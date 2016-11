Allein 2015 sammelten die Deutschen Punkte im Gegenwert von 338 Millionen Euro: im Drogeriemarkt, Supermarkt oder an Tankstellen. Viele der Payback-Kunden haben über Monate und Jahre ihre Punkte angespart – und auf einmal sind Tausende davon einfach weg. Und damit bares Geld. Auf der Facebook-Seite von Payback häufen sich Beschwerden – und auch bei stern TV haben sich zahlreiche Betroffene gemeldet. Darunter Andrea Keller, die ihren Augen nicht traute, als sie vor kurzem den Punktestand ihrer Payback-Karte überprüfte: "Mir wurden 12.500 Punkte geklaut, das ist ein Gegenwert von 125 Euro", so die 49-Jährige im Gespräch mit stern TV. Unbekannte hätten sich die Punkte offenbar an einer Tankstelle in Berlin auszahlen lassen – etwa 550 Kilometer von ihrem Heimatort Freudenberg entfernt. Besonders erschreckend für sie: "Dass da jemand dran kommt, obwohl die Daten sicher sein sollen!"



"Da war klar: Das ist Betrug"

Kerstin Harfmann wurde durch eine E-Mail stutzig, worin sie zur Erstellung eines Rewe-Einkaufsgutscheins beglückwünscht wurde. Das ließ der Münchnerin keine Ruhe und sie überprüfte ihren Payback-Account, um sicher zu gehen, dass ihre 17.500 gesammelten Punkte noch da sind. "Da war klar: die Punkte waren weg, das ganze Konto war leergeräumt. Und damit fing das Theater erst richtig an", erzählt Kerstin Harfmann. Sie wandte sich mehrmals schriftlich an Payback und teilte mit, dass sie diese Punkte nicht ausgegeben habe – es sich um einen Irrtum handeln müsse und die Punkte bitte wieder auf ihr Konto gutgeschrieben werden sollten. Die Antwort war für Kerstin Harfmann wenig erfreulich: Sie haben uns nochmals kontaktiert, da Sie eine Rückerstattung eines REWE-Gutscheines wünschen. Wie bereits mitgeteilt, ist dies nicht möglich, da der Gutschein bereits am 8. 10.2016 teilweise eingelöst wurde.

"Da bin ich dann richtig ausgeflippt, denn damit war klar: Das ist definitv Betrug."

Auch Andrea Keller hatte sich an Payback gewandt, doch dort habe man darauf verweisen, dass wohl Unbekannte ihre Daten ausgespäht haben müssten, erzählt sie. "Das macht einen schon ziemlich sauer, dass man dahingestellt wird, als hätte man auf seine Daten nicht aufgepasst oder hätte sie nicht gut genug geschützt."

Andrea Keller und Kerstin Harfmann sind aber längst keine Einzelfälle mehr. Inzwischen sollen mehr 5300 Payback-Kunden von einem solchen Punkte- und Datenklau betroffen sein.

Und so funktioniert Payback Payback gibt es seit März 2000. Inzwischen hat das Unternehmen etwas mehr als 40 stationäre Partner, bei denen man Punkte auf seine Einkäufe sammeln kann, hinzu kommen über 600 Online-Partner. Kunden, die in einem dieser Partnershops einkaufen, bekommen an der Kasse mit ihrer Payback-Karte oder online eingeloggt Punkte auf ihr Konto gut geschrieben. Wie viele, hängt vom Einkaufswert ab. Es werden Punkte im Wert von 0,5 bis 4 % der Kaufsumme vergeben. Mit Coupons oder Sonderaktionen kann der Kunde bei einzelnen Produkten oder Aktionen die Punkte vervielfachen und manchmal bis zu 25 Prozent der Kaufsumme zurückbekommen. Ein gesammelter Punkt hat einen gegenwert von einem Cent. Wer 200 Punkte (2 Euro) oder mehr gesammelt hat, kann sie gegen Prämien, Gutscheine oder Geld eintauschen - oder spenden. Nicht eingelöste Punkte, die älter als 36 Monate sind, verfallen bei der Standardkarte zum 30. September eines Kalenderjahres.





