Blogger kennen das Problem vermutlich: Spam-Kommentare von Schlüsseldienst- oder Autoankauf-Seiten. Meistens sind das ortsbezogene Domains wie etwa schluesseldienst-ortxyz.de. Wir haben das Konstrukt der „Schlüsseldienst-Mafia“ zurückverfolgt. // von Tobias Gillen
Es ist Freitag, 12:49 Uhr, auf BASIC thinking geht ein Kommentar ein. Eigentlich nichts Besonderes, das passiert täglich viele Male. Doch dieser hier ist anders. Absender ist ein sogenannter Berthold Strunk, die angegebene Internetadresse ist die eines Schlüsseldienstes aus Siegen.
Schaut man sich auf der Seite um, findet man schnell Anhaltspunkte dafür, dass es sich hierbei um reinen SEO-Spam handelt. Der Kommentar, immerhin, ist kein klassischer Spam-Kommentar. Er zeigt zumindest eine oberflächliche Auseinandersetzung mit dem Thema, vielleicht auch nur mit der Überschrift. Klar ist aber, dass hier gezielt versucht wird, einen Link bei uns abzustauben. Das geht nicht nur uns so, eine kleine Telefonrunde im Kollegenkreis hat viele weitere Leidensgenossen offenbart.
Fake-Profile bei Google+
Derlei Kommentare gehen fast täglich bei uns ein. Mal ist es Siegen, mal Wuppertal, mal Ingolstadt oder Aschaffenburg, wahlweise auch Wiesbaden oder Dortmund. Das Prinzip ist immer ähnlich: Der Kommentar stammt angeblich vom Chef des Schlüsseldienstes. Der ist auf allen Seiten, die fast immer das gleiche WordPress-Theme nutzen, jeweils in der Seitenleiste mit Bild angegeben, teils sogar mit einem Google+-Profil (SEO).
Ob es diese Personen, etwa Berthold Strunk, die auch im Impressum stehen, aber tatsächlich gibt, ist fraglich. Die Google+-Profile ergeben bei allen das selbe Bild: Ein, zwei, manchmal auch fünf Postings, meistens zum Thema Schlüsseldienst und einige positive Bewertungen von Schlüsseldiensten. Ein erster Hinweis auf Fake-Identitäten.
Es ist kurz vor 13 Uhr, ich rufe durch beim Schlüsseldienst in Siegen. „Hallo, Moment!“, meldet sich eine Stimme am anderen Ende und schickt mich direkt in die Warteschleife. Wenig später dann folgender Dialog (Gedächtnisprotokoll):
Telefonist: So.
Gillen: Hallo, mit wem spreche ich?
Telefonist: Schlüsseldienst.
Gillen: Und mit welchem?
Telefonist: Wo haben Sie denn angerufen? Was gibt es denn?
Auffällig ist, dass der Herr den konkreten Ort des Schlüsseldienstes vermeidet, dazu später mehr. Und auch an Höflichkeit wurde gespart.
Gillen: Ich würde gerne mit Ihrem Chef, Herrn Berthold Strunk, sprechen.
Telefonist: Warum?
Gillen: Weil er gerade bei uns auf der Seite einen Kommentar hinterlassen hat. Ich habe dazu eine Frage.
Telefonist: Er ist auf Außentermin.
Gillen: Und schreibt von dort aus die zahlreichen Spam-Kommentare?
Telefonist: Nein, er ist auf Außentermin.
Gillen: Aber der Kommentar ist gerade eingegangen. Waren Sie das?
Telefonist: Nein, das ist nicht meine Aufgabe. Wer sind Sie überhaupt?
Gillen: Mein Name ist Tobias Gillen, ich arbeite für die Seite BASICthinking.de.
Telefonist: Sie bekommen gleich einen Rückruf.
Der letzte Satz, gefolgt vom direkten Auflegen des Hörers, klingt fast wie eine Drohung, der Rückruf bleibt aus. Interessant ist, dass er davon spricht, dass es nicht seine Aufgabe sei, die Kommentare zu schreiben. Wessen Aufgabe ist es dann? Um das herauszufinden bedarf es weiterer Recherche. Nächste Anlaufstelle: Die Denic, die Vergabestelle für .de-Domains. Dort überprüfe ich jede einzelne dieser Schlüsseldienst-Domains mit einer WHOIS-Abfrage.
