Als Carmen Schmidt und ihr Mann aus dem Sommerurlaub in Spanien zurückkommen, erleben sie eine böse Überraschung: Auf der Kreditkartenabrechnung findet sich eine Abbuchung über 1279 Euro von einem MediaMarkt in Belgien. „Ich habe da aber nichts gekauft“, versichert die 56-Jährige.
Sie wendet sich zunächst an ihre Hausbank, die Sparkasse Wuppertal. Die verweist sie an den technischen Dienstleister, der für die Kreditkarten der Sparkassenkunden in Deutschland zuständig ist. Carmen Schmidt widerspricht der Zahlung, lässt die Karte sperren und fordert ihr Geld zurück. Doch die Antwort überrascht sie – sie selbst habe diese Zahlung im Sicherheitsverfahren der Sparkassen - dem S-ID-Check - freigegeben, teilt man ihr mit. Deshalb würde man ihr das Geld nicht zurückzahlen.
Doppelte Sicherung bei Kreditkartenzahlungen
Der S-ID-Check ist das Sicherheits-Verfahren für Kreditkartenzahlungen bei den Sparkassen. Alle Kreditkartenanbieter müssen aus Sicherheitsgründen eine solche zwei-Faktor-Authentifizierung anbieten. In einer App muss man dazu mit Hilfe eines Aktivierungscodes die Kreditkarte anmelden. Diese ist dann fest mit dem Gerät verknüpft. Wenn man online etwas kauft und bezahlen möchte, muss man in der Regel eine Freigabe in der App erteilen. Erst dann wird der Kauf abgeschlossen.
Carmen Schmidt sagt aber ganz klar: Sie habe weder Online bei MediaMarkt in Belgien etwas gekauft, noch eine Aufforderung bekommen, eine solche Zahlung per S.ID freizugeben - geschweige denn, diese Zahlung ausgelöst. Trotzdem sind 1279 Euro weg.
Ein Einzelfall ist die selbständige Handelsvertreterin mit diesem Fall nicht. Laut der Europäischen Zentralbank belief sich der Gesamtwert der betrügerischen Überweisungen, Lastschriften, Kartenzahlungen, Barabhebungen und E-Geld-Transaktionen im europäischen Wirtschaftsraum 2022 auf 4,3 Milliarden Euro.
Phishing: Betrüger verschaffen sich die nötigen Daten
Kriminelle versuchen, das jeweilige Sicherheits-System auszuhebeln, indem sie sich ebenfalls die entsprechende App herunterladen und versuchen, diese mit dem Konto des Opfers zu koppeln. An die entsprechenden Daten gelangen sie oftmals über Phishing, erklärt David Riechmann von der Verbraucherzentrale Nordrhein-Westfalen. Dabei werden die Betrüger immer einfallsreicher: Per Mail, per SMS, Anrufe oder sogar über QR-Codes werden Daten abgefischt. Das Problem: Die Kunden merken oft nicht einmal, dass ihre Daten gestohlen wurden.
Betrügerische Abbuchung von der Kreditkarte: Banken wollen Schaden nicht regulieren
Die Banken lassen ihre Kunden oft im Regen stehen. „Das ist ein Milliardengeschäft, was da gerade läuft, und leider aktuell noch auf dem Rücken der Verbraucher“, so David Riechmann. Die Banken tendierten sehr schnell dazu, den Fehler beim Kunden zu suchen. Eine Studie der EU zeigt: Vei bis zu 80 Prozent aller Betrugsfälle im Online-Banking verweigern die Banken eine Entschädigung.
Das muss auch Carmen Schmidt erfahren. Sie erstattet Anzeige bei der Polizei, besorgt sich einen Rechtsanwalt. Doch Marcus Benn, Fachanwalt für Banken- und Kapitalmarktrecht, macht ihr wenig Hoffnung. Er meint: „Das Problem ist, dass wir eine relativ alte Rechtsprechung haben, die davon ausgeht, dass unsere Systeme, die die Banken einsetzen, sicher sein sollen“.
Die Banken würden vor Gericht grundsätzlich verneinen, dass sie einen Fehler im System haben - die Systeme seien sicher. Dann müsse der Verbraucher den Nachweis bringen, dass die Systeme der Bank eben nicht sicher sind und er auch keinen Fehler gemacht hat, durch den man das System hätte überlisten können.
Betrug mit Lastschriften Unberechtigte Kontoabbuchungen: Warum Ermittlungen oft scheitern
Plötzlich fehlt Geld vom Konto – ohne Zustimmung. Wie leicht Fremde per Lastschrift zugreifen können, warum Ermittlungen oft ins Leere laufen und was Betroffene dennoch tun können.
Verbraucherschützer fordern einen besseren Schutz der Kunden
Diesen Nachweis zu erbringen ist für Opfer aber beinahe unmöglich. Denn das Problem ist, dass viele Gerichte Phishing als grob fahrlässig ansehen, selbst wenn der Kunde davon nichts gemerkt hat. Die Sparkasse Wuppertal möchte sich zum Fall von Carmen Schmidt wegen des laufenden Rechtsstreites derzeit nicht äußern.
Die Europäische Kommission will den Verbraucherschutz nun stärken. So soll bei nicht-unautorisierten Zahlungen die Erstattung nur noch dann verweigert werden können, wenn der Bankkunde betrügerisch gehandelt hat. Zudem soll die Prüfungs- und Bearbeitungszeit bei begründetem Betrugsverdacht auf zehn Tage gesenkt werden. Die neuen Regeln sollen im kommenden Jahr verabschiedet werden.
Tipp: Besonders bei Zahlungen und Bankdaten immer misstrauisch bleiben
Die Verbraucherzentrale rät grundsätzlich zu Misstrauen. Bei jeder Email, jedem Anruf, jedem QR-Code, den man scannen will, sollte man checken: Ist es das, was ich möchte? Ist diese Nachricht wirklich echt, der Absender logisch? Gerade wenn es um Bankdaten geht sollte man lieber einmal selbst bei der Bank anrufen und sich nicht verbinden lassen. Eine hundertprozentige Garantie gibt es nie, aber dann kann man viele ausschließen.
Im Fall von Carmen Schmidt stellen sich gleich zwei Dinge heraus, die ihr helfen: Mit Hilfe eines IT-Forensikers finden wir heraus: Einer ersten Sichtung zu Folge hat sie selbst die S-ID-Check-App am Tag der Abbuchung nicht geöffnet, sie selbst hat also diese Zahlung nicht freigegeben. Eine genauere Untersuchung des Smartphones soll aber noch Folgen. Und der Mediamarkt in Belgien teilt mit, dass mit der Kreditkarte von Frau Schmidt per „Click und Collect“ ein Smartphone zwar online gekauft wurde, aber persönlich abgeholt wurde – zu einer Zeit, als Carmen Schmidt nachweislich in Spanien war.
Carmen Schmidt hat zwar mittlerweile eine neue Kreditkarte, hat die S.ID aber gar nicht erst aktiviert. Sie möchte mit der Karte nicht mehr Online zahlen – das ist ihr zu unsicher geworden. Mit den neuen Erkenntnissen hofft sie jetzt, dass die Sparkasse noch einmal umdenkt und sie ihre 1279 Euro doch noch zurück bekommt.
