Theresa Maria Büttner ist seit vier Jahren Witwe. Umso überraschter war sie, als in ihrem Briefkasten ein Schreiben lag, das an ihren verstorbenen Mann adressiert war. Ihre Verwunderung schlug in Entsetzen um, als sie den Inhalt sah. Es war kein normaler Brief, sondern eine Mahnung. Ihr verstorbener Mann soll im Internet über den Online-Shopping-Club Brands4Friends eine Handtasche der Marke MCM für fast 500 Euro gekauft haben. Jetzt sollte er sie endlich bezahlen - und zwar am besten sofort. Die Mahnung von Rate Pay, dem Zahlungsdienstleister, ließ an Deutlichkeit nichts zu wünschen übrig.
Die Witwe verstand die Welt nicht mehr. Die Tasche hatten natürlich weder er noch sie bestellt, geschweige denn, je erhalten. Auf den Rat ihres Sohnes hin ging sie zur Polizei. Aber auf der Station in der hessischen Kleinstadt, in der sie wohnt, konnte man ihr auch nicht so richtig weiterhelfen und schickte sie unverrichteter Dinge wieder nach Haus.
Ihr Sohn schrieb schließlich einen Brief an Rate Pay, in dem er den Vorgang schilderte. Der Dienstleister zog daraufhin die Mahnung zurück und schickte der Witwe eine Referenznummer, mit der sie bei der Polizei Anzeige erstattete.
Aber gegen wen oder was eigentlich? Das "Tatmittel Internet", wie es im Polizeijargon heißt, garantiert größtmögliche Anonymität. Und wer wurde hier eigentlich geschädigt? Die Witwe, Rate Pay, der Shopping-Club oder MCM? Frau Büttner, die eigentlich anders heißt, kam mit dem Schrecken davon. Den finanziellen Schaden hat tatsächlich der Finanzdienstleister, der dem Onlineshop das gesamte Zahlungsausfallrisiko abnimmt. Der Händler bekommt auf jeden Fall sein Geld, und der hat den Hersteller in der Regel schon bezahlt. Kein Wunder also, dass bei Rate Pay in Berlin viele der insgesamt 190 Mitarbeiter nur mit der Betrugsbekämpfung beschäftigt sind. Miriam Wohlfart, Geschäftsführerin und Gründerin von Rate Pay, sagt: "Der Betrug im E-Commerce hat sich in den letzten Jahren deutlich professionalisiert und ist aufgrund der Zahlungsausfälle und potenziellen Reputationsschäden ein wichtiges Thema in der Branche geworden." Weil sich die "Betrugsmuster" schnell ändern, liefern sich Strafverfolger und Finanzdienstleister ein Wettrennen mit den Betrügern.
Auch Händler wie Brands4Friends checken "proaktiv" Kundenkonten, wie eine Sprecherin sagt, wenn über besonders hohe Beträge bestellt wird oder nur Sachen, die sich schnell wieder verkaufen lassen. Zur Not werden Konten gesperrt oder Bestellungen storniert; Händler und Finanzdienstleister stehen häufig in Kontakt mit den Ermittlungsbehörden.
Auch öffentliche Facebook-Profile sind ein Risiko
Betrug beim Onlinehandel ist eine von vielen Facetten der Cyberkriminalität, die sich eben nicht nur im Darknet abspielt, sondern auch im Clearnet, das fast alle nutzen. Sie reicht von Angriffen auf Datennetze, über die Verbreitung von Kinderpornografie und Schadsoftware bis zum Abgreifen persönlicher Zugangsdaten von Privatpersonen, dem "Phishing". Manchmal sammeln Betrüger auch einfach die ziemlich offen zu Schau gestellten Daten von Privatpersonen auf Social-Media-Plattformen wie Facebook ein. Laut Bundeskriminalamt (BKA) häufen sich die Delikte im Internet wie in kaum einem anderem Bereich. Der Diebstahl digitaler Identitäten spielt dabei eine immer größere Rolle. Wobei es im Fall von Frau Büttner ja kein Identitätsklau im eigentlichen Sinne war. Ihr Mann hatte nicht einmal eine Email-Adresse. Seine Identität müssen die mutmaßlichen Betrüger rekonstruiert haben, womöglich anhand der Todesanzeige, vermutet ihr Sohn.
Dank des "Tatmittels Internet" geht der klassische Ladendiebstahl zurück, wie Zahlen des Handelsforschungsinstituts EHI belegen. Der "Waren- und Warenkreditbetrug" im Internet nimmt hingegen laut BKA stark zu, er stieg in fünf Jahren um mehr als 22 Prozent auf 134 476 erfasste Fälle im Jahr 2017. Jeder zweite enttarnte Betrug mit Waren spielt sich heute im Internet ab. Besonders beliebt sind Fake-Shops, also fingierte Onlineläden - meist ohne überprüfbarem Impressum - die Waren anbieten, die sie gar nicht haben.