Payback schließt Mitschuld aus

Wer die Täter sind und wo das Sicherheitsleck ist, scheint noch niemand genau zu wissen. Payback weist alle Schuld von sich, dass Sicherheitseinstellungen ihrerseits die Ursache sein könnten: Vielmehr gelangen Betrüger meist über gefälschte E-Mals (Phishing-Mails) und gefälschte Landing-Pages an die Zugangsdaten von Kunden. Eine andere Möglichkeit ist das Ausspähen von E-Mail- und Passwort-Kombinationen. Wenn Kunden diese Login-Daten für mehrere Online-Dienste nutzen, ist leider auch ein Login in das Payback-Konto möglich, hieß es in dem Schreiben von Payback dazu. Das Unternehmen räumt aber ein, dass es nicht ausschließen könne, dass Zugangsdaten von Payback-Kunden in Untergrundforen (das sog. Darknet) angeboten würden.

IT-Sicherheitsexperte Tobias Schrödel ist sich sicher, dass weder Payback noch die Partner wie Rewe oder Dm überhaupt wissen, wo das Problem liegt und noch im Dunkeln tappen: "Momentan weiß noch keiner, wie es tatsächlich passiert", so Schrödel. "Das kann an Payback liegen, das Problem können die Partner sein, aber auch die Nutzer selbst." Auch ein Datenklau über so genannte Phishing-Mails sei durchaus möglich. Denn:



Seit etwa Mitte Juli 2016 verschicken Betrüger besonders gut gemachte, täuschend echte E-Mails im Namen von Payback. Eine Version davon verspricht beispielsweise, den persönlichen Punktestand zu verdoppeln. Dadurch wollen die Absender an die Login-Daten der Payback-Kunden gelangen. Wer darauf eingeht, sendet seine Daten an Betrüger. Das Perfide: Optisch sind diese Mails kaum von Originalen zu unterscheiden, alle Links in der E-Mail führen auf die echte Payback-Seite – alle, außer dem einen, problematischen Link.

Fullscreen

Sicherheitsproblem: Einloggen am Terminal

Die wenigsten Payback-Nutzer seien sich zudem bewusst, dass sie sich nach einer Anmeldung an einem Terminal in einem der Partner-Geschäfte auch wieder ausloggen müssen, so Schrödel. An diesen Terminals lassen sich Gutscheine ausdrucken, Punktestände checken oder Coupons einlösen. Wer sich nach dem Scan seiner Payback-Karte anschließend nicht ausloggt, bleibt über 60 Sekunden weiter angemeldet. Eine nachfolgende Person hätte an dem Terminal dann vollen Zugriff auf das Payback-Konto.

Ein stern TV-Test hat aber auch ergeben: Besonders offensichtlich ist der Logout-Button an den Terminals nicht, so dass viele Kunden das einfach vergessen. Für Payback gilt es neben mehreren Maßnahmen, die sie ergriffen haben, auch hier nachzubessern. Bislang sei es für die Kunden Pech, wenn Punkte dadurch abhanden können, so Fachanwalt Christian Solmecke.

