Nach dem Verbot der Pride-Parade in Budapest im Juni gehen ungarische Behörden zum zweiten Mal gegen eine Demonstration für die Rechte queerer Menschen im Land vor. Diesmal trifft es die für Anfang Oktober geplante Pride in der südungarischen Stadt Pécs. Anfang September hat die Polizei die als Versammlung angemeldete Pride untersagt. Die Kúria, das höchste ungarischen Gericht, hat das Verbot inzwischen bestätigt.

Es ist ein Affront gegen Brüssel. Darauf weisen auch zivilgesellschaftliche Organisationen wie die Civil Liberties Union und die Ungarische Bürgerrechtsunion hin. In einem Brief von Anfang dieser Woche fordern sie von Kommissionspräsidentin Ursula von der Leyen, das nachzuholen, was die EU vor der Budapester Veranstaltung versäumt hat: ein Vertragsverletzungsverfahren gegen Ungarn einzuleiten und beim Europäischen Gerichtshof (EuGH) sofortige einstweilige Maßnahmen zu beantragen.

Per Gesichtserkennung identifizieren  – wegen einer Ordnungswidrigkeit

Die Verbote basieren auf einer queerfeindlichen Gesetzesänderung, die das ungarische Parlament Anfang dieses Jahres im Eilverfahren verabschiedet hat. Die Änderungen betreffen das Versammlungsgesetz, das Gesetz für Ordnungswidrigkeiten und das Gesetz über den Einsatz von Gesichtserkennungtechnologien.

Sie verbieten effektiv jegliche Veranstaltungen und Versammlungen im öffentlichen Raum, die für die Rechte von queeren oder trans Menschen eintreten und knüpfen an das berüchtigte „Kinderschutzgesetz“ an, mit dem Ungarn bereits seit 2021 queere Minderheiten zum Feindbild macht. Die Teilnahme an solchen Veranstaltungen gilt seither als Ordnungswidrigkeit, auf die ein Bußgeld von bis zu 500 Euro steht.

Weil zugleich das Gesetz für den Einsatz von Gesichtserkennung so verändert wurde, dass Personen nun schon im Fall von Ordnungswidrigkeiten per Gesichtserkennung identifiziert werden dürfen, bedeutet das: Teilnehmende der Demo müssen fürchten, gefilmt, biometrisch identifiziert und anschließend mit einem Ordnungsgeld belegt zu werden.

Eine Abschreckungsmaßnahme, die zumindest im Fall der Budapest Pride nach hinten losgegangen ist. Mehr als 150.000 Menschen kamen schätzungsweise zu der Großdemonstration im Juni, die nach einer Intervention des grünen Budapester Bürgermeisters unter dessen Schirmherrschaft stand. Menschen aus der ganzen Welt reisten an, spektakuläre Bilder von den Massen auf der Donaubrücke gingen um die Welt, die internationale Presse berichtete aus Budapest.

Die Rekordzahlen in Budapest ändern nichts an der Rechtslage

Schon damals war klar: Der Triumph über Viktor Orbáns queerfeindliches Verbot, so psychologisch wichtig er sein mochte, ändert nichts an der Rechtslage in Ungarn. Kommende Pride-Veranstaltungen würden vom neuen Gesetz ebenso betroffen sein. Für einige ist die Messlatte jetzt also: Wird sich für die verbotene Pride in Pécs, Ungarns fünftgrößte Stadt mit rund 140.000 Einwohner*innen, ebenso viel Aufmerksamkeit mobilisieren lassen.

Eine Rückendeckung des Bürgermeisters, wie in Budapest, ist in Pécs nicht zu erwarten. Attila Péterffy (parteilos) hatte vergangene Woche angekündigt, der Einladung der Veranstalter zu folgen und eine Rede auf der Eröffnung des parallel stattfindenden Festivals für Menschenrechte zu halten, was er auch tat. An der Demonstration selbst werde er hingegen nicht teilnehmen.

Die Pécs Pride wird seit 2021 von der Organisation Divers Youth Network ausgerichtet und findet traditionell als Abschluss des Festivals für Menschenrechte in der südungarischen Stadt statt. In der Vergangenheit war es eine überschaubare Demonstration. Die Zahl der Teilnehmenden bewegte sich um die Marke von etwa 1000 Teilnehmenden. Dieses Jahr werden jedoch, wie in Budapest, Rekordzahlen erwartet. Wieder wollen ausländische Politiker*innen und EU-Parlamentarier*innen teilnehmen. Die Veranstalter*innen haben angekündigt, die Versammlung werde trotz Verbot wie geplant stattfinden.