Es gibt noch zahlreiche Sicherheitslücken
Die Zahl der erfassten Fälle erscheint relativ überschaubar, weil eine "große Anzahl" von Straftaten laut BKA unbemerkt bleibt. Die Geräte, Laptops und Smartphones, werden immer sicherer, so dass deren Besitzer es gar nicht mitbekommen, wenn Betrüger versuchen, ihre Daten abzufischen. Viele strafbare Handlungen werden aber auch gar nicht angezeigt, wenn die Opfer keinen finanziellen Schaden erleiden oder weil die Geschädigten, meist Firmen, lieber nicht darüber reden, da sie einen Imageschaden befürchten.
Brands4Friends spricht hingegen ganz offen über das Problem Identitätsklau, vor allem beim in Deutschland beliebten Zahlen "auf Rechnung". Es sei "ohne Weiteres möglich, bei einem Versandhandelsunternehmen Ware unter Angabe von Name und Adresse einer fremden Person zu ordern", sagt eine Sprecherin und fügt hinzu: "Nach unserer Auffassung gibt es derzeit kein sicheres, angemessenes und in der notwendigen Breite verfügbares elektronisches Verfahren, das eine 100-prozentige Identitätsüberprüfung ermöglicht."
Sicherheitslücken, die sich bieten, nutzen Betrüger skrupellos aus, auch wenn viele Internetnutzer es ihnen immer schwieriger machen, indem sie sich gerade beim Bezahlen über die Zwei-Faktor-Authentifizierung doppelt absichern. Aber auch die Betrüger werden immer gewiefter. Sie bieten gestohlene Daten beispielsweise als Handelsware im Darknet zum Kauf an. "Der Handel mit Identitäten ist längst ein lukratives Geschäftsmodell", sagt Professor Christoph Meinel, Direktor des Hasso-Plattner-Instituts in Potsdam. "Es entstehen im Darknet immer neue Handelsplattformen." Auf dem digitalen Schwarzmarkt bieten Kriminelle "Cybercrime-as-a-Service" als kostenpflichtige Dienstleistung an, in etwa so wie Start-ups im Clearnet den Schutz vor Identitätsklau, also "Identity-as-a-Service", als Geschäftsmodell entdeckt haben.
Der finanzielle Schaden durch Cybercrime ist laut BKA sprunghaft angestiegen, von 50,9 Millionen Euro 2016 auf 71,4 Millionen Euro 2017. Wie viel davon auf Betrug im Onlinehandel entfällt, kann das BKA aufgrund der hohen Dunkelziffern nicht sagen, nur so viel, dass dort "erhebliche Gewinne generiert" würden. Zwei Drittel der Tatverdächtigen seien übrigens Deutsche. Besondere technische Kenntnisse seien nicht nötig.
"Was früher der Ladendiebstahl war, ist heute der Onlinebetrug", sagt Jens Junak. Er ist bei der Schufa verantwortlich für E-Commerce. Die für Privatpersonen maßgebliche Wirtschaftsauskunftei interessiert sich ebenfalls sehr für das Thema Identitätsklau und kann theoretisch für Betrogene auch zum Problem werden. Bei der Witwe war das nicht so. Aber denkbar ist der Fall eines Betrogenen, der seine Rechnungen nicht bezahlt und von der Schufa in seiner Kreditwürdigkeit herabgestuft wird, solange seine Unschuld nicht bewiesen ist. Im schlimmsten Fall hat er dann Schwierigkeiten, einen Handyvertrag abzuschließen oder einen neuen Stromanbieter zu finden. Die Schufa versichert aber, fehlerhafte, aufgrund eines Missbrauchs entstandene Daten über eine Privatperson sofort zu korrigieren.
Sind die Daten erst einmal geraubt, bleibt es selten bei nur einem Betrugsversuch
Weil das Unternehmen das Thema so ernst nimmt, hat es dazu eine eigene Umfrage gemacht. Diese ergab, dass ein Drittel der Befragten jemanden in der Familie oder im Freundes- beziehungsweise Bekanntenkreis kennt, der bereits Opfer von Identitätsmissbrauch geworden sei. Jeder achte Befragte wurde nach eigenem Bekunden selbst bereits Opfer eines Betrugs. Jemand hatte in seinem Namen eingekauft oder seine Konto- oder Kreditkartendaten angegeben. In den allermeisten Fällen war es aufwendig, den Betrug aufzuklären.
Identitätsklau hat dermaßen um sich gegriffen, dass die Schufa Privatpersonen anbietet, ihre digitale Identität zu schützen. Als Präventivmaßnahme ist dieser Service kostenpflichtig. Für Personen, die nachweislich bereits Betrugsopfer geworden sind, wäre er gratis.
Ist die Identität erst einmal geraubt, bleibt es leider selten bei nur einem Betrugsversuch. So war es auch bei Theresa Büttner. Ihr verstorbener Mann bekam von der Otto-Tochter Limango zwei Uhren mitsamt Rechnung zugeschickt. Der recht dilettantische Betrugsversuch war schnell abgehakt. Sie schickte die Uhren zurück, und der Fall war erledigt. Aber das ist leider die Ausnahme.
