Gefälschte Abmahnungen – die Opfer: die Kanzleien

Nach den Unternehmen sind nun die Kanzleien dran. Eine falsche Abmahnwelle dreht erneut seine Runden in Deutschland, diesmal sind  jedoch Anwaltskanzleien von den gefakten E-Mails, welche einen Trojaner enthalten, indirekt auch betroffen. Wie man als Abgemahnte mit gefakten Schreiben umgehen kann wurde auf diverse Webseiten bereits diskutiert. Doch wie gehe ich damit als kleinere oder mittelständische Kanzlei um, wenn in meinem Namen ungewollt abgemahnt wird?

Das Wochenende dürfte für mehrere Kanzleiinhaber und Partner weniger entspannender sein als gedacht oder geplant. So erhielten Samstag Nachmittag mehrere Kanzleien besorgte E-Mails oder Benachrichtigungen, bezogen auf vermeintliche Abmahnungen, die sie verschickt haben sollen. Kurz stellte sich heraus: hierbei handelt es sich um falsche E-Mails, die von den Kanzleien niemals abgeschickt wurden. Der Verlauf wurde von der Kanzlei Dr. Bauer aus München ausführlich auf der Webseite dokumentiert: hier

Doch die Kanzlei Dr. Bauer soll nicht das erste und das letzte Opfer bleiben. Kurz danach wurde die Aufklärung und Herkunft des Problems auf der Webseite Onlinewarnungen.de veröffentlicht , inklusive einer Liste mit einer Vielzahl von vermeintlich betroffenen Kanzleien.

 „Wir weisen darauf hin, dass die echten Rechtsanwaltskanzleien laut Absender nicht der Versender der E-Mails sind. Vielmehr sind diese selbst geschädigt, da E-Mail-Adressen und Namen missbräuchlich verwendet werden. Bitte rufen Sie bei den entsprechenden Kanzleien nicht an, da Sie damit unter Umständen den Geschäftsbetrieb zum Erliegen bringen. ” //Onlinewarnungen.de//

Schließlich scheint es so, dass die Kanzleien die nicht zugestellten E-Mailbenachrichtigungen nur dann erhielten und somit nur betroffen seien, wenn sie tatsächlich die für die falschen E-Mails verwendete E-Mail Adressen benutzten. Diese nun zu ändern und auf andere E-Mail Adressen umzusteigen, wie es sich RA Michael Bauer erwägt, eine geeignete temporäre Lösung ist?

Auf Nachfrage wurde mir von mehreren Seiten bestätigt, dass mittlerweile über 1500 E-Mails pro Tag zusätzlich als „unzustellbar“ eingegangen seien, darüber hinaus diverse Anrufe oder echte E-Mails als Reaktion auf die vermeintliche Abmahnungen. Doch auf die Frage, wie man damit nun umgehen würde wussten viele keine genau Antwort, es hieß einfach absitzen und ausbaden.

Das Tagesgeschäft sei insoweit stark belastet, da sich kleinere Kanzleien kein Personal dafür haben sich unerwartet um eine so hohe Anzahl an Anfragen zu kümmern. Dennoch versuchen die Kanzleien sich die Zeit zu nehmen und allen, die sich persönlich bei Ihnen melden würden, zu erklären was geschehen sei.

Sicher sind sie sich beide Kanzelinhaber Braun: die Abmahnemails stammen nicht von ihren Server, dies sei Ihnen von ihren Provider auch bestätigt worden. Laut den Ermittlungen der Kanzlei  Dr. Bauer stammen die Abmahnemails von diversen Server aus verschiedenen Kontinenten, so zB von der Hetzner Online AG aus Südafrika aber auch aus Deutschland, aus Nürnberg.

