Manfred Roth war bislang begeisterter Nutzer der REWE-App. Sammelte Bonuspunkte und Rabatte. Das System funktioniert folgendermaßen: Wer bestimmte, in der App ausgewiesene Artikel kauft, bekommt dafür ein Bonus-Guthaben, das ab dem nächsten Einkauf eingelöst werden kann. Mit jedem Einkauf steigt dieses Guthaben weiter an. Wenn man besonders viel einkauft, gibt es darüber hinaus Rabatte, etwa zehn Prozent auf den nächsten Einkauf.
Doch auf einmal tauchte ein E-Bon in Roths App auf, aus Norderstedt bei Hamburg. „Ich war noch nie in Norderstedt“, so der Rentner, er hielt den Bon für einen Irrläufer. Bis er bei seinem nächsten Einkauf bemerkte, dass sein Guthaben von 7,80 Euro weg war – aufgebraucht für den Einkauf in Norderstedt: Schlemmerbrötchen, Wassermelone, Limo.
Betrug durch Daten-Phishing
Er wendet sich an den REWE-Kundenservice. Dort erklärt man ihm, das Phänomen sei bekannt, er sei kein Einzelfall. Offenbar seien seine Login-Daten gestohlen worden, das könne er beim Leak-Checker der Universität Bonn überprüfen. Und tatsächlich, gleich in mehreren Datenlecks tauchen Email-Adresse und Passwort des Rentners auf.
Der Leak-Checker wird von IT-Sicherheitsexperten der Universität betrieben. Matthias Wübbeling und sein Team spüren gestohlene Datensätze im Netz auf. „Wir treiben uns da herum, wo sich die Kriminellen auch herumtreiben“, erklärt Wübbeling, „dann sammeln wir die Daten, bereiten sie datenschutzkonform wieder auf und stellen sie Verbrauchern und betroffenen Unternehmen wieder zur Verfügung.“ Mehr als 55 Milliarden Datensätze haben die Bonner Security-Experten gesammelt, jede Woche kommen 300 Millionen neue dazu.
Darüber hinaus berät Wübbeling mit der Ausgründung Identeco Unternehmen und Verbraucher, was sie im Falle eines Betrugs tun können und wie sie sich besser schützen. Auch im Fall der REWE-App meldeten sich gleich mehrere besorgte Kunden bei ihm.
So haben Betrüger in einem anderen Fall die Punkte nicht einfach eingelöst, sondern über die Funktion „gemeinsam sammeln“ abgezogen, um so größere Guthaben-Summen zusammenzubekommen. Diese Funktion hat REWE allerdings derzeit ausgesetzt.
Betrug wird oft zu spät bemerkt
Mit einem Experiment zeigt Matthias Wübbeling, dass Kriminelle sich allerdings weiterhin vollkommen unbemerkt in die App einloggen können. Eine Nutzerin hat ihm ihre Daten zur Verfügung gestellt, genauso wie Betrüger sie aus dem Netz hätten fischen können. Mit diesen Daten meldet sich der Informatiker auf einem fremden Gerät bei der App an und bekommt so Zugriff auf das gesammelte Guthaben. Nur die eigentliche Besitzerin bekommt über die neue Anmeldung keine Benachrichtigung – weder auf dem Smartphone noch in der App.
Auf unsere Fragen dazu antwortet REWE: "Leider haben wir keinen Einfluss auf die individuell ausgewählten Passwörter der Kund:innen, die bei jeder Form von Kundenkonten ein potentielles Sicherheitsrisiko darstellen können". Aber man sorge mit modernsten Sicherheitsmaßnahmen dafür, dass Kunden-Daten geschützt bleiben. Seit Bekanntwerden der ersten Guthaben-Diebstähle habe man viele Maßnahmen ergriffen, unter anderem eine verstärkte Passwortrichtlinie.
Die Zwei-Faktor-Authentifizierung war in der REWE-App für Kunden zunächst optional auswählbar.
Schutz bei anderen Supermarkt-Apps
Auch andere Supermärkte bieten Apps an, mit denen Kunden Rabatte sammeln und auch bezahlen können. Studenten der Universität Bonn haben sich für uns die Apps von Edeka, Netto, Kaufland und Lidl angeschaut. Der Unterschied zu Rewe: Die Apps bieten zwar Coupons und Rabatte, aber bauen keine Guthaben in Euro auf, die eingelöst werden könnten.
Sobald man Bezahl-Funktionen nutzen will, muss eine Zwei-Faktor-Authentifizierung aktiviert werden. Alle App-Betreiber versichern uns, dass sie die Daten ihrer Kunden durch umfassende Sicherheitskonzepte schützen.
Zwei-Faktor-Authentifizierung oft kein Standard
Aber warum ist die Zwei-Faktor-Authentifizierung nirgendwo Standard beim einfachen Login? Problem ist, erklärt Wübbeling, dass viele App-Anbieter diese 2-Faktor-Authentifizierung nicht gerne voreinstellen.
Der Grund: „Weil es dem Kunden Steine in den Weg legt“, so der IT-Sicherheitsforscher, und weiter: „Das ist so ein bisschen das Spannungsfeld zwischen Usability Abteilung auf der einen Seite, die sagt, der Kunde muss es einfach haben. Und auf der anderen Seite die Securityabteilung, die sagt, wenn wir es für den Kunden einfach machen, machen wir es auch für Kriminelle einfach.“
Fazit
Was viele als clevere Sparmöglichkeit nutzen, kann schnell zur Sicherheitslücke werden – und Kriminelle freuen sich über leicht verdientes Bonusguthaben, das sich auch mit kleinen Summen läppert. Solange der Zwei-Faktor-Login kein Standard ist, liegt der Schutz der eigenen Daten in den Händen der Nutzerinnen und Nutzer selbst.
REWE hat vielen betroffenen Betrugsopfern die geklauten Guthaben übrigens ersetzt.
Tipps zum Schutz vor Betrug in Supermarkt-Apps
- Unbedingt für verschiedene Anwendungen verschiedene Passwörter nutzen – nie dasselbe wie bei E-Mail oder sozialen Netzwerken.
- Zwei-Faktor-Authentifizierung aktivieren, wo immer möglich.
- Leak-Checker wie den Leak-Checker oder den Leak-Inspector nutzen (beide Uni Bonn), um zu sehen, ob die eigene Mailadresse bereits betroffen ist. https://leak-inspector.org, Leak Checker - Uni Bonn
- Regelmäßig in der App prüfen, ob unbekannte Geräte oder Käufe verzeichnet sind.