Achtung: Nepp mit ‘Bundesanzeiger-Rechnungen’

Kleiner Hinweis für Blog-Leser/innen in Unternehmensumgebungen. Momentan läuft wohl eine (lange bekannte) Betrugsmasche, wo 'Bauernfänger' Firmen neppen wollen, indem sie diesen Rechnungen mit Zahlungsaufforderungen zuschicken. Die Rechnungen legen auf den ersten Blick nahe, dass für Veröffentlichungen im Bundesanzeiger gezahlt werden soll. Ich habe es im Blog aufgenommen, weil wohl Daten automatisiert aus dem Internetangebot des Bundesanzeiger übernommen und für diesen Nepp verwendet werden.


Anzeige

Ein Blog-Leser hat mich auf das Thema aufmerksam gemacht (danke dafür), da er in seinem Umfeld wohl ein solche Rechnung bekommen hat. Hier die Information des Lesers, die ich mal zusammen fasse und hier veröffentliche.

Darum geht es: Infos im Handelsregister

Ändert sich etwas in Unternehmen, z.B. Wechsel der Geschäftsführung, muss dies über das zuständige Amtsgericht im Handelsregister eingetragen werden. Diese Änderungsmitteilungen werden dabei auch veröffentlicht. Die Veröffentlichungen erfolgen auch beim Bundesanzeiger auf der Webseite www.bundesanzeiger.de unter dem Reiter "Unternehmensregister". Dieser führt zur Webseite www.unternehmensregister.de. Natürlich sind Änderungen im Handelsregister kostenpflichtig (die zuständigen Gerichte schicken eine Zahlungsaufforderung für die anfallenden Gebühren). Auf der Webseite der Handelskammer Hamburg kann man einige Details nachlesen.

Der aktuelle Fall: Dubiose 'Fake-Rechnung' vor offizieller Rechnung

Der Blog-Leser schrieb mir nun von einem sehr kruden Vorfall. Hier seine Eröffnungsworte, die mich schnell neugierig machten.

hier habe ich vielleicht etwas für den IT-Blog, eine paar Zeilen Text,
ein paar Links, ein gescanntes Dokument und ein paar Gedanken.
Es geht um eine Betrugsmasche deren Datenquelle offenbar der
Bundesanzeiger ist.

Ganz kurz die Vorgeschichte: Die GWG "*****" eG ist eines meiner letzten "Linux-Opfer" :-) , ich betreue diese seit Jahren und es sollte Sicherheit in der IT geschaffen werden, also Linux mit künftiger Betreuung.

Da ich nun quasi in Rente bin und zu viel Zeit hab fügte es sich, dass ich dort in den Vorstand geholt wurde.

Gut, ist eine allgemeine Information – aber im obigen Kontext heißt dies, dass die Änderung im Vorstand der eG (eingetragene Genossenschaft) auch im Bundesanzeiger veröffentlicht wird. Der Blog-Leser berichtete, dass der eG zwei Rechnungen zugingen, die mit der Veröffentlichung im Bundesanzeiger im Zusammenhang stehen. Hier die Chronologie:


Anzeige

  • Am 07.06.2019 wurde eine Änderung des Vorstandes im Handelsregister eingetragen
    und veröffentlicht.
  • Die echte Rechnung (ich denke, der Gebührenbescheid des Amtsgerichts) für die Änderung am Handelsregistereintrag kam am 14.06.2019 bei der eG an.
  • Aber bereits am 08.06.2019 lag bei der eG eine Rechnung einer GCR GmbH aus Düsseldorf im Briefkasten, die sich auf die Änderung im Handelsregister bezog.

War aber nur ein dubioses Angebot zum Dummenfang und eigentlich eine alte Masche, wie der Blog-Leser schreibt. Der Blog-Leser hat mir die Fake-Rechnung als Scan zur Verfügung gestellt, so dass ich diese (da die privaten Daten unkenntlich gemacht wurden) hier veröffentliche.

Fake-Rechnung der Handelsregisterzentrale
(Zum Vergrößern klicken)

Sieht erst mal 'offiziell' aus, stutzig macht lediglich der Phantasiename 'Handelsregisterzentrale' und der Empfänger, eine GCR GmbH. Sucht man im Internet nach dem Stichwort 'Handelsregisterzentrale' wird man schier erschlagen von Warnungen von Rechtsanwälten, die vor Fake-Rechnungen dieses Absenders warnen.