„Diese Entscheidung ist ein weiterer Beweis dafür, dass die Machthaber versuchen, mit rechtlichen Mitteln die Ausübung grundlegender Freiheitsrechte einzuschränken und das Recht auf friedliche Versammlung zu unterbinden“, schreiben sie auf Facebook zur Entscheidung des obersten Gerichtshofes. Nun gehe es darum, „gemeinsam für Gleichheit, Akzeptanz und Freiheit einzutreten“.

Auch die Ungarische Bürgerrechtsunion TASZ fordert zur Teilnahme auf und hat gemeinsam mit anderen Organisationen einen Leitfaden zu rechtlichen Fragen rund um die Demo veröffentlicht. Darin warnen die Jurist*innen auch vor dem Einsatz von Gesichtserkennung. In Ungarn gilt ebenso wie in Deutschland ein Vermummungsverbot, Masken oder Schals über dem Gesicht zu tragen ist daher verboten.

Gesichtserkennung in Ungarn verstößt gegen EU-Gesetze

Selbst in ihrer großzügigsten Auslegung lässt das KI-Regelwerk diesen Einsatz von Gesichtserkennung nicht zu

Zum Affront gegen die EU wird die Sache nicht nur, weil Orbáns Regierung mit dem Gesetz offensiv die Rechte von queeren Minderheiten im Land beschneidet und damit gegen die Grundrechtscharta der Union verstößt. Der Einsatz von Gesichtserkennung auf einer Demonstration zur Identifikation von Teilnehmenden ist auch ein klarer Verstoß gegen die neue KI-Verordnung, ein Gesetz, das erst im vergangenen Jahr verabschiedet wurde und dessen Verbote nun nach und nach greifen.

Die biometrische Identifikation aus der Ferne, vor allem in Echtzeit, war bei der jahrelangen Verhandlungen um das Gesetz einer der größten Streitpunkte. Kritiker*innen warnten vor den Gefahren für die Demokratie, wenn Staaten in die Lage versetzt werden, Menschen etwa auf Demonstrationen zu identifizieren.

Am Ende stand ein Kompromiss, laut dem der Einsatz dieser Technologien für wenige Fälle erlaubt sein soll. Auf der Liste stehen etwa Terrorverdacht oder Straftaten, auf die mindestens vier Jahre Gefängnis stehen. Eine Ordnungswidrigkeit wie in Ungarn ist, wie man es auch dreht und wendet, davon nicht abgedeckt.

In ihrem Brief an die EU-Kommission gemeinsam mit der Civil Liberties Union weist die TASZ auf diesen Umstand hin: Das Gesichtserkennungssystem, mit dem die ungarische Polizei arbeite, sei in der Lage, Personen auch binnen kürzester Zeit zu identifizieren und falle deswegen klar in die Kategorie der Echtzeit-Systeme.

Die EU solle nun endlich das tun, was im Vorlauf der Budapester Veranstaltung nicht passiert ist: ein Vertragsverletzungsverfahren gegen Ungarn einleiten und beim Europäischen Gerichtshof (EuGH) einstweilige Maßnahmen beantragen.

„Es geht um die Freiheit“

Bald urteilt der Gerichtshof der Europäischen Union

In Brüssel brodelt es um den Fall, die Kommission prüft derzeit laut eigenen Angaben, ob das ungarische Gesetz gegen EU-Vorgaben verstößt. In einer Parlamentsdebatte im Juni sagte der Justizkommissar Michael McGrath, die Budapester Pride sei keine Gefahr für Kinder.

Vor einem anderen EU-Gericht, dem Gerichtshof der Europäischen Union, wird derweil das Urteil zur Klage gegen Ungarn queerfeindliches Gesetz von 2021 erwartet, das den Zugang zu Darstellungen von Queerness einschränkt. Die EU-Kommission, 16 EU-Länder und das EU-Parlament hatten Ungarn verklagt, Menschenrechtsorganisationen sprechen vom „größten Menschenrechtsfall in der Geschichte der EU“.

