Die Bundesrechtsanwaltskammer (BRAK) warnt vor einer bundesweiten Zunahme von Betrugsfällen durch sogenannte Fake-Kanzleien. Diese bieten Waren von vermeintlich insolventen Firmen zum Kauf an. Kriminelle nutzen gefälschte Identitäten, um vor allem kleine und mittelständische Unternehmen zu schädigen.
Betrugsmasche: Missbrauchte Identitäten
Die Betrugsmasche gestaltet sich stets ähnlich. Vermeintliche Rechtsanwaltskanzleien versuchen, betroffene Unternehmen durch gefälschte Anwaltsidentitäten beziehungsweise Gerichtsbeschlüsse zu schädigen. Die kopierten Identitäten stammen zum Teil von tatsächlich existierenden und zugelassenen Jurist:innen, Rechtsanwaltsgesellschaften oder anderen Unternehmen. Häufig werden neben deren Namen auch deren Adressdaten, Fotos, Umsatzsteuernummern und Handelsregisternummern angegeben. Für den Betrug werden Fake-Homepages erstellt, die täuschend echt aussehen. Über die gefälschten Internetseiten sollen Straftaten ermöglicht werden. Die BRAK rät daher zu erhöhter Vorsicht und genauer Prüfung.
Typische Betrugsmodelle
Verkäufe aus angeblichen Unternehmensinsolvenzen
Besonders häufig sind Fälle im Zusammenhang mit vermeintlichen Insolvenzverkäufen: Unternehmen erhalten verlockend günstige Waren (beispielsweise Baumaschinen, Smartphones, Anlagen, Fahrzeuge etc.), die durch täuschend echt gestaltete Websites oder über E-Mails beworben werden. Oft wird auch ein gefälschter Gerichtsbeschluss beigelegt. Die Zahlung erfolgt per Vorkasse. Zu einer Lieferung der bestellten Güter kommt es in der Regel nicht.
Angeblich fällige Forderungen oder versprochene Auszahlungen
Weitere Betrugsversuche betreffen angeblich fällige Forderungen oder versprochene Auszahlungen, die jedoch an hohe Vorabgebühren geknüpft sind. Teilweise sollen Betroffene sogar Unterlassungserklärungen unterschreiben oder direkten Kontakt zu den vermeintlichen Kanzleien aufnehmen.
So prüfen Unternehmen die Echtheit von Identitäten
Die BRAK empfiehlt, die Anwaltszulassung stets im Bundesweiten Amtlichen Anwaltsverzeichnis (BRAV) zu überprüfen. Ist der Anwalt oder die Anwältin tatsächlich zugelassen, sollte Sie ihn oder sie unabhängig über sichere Kontaktwege direkt ansprechen. Keinesfalls über die im Schreiben angegebenen Daten.
Zusätzlich gilt:
- Dokumente genau prüfen: Stimmen Namen, Adressen oder Nummern nur fast mit den echten Angaben überein, ist Vorsicht geboten.
- Insolvenzverkäufe verifizieren: Sie können über eine Plattform nachvollziehen, ob tatsächlich ein Insolvenzverfahren eröffnet und die genannte Person als Insolvenzverwalter:in bestellt wurde. Führt das nicht weiter, kann eine Nachfrage beim zuständigen Insolvenzgericht Klarheit schaffen.
- Sichere Kommunikationswege nutzen: Am verlässlichsten ist die Kontaktaufnahme über das besondere elektronische Anwaltspostfach (beA), das Unternehmen über das elektronische Bürger- und Organisationspostfach (eBO) oder Mein Justizpostfach (MJP) erreichen können.
- Bestätigung nur durch die echte Person: Ausschließlich der/die tatsächlich zugelassene Anwalt/Anwältin oder der/die Insolvenzverwalter:in kann bestätigen, dass die Kontaktaufnahme wirklich von ihm/ihr stammt. Das ist besonders wichtig, wenn die Identität nahezu vollständig übernommen wurde.
- Keine Zahlungen ohne Prüfung leisten: vor allem nicht bei Aufforderungen zu Vorabgebühren.
