Gefährliche Schwachstellen bei E-Payment-Anbietern

Internetkriminelle entwickeln jede Menge Phantasie und Geschick, um ihre Opfer möglichst raffiniert ausrauben zu können. Doch auch weniger kreativ begabte Netz-Gangster finden sehr einfach ihr gesetzeswidriges Auskommen. Denn viele E-Payment-Anbieter fordern die skrupellosen Ganoven mit ihrer sträflichen Vernachlässigung wesentlicher Sicherheitsüberprüfungen geradezu zum Tanz auf. Und jeder, wirklich absolut jeder, der eine Bankverbindung hat, kann von heute auf morgen zum Opfer dieser groben Fahrlässigkeit werden.

Alles, was der Verbrecher braucht, ist ein Phantasiename, eine gültige Email-Adresse sowie die Bankverbindung, an der er sich widerrechtlich bereichern will. Mit diesen Daten meldet er sich dann als Neukunde bei dem E-Payment-Dienst seiner zweifelhaften Wahl an. Von dort ergeht dann lediglich eine Bestätigungsmail an die angegebene Adresse, die der Straftäter ohne Risiko anklicken kann. Und schon ist sein virtuelles Konto eröffnet. Jetzt kann er sorglos und ausgiebig im Internet shoppen gehen, bis die Schwarte kracht. Denn die dazugehörigen Rechnungen werden ja per Lastschriftverfahren vom Konto des Opfers abgebucht. Das ist deshalb möglich, weil es den E-Payment-Dienst zu keiner Zeit interessiert hat, ob der Name des Kontoinhabers auch tatsächlich mit dem Namen des neuen Kunden übereinstimmt, und ob der neue Kunde sich auch amtlich ausweisen kann. Das ist eine unverzeihliche Sicherheitslücke, für die die Bedeutung des Wortes “fahrlässig” neu definiert werden müsste.

Dem E-Payment-Dienst ist es offensichtlich egal, ob der Kontoinhaber auch tatsächlich mit dem Neukunden identisch ist. Nicht egal ist es ihm allerdings, ob die Kontoverbindung als eine solche tatsächlich existiert. Um dies, und unglaublicherweise nur dies, zu überprüfen, wird ein einzelner Cent auf das angegebene Konto überwiesen. Wenn diese Überweisung reibungsfrei und anstandslos klappt, dann ist auch das Konto echt. Und mehr will der Anbieter ja auch gar nicht wissen. Danach öffnet er dem verbrecherischen Treiben ohne Weiteres Tür und Tor. Und für den echten Kontoinhaber brechen harte Zeiten an. Denn auch wenn er auf den ungebetenen Besuch auf seinem Konto mit der sofortigen Sperrung der Lastschriften reagiert, bekommt er es anschließend mit knallharten Inkassounternehmen zu tun, welche die säumigen Rechnungen einzutreiben beauftragt werden. Diese nervenaufreibenden Konfrontationen enden in aller Regel erst vor Gericht. Auch dann, wenn der Unschuldsbeweis sehr augenfällig geführt werden kann.

Der einzige Schutz besteht in der äußerst wachsamen und engmaschigen Kontrolle jedweder Kontobewegung. Und sollte da eines unschönen Tages ein einzelner Eurocent überwiesen und gutgeschrieben worden sein, obwohl man selbst nirgendwo die Mitgliedschaft bei einem E-Payment-Dienst beantragt hat, dann müssen sofort sämtliche Alarmglocken schrillen. Dieser Überweisung/Gutschrift muss dann sofort und mit allem Nachdruck widersprochen werden, koste es, was es wolle. Je lauter und energischer man sich hier gegen drohendes Unheil wehrt, desto besser. Und jeder Abbuchung per Lastschrift, die man nicht selbst verursacht hat, muss man ebenfalls sofort widersprechen. Andere vorbeugende Maßnahmen gibt es leider nicht.