Was tun? Die Tipps der Experten Phishing Mails Seit etwa Mitte Juli 2016 verschicken Betrüger besonders gut gemachte, täuschend echte E-Mails im Namen von Payback: so genannte Phishing-Mails. Dadurch wollen sie an die Login-Daten von Payback-Kunden gelangen. Optisch sind diese Mails kaum von Originalen zu unterscheiden, alle Links in der E-Mail führen auf die echte Payback-Seite – alle, außer dem einen, problematischen Link. Tipp: Wenn Sie einem Angebot oder einer Aufforderung in einer Mail folgen wollen, klicken Sie niemals auf die angegebenen Links, sondern tippen Sie den Hauptlink des vermeintlichen Absenders selbst händisch in die Browserzeile ein. Auf der Hauptseite des Anbieters (z.B. payback.de) werden Sie herausfinden, ob es Anlass zu Daten-Änderungen oder ob es Aktionen gibt. Woran Sie einen falschen Link und Phishing-Mails erkennen und wie Sie damit umgehen, erfahren Sie hier. Ausloggen am Terminal Bei einem Testlauf am Servicepoint von Rewe und DM ist aufgefallen, dass der Kunde sich nach Einloggen auch wieder ausloggen muss. Tut er dies nicht, bleibt er für mindestens 60 Sekunden eingeloggt. Ein nachfolgender Betrüger hätte dann freien Zugriff auf das Konto. Nur nach dem Einlösen einer Wertscheck-Karte (Einkaufsgutschein) kommt es zum automatischen Logout. Tipp: Sofern Sie sich in einem der Payback-Partnergeschäfte mit Ihren Kundendaten oder Ihrer Payback-Karte am Terminal eingeloggt haben, gehen Sie immer sicher, dass Sie auch wieder abgemeldet sind, bevor Sie sich umdrehen und gehen. Zugangsdaten wie "Postleitzahl und Geburtsdatum" nicht nutzen Bei Payback ist es grundsätzlich auch möglich, sich mit der Eingabe von Geburtsdatum und Postleitzahl in das Punkte-Konto einzuloggen. Diese Daten sind aber nicht sicher, denn Betrüger können Sie schnell über soziale Netzwerke und andere Quellen herausbekommen. Auch die Kundennummer taucht leicht ausspionierbar in E-Mails, beim Scanvorgang an der Kasse und natürlich auf der Karte auf. "Grundsätzlich sind Payback Kunden verpflichtet, ihren Nutzernamen und Ihr Passwort an einem sicheren Ort aufzubewahren. Kommen diese Login Daten abhanden, etwa weil der Nutzer seinen Rechner nicht ausreichend geschützt hat, so haftet er eindeutig selbst für den abhandengekommenen Punktestand", so Anwalt Solmecke. Tipp: Achten Sie darauf, als Zugangsdaten nur mit Ihrer Kundennummer und einer geheim gehaltenen PIN oder einem gut geschützten Passwort zu arbeiten. Das Login mit PLZ oder Geburtsdatum sollten Sie nicht nutzen. Im Einzelfall könne man u. U. Payback vorwerfen, dass diese Sicherheitsvorkehrungen zu lax seien, so Anwalt Christian Solmecke. Passwort ändern und schützen Wer auf Nummer sicher gehen will, sollte jetzt seine Passwörter und PIN für das Payback-Konto ändern. Das gilt insbesondere für betroffene der Phishing-Mails oder des Datendiebstahls. Für die Zukunft sollten Sie achtsam bleiben. Falls über Emails ein erneuter Login angefordert wird und dort Vor- und Zunahme des Kunden abgefragt werden, sollte der Kunde stutzig werden. Genau diese Daten liegen dem Unternehmen normalerweise bereits vor und sind für das Einloggen nicht notwendig. Tipp: Wie Sie sichere Passwörter erstellen und sie sich auch merken können, erfahren Sie hier. Missbrauch dokumentieren und Payback informieren Wer von dem Datendiebstahl betroffen ist oder den Verdacht hat, auf Betrüger reingefallen zu sein, sollte dies unmittelbar an Payback melden, rätz Fachanwalt Christian Solme Tipp: Protokollieren Sie, was Sie können, um den Sachverhalt nachweisen zu können, sprich: machen Sie Screenshots von Ihrem Punktekonto, suchen Sie "Punkte-Post" von Payback heraus, die Ihren vorherigen Punkte-Stand dokumentiert. All diese Beweise helfen, eine Strafanzeige gegen unbekannt zu erstatten. Zudem weist Payback selbst darauf hin, Phishing-Mails mit Payback-Bezug an datenschutz@payback.de weiterzuleiten, damit das Unternehmen den Fällen nachgehen und Mitglieder informieren könne.

Rückerstattung verlorener Punkte schwer durchzusetzen

Doch wer haftet jetzt für die abhanden gekommenen, geldwerten Punkte der vielen Payback-Kunden? Kerstin Harfmann wollte alle Details zu der angeblichen Transaktion erfahren, um nachzuweisen, dass sie es nicht war, die ihre Punkte eingelöst hat. Doch am Telefon habe man ihr gesagt, dass solche Informationen nicht vorliegen. "Ich bin mir sicher, dass die alles wissen", sagt sie. "Die müssen wissen, wo der Gutschein eingelöst worden ist, also in welchem Markt, ob in München oder irgendwo in Deutschland." Kerstin Harfmann erstattete Anzeige, damit Payback gezwungen ist, eine Stellungnahme abzugeben.

Laut Fachanwalt Christian Solmecke sei es schwierig, dem Unternehmen ein Sicherheitsleck nachzuweisen. Immerhin: "Die Chancen, die Täter zu ermitteln, stehen gut und ihnen drohen langjährige Haftstrafen", so Solmecke bei stern TV. "Angesichts der Schäden in Millionenhöhe wird die Staatsanwaltschaft wegen Computerbetrugs, des Ausspähens und Abfangens von Daten und aufgrund eines möglichen Verstoßes gegen das Markengesetz ermitteln." Da die gestohlenen Payback-Punkte nur vor Ort im Geschäft eingelöst werden können, könnten die Betrüger und ihre Mittäter über die entsprechenden Überwachungskameras identifiziert werden. Diese Ermittlungen setzen allerdings voraus, dass ein gemeinsames Interesse an der Aufklärung bestünde und dass alle Beteiligten kooperierten.