Und wer sich den Text mehrfach aufmerksam durchliest, findet den Fehler. Der erste Satz enthält die Information, dass die firmenrelevante Daten des Unternehmens u.a. im Bundesanzeiger zur Kenntnis gebracht wurde. Alle folgenden Sätze beziehen sich dagegen auf die Datenbank gcr-zentrale.de, wo die Daten gegen Zahlung des genannten Rechnungsbetrags aufgenommen werden sollen. Macht i.d.R. für die meisten Empfänger des Schreibens keinen Sinn – aber mein Eindruck ist, dass so mancher Empfänger darauf hereinfallen dürfte.

Wo ist die IT-Relevanz? Automatisierte Datenauswertung

An dieser Stelle kann man den obigen Sachverhalt achselzuckend zur Kenntnis nehmen. Nepper, Schlepper, Bauernfänger gibt es an allen Ecken. Wo ist die Relevanz für den IT-Blog? Der Blog-Leser schrieb mir dazu:

Was hat das nun mit IT-Themen zu tun?
Darauf schließe ich durch die Aktualität. Am 07.06.2019 wurde eine Änderung des Vorstandes im Register eingetragen und veröffentlicht.
Die echte Rechnung kam am 14.06.2019, das dubiose Angebot lag am
08.06.2019 im Briefkasten.

Die Veröffentlichungen erfolgen beim Bundesanzeiger
www.bundesanzeiger.de unter dem Reiter "Unternehmensregister" welches zu Webseite unternehmensregister.de führt. Die dort veröffentlichten Daten sind identisch mit dem, was auch in der "Offerte" unter "Ihr Handelsregistertext" angegeben wird.

Angesichts dieser schnellen Reaktionszeit der Betrüger können die Daten
eigentlich nur per Bot abgegriffen und das Ganze dann vollautomatisch durch die Frankiermaschine zur Post gegangen sein.

Die Masche ist alt, es gibt Hinweise im Netz dazu, selbst auf dem
Registerauszug des Registergerichts steht dazu ein deutlicher Hinweis.
Auf der Seite des Bundesanzeigers findet sich ebenfalls ein entsprechender Hinweis mit der Überschrift "Vorsicht vor unlauteren Anbietern". Unter diesem Text findet man dann noch ein PDF mit 6 Seiten in dem die
bekannten Namen der Scheinfirmen der Betrüger aufgelistet werden,
dürften an oder über 200 Einträge sein.

Weitere Infos gibt es z.B. auf netzrechtliches der Heidrich Rechtsanwälte im Artikel
Dubiose Rechnung von der Handelsregisterzentrale (GZR GmbH), wo Hinweise, wie man reagieren soll gegeben werden und auch viele Kommentare zu finden sind. Es gibt weiteren Seiten mit Informationen, die über Google leicht zu finden sind. Der Leser schreibt dazu noch:

Hier stellt sich mir die Frage warum der Bundesanzeiger diese Daten,
auch wenn er die veröffentlichen muss, so freizügig Bot – gerecht ins Netz stellt. Jeder kann sich ohne Anmeldung oder irgendeiner Überprüfung daran bedienen. Mit ein paar Zeilen PHP kann man die Daten von dieser Seite wunderbar verarbeiten.

Bund & IT = Neuland != Sicherheit, eventuell ein Thema für den Blog,
eventuell sind Leser im Blog die auch Rechnungen bezahlen dürfen

Hier stellt sich wirklich die Frage, was der Bundesanzeiger in Sachen Abrufbarkeit der Daten durch Bots oder Scripte, ohne irgendwelchen Schutz zu tun gedenkt. Wir haben seit einem Jahr DSGVO, die jeden kleinen Verein knebelt, und Ergebnislisten von Fußballturnieren nicht mehr veröffentlicht werden. Auf der anderen Seite schalten und walten Behörden und deren Organe bezüglich der Weitergabe von Daten freifliegend auf elektronischen Medien, als würden wir noch im 19. Jahrhundert leben. 


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Achtung: Nepp mit ‘Bundesanzeiger-Rechnungen’

  1. oli sagt:

    Im eBundesanzeiger werden meines Wissens keine personenbezogene Daten veröffentlicht, von daher ist der Hinweis auf die DSGVO zwar löblich aber irreführend. Soweit ich weiß, sind die Information dort auch schon früher abrufbar gewesen, nur eben analog. Eine Art Bot-Schutz wäre aber in der Tat sinnvoll. Problem ist nur, wie bewerkstelligen, ohne die Nutzer der Webseite an externe Anbieter wie z.B. Google auszuliefern…

    • Günter Born sagt:

      Wenn ein Geschäftsführer oder Vorstand wechselt, steht dessen Name in der Meldung – ich habe es für den obigen Fall kontrolliert. Wenn eine IP schon als 'personenbezogenes Datum' von Datenschützern angesehen wird, stelle ich mir die Frage, wie man das für einen vollen Personennamen, veröffentlicht im Bundesanzeiger, verneinen kann. Diese Veröffentlichungen basieren auf Rechtsgrundlagen, die vor der DSGVO erstellt wurden. Jemand im Vorstand einer eG, AG oder ein Geschäftsführer hat zwar (gesetzlich gezwungen) seine Einwilligung gegeben, dass er im Handelsregister aufgeführt wird. Mir ist aber nicht klar, ob die Registergerichte heute für die Änderung eines Eintrags automatisch einen Persilschein für die DSGVO-Verarbeitung persönlicher Daten für alle und jeden vorlegen.

