[datensicherheit.de, 17.12.2024] Die Verbraucherzentrale Nordrhein-Westfalen (vz NRW) geht in einer aktuellen Stellungnahme auf Vorfälle bei „PayPal“ zum Schaden von Verbrauchern ein, bei denen Cyber-Kriminelle demnach mit fremden Kontodaten im Internet einkaufen und gibt Tipps, wie sich Verbraucher schützen können.

Betrüger missbrauchte alte IBAN beim Online-Shopping über Funktion „Zahlen ohne PayPal-Konto“

Ein Verbraucher aus dem nördlichen Nordrhein-Westfalen sei fassungslos: „Der Zahlungsdienstleister „PayPal“ möchte 56,75 Euro von ihm haben – für einen Einkauf, von dem er nichts weiß.“ Er habe sodann bei „PayPal“ nachgefragt und erfahren, dass das Geld von seinem Bankkonto nicht habe abgebucht werden können. „Das Konto existiert ja auch seit 2018 nicht mehr“, so seine Erklärung gegenüber der vz NRW. Er habe zwar ein „PayPal“-Account, aber seine alte IBAN daraus längst gelöscht.

Dieser Verbraucher habe dann herausgefunden, dass irgendjemand offensichtlich diese alte IBAN beim Online-Shopping über die Funktion „Zahlen ohne PayPal-Konto“ eingegeben habe. Wie die unbekannte Person an diese Daten gekommen sei, wisse er nicht. Bei dieser Methode, auch „Gast-Konto“ oder „Gastzahlung“ genannt, erlaube „PayPal“ das Bezahlen per Lastschrift, ohne dass ein „PayPal“-Konto angelegt werde. „,PayPal’ hat dabei die Rolle eines Zahlungsabwicklers, der dafür zuständig ist, dass die per Lastschrift oder Kreditkarte geleistete Zahlung des Käufers dem ,PayPal’-Konto des Händlers gutgeschrieben wird“, so eine „Paypal“-Sprecherin auf Anfrage der vz NRW.

Auf die Frage „Wird dabei geprüft, ob die angegebene IBAN auch der Person gehört, die gerade die Bestellung tätigt?“ habe „PayPal“ nur allgemein geantwortet: „,PayPal’ führt im Rahmen der Maßnahmen zu Risikomanagement und Betrugsprävention Sicherheitsprüfungen bei der Abwicklung von Zahlungen durch.“

vz NRW gibt generelle Tipps für Verbraucher – „PayPal“ nur ein Beispiel

Wie sich Verbraucher laut vz NRW schützen könnten und was Betroffene tun sollten:

Forderung des Unternehmens widersprechen!
Wer eine unberechtigte Forderung von einem Zahlungsdienstleister oder Online-Shop erhält, sollte nicht einfach zahlen, aber auch nicht untätig bleiben. Betroffene sollten gegenüber dem Unternehmen schriftlich widersprechen, zum Beispiel mithilfe des Musterbriefs der Verbraucherzentrale NRW. Wer bei einer solchen Forderung mit Mahnungen und Schreiben von Inkassobüros oder Rechtsanwälten überhäuft wird, sollte sich auf keinen Fall einschüchtern lassen. Ernst zu nehmen sei vor allem der „echte“, das heißt gerichtliche Mahnbescheid. Dies sei ein amtliches Formular und komme ausschließlich per Postzustellung von einem Gericht. Zu jedem echten gerichtlichen Mahnbescheid werde auch ein Widerspruchsformular mitgeschickt. „Mit diesem Formular können Betroffene innerhalb der 14-tägigen Widerspruchsfrist der Geldforderung widersprechen. Ein echter Mahnbescheid kommt aber nach den Erfahrungen der Verbraucherzentrale NRW nur sehr selten.“ Sollte dies doch geschehen, könnten Betroffene sich an eine örtliche Verbraucherzentrale wenden.

Rückbuchung bei der Bank beantragen!
Jede Abbuchung auf ihrem Konto könnten Verbraucher acht Wochen lang rückgängig machen. „Handelt es sich um eine unberechtigte Abbuchung ohne Einzugsermächtigung, gilt sogar eine Frist von 13 Monaten.“ Die Rückbuchung könne häufig im Online-Banking oder direkt in der Filiale oder per Telefon beantragt werden.

Anzeige erstatten!
Betroffene sollten den Betrug und den Missbrauch ihrer Daten bei der Polizei zur Anzeige bringen. „Falls sie Inkassoforderungen erhalten, können sie diese mit Vorlage der Anzeige bestreiten.“

Vorsichtig mit Kontodaten umgehen!
Grundsätzlich sollten Verbraucher sensible Daten wie die IBAN so selten wie möglich angeben und schon gar nicht irgendwo öffentlich lesbar hinterlassen. „Wenn Daten durch Hacker-Angriffe oder Datenlecks gestohlen werden oder durch erfolgreiches Phishing in fremde Hände gelangen, bleiben nur die oben genannten Empfehlungen.“

Weitere Informationen zum Thema:

verbraucherzentrale Nordrhein-Westfalen, 16.12.2024
Wie Kriminelle das „Bezahlen ohne PayPal-Konto“ missbrauchen / Mit dem Begriff „Gastkonto-Masche“ wird im Internet über einen Betrug via PayPal diskutiert, bei dem Kriminelle fremde IBAN für Einkäufe missbrauchen. Schutz für Betroffene gibt es kaum.

verbraucherzentrale Nordrhein-Westfalen, 05.12.2024
Abzocke online: Rechnung bekommen, aber nichts bestellt – was tun? / Wer eine unberechtigte Forderung eines Onlineshops erhält, sollte nicht einfach zahlen – aber auch nicht untätig bleiben.

