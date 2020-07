Schwarzer Peter liegt beim Kunden : GA-Leser Tobias Quadt wurden die Paypback-Punkte gestohlen

Die Betrüger konnten die Payback-Punkte von GA-Leser Tobias Quadt als Gutschein ausdrucken und kauften sich damit einen Amazon-Gutschein. Foto: dpa/Tom Weller

Bonn Der GA-Leser Tobias Quadt erzählt von dem vergeblichen Versuch, seine Payback-Punkte zurück zu erhalten, die ihm Betrüger gestohlen hatten.

Passiert ist es Anfang Mai: Da erhielt GA-Leser Tobias Quadt an einem Samstag eine E-Mail vom Payback-Kundendienst, dass auf seiner Karte gesammelte Punkte im Wert von 60 Euro eingelöst worden seien. Die E-Mail sagte auch genau, wann und wo: Um 14.51 Uhr in einem Penny-Markt in Langenhagen bei Hannover. Pech nur, dass Quadt, der in Sankt Augustin lebt, gar nicht dort gewesen war. Einem Betrüger war es gelungen, die Punkte zu stehlen.

Seitdem hat der gelernte Bankkaufmann in leitender Funktion einer Bank viele Hebel in Bewegung gesetzt, um den Fall aufzuklären – von einer Anzeige bei der Polizei bis zu mehrmaligen Kontakten zum Betreiberunternehmen Payback in München. Doch dort zuckt man nur mit den Schultern: „Payback hat keine Sicherheitslücke“, erklärt Pressesprecherin Nina Purtscher auf Anfrage des GA. „Wir überprüfen unsere Plattform rund um die Uhr und sichern sie gegen unbefugte Zugriffe.“

Das Unternehmen Payback Über 31 Millionen Nutzer in Deutschland Die Payback GmbH mit Sitz in München gehört seit 2010 zur American-Express-Gruppe. Die Payback-Kundenkarte, die sie herausgibt, nutzen deutschlandweit mehr als 31 Millionen Menschen. Sie sammeln damit beim Einkauf Bonuspunkte, die laut Unternehmenswebsite einen Gegenwert von 451 Millionen Euro habe (Stand 2019). Pro Tag wird sie rund fünf Millionen Mal eingesetzt. Rund 680 Partner sind an das Payback-System in Deutschland angeschlossen. Der Jahresumsatz über die Partner, bei denen die Karte eingesetzt wird, betrug 2019 rund 36,5 Milliarden Euro. Laut Payback werden rund 90 Prozent aller gesammelten Punkte auch wieder eingelöst. In diesem Jahr feiert das Unternehmen sein 20-jähriges Bestehen. Geschäftsführer Bernhard Brugger berichtet, wie man damals in München mit einer dreiköpfigen Mannschaft gestartet sei, heute habe man 1000 Mitarbeiter. Inzwischen ist Payback weltweit in elf Ländern verbreitet, darunter bis nach Indien und Mexiko.Laut Brugger ist die Einlösung der Punkte in einer Filiale am beliebtesten.

Doch Quadt ist kein Einzelfall. Seit Jahren gibt es Berichte von Betrugsopfern, eine Gruppe auf Facebook nennt sich „Payback-Geschädigte“, wo täglich neue Erfahrungsberichte auftauchen. Payback gibt stets den schwarzen Peter an die Kunden weiter: „Jeder von uns ist dafür verantwortlich, für die eigene Sicherheit im Netz zu sorgen. Datendiebe sind entweder über gefälschte E-Mails (Phishing-Mails) an die persönlichen Daten des Kunden gelangt, oder jemand hat seine E-Mail- und Passwort-Kombination in anderer Weise ausgespäht.“ Tatsächlich habe es im März und April Phishing-Mails im „Payback Stil“ gegeben, „gegen die unsere Security jedoch sehr schnell Maßnahmen ergriffen hat“, schreibt die Pressesprecherin.

Es geht ums Prinzip

Quadt geht es weniger um die 60 Euro, die nun futsch sind, als um das Prinzip. „In meiner Bank zeigen wir gegenüber dem Kunden Kulanz, wenn Betrüger online Geld vom Konto stehlen oder die EC-Karte missbrauchen“, sagt er. Natürlich nur, wenn der Kunde sich nicht grob fahrlässig verhalten habe.

Mit seinen privaten Daten geht er jedenfalls sehr sorgfältig um, ändert regelmäßig die Passwörter, nutzt die Zwei-Faktor-Authentifizierung und schützt alle digitalen Geräte mit professionellen Virenscannern.

Anfrage beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Dort sei aktuell kein Datenleck beim Anbieter Payback bekannt, lautet die Antwort. Und dann zählt die Behörde mögliche Einbruchswege von Cyberkriminellen in Anbieterdienste wie Payback auf: „Exposure (Sich-Aussetzen) durch Fehlkonfiguration“, „Platzierung von Schadprogrammen auf dem Server“, „Ausnutzen von Sicherheitslücken“.

Auf der Opferseite komme neben Phishing-Mails auch gezieltes Ausprobieren der Zugangsdaten vor. Möglich sei auch, dass ein historisches Datenleck auf einer anderen Website, wo der Geschädigte dasselbe Passwort wie bei Payback verwendet, die Täter zum Ziel führte. Die Verwendung historischer Daten könne auch automatisiert erfolgen, so das BSI. Solche Angriff sind unter dem Namen „Credential Stuffing“ bekannt.

Bilder der Videokamera wurden nicht ausgewertet

Quadt hatte sich nach dem Diebstahl gleich an Penny gewandt, wollte gern die Bilder der Videokamera auswerten lassen, die das Geschehen an der Kasse und der Payback-Säule beobachten, wo die Täter die Punkte einlösten. Insgesamt acht Versuche, Punkte von seinem Konto zu ziehen, unternahmen sie, zwei Mal 3000 Punkte konnten sie schließlich als Gutschein ausdrucken. „Hätten sie es noch öfter versucht, wäre meine Karte gesperrt worden“, erklärt Quadt. Doch es gab keinen Gerichtsbeschluss, nach 72 Stunden wurden die Videobilder vorschriftsmäßig von dem Langenhagener Pennymarkt gelöscht. Dabei hat Quadt sogar den elektronischen Ausdruck von dem Laden zugesandt bekommen, der belegt, dass die Betrüger mit den Punkten einen Amazon-Gutschein kauften.

Von der Polizei hat Quadt seit zwei Monaten nichts mehr gehört. Ein Kölner Polizeikommissar berichtete ihm, dass Internetkriminalität seit dem Corona-Lockdown noch häufiger sei, während erzwungenermaßen andere Verbrechensarten zurückgingen, wie Wohnungseinbrüche etwa. Auch Payback-Sprecherin Purtscher erklärt, die Phishings, also gefälschte Mails, hätten seit Beginn der Corona-Krise zugenommen. Man habe deshalb die Sicherheitsvorkehrungen erhöht.