Darum gehts
Auf dem Briefkopf oben rechts prangte ein Logo: Paycard. Darunter stand, ich hätte Anfang Dezember im Onlineshop von Interdiscount Waren im Wert von 2317 Franken bestellt. Nun müsse ich hierfür die Rechnung begleichen. In Raten, wenn ich wolle. Oder gleich den gesamten Betrag.
Ich starrte eine ganze Weile auf das Papier. Paycard? Noch nie gehört. Eine schnelle Google-Recherche belehrte mich, dass es sich dabei um ein Zahlungsmittel handelt, mit dem Kundinnen und Kunden bei Onlineshops der Coop-Gruppe auf Rechnung einkaufen können. Ich fand eine Support-Hotline und rief an: «Ja, das klingt ganz danach, als hätte da jemand unter Ihrem Namen eine Bestellung getätigt», erklärte mir die Kundenberaterin am Telefon. Solche Betrügereien kämen leider öfters vor.
Das ist ein Beitrag aus dem «Beobachter». Das Magazin berichtet ohne Scheuklappen – und hilft Ihnen, Zeit, Geld und Nerven zu sparen.
Das ist ein Beitrag aus dem «Beobachter». Das Magazin berichtet ohne Scheuklappen – und hilft Ihnen, Zeit, Geld und Nerven zu sparen.
Bitte was? Ich war erstaunt ob ihrer gelassenen Reaktion. Schliesslich ging es hier erstens um Identitätsmissbrauch und zweitens um eine Deliktsumme im vierstelligen Bereich. 2317 Franken: viel Geld, wohl nicht nur für mich. Routiniert spulte die Frau am Telefon eine Standardanweisung ab. Ich solle Anzeige erstatten, dann werde die Rechnung storniert.
Im Gegensatz zu ihr liess mich das Ganze weniger kalt. Die Vorstellung, dass sich jemand meiner Identität bedient hatte, fand ich gruselig. Wie einfach geht so was? Und welche Informationen brauchten die Betrüger, um sich beim Online-Shopping erfolgreich als mich auszugeben? Ich wählte die Nummer von Interdiscount – und fragte nach.
«Unglaublich dreist»
Dieses Mal war immerhin hörbar, dass der Herr am Telefon verärgert war. «Unglaublich dreist» fände er das. Doch wie die Betrüger vorgingen, wisse er auch nicht. Immerhin konnte er einsehen, dass es sich bei den ergaunerten Waren um ein iPhone und ein iPad gehandelt hatte. Nette Beute, dachte ich.
Da man mir weder bei Paycard noch bei Interdiscount weiterhelfen konnte, startete ich den Selbstversuch. Ich klickte mich bei Fust, einem anderen Coop-Unternehmen, durch das Online-Angebot. Beim Check-out wählte ich die Option, mittels Paycard auf Rechnung zu bestellen. Als Lieferadresse gab ich meine eigene an. Bei der Rechnungsadresse hingegen tippte ich den Namen und die Adresse eines Bekannten ein (den ich vorher eingeweiht hatte). Nötig waren dann noch sein Geburtsdatum, eine Telefonnummer und eine E-Mail-Adresse. Und siehe da: Meine Bestellung wurde ohne Widerrede entgegengenommen. Zwei Tage später landete meine Ausbeute bei mir – und nochmals wenige Tage später die Rechnung bei meinem Bekannten.
Erschreckend simpel, fand ich und resümierte: Alles, was man für diesen Identitätsmissbrauch benötigt, sind Name, Adresse und Geburtsdatum einer Person. E-Mail-Adresse und Handynummer werden nicht überprüft. So zumindest war es bei mir: Der Betrüger benutzte eine E-Mail-Adresse und eine Telefonnummer, die definitiv nicht mir gehörten.
Warum sind die Hürden so tief?
Warum verzichtet die Coop-Gruppe bei Paycard-Zahlungen auf gängige Sicherheitsstandards, wie zum Beispiel die Zwei-Faktor-Authentifizierung? Bei vielen anderen Onlineshops muss man sich zudem vorgängig mit einem Kundenkonto registrieren, bevor man eine Bestellung tätigen kann. Will Coop die Hürden für den Kauf auf Rechnung so tief wie möglich halten – und nimmt dafür solche «Kollateralschäden» in Kauf?
«Wir setzen verschiedene Massnahmen zur Verhinderung von Betrugsfällen ein», lässt die Coop-Medienstelle verlauten. Man entwickle diese laufend weiter, könne aber aus Sicherheitsgründen keine Details nennen. Zudem handle es sich lediglich um «Einzelfälle».
Ich frage mich, ob das tatsächlich stimmt. Beim Beratungszentrum des Beobachters gingen bereits mehrere Anfragen zu Paycard ein. Der Rat unserer Juristinnen an Betroffene lautet jeweils: Wer etwas einfordert, muss beweisen, dass ein Vertrag zustande gekommen ist. Melden Sie Paycard und dem Onlineshop also schriftlich (per Einschreiben), dass Sie nie einen Vertrag abgeschlossen oder eine Bestellung getätigt haben. Fordern Sie eine sofortige Löschung der Zahlungsaufforderung. Gehen Sie zur Polizei und machen Sie eine Anzeige. Und wichtig: Zahlen Sie nichts.
Zuletzt noch eine Warnung an jene, die diesen Artikel als Anleitung zum Betrug lesen: Identitätsmissbrauch ist kein Kavaliersdelikt. Wer erwischt wird, kassiert eine Geldstrafe oder sogar eine Freiheitsstrafe bis zu einem Jahr – je nach Ausmass der Übeltat.