So kontaktierte ich letzteres am Vormittag, um weiteres zu den Vorfällen zu erfahren. Mein Anruf traf die Hetzner Online GmbH überaschend, obwohl sie über ihr Abuse-Formular bereits am Sonntag durch die Kanzlei Dr. Bauer informiert worden seien, die Tochter aus Südafrika reagierte schneller und antwortete auf die entsprechende Anfrage der Kanzlei schnell:

“To whom it may concern,
Thank you for reporting the below spam email received. We have found a compromised email address on the server that was used to sent out spam emails. This account has been blocked to prevent any further abuse.

 Kind Regards,

Michelle Hamm Master Consultant

Hetzner (Pty) Ltd SA

 Contact Centre: 0861 0861 08
International: +27 21 970 2000
Website: http://hetzner.co.za
Disclaimer: http://hetzner.co.za/email-disclaimer …

 

Doch was kann eine Kanzlei in so einem Fall tun, kann man etwas unternehmen oder ist man in dem Fall darauf angewiesen die Zeit abzusitzen?

Hierzu haben ich Sebastian Eggersberger, Mitarbeiter der Sebastian Blum GmbH, technischer Berater und Dienstleister gefragt, der derzeit für die Kanzlei von Dr. Bauer die Infrastruktur betreut.

“Dr. Bauer rief uns am Samstagvormittag an, weil eine Kontaktanfrage zu einer vermeintlichen Abmahnung von ihm einging – diese hat er aber nie verschickt.”
“Das Ausmaß war zu dem Zeitpunkt ja noch nicht bekannt – ein kompromittiertes System in der Kanzlei war zwar aufgrund des IT-Sicherheitskonzeptes unwahrscheinlich, aber ist natürlich nie gänzlich auszuschließen.
“Erste Reaktion: alle Passwörter ändern, die in Verbindung mit dem grundsätzlichen E-Mail-Versand stehen.”
Sollten Angreifer wirklich das Mail-System der Kanzlei nutzen, wäre dadurch erst einmal Schluss. Danach begann die Analyse: an wen wurden die Nachrichten geschickt, wie unterscheiden sie sich – und vor allem: gingen sie wirklich über unsere E-Mail-Adressen raus? Letzteres konnten wir zum Glück schnell ausschließen. Nicht die Kanzlei war der Versender der E-Mails, sondern fremde Dritte. Klassisches Mail-Spoofing.
Wie können sich Anwaltskanzleien in vergleichbaren Fällen präventiv aber auch repressiv schützen?
“Präventiv dürfte es sehr schwer werden, sich gegen die tatsächliche „Attacke“ zu schützen. Was aber hilft, ist ein solides Setup des Mail-Hostings: SPF, DMARC und DKIM sind die Stichwörter. So läuft die Kanzlei weniger Gefahr, mit den eigenen, wirklich selbst versandten E-Mails im Spam-Ordner zu landen. Denn die Empfänger können durch diese Tools leichter feststellen, dass E-Mails wirklich von der Kanzlei stammen – oder eben wie die aktuelle Spam-Welle komplett gefälscht sind.
Nachdem das Ausmaß am Samstagmittag nach und nach – zumindest ansatzweise – klarer wurde, stand für uns fest: wir müssen die Information, dass nicht die Kanzlei diese vermeintlichen Abmahnungen rausschickt, sondern Spammer, umgehend kommunizieren. So verfassten wir schnell einen ersten Hinweis auf der Startseite und baten darum, uns die originalen E-Mails zuzusenden – denn nur so können wir überhaupt rausfinden, welcher Server die Nachrichten tatsächlich verschickt haben. Dass es dann wohl mehrere hundert Server auf der ganzen Welt sind, welche die gefälschten Abmahnungen mit dem Trojaner im Anhang verschicken, das war dann erst seit gestern bekannt.”
Kann man solche „Angriffe“ überhaupt vorbeugen oder sich davor schützen in den Dreck gezogen zu werden?
“Nach aktuellem Stand: nein. Wir sind nahezu machtlos und müssen zusehen, wie tausendfach vermeintliche Abmahnungen im Namen der Kanzlei verschickt werden, um Trojaner zu verbreiten. Die Angreifer haben einen riesigen Datenbestand mit E-Mail-Adressen inklusive der korrekten Vor- und Nachnamen. Erschwerend kommt dazu: Viele nehmen die Absender-Adresse in ihrem E-Mail-Programm für Voll und haben noch nie davon gehört, dass sich diese eigentlich sehr wichtige Angabe sehr leicht fälschen lässt. Wir versuchen daher, die Öffentlichkeit zu erreichen und aufzuklären: nicht wir senden die virenverseuchten Spam-Mails mit vermeintlichen Abmahnungen raus, sondern Kriminelle. “

