Die Verwaltungsmitarbeiter der Kämmerei der norddeutschen Stadt Kiel sind Opfer einer bekannten Betrugsmasche geworden. Cyberkriminelle haben eine Rechnung abgefangen, die Zahlungsdaten manipuliert und an die Stadt geleitet. Die hat dann auf das angegebene, "falsche" Konto überwiesen. Das Geld ist nun weg – die Cyberkriminellen mutmaßlich nicht zu ermitteln.
Es ist das bereits bestens bekannte Szenario über das die Kieler Nachrichten und die SHZ erstmals am 21. Mai 2026 Woche berichteten (leider Paywall). Der NDR hat den Bericht aber hier aufgegriffen – und ein Leser hatte mich die Woche auf diesen T-Online-Artikel zum Thema hingewiesen.
Manipulierte 68.000 Euro Rechnung
Stadtsprecherin Kerstin Graupner wird in der Berichterstattung so zitiert, dass "Hacker die Rechnung eines Dienstleisters abgefangen, manipuliert und mit gefälschten Kontodaten an die Kämmerei" der Stadt Kiel geschickt haben.
Das ist eine beliebte Masche, bei der Cyberkriminelle Postfächer des Absenders oder des Empfängers übernehmen, auf Rechnungen warten. Die Rechnungen werden dann bezüglich der Zahlungsdaten manipuliert (es wird eine IBAN unter Kontrolle der Betrüger eingesetzt). Überweist das Opfer, ist das Geld weg.
Diese Art des Betrugs, als BEC (Business E-Mail-Compromise) bekannt, ist nicht neu. Ich hatte mehrfach im Blog berichtet, siehe Links am Artikelende. Daher sind Banken in Europa seit Oktober 2025 bei SEPA-Überweisungen zum sogenannten IBAN-Namensabgleich (Verification of Payee, VoP) verpflichtet. Ich hatte im Beitrag Wie sind eure Erfahrungen mit der SEPA-Prüfung (VoP) der Banken? berichtet.
Im aktuellen Fall scheint noch ein ungünstiger Aspekt hinzugekommen zu sein. Normalerweise prüften Mitarbeiter die SEPA-Daten der Überweisung und gleichen diese mit den in der Kreditorenliste hinterlegten Daten ab. Da der beauftragte Dienstleister zuvor noch nicht mit der Stadt Kiel zusammengearbeitet hatte, lagen, laut Stadtsprecherin Kerstin Graupner, auch keine Vergleichsdaten vor. Die Überweisung ging also durch, der Betrag landete auf dem IBAN-Konto der Betrüger.
Zwischen den Zeilen der NDR-Berichterstattung lese ich heraus, dass das BEC beim Postfach der Stadt erfolgt sein dürfte. Dann bei einer Manipulation des E-Mail-Kontos des Rechung-stellenden Dienstleisters wäre dieser in der Haftung.
Jedenfalls ist das Geld, insgesamt werden 68.000 Euro genannt, wohl weg. Die Stadt Kiel hat inzwischen zwar Strafanzeige erstattet. Große Hoffnung auf einen Ermittlungserfolg könne man sich bei dieser Art von Betrug allerdings nicht machen, so Graupner.
Derzeit baut Kiel seine Verwaltung so um, dass es für diese Art Betrugsversuche eine Art Sperre in den Zahlungsabläufen gibt, damit so etwas nicht noch mal passiere, wird die Sprecherin Graupner zitiert. Aus sicherheits- und ermittlungstaktischen Gründen könne die Verwaltung aber nicht näher auf Details eingehen.
Ähnliche Artikel:
Neue Betrugsmasche mit manipulierten Rechnungen
Betrug mit manipulierten Rechnungen: Ein neuer Fall / ein neuer Trend
Spoofing-Angriffe auf Ford-Händler ermöglichte Betrug – Teil 1
Betrug: Falsche Gerichtskostenrechnungen im Umlauf
Sozialministerium Sachsen: Opfer von Internetbetrügern, 225.000 Euro Schaden durch fingierte E-Mail
Achtung: Spam-Welle mit falschen Rechnungen
Warnung vor Quishing bei easypark-Parkscheinautomaten
MVP: 2013 – 2016
Da hat wohl der IBAN-Namensabgleich durch die Bank auch nicht funktioniert …