Im Juni gab die Generalanwältin des Gerichtshofs, Tamara Ćapeta, ihre Stellungsnahme ab, die als wegweisend für das finale Urteil der Richter*innen gilt. Sie sagt, Ungarn verstößt mit dem Gesetz gegen EU-Recht und die in den Verträgen verankerten Werte der EU. Folgt das Gericht ihrer Einschätzung, könnte es anordnen, das Ungarn das Gesetz zurücknimmt oder Strafen verhängen.

Im Sommer 2020 klickte Anna Leitner auf eine Online-Anzeige. Die erweckte den Anschein, als würde Red-Bull-Gründer Dietrich Mateschitz ein bislang kaum bekanntes, aber garantiert sicheres Investment-Geheimnis verraten. Die Sekretärin einer Grazer Hochschule folgte dem Link, registrierte sich auf einer Plattform namens PrimeOT und bekam wenige Tage später eine Mail von ihrem vermeintlichen persönlichen Finanzberater.

Schnell wurde der Kontakt vertraulich. Der Mann habe von seinen Wochenenden mit Frau und Kindern erzählt, erinnert sich Leitner heute. Bereits Anfang September 2020, kurz nach dem ersten Telefonat, forderte er sie zur ersten Überweisung auf: 10.000 Euro.

In den Monaten darauf gab der Berater vor, für Leitner das Geld in Kryptowährungen zu investieren. Zunächst wuchsen die Gewinne und mit ihnen die Einsätze. „Es ging schnell darum, ob ich nicht noch mehr Geld auftreiben könnte“, sagt Leitner. In den wenigen Monaten bis zum Jahreswechsel 2021 hatte sie fast 30.000 Euro überwiesen.

Was Leitner damals nicht wusste: Dietrich Mateschitz warb nicht wirklich für das Investment, und ihr angeblicher Finanzberater war keiner. Er arbeitete nicht für eine seriöse Plattform, sondern mutmaßlich für ein Callcenter auf dem Balkan und war so Teil einer millionenschweren Betrugsmasche. Und sie war längst nicht das einzige Opfer.

„Ich besorge dir drei Häuser in Spanien“

Ob PrimeOT oder anders, die Namen der einzelnen Portale wechseln, auch wenn einige von ihnen aus dem gleichen Netzwerk stammen. Gemeinsam ist ihnen die Masche, mit der sie Menschen hereinlegen: Zunächst ködern die Betrüger neue Opfer mit Google- oder Meta-Anzeigen. Nach der Registrierung beginnt sofort der Druck.

Ende 2017 klickte Malcolm, ein teilpensionierter Manager aus der Ölindustrie im Nordosten Englands, auf eine Google-Anzeige von Greenfields Capital. Nach einer ersten Investition von 500 Pfund rief ihn am nächsten Tag ein Broker an, und drängte ihn, 34.000 Pfund einzuzahlen.

„Er versprach mir, das Geld innerhalb einer Woche zu verdoppeln und die Gewinne direkt in mein Bankkonto zu zahlen“, erinnert sich Malcolm. „Natürlich kam nichts zurück.“ Alarmiert durch seinen plötzlichen Verlust, schaute sich Malcolm die Firma genauer an. Bald erkannte er, dass die Londoner Adresse auf der Website gefälscht war.

John, ein 64-jähriger Bauunternehmer aus Schottland, stieß 2018 auf eine Anzeige für FX Trade Market. Die Website prahlte mit angeblicher Unterstützung der britischen Version der Fernsehshow Höhle der Löwen, Dragon’s Den.

Der Broker, der ihn anrief, war charmant und glaubwürdig, erinnert sich John. Von dem Geld wollte er eigentlich ein Haus in Spanien kaufen. Heute erzählt John: „Er sagte mir: Ich besorge dir drei Häuser in Spanien.“ Zwischen 2018 und 2019 überwies er 25.000 Pfund und überzeugte sogar seine Tochter zu investieren. Online wuchs sein Portfolio scheinbar auf 130.000 Pfund. Doch eines Tages war alles verschwunden. „Als ich niemanden mehr erreichen konnte, hat mich das Jahre meines Lebens gekostet.“

Razzia im Callcenter

In Belgrad, keine 500 Kilometer von Graz entfernt, wirkte das Callcenter Olympus Prime eher wie ein florierendes Tech-Start-up. Untergebracht in einem modernen Gebäude in einem aufstrebenden Geschäftsviertel von Belgrad, teilte sich die Firma die Adresse mit einem chinesischen Kulturzentrum und einem gehobenen Hotel. Doch als die serbische Polizei an einem regnerischen Morgen im Januar 2023 die Räume des Callcenters betrat, stieß sie auf die Schaltzentrale eines internationalen Betrugsnetzwerks.