[datensicherheit.de, 03.09.2024] Die Verbraucherzentrale Nordrhein-Westfalen (vz NRW) warnt aktuell vor Betrug mit „Fake-Immobilien“ und rät in diesem Zusammenhang dringend vor der Preisgabe sensibler Daten bei der Wohnungssuche. Der Druck auf dem Wohnungsmarkt ist in vielen Städten offensichtlich groß. Auf eine Anzeige melden sich oft etliche Interessenten – aber nicht alle erhalten dann die Chance, die angebotene Wohnung überhaupt zu besichtigen. Diese Notlage nutzen Immobilienbetrüger laut vz NRW aus, um mit gefälschten Wohnungsinseraten auf Plattformen wie „Immobilienscout24“, „Immowelt“ oder „Immonet“ Kasse zu machen. „Betrüger verlangen die Preisgabe sensibler Daten wie Gehaltsnachweise oder die Kopie des Personalausweises, noch vor der ersten Wohnungsbesichtigung. Mit diesen Informationen können sie dann weiter agieren und zum Beispiel Verträge im Namen der Betroffenen abschließen oder Konten eröffnen”, berichtet Ayten Öksüz, Expertin für Datenschutz bei der vz NRW. Sie erklärt, wie man sogenannte Fake-Inserate erkennt und worauf Wohnungssuchende bei Weitergabe personenbezogener Daten achten sollten:

1. Tipp zur Online-Wohnungssuche: Unseriöse Anzeigen erkennen!

Ein Hinweis auf gefälschte Immobilienanzeigen seien ungewöhnlich niedrige Kauf- und Mietpreise. Auch viel zu niedrig angesetzte Nebenkosten könnten ein Indiz für eine gefälschte Wohnungsanzeige sein. Viele Immobilienbetrüger lockten mit ansprechenden Immobilienbildern wie aus dem Prospekt. „Bei den Fotos handelt es sich jedoch oft um kopierte Bilder aus dem Internet.“ Um diese Masche zu entlarven, könnten die Bilder in die umgekehrte Bildersuche einer Suchmaschine hochgeladen werden. „So erkennt man, ob und wo das Bild im Netz noch verwendet wird.“

Auch könne es sich bei dem Inserat um eine Kopie einer oder mehrerer tatsächlich existierender Anzeigen handeln. Auch hierbei helfe die Überprüfung mit einer Suchmaschine. Schwieriger werde es, professionell gefälschte Anzeigen zu erkennen, welche mit Künstlicher Intelligenz erzeugt wurden – und täuschend echt wirkten.

2. Tipp zur Online-Wohnungssuche: Kein Geld vorab überweisen!

Eine häufige Masche sei der Trick mit der Vorkasse: Ein angeblicher Wohnungseigentümer kontaktiere die Interessenten und teile mit, dass er selbst im Ausland sei und daher nicht zur Besichtigung kommen könne. „Gleichzeitig bietet er als Alternative an, den Schlüssel für die Wohnungsbesichtigung per Post zuzuschicken oder durch einen Mittler zu übergeben.“

Als Kaution hierfür sollten die Interessenten dann vorab Geld überweisen. „Sobald die Überweisung erfolgt ist, ist der vermeintliche Eigentümer plötzlich nicht mehr erreichbar.“ Die Betroffenen bekämen keinen passenden Wohnungsschlüssel – und das Geld sei auch weg.

3. Tipp zur Online-Wohnungssuche: Keine sensiblen Daten preisgeben!

Betrüger nutzten die Tatsache aus, dass bei der Wohnungssuche von Eigentümern oder Maklern in der Regel die Angabe von bestimmten Informationen verlangt werde: Dazu gehörten Gehaltsnachweise, Schufa-Auskunft und Angaben über die eigenen Lebensumstände im Rahmen einer Selbstauskunft. Viele forderten auch eine Kopie des Personalausweises – dazu hätten sie allerdings keine Berechtigung. Denn für die Prüfung der in der Selbstauskunft gemachten Angaben reiche es aus, sich den Personalausweis vorzeigen zu lassen. Betrüger könnten nämlich die gesammelten Daten auf unterschiedliche Weise nutzen. „Auf der Gehaltsabrechnung sind beispielsweise Daten wie Kontoinformationen, Arbeitgeber oder die Kontaktdaten der zuständigen Personalabteilung.“ Kriminelle könnten sich damit zum Beispiel beim Arbeitgeber als die betroffene Person ausgeben und über eine angebliche Änderung der Kontodaten für kommende Gehaltszahlungen informieren. Erst mit der ausbleibenden Gehaltszahlung falle ein solcher Betrug dann häufig auf.

Verbraucher sollten grundsätzlich sehr vorsichtig mit der Herausgabe von persönlichen Daten sein. „Eine Kopie des Personalausweises sollte grundsätzlich nicht verschickt werden, schon gar nicht vor der ersten Wohnungsbesichtigung. Wenn dies zum Abschluss des Mietvertrages unvermeidlich ist, sollten alle Stellen, die nicht relevant sind, geschwärzt werden.“ Auch könne ein quer auf der Kopie angebrachter Vermerk wie „Für Wohnungsbewerbung“ einem möglichen Missbrauch vorbeugen. Selbiges gelte auch für Gehaltsnachweise.

