Sie bekommen dubiose E-mails ? Keinesfalls aus Spass, Neugier, Freundlichkeit oder Angst anklicken oder antworten. Genau das Reagieren ist die vom Absender beabsichtigte Falle und kann dazu führen, dass Sie entweder versehentlich private Daten auf einer Fake-Seite eingeben oder Schadsoftware auf Ihrem Gerät installieren wie etwa Erpressunssoftware, die das Gerät mit Daten verschlüsselt (Ransomware).
Fake E-mails- oder Messenger-Nachrichten sind gefährliche Fallen, mit denen immer noch viele Sicherheitsvorfälle beginnen. Sie können als in Deutschland Betroffener diese E-mails entweder löschen oder bei Schäden Strafanzeige bei der Polizei in Deutschland unter https://portal.onlinewache.polizei.de oder bei örtlichen Polizeidienststellen erstatten. Wenn Sie nicht soviel Aufwand haben wollen und dennoch den Strafermittlungsbehörden bei Gefahrenabwehr und -verfolgung der Täter helfen möchten, dann können Sie die dubiose E-mail auch einfach an trojaner@polizeilabor.de weiterleiten. Häufige Fragen und nähere Infos dazu finden sich unter www.polizei-praevention.de/themen-und-tipps/serviceangebot/spammails-zur-polizei

Über einen anderen sicheren Weg checken

Wenn Zweifel bestehen, KEINESFALLS ohne vorherigen sorgfälgiten Check auf die Links, Bilder oder Anhänge geklickt werden. Der Check muss über einen anderen Weg erfolgen, der von den Umständen abhängig ist, und es sollte die E-mail und DKIM Signature im Header geprüft werden. Sichere Wege sind etwa bei bekannten Lieferanten, Banken, Versicherungen, Postdiensten oder angeblichen öffentlichen Stellen die offizielle Webseite im Browser einzugeben und sich dort einzuloggen oder dort anzurufen und sich zu dem angeblichen Mitarbeiter zustellen zu lassen, falls er existiert. Oft klärt sich der Betrug dann schnell auf.

Wenn als Absender eine Anwaltskanzlei oder Inkassobüro genannt ist

Wenn Sie nicht privat angeschrieben werden, sondern als Unternehmen, kann es durchaus sein, dass Sie an Ihre öffentliche Email Adresse eine anwaltliche Aufforderung erhalten (Zahlungsaufforderung, Abmahnung oder ähnliches). An Privatkunden wird eine Anwaltskanzlei oder ein seriöses Inkassounternehmen ohne vorherigen Kontakt niemals per E-mail schreiben. Aber als Selbständiger oder Unternehmer ist dies möglich. Ist der Absender unbekannt, kann es mitunter für den Empfänger aber unklar, ob es wichtig ist und kommt ein einfaches Ignorieren nicht in Betracht, erst recht im geschäftlichen Bereich. Etwa darf im geschäftlichen Bereich eine Zahlungsaufforderung eines Lieferanten, eine Abmahnung des Anwalts eines Wettbewerbers oder Kunden  oder sonstigen wichtigen Aufforderung nach einem Urteil des Bundesgerichtshof (Urteil vom 6.10.2022 – Az. VII 895/21) nicht einfach ignoriert werden, sondern muss im Notfall die Email in „Quarantäne“ und auf anderen Wegen geklärt werden, ob die Nachricht echt ist. Gleiches gilt im privaten Bereich, wenn mit dem Absender ein Vertragsverhältnis besteht.

Die Telefonnummer von Anwaltskanzleien lassen sich zuverlässig auf der Internetseite der Bundesrechtsanwaltskammer mit Bundesweiten Anwaltsverzeichnis ermitteln – Link dazu ist https://www.brak.de/service/bundesweites-amtliches-anwaltsverzeichnis/

Inkassobüros sind in Deutschland registriert, die Registrierung läßt sich ebenfalls überprüfen. Das Bundesamt für Justiz führt eine offizielle Seite, in der Untersagungen abgerufen werden können gegenüber unzuverlässigen Rechtsdienstleistern und solchen die registriert sind unter https://www.bundesjustizamt.de/DE/Themen/ZentraleRegister/Rechtsdienstleistungsregister/Registersuche/Registersuche_node.html

https://formulare.bfj.bund.de/ffw/form/display.do?%24context=84197ABE14D3EF5C4A0C

