Plötzlich bekam sie jede Menge Nachrichten von ihrer Bank auf dem Handy. «Das waren alles Code-Verifizierungen – da hab ich erst gedacht: Was ist das denn jetzt? Alles Anfragen aus Grossbritannien», sagt Bea Lauper (51) aus Luzern zu Blick. Sie meldet sich sofort bei der Notfallnummer ihrer Bank, der Cornèr Bank. Auch das Institut hat die seltsamen Anfragen registriert und einige Aktionen blockiert, da der Verdacht auf Betrug besteht. Lauper ist zuerst erleichtert. Doch eine Abbuchung geht unter. Insgesamt 2500 Pfund, umgerechnet 2813 Franken – verprasst in einem Musikgeschäft in Grossbritannien. «Das war ein Schock. Ich benutze meine Karte nie für so hohe Beträge.»
Die Karte benutzt sie nur für Abonnements oder in den Ferien. Der Kundendienst der Cornèr Bank versichert ihr: «Es handelt sich offensichtlich um Betrug.» Die Karte wird gesperrt. Lauper müsse sich keine Sorgen machen. Doch erledigt ist die Sache damit nicht.
Kunden können alles richtig machen und doch zum Opfer werden
Die Bank fragt die Luzernerin, ob sie jemals auf ein verdächtiges E-Mail reagiert habe. Lauper weiss es zunächst nicht, schaut in ihre E-Mails und zeigt sich kooperativ. Sie sammelt Screenshots, Briefe, Kontoauszüge, E-Mails, die ihr verdächtig vorkommen – alles versehen mit handschriftlichen Notizen. Doch genau das wird ihr zum Verhängnis. Und so landet ein Brief der Bank im November im Briefkasten von Lauper. Darin heisst es: «Gemäss Ihren Angaben erhielten Sie ein E-Mail, in welcher Sie unter einem Vorwand gebeten wurden, Ihre Kartendaten preiszugeben.»
Auf Anfrage von Blick bestätigt die Cornèr Bank, dass die 51-Jährige haften muss. «Der Beweis für die tatsächlich erfolgte Autorisierung der Transaktion durch den Kunden wird mit der effektiven Eingabe des korrekten SMS-Codes erbracht.» Lauper ist sich sicher, dass sie die Zahlung niemals genehmigt und die SMS nicht einmal gesehen hat. Und genau das ist das Problem, erklärt Sara Stalder (56) Geschäftsleiterin der Stiftung für Konsumentenschutz Schweiz. «Seine Unschuld zu beweisen, ist unmöglich. Kunden können alles richtig machen und dennoch einem Datenleck oder Hackerangriff zum Opfer fallen.»
Banken sind in der stärkeren Machtposition
Wird die Zahlung durch die Zwei-Faktor-Authentifizierung genehmigt, ist der Kunde laut den Allgemeinen Geschäftsbedingungen (AGB) der Bank haftbar. Auch wenn er behauptet, den SMS-Code gar nicht gesehen zu haben. Stalder zu Blick: «Die AGB sind aus unserer Sicht einseitig zugunsten der Banken formuliert.»
Lauper erstattet Strafanzeige gegen die Täter. Doch schnell ist klar: Die Polizei kann nichts tun. «Es ist davon auszugehen, dass die unbekannte Täterschaft aus dem Ausland, mutmasslich England, agierte», heisst es im Rapport der Luzerner Polizei. Und: «Es ist aufgrund der Erfahrung in gleichartigen Fällen davon auszugehen, dass die weitere Rückverfolgung der verwendeten IP-Adresse erfolglos bleibt.»
Spuren der Täter im Ausland lassen sich kaum verfolgen
Betrügerische Aktionen im Ausland sind längst kein Einzelfall mehr. «Oft werden sogenannte Money Mules (Geldwäscher) eingesetzt, die in Ländern agieren, die uns vor grosse Herausforderungen stellen», sagt Rolf Nägeli (62), Präventionschef der Zürcher Stadtpolizei, zu Blick. «Oder die Täter nutzen anonymisierte Dienste, um die Spuren zu verwischen», sagt er. Und er stellt fest: «Wir beobachten in der Schweiz einen jährlichen Anstieg von zirka 10 bis 20 Prozent im Bereich Cybercrime.»
Das Problem: Hacker werden immer raffinierter und schaffen es auch, die Multi-Faktor-Authentifizierung zu umgehen. Hier müssten die Banken etwas tun, mahnt Stalder vom Konsumentenschutz. «Viele Banken investieren nicht genug in die Sicherheit und hinken den Betrügern hinterher.» Die Schweizer Privatbank will von einer Sicherheitslücke nichts wissen. Die Medienstelle der Cornèr Bank erklärt auf Anfrage: «Cornèrcard erfüllt sämtliche erforderlichen Sicherheitsstandards.»
Keine Kreditkarte, kein Ärger
Konsumentenschützerin Stalder plädiert dafür, dass Ausgaben, die nicht ins Kundenprofil passen, erkannt und gestoppt werden. Es gibt aber einen Haken. «Wenn Cornèrcard als Kartenherausgeber mögliche Verhaltensänderungen zum Anlass nehmen würde, Rückfragen bei den Kunden zu starten oder gar die Karte zu blockieren, würde uns zu Recht vorgeworfen, dass wir uns unerlaubt als Vormund der Kunden aufspielen», heisst es seitens der Bank.
«Wer wirklich vor Kreditkartenbetrügern verschont sein will, sollte schlichtweg keine Kreditkarte besitzen», stellt Stalder klar. Lauper fühlt sich als jahrelange Kundin der Cornèr Bank im Stich gelassen und hat sich nun an den Bankombudsmann gewandt. Aufgeben wird sie nicht. Denn der Betrug hat ein Loch in die Kasse der Familie gerissen. «Wir müssen die Wohnung zahlen, wir haben drei Kinder – das ist einfach ein hoher Betrag!»