4. Tipp zur Online-Wohnungssuche: Betrug unverzüglich melden!

Wenn Verbraucher Opfer eines Betrugs geworden sind, sollten sie keine falsche Scham haben und sich in jedem Fall bei der zuständigen Polizeidienststelle melden, um Anzeige zu erstatten. Dies sei auch online möglich. „Zur Beweissicherung sollte jegliche Korrespondenz mit dem Betrüger aufbewahrt und der Anzeige beigelegt werden. Das ist insbesondere für mögliche weitere Konsequenzen, die sich aus dem Datenklau ergeben können, wichtig.“

So könnten Betroffene mit der Anzeige gegen unberechtigte Forderungen vorgehen. „Wer als Betroffener Rechnungen oder Mahnungen erhält, weil Betrüger Verträge in seinem Namen und mit seiner Identität abgeschlossen haben, sollte sich unbedingt an die Gläubiger wenden und auf den Identitätsdiebstahl hinweisen.“ Auch sollten Betroffene den Betrugsfall beim Plattformbetreiber melden, „damit dieser entsprechende Schritte einleiten kann, zum Beispiel die Fake-Wohnungsanzeige von der Plattform nehmen und weitere mögliche Betroffene über den Betrugsversuch informieren“.

Weitere Informationen zum Thema:

verbraucherzentrale Nordrhein-Westfalen, 02.09.2024
Fake-Wohnungen im Internet: So erkennen Sie falsche Immobilienanzeigen

[datensicherheit.de, 31.10.2020] Die Verbraucherzentrale Nordrhein-Westfalen (vz nrw) bewertet laut einer eigenen Meldung Pläne von Auskunfteien zur Speicherung von Kundendaten von Strom- und Gaskunden als „unzulässig“ – der geplante Datenpool verstoße gegen DSGVO und Wettbewerbsrecht.

Auskunfteien möchten Informationen über bisherige, ungestörte Vertragsverhältnisse und -laufzeiten sammeln

Die beiden Auskunfteien Schufa und CRIF Bürgel wollten laut Medienberichten künftig umfassende Persönlichkeitsprofile über Strom- und Gaskunden in einer zentralen Datenbank speichern (E-Pool) und Energieanbietern zur Verfügung stellen.
Es sei geplant, darin unter anderem auch Informationen über bisherige, ungestörte Vertragsverhältnisse und -laufzeiten der Verbraucher zu sammeln und auszuwerten.

Den Auskunfteien fehlt die rechtliche Grundlage zur Datensammlung

Wechselwillige Kunden könnten es dann nicht nur schwer haben, einen neuen Anbieter zu finden. Nach Auffassung der vz nrw „verstößt dieses Ansinnen außerdem gegen die Datenschutzgrundverordnung (DSGVO)“. Diese sehe vor, dass Daten nur bei einem berechtigten Interesse gesammelt werden dürften.
„Für eine solche Datensammlung fehlt die rechtliche Grundlage und es besteht auch keinerlei wirtschaftliche Rechtfertigung“, so der Syndikusanwalt Wolfgang Schuldzinski, Vorstand der vz nrw, zu seiner Bewertung der Pläne der beiden Auskunfteien. Nun seien die Landesdatenschutzbeauftragten gefordert, „dem Vorhaben einen Riegel vorzuschieben“.

Landesbeauftragte sollten gegen diese Pläne der Auskunfteien vorgehen

Denn Stromkunden zahlten in laufenden Verträgen in der Regel monatliche Abschläge, Energieunternehmen gingen also keine Kreditrisiken ein. Vor diesem Hintergrund gebe es nach Auffassung der Verbraucherschützer schlichtweg keine Notwendigkeit, Daten vertragstreuer Kunden zu sammeln und auszuwerten.
Die vz nrw fordert nach eigenen Angaben die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen, Helga Block, auf, „sich im Kreis der Landesdatenschutzbeauftragten deutlich gegen diese Pläne zu stellen“.

Datensammlung der Auskunfteien würde rechtlich festgeschriebene Wechselmöglichkeit konterkarieren

Zumal die geplante Datenbank jene den Verbrauchern zustehende und rechtlich festgeschriebene Wechselmöglichkeit konterkariere. „Kunden, die mit Neukundenboni umworben und von Wechselangeboten Gebrauch machen, müssen künftig damit rechnen, dafür abgestraft zu werden.“
Denn mithilfe einer solchen Datenbank könnten wechselwillige Kunden identifiziert und abgelehnt werden, warnt Schuldzinski: „Es ist schon absurd, dass um Neukunden mit lukrativen Angeboten geworben wird, diese aber abgestraft werden sollen, wenn Sie von diesen Angeboten tatsächlich Gebrauch machen.“

Weitere Informationen zum Thema:

datensicherheit.de, 18.07.2018
Robo Advice: Verbraucherzentrale fordert Verbesserung

[datensicherheit.de, 13.04.2017] Die Landesbeauftragte für Datenschutz Nordrhein-Westfalen (LDI NRW) hat nach eigenen Angaben Immobilienmakler sowie Wohnungsverwaltungsgesellschaften in NRW überprüft. Anlass sei eine Zunahme von Bürgerbeschwerden – keine Prüfung sei ohne Beanstandung geblieben.

Umfangreiche, oft sensible Datenerhebungen moniert

Gerade aus Ballungsgebieten erreichten die LDI NRW zunehmend Beschwerden über umfangreiche, oft sensible Datenerhebungen. Viele Mietinteressenten würden genötigt, umfassende Auskunft über sich zu erteilen.
Diese Auskünfte würden aufgrund der knappen Wohnraumsituation oft erteilt, da bei einer Verweigerung nicht selten anderweitig vermietet werde. Grund genug für die LDI NRW, die Wohnungswirtschaft genauer ins Blickfeld zu nehmen.

Wohnungswirtschaft für Datenschutz sensibilisieren!

Ziel der gemeinsam mit dem LDA Bayern durchgeführten Prüfung sei es gewesen, die Wohnungswirtschaft für den Datenschutz zu sensibilisieren. Einbezogen worden seien Immobilienmakler sowie Wohnungsverwaltungsgesellschaften aus allen Regionen. Zudem seien kleine, mittelständische und größere Unternehmen erfasst worden.
Bei allen der über 40 geprüften Unternehmen in NRW habe es Anlass zu Beanstandungen gegeben – in 30 Prozent der Fälle sogar auffällig viele. Fast alle der geprüften Unternehmen hätten ihre Prozesse zwischenzeitlich datenschutzgerechter gestaltet. Einige Unternehmen habe die LDI NRW dabei umfangreich beraten.