So erkennen Sie echte Abmahnungen oder Mahnschreiben
Einfach ignorieren ist laut Bundesgerichtshof (BGH) leider nicht richtig, wenn es nicht ganz offensichtlich eine SPAM- oder Phishing-Email ist. Nach einer Entscheidung des BGH geht eine Abmahnung an einen Unternehmer an seine geschäftliche Email auch mit Anhang zu. Danach ist die Ansicht des OLG Hamm – 4 W 119/20 – Beschluss vom 9.3.2022 nicht richtig, nach der es zuvor noch hieß, eine E-mail mit Anhang eines Anwalts an ein Unternehmen wegen einer wettbewerblichen Abmahnung mit Aufforderung zur Unterlassung sei nicht zugegangen, weil bei einem unbekannten Absender der Empfänger wegen Sicherheitsbedenken davon absehen darf, den E-Mail Anhang zu öffnen. Man kann als Empfänger also die Email eines geschäftlichen Absenders bzw. Anwalts nicht einfach ignorieren, nur weil man den Absender nicht kennt, es sei denn sie stellt sich nach Prüfung als Spam oder bösartigem Angriff (z.B. Trojaner, sonstige Malware, Phishing) dar. Der Bundesgerichtshof hatte mit Urteil vom 6.10.2022 – Az. VII 895/21 dazu entschieden, dass die Email eines Anwalts mit einer wettbewerblichen Abmahnungen an ein Unternehmen von diesem nicht einfach ignoriert werden kann wie noch das OLG Hamm entschieden hatte. Das OLG Hamm hatte zuvor aufgrund der Sicherheitsrisiken die Ansicht vertreten, dass der Empfänger nicht verpflichtet war, den Anhang des ihm fremden Anwalts zu öffnen. Vielmehr sei, so der Bundesgerichtshof, die Email einschließlich dem Anhang im Sinne von § 130 BGB zugegangen, egal ob tatsächlich geöffnet oder nicht, sobald sie auf dem Email-Server des Empfängers eingegangen sei. Wie der Nachweis gelingt, ob die Nachricht beim E-Mail Server des Empfängers eingegangen ist, dazu hatte es im Streitfall keine Feststellungen der Gerichte gegeben oder jedenfalls sind sie dem Urteil nicht zu entnehmen. Jedenfalls bringt dies sowohl für den Nachweis des Absenders als auch für den Empfänger einige Sicherheitsprobleme mit sich. Anhänge, egal ob Textdateien, pdf oder Bilder, die ebenfalls boshafte Skripte enthalten können, sollten nicht aktiviert werden und im Zweifel zunächst über andere Quellen die Echtheit der E-mail überprüft werden. Sie als Empfänger sind laut OLG Hamm zwar nicht verpflichtet, sich dem Risiko von Ransomware oder Erpressersoftware auszusetzen, aber wegen der anderen Ansicht des Bundesgerichtshofs sollten Sie auf anderem, sicheren offiziellen Wege Kontakt mit dem Absender aufnehmen und prüfen, ob diese echt ist, bevor sie sie öffnen oder ignorieren. Hilfsmittel sind, ohne das Anklicken von Links über die offizielle Webseite des Absenders zunächst Kontakt aufzunehmen und den Quelltext einschließlich

DKIM-Signature im Header

untersuchen (zu lassen).

Böse Folgen drohen beim Öffnen von Emails mit Malware – ein Zielkonflikt
Denn hinter solchen E-Mails kann sich Ransomware mit einem Virus verbergen, um Ihre Daten auszuspähen und einen Hackingangriff vorzubereiten (sog. Phishing), aber wegen der Zugangsproblemamatik sind bei wichtigen E-mails wegen Rechnungen, Mahnungen oder Abmahnungen oder ähnliches, sicherheitshalber Nachfragen auf alternativem Weg bei dem (vermeintlichen) Absender ratsam. Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden oder weitere schädliche Nachrichten unter Ihrem Namen an Ihre Kontakte versenden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Inzwischen bekommen ständig kleine und mittelständische Unternehmen oder auch Private regelmäßig solche oder ähnliche Nachrichten. Ich natürlich auch. Daher der Rat, bei scheinbar wichtigen Emails vor dem Öffnen lieber zunächst über die genannten Ressourcen wie Quelltext, sonstiger Inhalt und im Zweifel Nachfragen beim Absender über die offizielle Seite (nicht über einen möglicherweise schadhaften link in der Webseite) im Zweifel die Echtheit zu prüfen oder dort nachfragen.

