haben sich sogar ein Zertifikat für die Verschlüsselung per https besorgt. Auch das sogenannte Favicon – das kleine Icon der Website, wie es im Tab Ihres Browsers angezeigt wird – stimmt 1:1 mit dem Wappen von NRW überein, wie Sie es auf der offiziellen Seite des Ministeriums für Wirtschaft, Innovation, Digitalisierung und Energie finden würden.

Eine kleine Randnotiz zu der SSL-Verschlüsselung der Betrüger: Die Domain ist über Let’s Encrypt verifiziert; einen kostenlosen Dienst der Non-Profit-Organisation Internet Security Research Group. Die offizielle Seite der Soforthilfe NRW erkennen Sie übrigens auch daran, dass sie Zertifikate von T-Systems International benutzt. In einem Browser wie Firefox wird diese Information angezeigt, wenn Sie Ihren Mauszeiger auf das Schloss-Symbol in der Adressleiste bewegen. [Update 19.04.2020: Nicht themenrelevanter Link entfernt. Eine Erklärung dazu finden Sie in den Kommentaren.]

Original-Webseite (https://soforthilfe-corona.nrw.de)

So erkennen Sie die Betrüger

Zwischen der offiziellen Seite und der Betrugsmasche bestehen einige Unterschiede. Beispielsweise leitet ein Klick auf das NRW-Wappen oben links auf der offiziellen Seite weiter zu https://www.wirtschaft.nrw – also dem Wirtschaftsministerium.
Die Betrügerseite hingegen leitet nur auf sich selbst weiter. Die Formulare beider Seiten unterscheiden sich nur in wenigen Details. So verweist das offizielle Formular unter Punkt 4 (“Anzahl der Beschäftigten”) auf die Seite wirtschaft.nrw, die Betrügerseite hingegen nicht.
Die offizielle Seite stellt zudem oben rechts am Bildschirmrand einen Countdown von 15 Minuten dar. Läuft er ab, wird die aktuelle Sitzung auf der Seite abgebrochen und Sie erhalten eine Fehlermeldung.

Das wichtigste Merkmal der Betrugsmasche ist ein kritischer Punkt, der solchen Maschen fast immer gemein ist: Es gibt auf der Seite kein Impressum und keine Datenschutzhinweise. Die Betrüger haben sich scheinbar nicht einmal die Mühe gemacht, hier falsche Daten einzutragen oder gar die offizielle Seite zu kopieren. Eine offizielle Website von amtlicher Stelle hat grundsätzlich ein Impressum und verweist grundsätzlich auf den Datenschutz. Auf der offiziellen Seite https://soforthilfe-corona.nrw.de finden Sie diese Seiten ganz unten am Seitenende. Die Betrügerseite ist an dieser Stelle blank.

Daraus ergibt sich eine generelle Grundregel für alle Geschäfte im Internet: Schicken Sie niemals Daten an eine Seite oder ein Unternehmen, dessen Identität Sie nicht kennen. Eine Whois-Abfrage für die Betrügerseite auf denic verweist bei Informationen zur Kontaktaufnahme auf den tschechischen Domain-Service subreg.cz.

Betrüger-Webseite (https://nrw-corona-soforthilfe.de)

Welche Gefahren birgt die Seite?

Für Unternehmen stellt die aktuelle Betrugsmasche ein erhebliches Risiko dar. Immerhin nimmt das offizielle Antragsdokument – zurecht – die Freiheit, eine Menge persönlicher Daten abzufragen. Dazu zählen natürlich der Name des Betriebs und Inhaber, die Adresse, aber auch die Personalausweisnummer, Steuernummer, Bankverbindung, Telefon, E-Mail. Für einen Datensatz dieser Größenordnung müssen Betrüger normalerweise einigen Aufwand in ihre Aktionen stecken; nun bekommen sie ihn frei Haus geliefert.
Mit Daten dieser Art können die Betrüger im großen Stil Identitätsdiebstahl begehen und beispielsweise in Ihrem Namen die Soforthilfe beantragen und “kassieren”, Produkte bestellen, Zahlungen mit Ihrer Bankverbindung auslösen oder gar Accounts auf Seiten wie eBay erstellen. Schlimmstenfalls treiben sie damit dann ebenfalls Schindluder und Ihnen flattern dann am Ende massenhaft Strafanzeigen in den Briefkasten.