„Die Büros sahen vollkommen normal aus, wie in jedem gewöhnlichen Unternehmen, viele Schreibtische, Stühle und Computer“, sagt der Leiter der Abteilung High-Tech-Kriminalität der serbischen Staatsanwaltschaft, Boris Majlat. Ihn überraschte auch, dass sich die rund 50 Mitarbeiter nicht rührten, obwohl bewaffnete Beamten die Räume durchsuchten. Tatsächlich waren sie auf solche Situationen vorbereitet worden: In einem bei der Razzia beschlagnahmten Trainingsvideo erklärten Manager ihren Angestellten, wie sie sich bei einer Polizeikontrolle verhalten sollten. „Sagen Sie, sie bieten nur Schulungsmaterial an“, hieß es, „nicht mehr.“

Die Razzia war Teil eines sogenannten Aktionstages von Europol. Unter Leitung der Staatsanwaltschaft Stuttgart und des Landeskriminalamts Baden-Württemberg durchsuchten Beamte mehr als 20 Standorte in Serbien, Bulgarien und Zypern. Neben Olympus Prime stürmten Ermittler allein in Belgrad drei weitere Callcenter. Von dort aus kontaktierten Callcenter-Agenten ihre Opfer mutmaßlich überall in Europa. Mit falschen Namen, Identitäten und einstudierten Verkaufsargumenten soll sich die Mitarbeiter als Broker ausgegeben haben, um Vertrauen aufzubauen und den Opfern ihr Geld abzunehmen. Fast 300 Personen wurden festgenommen.

Investment-Betrüger bringen Jahr für Jahr alleine in Deutschland Opfer um mehr als eine Milliarde Euro, schätzt ein führender Ermittler im Gespräch mit Investigate Europe. In Österreich ist die Masche mit den vermeintlichen Online-Investmentplattformen inzwischen das größte Betrugsphänomen. Jedes Jahr verlieren Österreicherinnen und Österreicher wie Anna Leitner so einen hohen Millionenbetrag.

Alleine das Netzwerk, in deren Callcenter die Beamten Anfang 2023 stürmten, soll laut dem LKA Baden-Württemberg weltweit über 70.000 Menschen getäuscht haben, darunter 2.000 Menschen in Deutschland. Die Täter sollen dabei schätzungsweise 250 Millionen Euro mit Anlagebetrug wie dem vermeintlichen Krypto-Handel eingestrichen haben, fast 50 Millionen davon in Europa.

In Belgrad hat die Staatsanwaltschaft nun 21 Personen angeklagt für ihre Beteiligung an dem Betrugsnetzwerk. Das Gericht muss die Anklage noch annehmen. Die mutmaßlichen Drahtzieher blieben für die Behörden bislang im Dunkeln.

Diese Recherche von Investigate Europe und des Balkan Investigative Reporting Network (BIRN), die auch bei netzpolitik.org erscheint, zeigt, wie der Geschäftsmann Eliran Oved und seine Frau Liat Kourtz Oved aus Tel Aviv über ein Geflecht von Briefkastenfirmen und Strohmännern mutmaßlich im Zentrum des Netzwerks stehen.

Die Spur der Oveds

Auf Social Media wirken die Oveds wie eine erfolgreiche Familie: Sie posten Fotos von exotischen Urlauben und Kostümpartys. Eliran Oved besitzt zugleich den israelischen Fußballverein Bnei Yehuda. Kürzlich zeichnete der israelische Präsident Oved sogar aus für das soziale Engagement seines Klubs.

Doch hinter dieser Fassade läuft offenbar ein lukratives Geschäft jenseits der Stadien und Preisverleihungen. Oved ist wegen Geldwäsche vorbestraft und betrieb eine illegale Glücksspiel-Website. Dafür saß er ein Jahr im Gefängnis. Diese Recherche zeigt, wie er und seine Frau mit den mutmaßlichen Scam-Callcentern verbunden sind. Über sechs Monate wertete das Recherche-Team Dutzende Handelsregister-Dokumente aus und legte die geschäftlichen Verbindungen der Oveds zum mutmaßlichen Millionenbetrug offen. Eliran Oved und Liat Kourtz Oved selbst ließen eine umfangreiche Anfrage zu den Vorwürfen unbeantwortet.