Flüchtigkeit und Eile sind die Freunde der Betrüger
Die Angreifer versehen betrügerische Emails je nach Branche mit Reizwörtern wie „dringend“ oder „Mahnung“ oder „Abmahnung“ oder „Marken- und Produktpiraterie“ oder erzeugen mit scheinbar super tollen Angeboten Zeitdruck. Der in Eile befindliche Empfänger liest nur flüchtig und soll dazu gebracht werden auf einen Link oder Anhang zu klicken. Filesharing-Dienste identifizieren häufig nicht den Absender, sodass die Täter ihre Identität verschleiern können. E-mail Absdender können gefälscht werden. Ebenso die Links zu Online-Formularen. Emails oder SMS oder sogar automatische Anrufe mit KI-Robotern werden daher immer wieder für einen solchen Angriff missbraucht, weil einige Plattformen die Versendung von Links ohne eine Authentifizierung des Absenders, nämlich nur mit einfacher E-Mail Adresse, ermöglichen.

Kleiner Klick birgt ungeprüft die Gefahr eines Hacking-Angriffs
Im Zweifel verbirgt sich hinter dem verlinkten Button oder in dem Anhang Malware, d.h. ein Programm mit einer Schadsoftware, die ihre Systeme infiziert und beschädigt. Das ist zwar vielen Empfängern bekannt, aber leider kommt es trotzdem immer wieder vor, dass mehr oder weniger echt erscheinende Emails in der Hektik des Alltags für echt gehalten werden und dann durch Klick auf den Anhang oder den Link eine Erpressungssoftware z.B. ein Trojaner oder Verschlüsselungsprogramm auf dem System unbemerkt installiert oder aktiviert wird. Mitarbeiter müssen daher darin geschult werden, wie sie bei Zweifeln verdächtige Emails melden und die Echtheit überprüfen lassen können, bevor sie nach Freigabe der IT-Sicherheit geöffnet werden oder wie sie auf alternativen Wegen die Echtheit ggfs. selbst prüfen können.

Fazit:

Falls die E-mail dubios ist, nichts anklicken und nicht antworten. Aber falls sie möglicherweise echt ist, dann lieber über anderen zuverlässigen Kanal (offizielle Webseite oder telefonnummer des angeblichen Absenders) prüfen und nachfragen. Erst dann entscheiden, ob Handlungsbedarf besteht.
Nicht eindeutig echte Emails, die jedoch scheinbar wichtig sein könnten, wie etwa eine Abmahnung und die Links oder Anhänge enthalten, lieber vor dem Anklicken als Empfänger im Zweifel erst über einen offiziellen Kanal z.B. über die echte Webseite des angeblichen Absenders per Telefon, Kontaktformular oder die Kontaktemail verifizieren oder falls vorhanden über den hauseigenen IT-Sicherheitsdienst prüfen lassen. Leider hat der Bundesgerichtshof das Urteil des Oberlandesgericht Hamm, Az. 4 W 119/20 mit Urteil vom 09.03.2022 aufgehoben, mit dem wegen der Sicherheitsbedenken das Gericht dem empfangenen Unternehmen bescheinigt hatte, dass die Email des ihm unbekannten Anwalts mit Abmahnschreiben im Anhang nicht zugegangen sei. Der Empfänger öffnete die E-Mail aus Sicherheitsbedenken nicht und hielt sie für Spam. Das war relevant, weil die Kosten des anschließenden einstweiligen Verfügungsverfahren nur bei einer vorherigen Abmahnung mit Gelegenheit, die Wiederholungsgefahr auszuräumen, dem Antragsgegner auferlegt werden.