“E-Mails sind so, wie sie aktuell im Kanzlei-Alltag eingesetzt werden, eigentlich ungeeignet.”

Trotzdem verwendet sie – auch mangels Alternativen – jeder tagtäglich. Das erleichtert den Angreifern ihre Arbeit: viele Empfänger glauben, wirklich eine Abmahnung erhalten zu haben. Wenn sie dann noch den Anhang entpacken und öffnen, sind die Kriminellen wieder einen Schritt weiter. Diese Spam-Welle ist ein richtig groß angelegter Versuch, Trojaner zu verbreiten – und leider nicht einmal schlecht gemacht. Als kleine Kanzlei hat man dem wenig entgegen zu setzen.
Inwiefern ist nun das Tagesgeschäft betroffen und hindert die Kanzlei in ihrer alltäglichen Arbeit?
„Sagen wir es mal so: das Wochenende war anders geplant, der Montag auch. Der Samstag und Sonntag gingen für Analyse, „Schadensaufnahme“, Abuse-Meldungen und E-Mails an Betroffene drauf. Allein gestern und heute kamen über 1.000 Mail Delivery Failed Benachrichtigungen bei uns an – für Nachrichten, die wir nie verschickt haben. Die Kanzlei wird überwiegend über das Formular auf der Website und per E-Mail kontaktiert, teilweise mit erbosten Nachrichten, teils mit verunsicherten. Denen müssen wir erst mal klar machen, dass wir selber auch Opfer der Spam-Attacken sind und sie einen Trojaner in ihrem Postfach haben. Das kostet natürlich Zeit und Ressourcen, genauso wie die Abuse-Meldungen.”
Zu der Frage wie die nächsten Tage des IT-Beraters aussehen werden antwortete er:
“Wir werden den E-Mail-Anbieter wechseln, da der aktuelle kein DKIM unterstützt. Die Gefahr, dass die tatsächlich verschickten Mails der Kanzlei im Spam landen, ist uns damit einfach zu groß. Wir wollen außerdem den Schadcode analysieren und mehr Abuse-Meldungen absetzen, damit den Spammern – zumindest ein Stück weit – die Grundlage entzogen wird.”
Dabei sei aber Transparenz das A und O und man müsse nicht nur den betroffenen Hoster sondern auch die Öffentlichkeit informieren. Tatsächlich scheint nach meiner kurzer Recherche die Kanzlei Dr. Braun die einzige zu sein, die sich als betroffene öffentlich äußert und den Hergang transparent kommuniziert. Andere dagegen, unabhängig davon ob betroffen oder nicht weisen darauf hin:

 

…so erhielt ich von Hetzner Online bis heute 19:00 Uhr auch keine Stellungnahme, die Marketingabteilung bat mich jedenfalls um eine Anfrage per E-Mail, die ich bereits um 10 Uhr vormittags abgeschickt habe.

Die Vorfälle machen es nun erneut deutlich, wie ungeschützt die Kanzleikommunikation tatsächlich derzeit ist und wie gross der Bedarf nach einer geschützten Kommunikation ist…..und eine vernünftige Lösung, geschweige denn eine verschlüsselte Kommunikation (#beA), ist immer noch nicht in Sicht.

Quellen und weiterführende Hinweise

Onlinewarnungen.de -siehe auch die zahlreichen Kommentare der Betroffenen

Kanzlei Dr. Bauer

 

Teile diesen Beitrag

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.