Das im Januar 2023 gestürmte Callcenter, Olympus Prime, gehört einem engen Vertrauten der Oveds. Auch die drei weiteren durchsuchten Callcenter lassen sich mit dem Paar in Verbindung bringen. Von den Büros aus sollen die Callcenter-Agenten Produkte von Marken angeboten haben, deren Spur zu den Oveds und ihren Geschäftspartnern führt.

Zu diesen Trading-Plattform-Marken gehören FXVC, Greenfields Capital und PrimeOT, jene Plattform, auf der die Grazer Sekretärin Anna Leitner knapp 30.000 Euro investierte. Inzwischen sind alle Webseiten offline.

Aus den Callcentern, die in Verbindung zum Oved-Netzwerk stehen, sollen Mitarbeiter Menschen in Deutschland, der Schweiz, Großbritannien und Irland betreut haben, aber auch Menschen in Kanada und Australien. Investigate Europe und BIRN liegt eine Opferliste vor, die bei der Durchsuchung bei Olympus Prime sichergestellt worden ist. Darauf sind Verluste einzelner mutmaßlicher Opfer vermerkt, von wenigen hundert bis hin zu mehr als einer Million Euro.

Leeds United, Strohmänner und Sponsorenverträge

Einer der bekanntesten Betrugsmarken, FXVC, wurde 2020 sogar offizieller Partner des britischen Fußballklubs Leeds United. Dokumente, die Investigate Europe und BIRN vorliegen, legen nahe, dass FXVC aus den Räumen von Olympus Prime betrieben wurde. Der Premier-League-Deal verschaffte riesige Sichtbarkeit im britischen Markt: Das Logo prangte im Stadion, Millionen Zuschauer sahen es wöchentlich. Im April 2021 entzog die britische Finanzaufsicht FCA FXVC schließlich die Lizenz wegen „irreführender Finanzwerbung“.

Auf dem Papier gehörte FXVC einer zypriotischen Holding, die vorgeblich von Strohmännern geleitet wurde. Tatsächlich findet sich in den Bilanzen ein anderer Name als ultimativ wirtschaftlich Berechtigte: Kourtz Oved. Dieses Muster zeigte sich immer wieder. Offiziell gehören diverse Unternehmen Geschäftspartnern der Oveds. Doch gesteuert wurden diese offenbar von dem Paar.

Zu den wichtigsten Strohmännern gehörten der zypriotische Ex-Fußballer Nikos A., die bulgarische Anwältin Vera A. und Miloš R., ein Serbe mit bulgarischem Pass. Keine dieser Personen antwortete auf Anfragen zu den Vorwürfen. R. ist derzeit in Serbien wegen des Verdachts auf Geldwäsche angeklagt. Zusammen führten die drei als Direktoren fünf Oved-Firmen und hielten Anteile an 14 weiteren Unternehmen des Netzwerks.

Belgrader Vertriebsbüros

Im Gegensatz zu ihren Opfern sollen die Callcenter-Broker in Belgrad satt verdient haben. Verglichen mit dem serbischen Durchschnittsgehalt von rund 900 Euro im Monat gehörten die Mitarbeiter mit ihren Grundgehältern und Boni zu den Topverdienern des Landes. Manche kassierten monatliche Provisionen von 60.000 bis 80.000 Euro.

Im Olympus-Prime-Callcenter sollen fünf Teams rund um die Uhr gearbeitet haben, aufgeteilt nach Sprache und Region. Das deutschsprachige Team „Panzer“ soll sich um Opfer in Deutschland, Österreich und der Schweiz gekümmert haben, andere Teams kümmerten sich um Skandinavien und den englischsprachigen Raum. Interne Chats, die die Polizei sicherstellte, zeigen die Verachtung gegenüber den Kunden: „Idioten“, hieß es in einem Chat. Als ein Opfer 40.000 Euro investieren wollte, schrieb ein Kollege: „Super, schnapp’s dir!“

Die Mitarbeiter sollen länderspezifische Decknamen wie „Jack Weiss“ oder „James Eastwood“ genutzt haben. Ihre Kunden lockten sie offenbar zunächst mit kleinen, scheinbar realen Gewinnen, dann drängte sie diese zu immer höheren Einzahlungen.

