1. News
  2. Wirtschaft
  3. Regional

Schwarzer Peter liegt beim Kunden: GA-Leser Tobias Quadt wurden die Payback-Punkte gestohlen

Schwarzer Peter liegt beim Kunden : GA-Leser Tobias Quadt wurden die Payback-Punkte gestohlen

Der GA-Leser Tobias Quadt erzählt von dem vergeblichen Versuch, seine Payback-Punkte zurück zu erhalten, die ihm Betrüger gestohlen hatten.

Passiert ist es Anfang Mai: Da erhielt GA-Leser Tobias Quadt an einem Samstag eine E-Mail vom Payback-Kundendienst, dass auf seiner Karte gesammelte Punkte im Wert von 60 Euro eingelöst worden seien. Die E-Mail sagte auch genau, wann und wo: Um 14.51 Uhr in einem Penny-Markt in Langenhagen bei Hannover. Pech nur, dass Quadt, der in Sankt Augustin lebt, gar nicht dort gewesen war. Einem Betrüger war es gelungen, die Punkte zu stehlen.

Seitdem hat der gelernte Bankkaufmann in leitender Funktion einer Bank viele Hebel in Bewegung gesetzt, um den Fall aufzuklären – von einer Anzeige bei der Polizei bis zu mehrmaligen Kontakten zum Betreiberunternehmen Payback in München. Doch dort zuckt man nur mit den Schultern: „Payback hat keine Sicherheitslücke“, erklärt Pressesprecherin Nina Purtscher auf Anfrage des GA. „Wir überprüfen unsere Plattform rund um die Uhr und sichern sie gegen unbefugte Zugriffe.“

Doch Quadt ist kein Einzelfall. Seit Jahren gibt es Berichte von Betrugsopfern, eine Gruppe auf Facebook nennt sich „Payback-Geschädigte“, wo täglich neue Erfahrungsberichte auftauchen. Payback gibt stets den schwarzen Peter an die Kunden weiter: „Jeder von uns ist dafür verantwortlich, für die eigene Sicherheit im Netz zu sorgen. Datendiebe sind entweder über gefälschte E-Mails (Phishing-Mails) an die persönlichen Daten des Kunden gelangt, oder jemand hat seine E-Mail- und Passwort-Kombination in anderer Weise ausgespäht.“ Tatsächlich habe es im März und April Phishing-Mails im „Payback Stil“ gegeben, „gegen die unsere Security jedoch sehr schnell Maßnahmen ergriffen hat“, schreibt die Pressesprecherin.

Es geht ums Prinzip

Quadt geht es weniger um die 60 Euro, die nun futsch sind, als um das Prinzip. „In meiner Bank zeigen wir gegenüber dem Kunden Kulanz, wenn Betrüger online Geld vom Konto stehlen oder die EC-Karte missbrauchen“, sagt er. Natürlich nur, wenn der Kunde sich nicht grob fahrlässig verhalten habe.

Mit seinen privaten Daten geht er jedenfalls sehr sorgfältig um, ändert regelmäßig die Passwörter, nutzt die Zwei-Faktor-Authentifizierung und schützt alle digitalen Geräte mit professionellen Virenscannern.

Anfrage beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Dort sei aktuell kein Datenleck beim Anbieter Payback bekannt, lautet die Antwort. Und dann zählt die Behörde mögliche Einbruchswege von Cyberkriminellen in Anbieterdienste wie Payback auf: „Exposure (Sich-Aussetzen) durch Fehlkonfiguration“, „Platzierung von Schadprogrammen auf dem Server“, „Ausnutzen von Sicherheitslücken“.

Auf der Opferseite komme neben Phishing-Mails auch gezieltes Ausprobieren der Zugangsdaten vor. Möglich sei auch, dass ein historisches Datenleck auf einer anderen Website, wo der Geschädigte dasselbe Passwort wie bei Payback verwendet, die Täter zum Ziel führte. Die Verwendung historischer Daten könne auch automatisiert erfolgen, so das BSI. Solche Angriff sind unter dem Namen „Credential Stuffing“ bekannt.

Bilder der Videokamera wurden nicht ausgewertet

Quadt hatte sich nach dem Diebstahl gleich an Penny gewandt, wollte gern die Bilder der Videokamera auswerten lassen, die das Geschehen an der Kasse und der Payback-Säule beobachten, wo die Täter die Punkte einlösten. Insgesamt acht Versuche, Punkte von seinem Konto zu ziehen, unternahmen sie, zwei Mal 3000 Punkte konnten sie schließlich als Gutschein ausdrucken. „Hätten sie es noch öfter versucht, wäre meine Karte gesperrt worden“, erklärt Quadt. Doch es gab keinen Gerichtsbeschluss, nach 72 Stunden wurden die Videobilder vorschriftsmäßig von dem Langenhagener Pennymarkt gelöscht. Dabei hat Quadt sogar den elektronischen Ausdruck von dem Laden zugesandt bekommen, der belegt, dass die Betrüger mit den Punkten einen Amazon-Gutschein kauften.

Von der Polizei hat Quadt seit zwei Monaten nichts mehr gehört. Ein Kölner Polizeikommissar berichtete ihm, dass Internetkriminalität seit dem Corona-Lockdown noch häufiger sei, während erzwungenermaßen andere Verbrechensarten zurückgingen, wie Wohnungseinbrüche etwa. Auch Payback-Sprecherin Purtscher erklärt, die Phishings, also gefälschte Mails, hätten seit Beginn der Corona-Krise zugenommen. Man habe deshalb die Sicherheitsvorkehrungen erhöht.

Auf Kulanz seitens von Payback hofft Quadt jedenfalls bisher vergebens. Als langjähriger und zufriedener Kunde des Bonuskartensystems enttäuscht ihn das am meisten. Der Bundesverband der Verbraucherzentralen sieht aber in dieser Hinsicht „keine gesetzliche Regelungslücke, weil die Datenschutz-Grundverordnung (DSGVO) die Verantwortlichen einer Datenverarbeitung zur Datensicherheit verpflichtet“. Eine kulante Regelung durch Payback sei in solchen Fällen zwar wünschenswert, heißt es, „sofern kein nachweisbares Verschulden des Verbrauchers vorliegt“. Aber: „Einen Rechtsanspruch auf Kulanz gibt es nicht.“