      Selbst wenn die DSGVO-Zustimmung vorläge, könnte dies sich imho nur auf die Veröffentlichung im Bundesanzeiger beziehen. Diese schließt aber mit Sicherheit keine Datenverarbeitung durch Dritte ein. Aber möglicherweise beurteilen die Datenschützer das anders. Ist ja schließlich alles #Neuland.

      • oli sagt:

        Eventuell gibt es einen Erlaubnistatbestand der unter lit. c) oder e) von DSGVO Artikel 6 fällt:

        https://dsgvo-gesetz.de/art-6-dsgvo/

        Ich habe gerade mal die Bundesanzeiger-Seite getestet und nach was gesucht: Es kommt eine CAPTCHA-Abfrage! Und die ist auch nicht von Google o. anderen externen Anbietern.

        • Günter Born sagt:

          Das ging mir auch durch den Kopf – aber das wird dann sehr schwierig, die elektronische Durchsuchbarkeit zu begründen.

          Ich denke, am Ende des Tages läuft es darauf hinaus, dass Behörden aus vielem, was die DSGVO betrifft, ausgenommen sind.

          Zur CAPTCHA-Abfrage: Da ist es spannend, ob sich das mit ein wenig PHP aushebeln lässt.

          Wie auch immer: Wir sind hier auf einem Nebenkriegsschauplatz. Kernpunkt des Artikels ist: Es läuft ein Beschiss, also seid achtsam. Nebenthema ist die Frage, wie der Drahtzieher hinter den Schreiben an die Daten kommt.

          PS: Vielleicht führt der Artikel ja dazu, dass sich ein Datenschützer oder Jurist des Themas annimmt – optimistisch bin ich aber nicht.

        • Blupp sagt:

          Eine CAPTCHA-Abfrage kann ich nicht bestätigen. Bin auf die Seite und habe eine Suche gestartet. Eine CAPTCHA-Abfrage erscheint bei mir nicht.

          Bei Wechsel der Geschäftsführer werden neben den Namen auch das Geburtsdatum und Wohnanschrift veröffentlicht. Ich denke man kann davon ausgehen das es sich dabei um personenbezogene Daten handelt.

          • Blupp sagt:

            Kleiner Nachtrag, der Kommentar zum Captcha hat mein Interesse geweckt und ich hab das kurz getestet.

            Die persogenbezogenen Daten im Bereich Unternehmensregister sind ohne Capcha frei abrufbar.

            Der Abruf von Jahresabschlüssen beim Bundesanzeiger, in denen kommen keine personenbezogenen Daten vor, ist hingegen mit Captcha gesichert.

          • oli sagt:

            Hm, gut, ka wie das beim Wechsel eines Geschäftsführers aussieht (ist bei uns immer noch derselbe :F), aber ich habe mal versucht im Unternehmensregister, z.B. über unsere Firma (GmbH) personenbezogene Daten zu finden und habe nix gefunden.

            Wenn das allerdings stimmt, dass da sogar die private Wohnadresse veröffentlich wird (ich frage mich dann aber, wo die dann herkommt), ist das in der Tat DSGVO-relevant. Es muss dazu ja eine Art Bundesanzeiger-Gesetz geben, wo dann drinsteht, dass auch Geburtsdatum und Wohnanschrift des GF/Vorstands veröffentlicht werden muss. Kann ich mir ehrlich gesagt nicht vorstellen…

            Hab mal mein Chef gefragt und er meinte, er habe jedenfalls seine Wohnadresse o. Geburtsdatum noch nie hinterlegen müssen. Wenn das nur bei einem GF-Wechsel geschehen muss, würden mich mal die Hintergründe interessieren.

          • Blupp sagt:

            Ein Beispiel, ich nehm mal Buderus (mir fällt grad nichts besseres ein, war ein Schuss ins Blaue und Treffer)
            Auf unternehmensregister(dot)de buderus in die Schnellsuche eingegeben. Nach der Suche sucht man sich in der Liste einen Eintrag betreffs "Veränderungen" aus, dort findet man dann den Namen nebst Geburtsdatum. Das im Klartext ohne Captcha oder ähnlichem. Das sind dann auch genau die Daten welche die windigen Rechnungsschreiber nutzen.