Registriert sind alle Domains auf ein Unternehmen namens Schlosshilfe.de, das sich laut den Angaben in Geldern befinden soll. Eine Telefonnumer findet sich nicht, nur eben die Internetadresse. Die wiederum ist aber nicht erreichbar. Eine WHOIS-Abfrage der Domain ergibt, dass es sich beim Inhaber um einen Alex S. (Name redaktionell geändert) handelt. Eine kurze Recherche zeigt auch hier: Sein Facebook-Profil sowie sein Google+-Auftritt bewerben und bewerten Schlüsseldienste, beim Facebook-Account, der teils öffentlich einsehbar ist, lässt sich aber feststellen, dass es sich um eine reale Person handelt.
„Chefs“ sind nur „Stock-Models“
Kontaktdaten finden sich leider nicht, nur ein Hinweis auf einen Apache-Server von qutel.de, einem Anbieter für VOIP-Telefonie. Nachfrage beim Chef der ollinone GmbH, Muhsin Bayar, ergibt, dass das Unternehmen wohl früher mal Hosting angeboten habe, er sich die Meldung auf schlosshilfe.de aber auch nicht erklären könne. Inzwischen liegt, das verrät auch die WHOIS-Abfrage, die Domain auch beim Webhoster 1blu.de. Das alles lässt zumindest darauf schließen, dass sich um die Überdomain länger nicht mehr gekümmert wurde oder sie für das Konstrukt nicht relevant ist.
Der zweite Anruf, diesmal in Ingolstadt bei Anton Heinrichs, dem angeblichen Chef des Schlüsseldienstes. Domain, Website und Co. sind ähnlich, das Google+-Profil zeigt genau vier Einträge, auch hier gibt es einen starken Verdacht auf Fake-Account und -Identität. Ab zu Google, Bilder-Rückwärtssuche. Und siehe da: Anton Heinrichs hat ein erfülltes Leben, vor allem als Model für Stock-Fotos, dasselbe Ergebnis bei Berthold Strunk aus Siegen.
Telefonist: Hallo?
Gillen: Ja, hallo, Tobias Gillen hier.
Telefonist: Wir haben doch gerade gesprochen.
Gillen: Ich habe doch eben in Siegen angerufen, Sie sind aber schnell.
Telefonist: Ja, das liegt an einer Umleitung, weil der Bruder vom Chef das Unternehmen übernommen hat.
Gillen: Ihren Chef gibt es gar nicht, richtig?
Telefonist: Was wollen Sie?
Gillen: Die Domains, der SEO-Spam, die Fake-Profile. Kann ich Alex S. sprechen?
Telefonist: Wen?
Gillen: Sie wissen, wen ich meine. Auf ihn laufen die Domains.
Telefonist: Nein, davon weiß ich nichts. Wie gesagt: Sie bekommen einen Rückruf.
Damit ist auch klar, warum genau er sich eben nicht mit dem konkreten Namen der Firma – oder sollte ich lieber schreiben: „Firma“ – gemeldet hat. Es scheint, als seien die Dienste über eine Art Callcenter oder Zentrale verbunden. Ich probiere es weiter. Beim nächsten Versuch, diesmal in Wiesbaden, probiere ich es bei Wolfgang Hartmann, der – witzig, oder? – gleichzeitig auch in Gelsenkirchen arbeitet, dort aber als Harald Klein. Hier empfängt mich ein anderer Herr, die Begrüßung und Vorstellung überspringe ich:
Gillen: Ich würde gerne mit Herrn Hartmann sprechen.
Telefonist: Der ist auf einem Außentermin.
Gillen: Das ahnte ich. Wer hinterlässt denn bei Ihnen die Fake-Kommentare?
Telefonist: Dafür bin ich nicht zuständig, das macht der Chef.
Gillen: Ah, Alex S.?
Telefonist: Dazu kann ich nichts sagen, Tschüss!
