Nachdem die lokalen Rechner bereits seit mehreren Monaten mit Linux laufen, kam gestern nochmal eine Erinnerung an alte Zeiten:

Liebe(r) Andreas Thul,

die Lizenz für G DATA Internet Security ist abgelaufen.

Sie sind aktuell nicht mehr vor Viren, Trojanern und anderen digitalen Schädlingen geschützt. Zusätzlich wurden wichtige Sicherheitsfunktionen Ihrer Software automatisch deaktiviert. Verlängern Sie jetzt Ihre Lizenz, um weiterhin entspannt und sicher im Internet zu surfen.

Zugegeben, es war in den ersten Tagen ein seltsames Gefühl, sich plötzlich ohne Big Brother durch’s Netz zu bewegen - aber letztendlich bleibt festzustellen, daß der Schutz durch ein sicheres System (wozu auch eine entsprechende Browser-Konfiguration und das Einschalten des Hirns gehört) deutlich höher zu berwerten ist, als duch eine zusätzliche Software, welche sich tief im System verankert und schlechtestenfalls für neue Lücken oder Probleme sorgt.

Nachdem ich von der Vorgehensweise der Marketing-Abteilung von G DATA nicht so erfreut war, kann der technische Support hingegen überzeugen.:

Seit dem gestrigen Update auf die G DATA Internet Security 25.5.2.6 kommt es zu spürbaren Verzögerungen von mehrern Sekunden beim Zugriff auf Webserver und -oberflächen innerhalb des lokalen Netzes. Sobald die Adressen im Webschutz als Ausnahme eingetragen werden, funktioniert der Zugriff wieder absolut verzögerungsfrei.

Auf meine Anfrage per E-Mail kam kurz darauf eine fundierte Antwort:

Sehr geehrter Herr Thul,

vielen Dank für die Rückmeldung und die detaillierte Beschreibung des Verhaltens.

Alle vorhandenen Informationen wurden an unsere Entwicklung weitergeleitet und wir freuen uns Ihnen mitteilen zu können, dass zeitnah ein Software Update geplant ist, welches den beschriebenen Sachverhalt behebt.

Workaround: Sollten Sie generell Probleme beim Aufbau von lokalen Serververbindung (Router, Netzwerklaufwerke, etc.) feststellen, richten Sie temporär ,für die betroffene Verbindung, eine Ausnahme im Webschutz (Einstellungen > AntiVirus > Webschutz > Ausnahmen…) ein.

Aus Bochum grüßt Sie freundlich

---

Von der Reaktionszeit und der Qualität der Antwort könnte sich mancher Support, der für deutlich mehr Geld sein(e) Produkt(e) betreut, mehr als eine Scheibe abschneiden.

Neben dem täglichen Popup gibt es sicherheitshalber auch noch Mails von G DATA, die nicht nur daran erinnen, daß der gebuchte Schutz in wenigen Tagen ablaufen wird.

In bester SPAM-Tradition ist nicht nur gleich ein großer roter “Jetzt verlängern”-Button in der Mail, der angebotene Rabatt steigt auch, je näher das Ende des Support-Zeitraums kommt.

Liebe(r) Andreas Thul,

in 3 Tagen läuft der Schutz durch Ihre G DATA Internet Security ab.

Gehen Sie kein Risiko ein: Sichern Sie sich auch weiterhin gegen Computerviren, Trojaner, Spionage-Software und andere Schädlinge ab.

Das ist Ihre Chance auf einen exklusiven Rabatt: Sparen Sie bis zu 50 % gegenüber der unverbindlichen Preisempfehlung, wenn Sie Ihr Produkt jetzt verlängern. Achtung: Dieses Angebot ist nur 10 Tage gültig.

Waren es sieben Tage vor Ende des Support-Zeitraums noch 30% Rabatt gegenüber der UVP, sind es drei Tage für Ablauf schon 50% - da steigt die Lust, nochmal 4 Tage zu warten, vielleicht sind wir dann ja bei 80% :-)

Nicht nur, daß G DATA mit einem täglichen Popup nervt, es gibt die Information auch ungefragt nochmal als Mail.

Von einem seriösen Anbieter einer bezahlten Sicherheitslösung erwarte ich eigentlich keine Mails mit Werbe-Blahblah (“jederzeit vor allen Bedrohungen” - ein unhaltbares Versprechen, aber wahrscheinlich leider keine zugesicherte Eigenschaft) und “Jetzt verlängern”-Button - eine “Bitte nicht mehr nerven”-Option wäre deutlich willkommener.

Liebe(r) Andreas Thul,

die Lizenz für Ihre G DATA Internet Security läuft in 7 Tagen ab.