Deshalb noch mal eingehend: Vertrauen Sie keiner Seite ohne Impressum oder Datenschutzhinweisen – insbesondere dann nicht, wenn es sich um eine angeblich offizielle Seite eines Ministeriums handelt. Bis Google oder Subreg oder sonst irgendwer gegen diese “Unternehmer” vorgeht, können nur zwei Dinge solche Maschen verhindern: Sie selbst und Ihre Vorsicht.

Update: Die Hintermänner dieser Betrugsmasche verschwenden keine Zeit. Sobald die Daten eingegeben sind, versenden sie einen gefälschten “Bescheid” um zu verhindern, dass ihr Opfer hellhörig wird. Unten stehend ist der “Bescheid” aus der Feder dieser fragwürdigen Geschäftemacher, inklusive vorgeblich offizieller E-Mail-Adresse, Wappen und offiziell klingendem Wortlaut. Prüfen Sie deshalb bitte unbedingt, auf welcher Seite Sie Ihre Daten eingegeben haben – ein offiziell aufgemachter Bescheid ist kein Garant dafür, dass Sie Ihr Geld auch wirklich erhalten!

Update 07.04.2020: Interview mit dem Handelsblatt

Nach einem umfangreichen Telefonat mit Herrn René Bender am Morgen des 07.04.2020, erhalten wir am Abend folgende Nachricht:

“Hallo Herr Ulrich,

besten Dank noch einmal für die interessanten Infos und Gespräche. Anbei unser aktueller Artikel, in dem wir Ihre Geschichte verarbeitet haben.

https://www.handelsblatt.com/unternehmen/management/internet-kriminalitaetcorona-soforthilfenbieten-leichtesspiel-fuerbetrueger/25722148.html

Wir werden auch unsere Ratgeber-Seite zu den Corona-Hilfen entsprechend anpassen.
Außerdem würden wir „Ihren“ Fall gerne weiter beobachten. Ich würde mich freuen, wenn wir dazu in Kontakt bleiben könnten.”

Neben unseren Informationen zum Sachverhalt, nennt der Artikel im Handelsblatt weitere Einfallstore für betrügerische Absichten rund um die Soforthilfe.

Warnhinweis online

Zwar gibt das Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie des Landes Nordrhein-Westfalen seit dem 07.04.2020 – also 11 Tage nachdem die betrügerische Maschen angelaufen sind – einen allgemeingültigen Hinweis auf betrügerische Links. Aber diese werden unserer Ansicht nach völlig lebensfremd positioniert. Anstatt bzw. gleichzeitig diese Warnhinweise auf der zielführenden Unterseite für die Soforthilfe (https://www.wirtschaft.nrw/nrw-soforthilfe-2020) anzubringen, findet sich der Hinweis lediglich im Slider auf der Hauptseite: https://www.wirtschaft.nrw.

Problemfall: Zwar sollten Antragsteller nur den Original-Link soforthilfe-corona.nrw.de nutzen. Wer allerdings über Google auf den Betrugsseiten landet, liest die wohl gemeinten Warnhinweise natürlich nicht.

Update 08.04.2020: Neue Betrüger-Webseite (https://nrw-soforthilfe.info)

Wie wir mittlerweile beobachtet haben, wurde die bislang bekannteste Betrüger-Webseite offenbar zeitweise abgeschaltet. Aber das kein Grund zur Freude, denn die nächste betrügerische Webseite wartet bereits; das gleiche Muster: Der Eintrag wird über eine Google-Anzeige massiv beworben, um ganz oben in den Suchergebnissen stehen zu können.

Die Betrüger rüsten somit weiter auf, denn die neue betrügerische Webseite sieht dem Original – auch in allen Funktionen – noch authentischer (Verlinkung zum “echten” Impressum, Datenschutz etc.).