Vorgehen bei Verdachtsfällen
Vermuten Sie, dass Sie einem Betrugsversuch zum Opfer gefallen sind, sollten Unternehmen umgehend die Polizei, die betroffene echte Kanzlei sowie die zuständige Rechtsanwaltskammer informieren. Eine Übersicht über letztere finden Sie auf den Seiten der BRAK. Auch eine Dokumentation der erhaltenen Unterlagen und E-Mails ist wichtig, um den Kriminellen nachzugehen.
Schutz für betroffene Kanzleien
Awälte und Anwältinnen beziehungsweise Kanzleien, deren Identität missbraucht wurde, sollten Anzeige und Strafantrag stellen und bekannte Täterkonten benennen. Zudem können Unterlassungsansprüche verfolgt oder Fake-Websites über den jeweiligen Domainanbieter gelöscht werden. Bei Nicht-Handeln von Hosting- oder Plattformbetreibern greift zusätzlich der Digital Services Act (DSA).
Interview mit Lennart-Christian Levenson (Rechtsanwalt bei clover law Rechtsanwälte)
Herrn Levenson, es kam in jüngerer Zeit vermehrt vor, dass die Identität von Unternehmen missbraucht wurde, beispielsweise zur Erstellung von falschen Internetseiten. Wie gehen Betrüger typischerweise beim Identitätsmissbrauch von Unternehmen vor. Welche Schwachstellen nutzen sie dabei am häufigsten aus?
Die Täter registrieren in der Regel Domains (Internetadressen), die einer echten Unternehmensdomain ähnlich sind. Dabei nutzen die Täter bekannte Unternehmensnamen und sogar Namen von Anwaltskanzleien und Insolvenzverwaltern oder erfinden diese. Zur Verschleierung werden falsche Personenangaben im Rahmen der Registrierung der Domain als auch geklaute Personenangaben im Impressum und auf der Webseite genannt. Dies führt dazu, dass ein Nutzer eine gefälschte Webseite und damit den Identitätsmissbrauch nicht ohne aufwendige Recherche erkennen kann, ähnlich wie bei einem gut angelegten Fake-Profil in den sozialen Medien. Die Täter erstellen die gefälschten Unternehmenswebseiten, um Vertrauen zu gewinnen und insbesondere Betrugsstraftaten zu ermöglichen, wie etwa den Verkauf von nicht existenter Ware gegen Vorkasse. Die Täter nutzen dabei die geklaute oder ausgedachte Identität und die damit einhergehende Glaubwürdigkeit. Schwachstellen sind hierbei vor allem ein fehlendes Sicherheitsbewusstsein in Bezug auf Webseitenangaben, Warenangebote gegen Vorkasse und per E-Mail übersandte Rechnungen.
Welche rechtlichen Konsequenzen drohen einem Unternehmen, wenn Kriminelle die Identität der Firma missbrauchen – etwa bei fingierten Bestellungen oder betrügerischen Rechnungen?
Dem Unternehmen, dessen Identität missbräuchlich genutzt wird, drohen keine rechtlichen Konsequenzen. Das Unternehmen ist selbst betroffen und rechtswidrig in seinen Rechten verletzt. Sofern Täter ausfindig gemacht werden können, was selten gelingen wird, hat das Unternehmen unter anderem Ansprüche auf Unterlassung und Schadenersatz. Hier sind jedoch alle Betroffenen auf eine effektive Strafverfolgung angewiesen.
Welche Schritte können Unternehmen präventiv ergreifen, um sich wirksam gegen Identitätsmissbrauch zu schützen?
Einen hundertprozentigen Schutz gibt es nicht. Vorbeugende Sicherheitsvorkehrungen, wie beispielsweise ähnlich klingende Domains zu registrieren, sind nicht zielführend, da die Täter kreativ sind. Eine gute IT-Sicherheit und ein Monitoring, das gefälschte Webseiten früh erkennt, sind effizienter. Jedes Unternehmen sollte im Rahmen dessen auch einen Notfallplan haben oder sich hierzu beraten lassen, um schnell auf derartige Fälle reagieren zu können. Sodann können Anwälte, Compliance- und IT-Abteilungen schnell reagieren.