Die serbische Staatsanwaltschaft beschreibt Olympus Prime als ein hierarchisches Unternehmen. An der Spitze sollen israelische Manager gestanden haben, das Tagesgeschäft leiteten serbische Führungskräfte, am Telefon arbeiteten lokale Agenten. Offizieller Eigentümer: Nikos A., der Ex-Fußballer und Strohmann der Oveds.

„Wir haben es nicht mit Amateuren zu tun. Das ist organisierte Kriminalität. Wenn wir nicht reagieren, verlagern sie den Standort einfach und machen weiter“, warnt der serbische Staatsanwalt Boris Majlat, der in dem Fall ermittelt.

„Wenn wir nichts tun, ziehen sie einfach weiter“

Trotz der Festnahmen Anfang 2023 sind viele Schlüsselfiguren noch immer auf freiem Fuß. Majlat sagt: „Wir haben es mit transnationalem, krypto-basiertem Betrug zu tun, aber die Gerichte behandeln es wie einen normalen Fall.“ Er fordert spezialisierte Einheiten. „Ohne diese können wir nicht gewinnen.“

Seit 2019 leitet der Bamberger Staatsanwalt Nino Goldbeck eine Ermittlungsstelle für den Investment-Betrug. Über die Arbeit sagt er, „Wenn wir ein Callcenter mit 200 Beschäftigten durchsuchen, landet davon nur ein Bruchteil in Haft“. Gründe dafür seien Ressourcenknappheit, Priorisierungsfragen sowie unterschiedliche Rechtsrahmen. Die Bamberger Ermittler ließen seit 2019 europaweit 15 Durchsuchungen durchführen. Bisher wurden ungefähr 80 Personen abschließend rechtskräftig verurteilt.

In Serbien laufen die Ermittlungen weiter. Mit führenden Verdächtigen im Ausland und vielen Jurisdiktionen sei es aber extrem schwer, Recht durchzusetzen. Zu den Oveds selbst wollte die Staatsanwaltschaft „keinen Kommentar“ abgeben.

In Deutschland hat inzwischen die Generalstaatsanwaltschaft in Karlsruhe das Verfahren an sich gezogen. Fünf Jahre nach den mutmaßlichen Taten und mehr als zwei Jahre nach den Durchsuchungen in Serbien, Bulgarien und Zypern hat diese noch immer keine Anklage erhoben. Die zuständigen Staatsanwälte äußern sich zu dem laufenden Verfahren nicht.

Gegen die Oveds und deren mutmaßliche Strohmänner wurde bisher keine Anklage erhoben wegen Straftaten im Zusammenhang mit dem serbischen Callcenter-Betrug, der in diesem Artikel geschildert wird.

Viele Opfer kämpfen noch immer mit den Folgen. Manche wollten gar nicht reden, aus Angst, erneut ins Visier zu geraten. Andere sagten, die Erinnerungen seien zu schmerzhaft. Auch Anna Leitner fällt es nicht leicht, darüber zu sprechen, wie sie ihr Erspartes über die vermeintliche Investment-Plattform PrimeOT verlor.

„Die haben mich rausgeschmissen“

Binnen vier Monaten hatte Leitner fast 30.000 Euro investiert. Im Januar 2021 erkannte sie, dass sie in eine Betrugsmasche geraten war. Da war es zu spät. „Ich wollte mein Geld ausgezahlt bekommen“, erinnert sich Leitner heute. Doch ihr vermeintlicher Finanzberater habe nur Ausreden präsentiert. In einer E-Mail bat sie ihn um ein Gespräch. Doch der Mann, der bis dahin auch mal von seiner Familie geplaudert hatte, meldete sich nicht mehr. Kurz darauf konnte Leitner sich nicht mehr auf der Investment-Webseite einloggen. Heute sagt sie: „Die haben mich rausgeschmissen.“

„Dann wurde mir klar, dass ich Scheiße gebaut habe“, sagt Leitner. Mit einer Berliner Anwaltskanzlei versuchte sie im März 2021, ihr Geld zurückzuholen. Doch alle Bemühungen liefen ins Leere. Im Herbst 2023 schrieb ihr Anwalt, dass „trotz unserer Bemühungen, Beschwerde und Übersendung weiterer Ermittlungsansätze“ die Staatsanwaltschaft Graz „die Ermittlungen gegen die PrimeOT eingestellt hat“. Auf Nachfrage bestätigt die Staatsanwaltschaft Graz die Einstellung des Verfahrens.