Es gibt nur einen offiziellen Link zur Beantragung der Soforthilfe. Bitte nutzen Sie nur diesen Link: soforthilfe-corona.nrw.de (Quellenverweis: https://www.wirtschaft.nrw).

Norddeutscher Rundfunk fragt Interview an

Peter Hornung vom Norddeutscher Rundfunk fragt, nach vorangegangenen Gesprächen mit der Süddeutsche Zeitung, Telefon-Interview an.

“Hallo Herr Ulrich,

mein SZ-Kollege Jan Willmroth hat mir Ihre Kontaktdaten gegeben. Wir arbeiten zusammen, ich mache die Radioberichterstattung für die ARD.

Hätten Sie vielleicht Zeit für ein kurzes Telefoninterview zu Ihrem Fall? Wir würde die Geschichte gerne für morgen weiterdrehen.

Danke und schöne Grüße”

und veröffentlicht am Nachmittag folgenden Artikel: “Staatsanwaltschaft ermittelt: Betrug bei CoronaSoforthilfen?”

Landeskriminalamt Nordrhein-Westfalen ermittelt

Das LKA NRW meldet sich und bittet mich um Mithilfe zur weiteren Sachverhaltsaufklärung.

Update 09.04.2020: Landesregierung stoppt Auszahlung der Soforthilfe

Nach Bekanntwerden weiterer Betrugsopfer wird das Ausmaß der mutmaßlichen Betrugsmasche erkennbar und es wird bereits von einem “Wirtschaftskrimi” und “mutmaßlich groß angelegtem Subventionsbetrug” berichtet. Die Ereignisse überschlagen sich.

“Rund 3.500 bis 4.000 Antragsteller sind nach bisherigen Erkenntnissen betroffen. Eine Ermittlungskommission des Landeskriminalamtes aus Finanz- und Cyberermittlern sowie Spezialisten für Wirtschaftskriminalität ist eingerichtet. Gleichzeitig wird behördenübergreifend daran gearbeitet, betrügerische Anträge zu identifizieren und zu erschweren. Es handelt sich um hochprofessionelle Täter, die im Darknet nach Menschen suchen, die gegen eine Gewinnbeteiligung ihre Konten zur Verfügung stellen. Von diesen Konten wird der Gewinnanteil des Betrügers dann in Kryptowährung umgewandelt und damit anonymisiert, was die Identifizierung erschwert; Pressemittleiung

Das wäre ein Schaden von 31,5 bis 100 Mio. Euro. Der Wirtschafts- und Innenminister von NRW lassen die Auszahlung der NRW-Soforthilfe 2020 sofort stoppen.
Meiner Einschätzung nach ist nicht nur NRW von dieser perfiden Masche betroffen und es wird sich wohl tatsächlich zum einem (leider) echten Wirtschaftskrimi in Deutschland entwickeln.

Facebook

Mit dem Laden des Beitrags akzeptieren Sie die Datenschutzerklärung von Facebook.
Mehr erfahren

Beitrag laden

Antragstellung wird ebenfalls gestoppt

Nach der um 14:00 Uhr angesetzten Pressekonferenz hieß es noch, dass lediglich die Auszahlungen der Soforthilfe gestoppt wird, aber das Stellen von Anträgen auf Soforthilfe weiterhin möglich sei. Das Dunkelfeld der Betroffen wird sich in den nächsten Tagen aufhellen. Als weitere Reaktion wird am 09.04.2020 auch das online-Antragsverfahren gestoppt – Die Webseite (https://soforthilfecorona.nrw.de) wird abgeschaltet.

Hilfeseite wird überarbeitet

Das Land NRW (Wirtschaftsministerium) überarbeitet seine Hilfeseiten: https://www.wirtschaft.nrw/coronavirusinformationenansprechpartner.