Mieterselbstauskunft als Schwerpunkt der Prüfung

Schwerpunkt der Prüfung sei der Inhalt der Mieterselbstauskunftsformulare gewesen. Berücksichtigt worden seien auch Aspekte der Datensicherheit bei der Nutzung von Online-Kontaktformularen und elektronischer Kommunikation sowie die Anfertigung von Personalausweiskopien. Zudem seien Löschroutinen und -konzepte in Bezug auf gespeicherte personenbezogene Daten geprüft worden.
Grundsätzlich sei ein Fragebogen erst dann auszufüllen, wenn nach erfolgter Besichtigung ernsthaftes Interesse an dem Objekt besteht. Aber auch dann dürften nicht jegliche Art von Daten erhoben werden.

Häufig beanstandet worden seien insbesondere folgende Punkte:

• Kontaktdaten aus vorangegangenen Mietverhältnissen
  Diese Frage sei unzulässig. Sie sei zum einen für den Abschluss eines Mietvertrages nicht erforderlich und widerspreche zum anderen dem Grundsatz der Direkterhebung.
• Bonitätsauskünfte
  Die undifferenzierte Forderung nach Vorlage einer „Schufa-Auskunft“ oder „Schufa-Selbstauskunft“ sei unzulässig. Diese Auskünfte enthielten deutlich mehr Datenkategorien als spezielle (häufig kostenpflichtige) zur Weiterleitung an Dritte geeignete Produkte und führten somit zu einer über das erforderliche Maß hinausgehenden Erhebung von Daten. Erst wenn der Abschluss des Mietvertrags unmittelbar bevorsteht, dürften Bonitätsauskünfte bei Auskunfteien erfragt oder die Vorlage einer Bonitätsauskunft durch die potenzielle Mietpartei verlangt werden.
• Angaben zum Familienstand
  Wird lediglich die Mieterin oder der Mieter Vertragspartei, seien Angaben zum Familienstand für die Entscheidung über den Abschluss eines Mietvertrages nicht erforderlich und daher im Ergebnis unzulässig. Nahe Familienangehörige wie Ehegatten, Lebenspartner und Kinder dürften nämlich auch ohne Erlaubnis in der Wohnung wohnen. Deshalb seien auch die Fragen zu Geburtstag sowie Verwandtschaftsverhältnis der zum Haushalt gehörenden Kinder und sonstigen Angehörigen nicht erforderlich und im Ergebnis unzulässig. Die Frage nach den Namen sowie dem Alter der einziehenden Personen sei dagegen zulässig.
• Fragen zum Beruf
  Nach dem Beruf und der Arbeitsstätte dürfe zur Beurteilung der Bonität gefragt werden. Die Dauer einer Beschäftigung biete jedoch in einer mobilen Gesellschaft keine Gewissheit für die Beständigkeit einer Beschäftigung. Diese Frage sei daher nicht geeignet, das Sicherungsbedürfnis einer Vermieterin oder eines Vermieters zu erfüllen und damit unzulässig.
• Personalausweiskopie
  Kopien des Personalausweises seien bei Vermietungen in der Regel unzulässig. Gestattet sei allerdings, die Angaben zur Identität durch Vorlage des Personalausweises zu prüfen und das Ergebnis schriftlich festzuhalten. Notiert werden dürften die zur Personenidentifikation notwendige Daten: Name und Vorname, Geburtsdatum und Anschrift. Eine weitergehende Notiz, zum Beispiel zur Seriennummer des Personalausweises, dürfe nicht erfolgen.
• Nutzung von Online-Kontaktformularen
  Soweit es sich bei den Online-Formularen um ein allgemeines Kontaktformular handelt, sei eine Antwort per E-Mail ausreichend. Die zusätzliche Angabe von Telefonnummer und/oder Anschrift als Pflichtfeldangabe sei damit nicht erforderlich und daher nicht gestattet.
• Lösch- und Sperrkonzepte
  Einige der geprüften Unternehmen hätten zudem kein Konzept für die Löschung bzw. Sperrung nicht mehr erforderlicher personenbezogener Daten vorweisen können. Daten von unberücksichtigt gebliebenen Bewerberinnen und Bewerbern seien teilweise über zehn Jahre gespeichert worden.

In NRW weiterhin Handlungsbedarf

„Die Prüfung hat gezeigt, dass in NRW weiterhin Handlungsbedarf in diesem Wirtschaftsbereich besteht“, sagt die LDI NRW, Helga Block.
Mieter gerade in Ballungsgebieten fühlten sich aufgrund der angespannten Wohnraumsituation genötigt, Informationen preiszugeben, die teilweise weit über das erforderliche Maß hinausgingen. Block: „Die auf diesem Gebiet tätigen Unternehmen werden wir daher besonders im Blick behalten.“

Weitere Informationen zum Thema:

Düsseldorfer Kreis, 27. Januar 2014
Orientierungshilfe zur „Einholung von Selbstauskünften bei Mietinteressenten“

Düsseldorfer Kreis, 27. Januar 2014
„Selbstauskunft zur Vorlage bei dem/der Vermieter/in“

Virtuelles Datenschutzbüro
Ein Informationsangebot der öffentlichen Datenschutzinstanzen

datensicherheit.de, 04.11.2016
Grenzüberschreitender Datenverkehr: Datenschutzbehörden starten Prüfaktion

[datensicherheit.de, 01.03.2017] Die Verbraucherzentrale Nordrhein-Westfalen (vz nrw) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben nach eigenen Angaben am 1. März 2017 in Düsseldorf eine Vereinbarung über ihre Kooperation unterzeichnet.

