Zur mobilen Ansicht
Wechseln Sie für eine bessere Darstellung
auf die mobile Ansicht
Weiterlesen Mobile Ansicht
Startseite

So erhalten Fremde Zugriff auf Ihre Shopping-Konten

Tausende Online-Accounts werden für rund 1,50 Euro je Datensatz im Internet angeboten. Unbefugte können so unter fremden Namen in Online-Shops bestellen. stern TV zeigt die Gefahren - und Lösungen, wie man sich schützen kann.

  Der Handel mit gestohlenen Online-Accounts Tausender Menschen blüht nicht nur im so genannten "Darknet", sondern bereits im "offenen" Internet.

Der Handel mit gestohlenen Online-Accounts Tausender Menschen blüht nicht nur im so genannten "Darknet", sondern bereits im "offenen" Internet.

Online-Shopping hat Hochkonjunktur. Kaum ein Mensch hierzulande, der nicht bei mehreren Internet-Shops seine Accounts hat. Die meisten gehen sorgsam mit ihren Daten, Passwörtern und Zahlungsmitteln um. Viele Anbieter werben zudem damit, dass das Einkaufen im Netz nicht nur einfach, sondern bei ihnen auch sicher sein soll. Und trotzdem sind unzählige Internetprofile nicht geschützt. Sensible Daten und Login-Informationen – etwa von Zalando, Amazon, Ebay, Thalia, Otto, Pearl oder Conrad – werden unter Cyberkriminellen gehackt, gehandelt und verkauft.  Die Anbieter dieser gehackten Accounts kommen durch Phishing-Mails, PC-Viren oder durch das Hacken von Datenbanken an die Nutzerdaten.

Einst kursierten solche Daten – wie auch andere illegale Dinge – lediglich im so genannten Darknet, in dem sich Cyberkriminelle miteinander verbinden. Das hat sich nun geändert. 

IT-Sicherheitsexperte Tobias Schrödel zeigte auf, wie einfach es mittlerweile ist, an Shop-Accounts zu kommen und auf fremde Rechnung einzukaufen: Bereits nach kurzer Recherche im Internet machte er eine Seite ausfindig, auf der aktuelle Zugangsdaten von Online-Kunden zum Kauf angeboten werden. "Man kann hier Amazon-Accounts kaufen, Conrad-Accounts, Ebay, PayPal, Otto, Thalia, Zalando – all das gibt es", so Schrödel. Den Testkauf bezahlte er mit der digitalen Währung "Bitcoin". Bei diesem Geldtransfer bleiben Käufer und Verkäufer anonym. "Es gibt 57 Verkäufer, die jeweils mehrere Hundert Zalando-Accounts anbieten. Manche für 60 Cent, andere zum Stückpreis von 99 Cent. Der Preisunterschied kommt dadurch zustande, dass einige Anbieter diese Accounts schon überprüft haben. Ich kann also bei diesen davon ausgehen, dass der Großteil funktionieren wird." Ein gehackter Ebay-Zugang kostet beispielsweise einen Euro, für Amazon-Logins bezahlt man 1,40 Euro. Anbieter solcher Daten seien persönlich kaum fassbar, erklärt Tobias Schrödel. "Die sind hochgradig anonymisiert. Der Verkäufer, bei dem ich viele der Accounts gekauft habe, ist seit 2008 im Geschäft – und noch immer am Markt. Das heißt: Die Polizei hat keinen Zugriff auf ihn." 

Mahnungen über 500-Euro für eine fremde Bestellung

Tobias Schrödel kaufte 53 Accounts mit Benutzernamen und Passwort. Kriminelle könnten damit versuchen, auf fremde Rechnung einzukaufen. stern TV hingegen machte die Eigentümer der Accounts ausfindig. "Wenn man sich dann bei dem Dienst einloggt, steht dort meist auch eine Rechnungs- und Lieferadresse. Ich weiß also, wo die Leute wohnen." Der IT-Experte konfrontiert das Ehepaar Haltenberger in Westerheim im Allgäu mit seinem Wissen über sie. Für ihren Zalando-Account bezahlte Tobias Schrödel 1,15 Euro. Die Haltenbergers sahen dabei zu, wie er ohne Probleme darüber einkaufen könnte. Er hätte nur noch die Lieferanschrift ändern müssen. Doch dann: "Hier steht schon eine fremde Lieferadresse in Würselen, Sie wohnen aber doch hier in Westerheim", stellte Schrödel fest. "Ich vermute, da hat schon jemand probiert, sich auf ihre Rechnung etwas zu bestellen." Das hat aus einem Grund vermutlich nicht geklappt: Die Haltenbergers nutzen das Online-Bezahlsystem PayPal, für das ein weiteres Passwort gebraucht wird. Bei Zahlung auf Rechnung oder per gespeicherter Kreditkarte wäre der Einkauf auf Kosten des Ehepaars gelungen.

Diese Erfahrung musste Jelena Blankenberg machen. Ihre Accoutdaten waren offenbar in Umlauf gekommen. Die 30-Jährige erhielt von Zalando plötzlich Mahnungen über den Betrag von 579,90 Euro, obwohl sie gar nichts bestellt hatte. Die Ware war nach Zittau in Sachsen geliefert worden. Jelena Blankenberg wohnt in Frankfurt.

Das Fatale an einem Datenraub: Viele Menschen benutzen dasselbe Passwort für verschiedene Online-Shops. Somit öffnen sie Hackern beinahe überall Tür und Pforte.  Und in den meisten Shops lassen sich Anschrift und E-Mail-Adresse leicht ändern, so dass die Ware an einen anderen Ort geliefert wird.

Die Sicherheits-Standards zur Änderung solcher Daten waren im stern TV-Test bei den Shops recht unterschiedlich: Bei einigen musste man Änderungen per Link in einer Mail bestätigen, bei anderen gab es eine zusätzliche Abfrage weiterer Daten wie beispielsweise der Postleitzahl des Wohnortes. Generell sieht IT-Rechtsanwalt Christian Solmecke die Online-Shops in Sachen Datensicherheit auch in der Pflicht: "Die Frage ist ja, ob nicht die Unternehmen selber die Sicherheitslücke haben, da gab es in der vergangenen Zeit auch immer wieder Vorfälle wie beispielsweise bei Vodafone. Erst Jahre später aber kann das Auswirkungen bei den einzelnen haben." Für Betrugs-Opfer hat Solmecke aber auch noch eine gute Nachricht: "Die meisten Unternehmen erstatten nach meiner Erfahrung aus Kulanz den Schaden nach einer gewissen Zeit."

Das könnte Sie auch interessieren

Partner-Tools