Update 10.04.2020: mutmaßliche Betrüger-Webseiten offline

Die uns bekannten beiden mutmaßlichen Betrüger-Webseiten https://nrw-corona-soforthilfe.de und https://nrw-soforthilfe.info sind offline. Das ist zunächst ein sehr gutes Signal.
Aber trotzdem besteht kein Grund zum Jubeln. Denn was passiert mit den bis dahin gesammelten sensiblen Daten? In welche “dunkle” Kanäle sind diese möglicher Weise geflossen und welcher Schaden kann durch zeitversetzten Missbrauch dieser Datensätze entstehen? Wer hat die Förderung abgegriffen und wird man den Betrügern habhaft? Hat die Landesregierung NRW zeitgerecht reagiert? War NRW mit einem “rein” elektronischen Antragsverfahren fahrlässig? Fragen über Fragen, die sich im Laufe weiterer Ermittlungen hoffentlich schnell aufklären lassen.

Puhhh – Schöne Ostern!

Weitere Phishing-Webseites gefunden

Die kriminelle Energie ist nicht in Worte zu fassen. Es taucht ein weiterer Clon auf – wie der NDR berichtet; nämlich eine exakte Kopie des gesamten Webauftritts des NRWWirtschaftsministeriums.

Update 14.04.2020: Entwarnung für mich

Nach Mitteilung des LKA am Morgen des 14.04.2020 kann ich zumindest “aufatmen”. Ich war offenbar auf der offiziellen Antrags-Webseite. Weder meine Daten sind in Hände Dritter gekommen, noch wurde meine Identität gestohlen.

“Sehr geehrter Herr Ulrich,

vielen Dank für die Übersendung der E-Mails.

Ich kann Ihnen meine Vermutung hiermit bestätigen. Sie haben ihren Antrag NICHT auf einer Phishing Seite gestellt, sondern auf der legitimen Seite des MWIDE … ; LKA NRW”

Nach weiteren eigenen Recherchen war das Antragsverfahren für die Soforthilfe NRW, vom Zeitpunkt des Starts bis schätzungsweise Anfang April, nicht gut umgesetzt. Das war auch einer der Gründe, weshalb Daten nicht korrekt für die weitere Bearbeitung übermittelt wurden, ganz offensichtliche Fehler in den Bescheiden gespiegelt wurden etc.
Auch muss es für die vermeintlichen Betrüger ein Einfaches gewesen sein, die Webseite des Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie des Landes Nordrhein-Westfalen ohne großen Aufwand zu kopieren.

Facebook

Mit dem Laden des Beitrags akzeptieren Sie die Datenschutzerklärung von Facebook.
Mehr erfahren

Beitrag laden

Nun hoffe ich, dass das Antragsverfahren für die Soforthilfe NRW wieder sicher(er) abgewickelt werden kann und #Corona für uns alle bald nur noch als “Gespenst” in Erinnerung ist. Glück auf!

Skurriles Ende

Ist das Katz-und-Maus-Spiel um gefälschte Webseiten nun beendet? Ich hoffe es – zumindest in diesem Kontext.
Der Zufall und andere widrige Umstände bei der Antragsbearbeitung machten es möglich: Jedenfalls hat die investigative Arbeit seine Früchte getragen – die Öffentlichkeit ist informiert und die zuständigen Behörden ermitteln.
Für die transparente und sehr vertrauenswürdige Kommunikation danke ich ganz persönlich Hr. Bender (Handelsblatt), Hr. Hornung (NDR) und Hr. Willmroth (SZ). Gleichzeitig Danke an die Beamten*innen von der Polizei und vom LKA NRW.
Alles, alles Gute!

Verweise

Handelsblatt (07.04.2020, 18:03 Uhr)
Tagesschau (08.04.2020, 17:47 Uhr)
Süddeutsche Zeitung (08.04.2020, 19:26 Uhr)
Tagesschau (09.04.2020, 13:23 Uhr)
Handelsblatt (09.04.2020, 18:18 Uhr)
Bild (10.04.2020, 11:25 Uhr)
WDR Westpol (19.04.2020 – Beitrag beginnt ab 23:33 Minuten)

Reingefallen?

Wenn Sie jetzt feststellen, dass Sie den Betrügern ebenfalls auf den Leim gegangen sind, empfiehlt es sich unbedingt, Strafanzeige zu stellen! Das geht, wie bei uns in NRW, auch völlig kontaktlos: https://service.polizei.nrw.de/anzeige. Informieren Sie auch Ihr Kreditinstitut, damit evtl. nicht autorisierte Kontobewegungen schnell identifiziert werden können.