Sperrung von mehr als 14.500 dubiosen Webseiten

Internetnutzer sind immer stärker um sich greifenden Gefahren im „World Wide Web“ ausgesetzt – Cyber-Angriffe, gehackte Router, Datenlecks, Passwortdiebstahl und veraltete Software, die „Internetdieben“ Tür und Tor zu Geldkonten und persönlichen Daten öffnen, halten Sicherheitsbehörden und Verbraucherschützer weiterhin in Atem. So verzeichne beispielsweise die vz nrw bislang 350.000 Meldungen über betrügerische E-Mails an Internetnutzer in ihrem „Phishing-Radar“.
Fälscher gaukelten hierbei Nutzern meist den Web-Auftritt eines echten Anbieters vor, um persönliche Daten abzugreifen, an sensible Kontodaten zu gelangen oder unbemerkt ein Schadprogramm auf privaten Rechnern einzuschleusen. Aufgrund der Meldungen von Betroffenen sei die Sperrung von mehr als 14.500 dubiosen Webseiten durch die vz nrw veranlasst worden.

Internet- und Informationssicherheit für Verbraucher in der Digitalen Welt

Auch das BSI beschreibt im jährlichen Bericht zur Lage der IT-Sicherheit in Deutschland eine „zunehmende Qualität der Gefährdung“ – die zunehmende Digitalisierung biete fast tägliche neue Angriffsflächen für Cyber-Angreifer.
Die Internet- und Informationssicherheit von Verbrauchern in der Digitalen Welt zu steigern, ihnen beim Umgang mit Missbrauch zur Seite zu stehen und Internetsabotage wirksam zu bekämpfen sind gemeinsame Anliegen der vz nrw und des BSI. Dazu haben BSI-Präsident Arne Schönbohm und Wolfgang Schuldzinski, Vorstand der vz nrw, am 1. März 2017 in Düsseldorf eine Vereinbarung über ihre künftige Zusammenarbeit unterzeichnet. Dieses „Memorandum of Understanding zur Förderung der Informationssicherheit von Verbraucherinnen und Verbrauchern“ habe zum Ziel, den regelmäßigen Austausch und Wissenstransfer über Gefährdungen im Internet und die Entwicklung von wirksamen Strategien zur Ab- und Gegenwehr bei Cyber-Attacken zu intensivieren.
Zudem sollten gemeinsame Aktionen von BSI und Verbraucherzentrale die Beurteilungs- und Lösungskompetenz der Bevölkerung in Fragen der IT-Sicherheit stärken.

„Finanzieller Abzocke“ und Datenmissbrauch den Kampf angesagt

Als nationale Cyber-Sicherheitsbehörde gestalte das BSI die Informationssicherheit in der weiter voranschreitenden Digitalisierung (und Vernetzung). Dabei informiere es neben Staat, Wirtschaft und Institutionen auch private Nutzer über Sicherheitslücken in elektronischen Geräten und zeige Möglichkeiten zur Absicherung dieser Informationstechnik auf.
Zunehmend wendeten sich Endverbraucher mit Problemen zu den Tücken in der Digitalen Welt an die vz nrw. Das dortige Angebot an Rat und Orientierung reiche von aktuellen Informationen über „finanzielle Abzocke“ und Datenmissbrauch im Internet über persönliche Rechtsberatung bis hin zur Rechtsvertretung bei Problemen aufgrund von Cyber-Kriminalität.
„Aufgabe des BSI ist es, die Cyber-Sicherheit für und gemeinsam mit der Gesellschaft zu gestalten. Mit unserem jeweiligen Know-how sind die Verbraucherzentrale NRW und das BSI ideale Partner, um Gefährdungspotenziale für Nutzerinnen und Nutzer zu ermitteln und ihnen gemeinsam zu begegnen“, so BSI-Präsident Schönbohm zur Basis der künftigen Zusammenarbeit. Man arbeite vielfach an den gleichen Themen und habe ein gemeinsames Interesse, Bürger in IT-Sicherheitsfragen zu sensibilisieren. Die Kooperationsvereinbarung sei somit ein „guter Schritt“, um Aktivitäten zu bündeln und eine noch größere Wirkung zu erzielen.
„Was die zunehmende Vernetzung, Digitalisierung und Datenverfügbarkeit im Alltag für jeden Einzelnen bedeutet, darauf wollen wir ab sofort durch eine kontinuierliche und vertrauensvolle Zusammenarbeit Antworten finden und Auskunft geben. Damit Verbraucherrechte in der digitalen Welt nicht auf der Strecke bleiben, bringen wir außerdem unsere Verbandsklagebefugnis als wirksames Mittel zur Bekämpfung von personenbezogenem Datenmissbrauch und finanzieller Abzocke in die Kooperation mit ein“, unterstreicht NRW-Verbraucherzentralen-Vorstand Schuldzinski.

Erste gemeinsame Schritte

Erste gemeinsame Schritte seien bereits unternommen worden: So habe das BSI bei einem Smartphone mit veraltetem „Android“-Betriebssystem „15 nicht mehr behebbare Sicherheitslücken“ festgestellt und rate deshalb von einer Nutzung des Geräts dringend ab. Laut BSI könnten Angreifer unter anderem sensible Daten ausspähen und einen Schadcode ins System einschleusen. Ein Gerät dieses Typs sei noch kürzlich zum Kauf angeboten worden. Die vz nrw habe den Verkäufer abgemahnt und werde die Sachlage jetzt gerichtlich überprüfen lassen.
Die Zusammenarbeit beim „Phishing-Radar“ der vz nrw, in dem Meldungen von Internetbetrügern erfasst, geprüft und zur Warnung veröffentlicht werden, solle intensiviert werden. Darüber hinaus sei auch eine abgestimmte Veröffentlichung von Sicherheitswarnungen sowie Musterbriefen im jeweiligen Internetauftritt der Kooperationspartner möglich. Auch mit weiteren Akteuren aus dem Regionalen Innovationsnetzwerk NRW sei ein regelmäßiger Austausch über Strategien zur Stärkung der IT-Sicherheit Teil der gemeinsamen Agenda von BSI und vz nrw.