Trotz allem expandieren die Oveds unterdessen weiter. Unlängst brachten sie über eine Offshore-Gesellschaft neue Marken auf den Markt: Klips.com und 50K.trade.

Dieser Artikel ist der erste Teil der Recherche „Scam Europe“, die vom Balkan Investigative Network (BIRN) geleitet wurde sowie von Investigate Europe, einem Journalistenteam, das länderübergreifend arbeitet. Die Recherche wird gemeinsam mit Medienpartnern in acht Ländern veröffentlicht, darunter auch Altreconomia, Balkan Insight, EU Observer, The Irish Times, La Libre, Público sowie Der Standard. Dieses Projekt wurde unterstützt von IJ4EU (Investigative Journalism for Europe).

Obacht, wenn man nach macOS-Apps googelt: Entwickler insbesondere bekannter Indie-Anwendungen für den Mac warnen davor, dass auf GitHub Klone ihrer Produkte kursieren, die offenbar mit Ad- oder Malware verseucht sind. Der unabhängige Developer Jeff Johnson, bekannt unter anderem durch StopTheMadness Pro für Apples Safari-Browser, bemerkte Fake-Varianten seiner eigenen App, aber auch von 1Blocker, Airfoil, BBEDit, VLC, SoundSource, Little Snitch, OmniOutliner und sogar der Figma-App. Besonders dreist: Auch Schutzprogramme von Malwarebytes wurden geklont. Zu entdecken waren diverse der Fake-Anwendungen, wenn man schlicht nach „macOS“ auf GitHub suchte. Sie tauchten aber auch teils gut gerankt bei Google auf, weil die Scammer passende SEO-Keywords verteilt haben. GitHub, eine Microsoft-Tochter, ist zwar informiert, kommt aber mit dem Löschen nicht hinterher oder reagiert erst gar nicht.

Videoanleitung samt Aufforderung der Passworteingabe

Die gefälschten Anwendungen verfügen jeweils über eigene GitHub-Repositories und wurden von erst kürzlich erstellten Accounts angelegt. Als Support- oder Impressums-Adresse nutzen sie Fake-E-Mails, die den jeweiligen App-Namen enthalten. Die Repositories enthalten auch Download-Links für die Fake-Apps. Diese werden auf merkwürdige URLs weitergeleitet, in denen behauptet wird, man sei ein „Verified Publisher“. Um Nutzer zu motivieren, die Scammer-Programme zu installieren, gibt es dort jeweils ein Anleitungsvideo.

Nutzer sollen entweder ein (mit einem Kopieren-Knopf ausgestattetes) Terminal-Kommando samt Admin-Passwort eingeben oder die jeweilige Fake-App als DMG-Datei herunterladen und dann via Terminal installieren – ebenfalls mit Eingabe eines Admin-Passworts. Auf diese Weise können sich die Programme dann tief im System verankern und schwerwiegende Schäden anrichten und Daten abgreifen.

Noch unklar, was der Code auf dem Mac anstellt

Derzeit ist noch unklar, was genau die Scammer mit ihren Apps tun. Analysen des Codes konnte Johnson bislang nicht vornehmen. Eine Anfrage an den macOS-Malware-Experten Patrick Wardle, ob er sich bereits mit dem Thema beschäftigt hat, blieb zunächst unbeantwortet – auf X hat er sich bis dato noch nicht zum Thema geäußert.

Nutzer sollten grundsätzlich vorsichtig sein, woher sie ihre Apps außerhalb des Mac App Store beziehen. Alle der bislang genannten Scam-Apps verfügen „in echt“ über eine eigene Website, zudem ist nur VLC tatsächlich quelloffen. Spätestens bei der Aufforderung, im Terminal zu agieren und dort sein Passwort einzugeben, sollte man hellhörig werden. Wie viele Opfer der Scam bislang hatte, ist unklar.

(bsc)