Es fällt auf, dass alle Telefonisten, die ich anrufe, nervös werden beim Namen Alex S. Über Facebook erreiche ich ihn. Das Profil scheint zur Abwechslung mal echt, wir schreiben. Er habe damit nichts zu tun, sei nur Webmaster für ein paar Seiten und halte es sonst „mit Helmut Kohl“, eine Aussage ist aus ihm nicht rauszuholen. Auch nicht, nachdem ich ihn auf fehlerhafte Impressumsangaben aufmerksam mache, die juristisch fragwürdig sind. Die Hintermänner bleiben im Verborgenen.
Anrufe gehen an Zentrale, Aufträge an Freie
Im Telefonbuch suche ich die Adresse eines seriösen Schlüsseldienstes aus Siegen. Auch ihm ist die Masche bekannt, er hat bei diversen Online-Bewertungsportalen Beschwerden eingereicht gegen diese Machenschaften. Etwa gab es seiner Aussage nach auf einer Straße in Siegen gleich 120 Schlüsseldienste, nach seiner Beschwerde seien 45 in dem Portal übrig geblieben, effektiv seien es genau Null – er habe die Straße abgefahren.
Die Masche mit den Fake-Profilen, gefälschten Namen und Briefkastenfirmen geht – ganz einfach gesagt – so: Es wird ein angeblicher Schlüsseldienst gut platziert – bei Google, auf Bewertungsportalen, in den sozialen Netzwerken. Das geschieht zum Beispiel über den Kommentar-Spam oder die Fake-Bewertungen. Am Ende sitzt dahinter eine Zentrale, die die Aufträge über freie Mitarbeiter vor Ort ausführen lässt oder sie überteuert verkauft. Über Anrufe als „ausgesperrter Kunde“ bei den Schlüsseldiensten wird das klar. Der gleiche Mitarbeiter für mehrere Städte, immer wird uns (meinen Test-Anrufern) ein Auftrag gegeben, den wir selbstverständlich am Ende nicht wahrnehmen.
Das ist keine neue Masche, früher lief das so mit gefälschten Einträgen in Telefon- und Branchenbüchern. An deren Stelle ist natürlich längst das Internet getreten. Zudem sich das Telefonbuch meist in der Wohnung befindet.
Nutzer wird in die Irre geführt
Insgesamt bin ich nun seit Wochen an dem Thema dran, versuche es immer wieder schriftlich und telefonisch. Jeder Versuch bringt kleine Einblicke, irgendwann werden die Telefonisten nervös, das ist spürbar.
Einmal ist Herr N. dran. Er wird aggressiv, will, dass ich mich per Fax an eine ausgedachte Nummer wende. Eine andere Möglichkeit gebe es nicht. Er schreit rum, legt ohne Verabschiedung auf. Als ich ihn erneut anrufe, um wenigstens meine Frage loszuwerden, lässt er sich von einem Kollegen verleugnen, ein paar Nachfragen später sei er plötzlich doch da, besteht aber auf das Fax. Wieder wird aufgelegt.
Es scheint, als habe ich einen wunden Punkt getroffen. In diesem Konstukt geht es um jeden Kunden. Die Rechnung ist einfach: Wer bei Google gut rankt, bekommt die Klicks von den Betroffenen – und am Ende vermutlich auch den Anruf zum Auftrag. Nachfragen sind hier unerwünscht. Dass das Spiel mit Briefkastenfirmen, gefaketen Firmeninhabern und offenbar fehlerhaften Angaben im Impressum einzig und allein dazu dient, möglichst viel Geld mit ziemlich wenig finanziellem und personellem Aufwand zu machen, ist nun klar.
Der Kommentar-Spam ist am Ende harmlos im Gegensatz zu dem, wie der Kunde hier in die Irre geführt wird. Und Website-Betreiber sollten bei Kommentaren genau prüfen, ob sie sie freischalten und solch ein Konstrukt unterstützen. Für die Kunden heißt das jedenfalls: Genau prüfen, welche Seiten vertrauenswürdig erscheinen, zur Not eine WHOIS-Abfrage machen oder bei der zuständigen Handwerkskammer anrufen. Andernfalls kann das zu hohen Kosten führen.