Weitere Informationen zum Thema:

verbraucherzentrale Nordrhein-Westfalen, 01.03.2017
„Memorandum of Understanding zur Förderung der Informationssicherheit von  Verbraucherinnen und Verbrauchern“

verbraucherzentrale Nordrhein-Westfalen, 01.03.2017
Phishing-Mails: Kein Tag ohne Betrug / Phishing-Radar: Aktuelle Warnungen

Bundesamt für Sicherheit in der Informationstechnik
Publikationen / Die Lage der IT-Sicherheit in Deutschland 2016

datensicherheit.de, 09.01.2017
BSI warnt vor Online-Skimming: 1.000 deutsche Webshops betroffen

datensicherheit.de, 20.09.2016
photokina 2016: BSI informiert über Sicherheitsmaßnahmen für Kameras

[datensicherheit.de, 12.06.2012] Sascha Kuhrau, Inhaber von a.s.k. Datenschutz in Franken und Betreiber des Fachblogs „ask datenschutz“, ist seit 2007 als Berater für Datenschutz und Datensicherheit sowie externer Datenschutzbeauftragter für zahlreiche Unternehmen in Deutschland tätig. Im vorliegenden Gastbeitrag führt er aus, weshalb der Einsatz des beliebten Webtracking-Tools „Google Analytics“ derzeit in Bayern und Nordrhein-Westfalen zu Ungemach für Betreiber von Websites führen kann.

Foto: a.s.k. Datenschutz Sascha Kuhrau, Vorra

Sascha Kuhrau: „Wer sich die ganze Aufregung ersparen will, setzt besser auf die ebenfalls kostenfreie Lösung ,PIWIK‘!“

Seit Jahren diskutieren die Landesdatenschutzbehörden mit dem Konzern Google über eine datenschutzkonforme Einsatzmöglichkeit des beliebten, weil kostenfreien Webtracking-Tools „Google Analytics“. Der sogenannte „Düsseldorfer Kreis“, ein Zusammenschluss der Landesdatenschutzbehörden, verabschiedete 2009 ein Eckpunkte-Papier zum datenschutzkonformen Einsatz von Webtracking. Auf dieser Basis vermeldete man im September 2011 die Einigung mit Google.
Der Hamburger Datenschutzbeauftragte stellte eine genaue Anleitung ins Netz, nach deren Vorgehensweise „Google Analytics“ beanstandungsfrei nach deutschem Datenschutzrecht einsetzbar sei. Kernpunkte waren und sind:

1. Abschluss einer Regelung zur Auftragsdatenverarbeitung nach § 11 BDSG.
2. Detaillierte Formulierung der Nutzung in der Datenschutzerklärung der Website zusammen mit dem Hinweis auf die Widerspruchsmöglichkeit durch das Google-Tool „gaoptaut“ inkl. Download-Link.
3. Aktivierung der „anonymizeIP“-Funktion (Achtung: Hierfür ist ein gesonderter Tracking-Code notwendig!).
4. Löschen aller bisher zu Unrecht erhobenen Daten.

Während die Punkte 2 und 3 auf wenig Widerspruch in der Netzwelt stießen, wurden kritische Stimmen zur notwendigen schriftlichen Regelung zur Auftragsdatenverarbeitung laut. Zwar existiert eine Formulierungsvorlage zum Download auf der deutschen Website von „Google Analytics“, doch externe Bewertungen ließen Zweifel an der rechtlichen Zulässigkeit aufkommen, so z.B. im Hinblick auf notwendige Kontrollrechte gegenüber dem Konzern. Das Löschen aller zuvor mit „Analytics“ erhobenen Daten führte und führt zu weiteren Aufregungen unter den Nutzern. In der Folge kam es zur widerwilligen Löschung oder zum totalen Boykott unter Berufung auf nicht immer nachvollziehbare Stellungnahmen sogenannter „Experten“.
Die teilweise sehr heftig und gegensätzlich geführten Diskussionen hatten jedoch einen Vorteil – das Thema verbreitete sich sehr schnell über die elektronischen Medien und sollte daher eine breite Zielgruppe angesprochen haben. Dies sehen wohl die Landesdatenschutzbehörden ebenso und werden nun aktiv.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA ) teilte am 7. Mai 2012 mit, den Einsatz des Webtracking-Tools „Google Analytics“ auf 13.404 Websites mit Betreibern aus Bayern mittels einer eigens entwickelten Software überprüft zu haben. Auf knapp 2.500 Websites sei „Google Analytics“ im Einsatz, davon lediglich drei Prozent datenschutzkonform. Die verbliebenen 2.371 Website-Betreiber erhielten im Anschluss Gelegenheit zur Stellungnahme und Anpassung unter Androhung von Bußgeldern.
Die Landesdatenschutzbehörde Nordrhein-Westfalen (LDI) hat zwar noch keine offizielle Pressemeldung herausgegeben, doch das Feedback von Unternehmen mit Sitz in NRW ist eindeutig. Das LDI hat sich der Vorgehensweise der bayerischen Kollegen angeschlossen und bereits mit dem Versand von Schreiben bei nicht datenschutzkonformem Einsatz von „Google Analytics“ durch Unternehmen mit Sitz in NRW begonnen.
Weitere Durchgänge in Bayern und NRW sowie gleichgeartete Aktionen der Schutzbehörden der anderen Bundesländer sind zu erwarten. Zwar hat die bayerische Landesdatenschutzbehörde klargestellt, es ginge nicht um die Erzielung von Bußgeldern, doch sind diese nicht ausgeschlossen. Ziel dieser Aktion sei es primär, datenschutzkonforme Zustände beim Einsatz von Software zur Erfassung des Nutzerverhaltens im Internet zu erreichen. Aus diesem Grund werde das BayLDA im Rahmen dieser Prüfung bei Feststellung von Verstößen zunächst keine Bußgeldverfahren einleiten, sondern erst dann, wenn ein Website-Betreiber sich nach entsprechender Aufforderung durch das BayLDA sein Programm anzupassen, nachhaltig weigert oder nicht reagiert.
Wer sich die ganze Aufregung ersparen will, setzt besser auf die ebenfalls kostenfreie Lösung „PIWIK“ – dieses „Open Source Tool“ wurde bereits frühzeitig durch die schleswig-holsteinische Landesdatenschutzbehörde (ULD) bewertet und samt einer einfachen Konfigurationsanleitung für den beanstandungsfreien Einsatz auf Websites freigegeben.