Haftungsausschluss!

Mich erreichen vermehrt persönliche Anfragen von Betroffenen. Ich möchte an dieser Stelle ausdrücklich darauf hinweisen, dass ich KEINE Rechtsberatung durchführe!

Sind Sie auch schon auf “diese” oder andere Betrüger reingefallen oder haben ihre Seiten auf Google entdeckt? Hinterlassen Sie uns gerne einen Kommentar!

6 Kommentare

  1. Bitte entfernen Sie den Link auf den FUD-Artikel über Let’s Encrypt aus diesem Artikel. Die Aussagen das Artikels sind mißleitend bis falsch.

    Außerdem: Warum kritisieren Sie Let’s Encrypt und benutzen es dann selber? Wenn Sie ein problem mit automatisierten kostenlosen TLS-Zertifikaten haben, können sie gerne bei den “renomierten” CAs dafür Geld ausgeben.

    1. Hallo Let’s Encrypt Fan!
      Wir haben den Artikel aus dem Beitrag entfernt, weil er im Kontext der Betrugsmasche irrelevant war und wir Ihnen insofern zustimmen, dass die darin beschriebene Kritik sehr theoretischer Natur war. Wir sehen keinen Widerspruch darin, Let’s Encrypt zu nutzen und trotzdem kritische Stimmen zu Wort kommen zu lassen, teilen aber Ihre Bedenken bezüglich der im Medium-Beitrag beschriebenen Kritik an Let’s Encrypt. Wir haben uns deshalb Ihren Beitrag zur Diskussion zu Herzen genommen und bedanken uns für die hier eingebrachten Gedanken zum Thema.

      LG

  2. Hallo,
    ich hatte Sie ja angerufen,
    mir ist das auch passiert, allerdings habe ich einen Antrag und 2 Bescheide,
    beim ersten hat mich das System rausgeschmissen…davon machte ich mit dem Handy ein Foto: es ist aber merkwürdigerweise die originale richtige Internetadresse, darauf bekam ich aber keine Antragsquittung, aber einen gefälschten Bescheid mit den gleichen Schreibfehlern wie bei Ihnen.
    Strafanzeige habe ich Online gestellt.
    Ihre Seite hat zur Aufklärung einen wesentlich höheren Wert, als das Nichtstun und Abwarten in den Verwaltungen.
    Danke

    1. Hallo Herr L.!

      Vielen Dank für Ihren Kommentar und das nette Telefonat.
      Im Nachgang muss ich ebenso wie Sie feststellen, dass wir beide zum Glück nicht auf der “falschen” Webseite unterwegs waren. Das ist auf jeden Fall ein sehr beruhigendes Gefühl.
      Und trotzdem ist die aktuelle Entwicklung in der Sache gut und ich kann, genauso wie Sie nur hoffen, dass das Antragsverfahren bald wieder sicher(er) startet.

      LG
      Christian Ulrich

  3. Hallo Herr Ulrich,
    unfassbar – diese asozialen Verbrecher müssen mit so schnell wie möglich mit aller Härte im Rahmen der gesetzlichen Sanktionen gefunden + bestraft werden.

    Unfassbar aber auch, dass Google Ads diese Fake-Anzeigen anscheinend ohne nähere Qualitätsprüfung einfach freigeschaltet hat… :((( Wenn es um den schnöden Mammon bzw. Anzeigenumsätze geht, versagen bei den Google-Algorithmen jegliche Anstandsmechanismen… :(((

    Ein Grund mehr, die baldige Aufspaltung des beinahe Monopolisten Google zu fordern !

    Vg Frieder Frieden

    1. Hallo, ich grüße Sie!

      Wahrscheinlich haben Sie nicht ganz unrecht, dass Google als ein Baustein für die mutmaßliche Betrugsmasche genutzt wurde.
      Allerdings sehe ich Ihren Wunsch ebenfalls kritisch.

      Danke für Ihren Kommentar und bleiben Sie gesund.

      LG
      Christian Ulrich

Sagen Sie etwas...