            Eine Besonderheit gibt es scheinbar bei Wohnungsgenossenschaften, da kann der Adresseintrag durchaus die Wohnadresse der Geschäftstsführer sein. Bei GmbHs steht dort die Adresse der Firma.

            Veränderungen der Geschäftsführung sind veröffentlichungspflichtig, wird das unterlassen droht Zwangsveröffentlicheng nebst entsprechenden Kosten.

          • oli sagt:

            Danke, das ist in der Tat fragwürdig, warum Wohnort (genaue Adresse habe ich jetzt nicht gesehen), Land (wahrscheinlich nur bei Ausländern) und Geburtsdatum bei einem GF-Wechsel veröffentlicht wird. Kennst du auch den Hintergrund dazu (außer "steht so im Gesetz")?

          • Blupp sagt:

            (außer "steht so im Gesetz")
            Kann ich jetzt nicht erschöpfend ausführen. Jedoch soweit mir bekannt bzw. meine Interprätation, soll wohl jeder Verbraucher nachschauen können wer hinter welcher Firma steckt und die ladungsfähige Anschtrift ermitteln können um zu ermöglichen eventuelle Rechte durchzusetzen. Genaueres müsste man den Gesetzgeber oder die Suchmaschine der Wahl fragen.
            Rechtsgrundlage ist das Handelsgesetzbuch https://www.gesetze-im-internet.de/hgb/BJNR002190897.html

            Weitere Infos z.B. hier https://www.bundesjustizamt.de/DE/Themen/Ordnungs_Bussgeld_Vollstreckung/Jahresabschluesse/Offenlegung/Offenlegungspflichten/Offenlegungspflichten_node.html
            und hier https://www.bundesjustizamt.de/DE/Themen/Ordnungs_Bussgeld_Vollstreckung/Jahresabschluesse/Offenlegung/Ordnungsgeldverfahren/Ordnungsgeldverfahren_node.html

  2. Sven Fischer sagt:

    Von dem Mist habe ich auch eine Sammlung. Wenn man es genau sieht, ist es eine Amtsanmaßung. Wenn eine Firma sich mit Bundes… irgendwas betitelt. Oder schmückt.
    Das wäre eigentlich ein Fall für ne Anzeize. Ob sich da ein RA findet, der die Sache durchzieht ist auch fraglich.

    Den Crap gibt es auch schon eine ganze Weile "global". Nennt sich z.B. "World Business List". Der Briefkasten hängt in Utrecht, Niederlande.

    Grüße aus dem Erzgebirge

    • Dekre sagt:

      Wieso braucht Du dafür einen Anwalt?

      Mach mal bitte für sowas eine Strafanzeige an die Polizei bzw. Staatsanwaltschaft. Das ist für Dich kostenlos. Die Gangster leben davon, dass eben keiner eine Anzeige macht. Und immer wieder, wenn was neues kommt einfach wieder Anzeige.

      Ich verstehe diesen Leichtsinn nicht!!

  3. RUTZ-AhA sagt:

    Ich verstehe überhaupt nicht, weshalb sich kein Unternehmen gegen diesen Bullshit wehrt.

    Als Rückschluss nehme ich an, das es in jeder Firma eine Möglichkeit gibt, den Missbrauch von erhaltenen Rechnungslegungen zu unterbinden. Die Sachbearbeiter müssen eben entsprechend geschult werden, Achtsamkeit walten zu lassen. Denen sollten gefakte Rechnungen auffallen.

    In Meldeämtern kann sich auch jede Hinz und Kunz Firma Daten abfragen. Die Meldeämter dürfen sogar mit Adressdaten handeln.

    • Blupp sagt:

      Es wehren sich wohl sehr viele. Manche haben es jedoch aufgegeben. Bin auf den Blog eines Anwalts gestoßen, Adresse hab ich jetzt leider nicht mehr. Der Anwalt schrieb davon, dass das schon seit Jahren geht und die Täter nicht zu ermitteln sind. Einige verzichten, laut den Kommentaren, auf eine Anzeige weil sie keinen Sinn darin sehen. Es gibt wohl schon so viele Anzeigen, dass ein paar mehr oder weniger nicht ins Gewicht fallen.

      • Dekre sagt:

        siehe min Kommentar oben. Wenn Jemand mehrfach das bekommt, so ist ein Zeitaufwand von ma 30 Minuten von Archivierung des Falschschreiben, Faxsendung an Staatsanwaltschaft und Archivierung des Faxes.

        Einmal durchgezogen und schon weiß man was man machen muss. Das ist "üben, üben und nochmals üben".

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.