Weitere Informationen zum Thema:

Sitzung des Düsseldorfer Kreises am 26./27. November 2009 in Stralsund
Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten

ask datenschutz, 20.09.2011
Aufatmen bei Webseitenbetreibern — Google Analytics datenschutzkonform beanstandungsfrei einsetzbar

Piwik
Open source web analytics

ask datenschutz, 08.05.2012
ULD gibt Hinweise und Empfehlungen zum Einsatz des Webanalyse-Tools PIWIK

[datensicherheit.de, 22.11.2011] Im Rahmen des „3. Tages der Informations- und Kommunikationswirtschaft NRW“ am 18. November 2011 in Bonn wurde das Projekt „Kooperationsstruktur IT-Sicherheit“ vorgestellt:
Projektpartner sind das Horst Görtz Institut für IT-Sicherheit, der eco Verband der deutschen Internetwirtschaft e.V. und der networker NRW e.V. Das Land Nordrhein-Westfalen hat rechtzeitig zu diesem „IuK-Tag“ den vorzeitigen Maßnahmebeginn genehmigt. In den kommenden drei Jahren werden die Initiatoren vielfältige Maßnahmen im Bereich IT-Sicherheit (ITS) in NRW anstoßen.
IT-Sicherheit sei eines der bedeutendsten Themen der heutigen Online-Welt, so Harald A. Summa, Geschäftsführer von eco. Im Rahmen des Projektes würden sie zusammen mit ihren Partnern die Vernetzung der ITS-Branche in NRW weiter vorantreiben. Sie könnten laut Hubert Martens, Geschäftsführer des Vereins networker NRW, künftig ihre Aktivitäten forcieren, stärker platzieren sowie Kooperationen von Unternehmen und wissenschaftlichen Einrichtungen weiter ausbauen.
Auch Professor Dr. Christof Paar vom HGI freut sich sehr über die finanzielle Förderung vom Wirtschaftsministerium NRW – durch die ständig neuen Sicherheitsbedrohungen, wie etwa „Stuxnet“ oder die Angriffe auf die Sony-Playstation“, sei ein enger Schulterschluss zwischen Forschungseinrichtungen und der Industrie ein logischer und wichtiger Schritt. Das Land NRW belege jetzt schon einen der europäischen ITS-Spitzenplätze, der durch den Cluster weiter ausgebaut werde.

[datensicherheit.de, 27.07.2011] „Die Zukunft ist digital“ – unter diesem Motto steht der „3. IuK Tag“ der Landesregierung Nordrhein Westfalen am 18. November 2011 im „Kameha Grand Bonn“:
Wirtschaftsminister Harry Voigtsberger und der Staatssekretär im Wirtschaftsministerium Dr. Horzetzky werden an der Veranstaltung teilnehmen. Nachhaltige Wettbewerbsfähigkeit und hohe Lebensqualität sind ohne Informations- und Kommunikationstechnologie nicht erreichbar.
Der „3. IuK Tag 2011“ fragt daher nach der Bewältigung aktueller und zukünftiger gesellschaftlicher Herausforderungen. In Foren und Themenlounges zu „IT-Security“, „E-Health“, „Green IT“, „Augmented Realities“ und „Wissensmanagement und E-Partizipation“ werden Innovationspotenziale der IKT in verschiedenen Wirtschaftsbereichen und Lebenswelten beleuchtet und aktuelle Produktentwicklungen, Anwendungen und Ideen vorgestellt.
Die „Social Media Lounge“ informiert über die Potenziale des Web 2.0 als Markt der Zukunft. Im „Town-Hall-Meeting“ präsentieren Experten Möglichkeiten der Finanzierung von technologischen Innovationen und der Generierung von Risikokapital. Ein „Stakeholder Treffpunkt“ lädt Unternehmer und potenzielle neue Start-ups ein, sich kennenzulernen und ihre Synergiepotenziale auszuloten. Die ganztägige Veranstaltung wird von einer Ausstellung flankiert, auf der NRW-Unternehmen ihre Produktpalette präsentieren und neue Geschäftskontakte knüpfen können.
Die Teilnahme ist mit einer Tagungsgebühr verbunden – 50 Euro, ermäßigt 20 Euro; Frühbucher vor dem 20. September 2011 erhalten den ermäßigten Tarif.