Setzen Sie weiterhin auf höchste Daten- und Internetsicherheit “Made in Germany”. Damit Ihr PC oder Laptop auch in Zukunft dank unserer regelmäßigen Virensignaturen rundum geschützt ist und Sie jederzeit vor allen Bedrohungen durch digitale Schädlinge und Cyberkriminelle sicher sind.

Nutzen Sie Ihren Vorteil und sparen Sie bis zu 30 %
Kunde sein lohnt sich: Sparen Sie bis zu 30 % gegenüber der unverbindlichen Preisempfehlung, wenn Sie jetzt Ihre Lizenz verlängern.

Wie ich vor ein paar Jahren feststellen musste, ist eine vorzeitige Verlängerung eine schlechte Idee, denn die noch vorhandene Restlaufzeit wurde nicht auf den neu erworbenen Update-Zeitraum hinzugerechnet.

Gestern Abend hat mir Benedikt von Hohenegg, Sachbearbeiter bei der Directpay GmbH eine E-Mail mit dem Betreff “Offene Rechnung: Nummer 97117247” und beunruhigendem Inhalt geschickt:

Sehr geehrte(r) Andreas Thul,

bedauerlicherweise haben wir festgestellt, dass unsere Zahlungserinnerung NR. 971172474 bis jetzt erfolglos blieb. Jetzt bieten wir Ihnen hiermit letztmalig die Möglichkeit, den nicht gedeckten Betrag der Firma Directpay GmbH zu decken.

Aufgrund des bestehenden Zahlungsausstands sind Sie verpflichtet zuzüglich, die durch unsere Tätigkeit entstandene Gebühren von 86,40 Euro zu bezahlen. Bei Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von 72 Stunden. Um zusätzliche Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Zahlungseingänge bis zum 10.02.2017.

Ihre Personalien:

Andreas Thul
Buchenstraße 5b
66877 Ramstein-miesenbach

Telefon: 0170958*8

Überweisen Sie den fälligen Betrag unter Angaben der Rechnungsnummer so rechtzeitig, dass dieser spätestens zum 17.02.2017 auf unserem Konto eingeht. Falls wir bis zum genannten Datum keine Zahlung verbuchen, sind wir gezwungen unsere Forderung an ein Inkasso zu übergeben. Alle damit verbundenen zusätzliche Kosten gehen zu Ihrer Last.

Die detaillierte Forderungsausstellung NR971172474, der Sie alle Positionen entnehmen können, fügen wir bei.

Mit besten Grüßen

Sachbearbeiter Benedikt von Hohenegg

Daß mit der E-Mail etwas nicht stimmen kann, wird bereits beim Blick auf den Absender klar:

Date: Mon, 13 Feb 2017 19:26:54 +0000
From: Sachbearbeiter Directpay GmbH <rechnung@paypal.de>;

Interessant, daß PayPal offentlichtlich der Directpay GmbH gestattet, mit einer offiziellen PayPal-E-Mail-Adresse zu arbeiten. :-)

Aber auch der Inhalt wirft die Frage auf, welch veralteten Datensatz hier verwendet wurde, denn die angegebene Telefonnummer stammt aus einem Vertrag, der vor rund sechseinhalb Jahren gekündigt wurde (deshalb wurde sie hier auch teilweise unkenntlich gemacht).

Ziel der E-Mail soll es sein, genug Angst / Druck / Neugier zu erwecken, damit die “detaillierte Forderungsausstellung”, welche sich in einer angehängten ZIP-Datei befindet, geöffnet wird.

Alternativ besteht allerdings auch die Möglichkeit, die ZIP-Datei als Ganzes an einen Dienst wie virustotal zu senden, bei dem immerhin 5 von 57 Virenscannern die Datei als gefährlich einstufen:

Die beiden aussagekräftigsten Ergebnisse stammen hierbei von ESET-NOD32, welcher den Anhang als Verwander von “Win32/Kryptik.FOFR” einstuft und Sophos, welche den Fund mit “Mal/DrodZp-A” betitelt, der Rest der kostenpflichtigen Konkurrenz hat leider gar nichts erkannt.

Deshalb: Augen auf und Hirn ein beim Empfang von E-Mails, auch bei installiertem und aktuellem Virenscanner; verdächtige Mails erst einmal genau auf Inhalt und Absender prüfen und einen potentiell gefährlichen Anhang im Zweifelsfall lieber löschen statt öffnen.

Falls eine Firma eine berechtigte offene Forderung haben sollte, meldet diese sich mit an Sicherheit grenzender Wahrscheinlichkeit per Brief!

Update 15.02.2017:

Soeben hat sich G Data mit einer Analyse des manuell übermittelten Malware-Samples gemeldet:

Our Virus Lab has informed us that the submitted file is currently detected by us as Trojan.GenericKD.4384125 (Engine A), Trojan.GenericKD.4384125, Archive.Trojan.Agent.9YT16L (Engine B).