Die Landesregierung NRW hat sich heute — vertreten durch ihre Minister Reul und Pinkwart — zum Sachstand hinsichtlich der Betrugsversuche rund um die digitale Antragsstellung für finanzielle Soforthilfen geäußert. Es war, kurz gesagt, ein Desaster. Insbesondere der sichtlich und hörbar mit der Thematik überforderte Innenminister Reul hinterließ mit seinem Auftritt mehr Fragen, als er Antworten geben konnte. Für Freiberufler und Solo-Selbständige gibt es aber auch aus anderem Grund Anlaß zur Sorge.
Die Landesregierung hat die Antragsplattform des Wirtschafts- und Digitalministeriums (man mag das in dem Zusammenhang kaum aussprechen) in der vergangenen Woche abgeschaltet, nachdem durch Presseberichte Betrugsversuche bekanntgeworden waren. Für die Ministerien scheinbar völlig überraschend waren im Internet gefälschte Antragsportale aufgetaucht und beworben worden, zudem wurde die Antragsstellung mit einer massiven Phishing-Attacke durch E-Mail-Spam begleitet. Tatsächlich war beides nicht nur vorhersehbar, sondern auch konkret vorhergesagt worden.
Zu möglichen Schäden oder zur Zahl der Betrugsversuche oder zum Ausmaß der Phishing-Versuche konnten die Minister schlicht nichts konkretes vortragen, obwohl Reul verkündete, auch über Ostern sei „viel telefoniert“ worden. Dabei hatte man offensichtlich auch mal im „Darknet“ angerufen, denn dort, so Reul, habe sich irgendwer mit rund 3.000 erfolgreichen Phishing-Attacken zu Soforthilfen gerühmt. Man gehe daher von solchen Zahlen aus.
Dabei ist recht offensichtlich, dass sich das Antragsverfahren für zwei sehr übliche Betrugsvarianten nutzen lässt: Einerseits für das Abgreifen der Daten von potentiellen Antragstellern durch Fakesites und Phishing-E-Mails und zum anderen für die Nutzung der so gewonnen Daten im Rahmen falscher Anträge oder weiterer, nunmehr perfekt optimierbarer Angriffe auf die betroffenen Unternehmen. Beides kann sehr katastrophale Folgen haben.
Schon die Tatsache, dass sich die Landesregierung zunächst nur mit der Abschaltung der echten (!) Website zu helfen wusste und das Antragsverfahren damit auch komplett zum Stoppen kam, ließ Schlimmes vermuten. Tatsächlich lassen die Erklärungsversuche von heute denn auch tief blicken: Dem Antragsverfahren fehlte es bereits konzeptionell an jeder Betrugsprävention, auch wenn Pinkwart und Reul dies nach Kräften schönreden wollten. Die Minister behaupteten gar, es werde nun „Sicherheit aktiviert“, die „von Beginn an verankert gewesen“ sei. Zukünftig würden nun die von Antragstellern im Formular mitgeteilte Bankverbindung gegen die bei der Finanzverwaltung NRW bekannte Kontoverbindung des Antragstellers geprüft, worauf man bislang verzichtet hatte.
Minister Pinkwart versuchte sich in der Darstellung, bislang sei dieser Abgleich rechtlich nicht zulässig, weil nicht erforderlich, gewesen. Durch die nachweislichen Betrugsversuche habe sich dies nun geändert. Das Land hat die Betrugsversuche also quasi abwarten müssen, um jetzt endlich ein sicheres Antragsverfahren umzusetzen? Im Ernst jetzt?
Für Antragsteller, die möglicherweise aktuell nicht einmal wissen, wenn ihre Daten von Betrügern abgefischt und in irgendeinem Zusammenhang verwendet wurden, kann es in zweierlei Hinsicht gefährlich werden. Zum einen lassen sich mit den gewonnenen Daten im „echten“ Antragsverfahren Anträge stellen. Werden aufgrund dieser Anträge Bescheide erlassen und Gelder ausgezahlt (die die echten Antragsteller nie erreichen), dürfte die Bereinigung und Aufklärung der Vorgänge sehr aufwändig sein und erhebliche Verzögerungen für die Bewilligung neuer Hilfen mit sich bringen. Das kann bei knapper Liquidität über die Existenz eines Unternehmens entscheiden.
Zum anderen sind mit den Daten sehr qualifizierte und genaue Angriffe auf das Unternehmen selbst oder damit verbundene Geschägftspartner und Behörden in Form klassischer Phishing-Attacken denkbar. Solche Angriffe zielen oft auf die Verbreitung von Malware, die nach einer erfolgreichen Infektion wiederrum Basis für Erpressungen oder Manipulation von Finanztransaktionen sind.
Dass die Landesregierung in Zukunft nur noch Anträge akzeptieren will, die mit einer der Finanzverwaltung bekannten Kontoverbindung (IBAN) versehen sind, ist auf den ersten Blick als Betrugsprävention einleuchtend, birgt aber tatsächlich ein Problem noch kaum absehbarer Größenordnung. Denn: Für die bewilligten Soforthilfen gilt ein Aufrechnungsverbot mit negativen Kontosalden. Es ist also nicht zulässig, die Mittel dafür zu nutzen, ein ins Minus abgerutschtes Konto wieder aufzufüllen. Das macht insofern Sinn, als die Hilfen ja einen zukünftigen Liquiditätsengpaß verhindern sollen. Sie sollen gerade nicht solche Engpässe beseitigen, die schon vor der Coronakrise entstanden sind.
Bei vielen Unternehmen werden die Geschäftskonten, über die die Steuerzahlungen oder -erstattungen mit den Finanzämtern abgewickelt werden, aber aufgrund der aktuellen Lage vielleicht bereits im Minus sein, weshalb es für die Antragstellung notwendig wäre, gerade nicht diese Konten im Antrag zu benennen. Diese Problemstellung wird nun zügig Fahrt aufnehmen und viel zusätzlichen, händischen Aufwand entstehen lassen.