Weitere Informationen zum Thema:

3. Tag der Informations- und Kommunikationswirtschaft NRW
ANMELDEFORMULAR

IKT.NRW
Die Zukunft ist digital. – 3. IuK Tag NRW am 18. November 2011 in Bonn

[datensicherheit.de, 07.07.2011] Der BITKOM und das Landeskriminalamt Nordrhein-Westfalen (LKA NRW) arbeiten bei der Bekämpfung der Computer- und Internet-Kriminalität in Zukunft enger zusammen:
Den Auftakt am 7. Juli 2011 bildet ein zweitägiger Workshop mit mehr als hundert Experten aus Wirtschaft und Sicherheitsbehörden beim LKA NRW in Düsseldorf. Der Verlagerung der Kriminalität ins Internet müssten sich Sicherheitsbehörden und Wirtschaft gemeinsam stellen. Die Unternehmen der ITK-Branche könnten die Ermittler vielfältig unterstützen. Diese Veranstaltung sei der Auftakt für eine vertiefte Zusammenarbeit aller beteiligten Akteure, die ausgeweitet werden sollte, so BITKOM-Präsident Prof. Dieter Kempf. Die dynamischen Veränderungen der digitalen Welt erforderten eine Anpassung der polizeilichen Strategie, sagte der stellvertretende Behördenleiter des LKA NRW, Harald Zimmer.
Vertreter aus Sicherheitsbehörden und Wirtschaft beraten in Düsseldorf, was Ermittlungsbehörden und Wirtschaft in der Zukunft erwartet und welche Herausforderungen in Zusammenhang mit den neuen Medien entstehen. In Workshops erarbeiten die Teilnehmer, wie sich neue IT-Infrastrukturen auswirken, und beleuchten die Themen Dunkelfeldforschung, übergreifende Präventionsansätze und Steigerung der Kompetenzen im verantwortlichen Umgang mit dem Internet.
Die nachhaltige Kontrolle der Kriminalität rund um das Internet und den neuen Medien sei eine Herausforderung an die kriminalpolizeiliche Arbeit der nordrhein-westfälischen Polizei in den nächsten Jahren, so Zimmer. Je größer die Sicherheit im Netz, desto mehr Vertrauen werde der Internetnutzer in das Netz und die sich bietenden Möglichkeiten haben.

[datensicherheit.de, 01.11.2010] In einer gemeinsamen Pressemitteilung vom 29. Oktober 2010 sprechen das Landeskriminalamt Baden-Württemberg (LKA BW), des Landeskriminalamt Nordrhein-Westfalen (LKA NRW) und die Staatsanwaltschaft Stuttgart von einem der „umfangreichsten Ermittlungsverfahren gegen Verbreiter von Schadsoftware und Online-Betrüger“ in Deutschland. Der gemeinsamen Ermittlungskommission des LKA BW und des LKA NRW unter dem Namen „Katusha“ sei es im Auftrag der Staatsanwaltschaft Stuttgart, Abteilung Organisierte Kriminalität, gelungen, die Hintermänner einer international agierenden Gruppierung, die im großen Stil Online-Banking-Transaktionen manipuliert haben sollen, zu ermitteln:
Die mumaßlichen Haupttäter hätten über 260 manipulierte Überweisungen in Höhe von mindestens 1,65 Millionen Euro ins In- und Ausland getätigt. Dazu seien durch die Verdächtigen Echtzeit-Trojaner auf den PCs der Betroffenen installiert worden, um Online-Bankgeschäfte zu manipulieren. Gegen diese Masche der Hacker hätten die betroffenen Bankkunden kaum eine Chance gehabt, so Klaus Hiller, Präsident des LKA BW.
Im Zuge der umfangreichen Überwachungsmaßnahmen sollen auch rund 470 sogenannte „Finanzagenten“ ermittelt worden sein – diese hätten sich bei von den Hauptverdächtigen betriebenen fiktiven Firmen als „Finanzmanager“ beworben und dann bei unterschiedlichen Banken Konten eröffnet, um eingehende Gelder abzuheben und an bestimmte Personen weiterzuleiten. Gegen sie seien deshalb Strafverfahren wegen Verdachts der Geldwäsche eingeleitet worden.
Die Infektion der Kunden-PCs soll sowohl über manipulierte PDF-Dateien als auch über so genannte „Drive-by-Infections“ erfolgt sein – dabei werden PCs über Schwachstellen des Browsers angegriffen, wenn ein Nutzer beim Surfen im Internet auf manipulierte Websites gelangt. Das Aufrufen der manipulierten Seite reicht bereits aus, um den PC zu infizieren. Da die Täter die Schadsoftware ständig aktualisiert und verändert hätten, sei diese selbst von aktueller Antiviren-Software häufig nicht erkannt worden. Sobald ein Geschädigter eine Onlinebanking-Sitzung begonnen hatte, sei der „Trojaner“ aktiv geworden. Nachdem der Kunde eine Überweisung geschrieben hatte und zur Eingabe einer i-TAN aufgefordert wurde, habe dieser Betrag, Saldo, Verwendungszweck sowie die Empfängerdaten verändert – der Kontoinhaber habe dies aber nicht erkennen können. Erst dann sei die Überweisung mit der angeforderten i-TAN an die Bank übermittelt worden. Für die Geschädigten sei die missbräuchliche Überweisung erst auf dem Papierkontoauszug erkennbar gewesen.

Weitere Informationen zum Thema:

Landeskriminalamt Baden-Württemberg (LKA BW), Landeskriminalamt Nordrhein-Westfalen und Staatsanwaltschaft Stuttgart, 29. Oktober 2010
Internationale Bande von Online-Banking-Hackern gesprengt – Schaden von 1,2 Millionen Euro verhindert

Anti-Botnetz Beratungszentrum
Willkommen!

www.polizei-beratung.de
Warnung vor dubiosen Stellenangeboten – Anwerbung als „Finanzagent“

www.polizei-beratung.de
So schützen Sie sich vor Risiken im Internet

BSI für Bürger
Ins Internet – mit Sicherheit