Keine Spam, sondern ein im Kontext der Spam wichtiger Hinweis des Landeskriminalamtes Niedersachsen auf eine aktuell laufende Betrugsmasche:

In den vergangenen Tagen gingen einige besorgte Mailanfragen bei uns ein. Die Fragenden berichteten von Mails, die bei Bekannten eingegangen seien. Die Täter hätten sich namentlich als diese bekannte Person gemeldet. Jedoch sei die Absender-Adresse eine Falsche.

[…] Die Täter bitten um den Kauf von Guthabenkarten (z.B. von Apple) und dann um die Übermittlung der freigerubbelten Codes von der Rückseite […]

Da die Täter sich als Bekannte der angeschriebenen Person ausgeben und auch mit deren Namen einen eigenen Mailaccount eingerichtet haben, kann es sein, dass der Empfänger die Fälschung nicht erkennt, dieser Bitte nachkommt, Guthabenkarten kauft, den Code freirubbelt und diese sensiblen Daten dann per Mail an die Täter übermittelt

Ich kann es gar nicht oft genug sagen: Eine E-Mail – selbst, wenn die Absenderadresse einmal stimmen sollte, was angesichts des „Industriestandards“ im Datenschutz auch niemanden mehr überraschen sollte – kann von jedem Menschen aus dem ganzen Internet kommen. Auch Absenderadressen können oft mit Leichtigkeit gefälscht werden. Wenn die Mail nicht digital signiert wurde und man diese digitale Signatur nicht überprüft hat, kennt man den Absender nicht. Und nein, „normale“ Menschen sind leider damit überfordert, bei ihrer Mailsoftware, die sie meist nicht einmal benutzen, Strg+U zu drücken und im Quelltext die Header zu lesen. Obwohl das gar nicht so schwierig ist.

Bitte spätestens dann einmal telefonisch (oder über einen anderen Kanal als E-Mail) nachfragen, wenn man für einen Freund oder Bekannten Geld ausgeben soll! Am besten schon vorher, wenn einem etwas seltsam vorkommt. Es ist jetzt einige Jahre her, dass jemand versucht hat, in meinem Bekanntenkreis unter meiner Identität aufzutreten, aber was mich dabei geschützt hat, war die banale Tatsache, dass ich beim Schreiben von E-Mail einen so markanten Stil habe, dass vielen sofort aufgefallen ist, dass diese Mails gar nicht von mir sein können. Stil ist eben wichtig, aber die meisten Menschen versuchen sich leider ohne Stil zu behelfen. Von der fehlenden digitalen Signatur – jede Mail von mir, auch jede völlig banale Mail, ist digital signiert, was überhaupt keine Mühe bereitet – einmal ganz abgesehen, aber die überprüft wohl eh niemand, so dass eine Signatur mit einem anderen privaten Schlüssel gar nicht erst aufgefallen wäre. Ich weiß nicht, was da eingeleitet werden sollte, aber es wäre ganz sicher nicht in meinem Sinn gewesen.

Auch, wenn das nach Meldung der Kriminalpolizei zurzeit die wesentliche Quelle von Mailadressen und Beziehungen für diesen Trickbetrug ist, müssen die kriminell verwendeten Daten nicht von Vereinswebsites stammen. Das Internet ist voller Quellen, und in sehr vielen Fällen lassen sich persönliche Beziehungen von Menschen über offene Websites wie Facebook oder LinkedIn mit Leichtigkeit automatisiert ermitteln. Angelernte neuronale Netzwerke¹ geben hier schon jenen Kriminellen einen einfachen Einstieg, die keinerlei Programmierkenntnisse haben. Einen Prompt zu formulieren, ist kinderleicht. Wenn das Ergebnis in zwei Drittel der Fälle zutrifft, ist ein Trickbetrüger hochzufrieden damit.

Datenschutz ist kein absurder technokratischer Firlefanz ohne lebenspraktische Relevanz, der in einer dadaistischen Monstanz durch die Welt getragen wird, sondern Schutz vor kriminellen und anderen völlig unerwünschten Machenschaften, die leicht nennenswerten Schaden anrichten können. Und es gibt nur einen Datenschutz, der wirklich funktioniert: Größtmögliche persönliche Datensparsamkeit, die darin besteht, dass man niemals sachlich oder technisch unnötige Daten von sich preisgibt. Ja, in einer Welt, in der Menschen für irgendwelche Nullwertdienste und Furzapps ihre Telefonnummer, ihren Geburtstag, ihre Anschrift und als Sahnehäubchen noch einen Ausweisscan rausrücken, rede ich gegen Wände. Ich weiß das auch. Aber soll ich denn lügen? Ich vermisse viel zu oft den Trost darin, dass ich recht hatte.

Alles, was man ins Internet reinsteckt, kommt irgendwann wieder irgendwo heraus, und man hat nicht die geringste Kontrolle darüber. Daten werden sinnlos langfristig gespeichert und gesammelt, und kein Gesetz verbietet das. Meistens ist dieses „Herauskommen“ höchst unerfreulich. Ich werde auf Mailadressen zugespammt, die im Handy-Adressbuch von Bekannten lagen und dort von trojanischen Apps eingesammelt wurden. Alles, was irgendwo wieder herauskommt, wird schließlich auch benutzt. Oft zusammengeführt mit anderen Daten, die irgendwo anders wieder herausgekommen sind. Nur ein unüberwindlicher Unwille, Daten überhaupt preiszugeben, kann davor schützen.

Die in der Bundesrepublik Deutschland obligatorische Impressumspflicht auf Websites hilft dabei übrigens nicht. Die hilft nur den Verbrechern.

¹Diese werden von Journalisten, Politikern und anderen digitalen Analfabeten durchgehend mit dem Reklamewort „künstliche Intelligenz“ bezeichnet, damit wir alle mehr Reklame als Deutsch reden und denken.