Computer-KriminalitätDrei Hacker-Angriffe in einem Jahr – Wie ein Betroffener damit umgeht

Dass ich drei Mal betrogen wurde, habe ich drei Mal sehr unterschiedlich gemerkt. Eine SMS an einem Sonntagmorgen: "Danke, dass Sie unseren Carsharing-Dienst gerade in Hamburg genutzt haben." Ein Anruf im Lockdown: "Herr Roth, haben Sie gerade seit zwei Tagen einen Jaguar als Carsharing-Auto in Amsterdam gemietet?" Und 1.300 Euro, die die Deutsche Bahn von meinem Girokonto abgebucht hat.

Drei Dinge, die mir passiert sind. Drei Dinge, die ärgerlich sind, Zeit gekostet haben, aber auch lehrreich waren.

In allen Fällen haben Kriminelle unter meinem Namen Dienstleistungen erschlichen: Autos angemietet und Bahnfahrten gekauft. Ich habe mehrfach mit allen Unternehmen telefoniert: Solche Vorfälle kommen nicht massenhaft vor, aber ich bin auch nicht der Einzige, dem das passiert ist.

Sie können zum Beispiel damit in die Front eines Juweliergeschäfts fahren und es ausrauben, ohne dass später Ermittler mit einer Videoaufzeichnung etwas anfangen können – das Nummernschild des Carsharing-Anbieters führt ins Leere. Kriminelle könnten so auch Autorennen fahren oder das Auto nutzen, um illegale Transporte zu verschleiern und ihre Spuren verwischen.

Mit den drei Bahnfahrkarten haben die Kriminellen vermutlich Geld verdient. Wenn insgesamt acht Erwachsene von Köln nach Hamburg, von München nach Hamburg und von Düsseldorf nach Berlin und zurück Bahn fahren, ist das teuer. Die Fahrkarten haben die Kriminellen vermutlich nicht selbst genutzt, sondern an andere über das Internet verkauft: "Super günstig abzugeben!" Selbst wenn sie die Fahrkarten für die Hälfte des Preises verkauft haben, ist das ein ordentlicher Gewinn. Und die Bahnfahrer haben sich vermutlich gefreut, dass die Fahrkarten so günstig waren: Für beide Seiten ein gutes Geschäft – nur nicht für die Deutsche Bahn und mich.

Ich habe das nämlich erst mit einem Blick auf mein Girokonto mitbekommen. Die Kriminellen hatten in meinem Bahn-Konto die E-Mail-Adresse geändert, an die die Fahrkarten verschickt werden.

Ich habe sofort bei den Firmen angerufen. Die beiden Carsharing-Anbieter haben mein Konto erst einmal gesperrt. Außerdem habe ich jeweils eine Anzeige erstattet. Das geht online jederzeit und man erhält auch ein Aktenzeichen. Das wollen die betroffenen Firmen haben. Bei der Lastschrift vom Girokonto ist es ein Klick, um die Lastschrift zurückzubuchen. Wer also alle paar Tage auf sein Girokonto schaut, dem fallen ungewöhnliche Buchungen schnell auf. Beim Bahnfahrkarten-Betrug hätte es mir auch ein paar Tage eher auffallen können: Meine Bahn-App hatte mich nämlich darüber informiert, dass meine Reise losgeht und ich wegen einer Verspätung einen Anschlusszug verpassen werde. Da war ich allerdings nicht lange genug irritiert, um etwas zu unternehmen.

Das lässt sich nicht wirklich herausfinden, weil es ein Massengeschäft ist. Ein plausibler Ablauf: Durch sogenannte Datenlecks erbeuten Kriminelle E-Mail-Adressen, Passwörter, Kreditkartendaten, Geburtsdaten und so weiter. Diese Daten nutzen sie selbst oder verkaufen sie an andere Kriminelle. Und mit diesen Daten kann man dann probieren, ob man sich damit auch auf anderen Internetseiten anmelden kann. Das geht automatisiert. Niemand hat mich also auf dem Kieker gehabt und sich an meine Fersen geheftet.

Und Bingo: Bei mir haben die Kriminellen in drei Fällen ins Schwarze getroffen – Benutzername, Passwort und die Internetadresse, mit der man sich einloggen kann. All das haben die Kriminellen vermutlich nicht selbst ausgenutzt, sondern an andere Kriminelle verkauft, zusammen mit Hunderten oder Tausenden solcher Datensätze. Das ist ein Geschäftsmodell.

Meine E-Mail-Adresse habe ich seit Ende der 1990er Jahre. Bei der Bahn bin ich auch schon sehr lange dabei. Die Carsharing-Anbieter habe ich getestet. Bei den dreien habe ich offenbar das identische Passwort benutzt. Das Passwort war zwar ein langes, mit Zahlen, Groß- und Kleinbuchstaben, aber weil ich es mehrfach verwendet habe, konnten Kriminelle mich mehrfach betrügen.

Bei der Bahn habe ich natürlich das Passwort geändert. Und wissen Sie was: Ich kenne das Passwort selbst nicht. Ich habe es nämlich automatisch von einem Passwort-Manager erzeugen lassen. Den habe ich als App auf Smartphone und Computer. Die Passwort-Manager-App ist selbst mit einem Passwort gesichert. Nur das allein habe ich jetzt im Kopf.

Außerdem habe ich bei der Bahn (und überall, wo es außerdem möglich war) die Zwei-Faktor-Authentifizierung eingerichtet. Jedes Mal, wenn ich mich auf der Internetseite der Bahn einlogge, werde ich nun nach einem Code gefragt, den ich per SMS oder in einer Authentifizierungsapp bekomme. Die Bahn-App auf dem Handy fragt alle 90 Tage nach einem solchen Code.

Schon immer schütze ich ganz besonders den Zugang zu meinem E-Mail-Konto. Denn das wäre der Super-GAU gewesen: Kriminelle, die Zugang zu meinem E-Mail-Konto hätten, könnten damit auf noch mehr Online-Dienste zugreifen, indem sie dort einfach ein neues Passwort anfordern. Der Link dazu kommt dann per E-Mail in das gehackte E-Mail-Konto.

Apropos ge"hackt": Vielleicht haben Sie gemerkt, dass ich im Text nicht von "Hackern" spreche. Ich finde den Begriff in diesem Zusammenhang verharmlosend. Das sind Kriminelle, Betrüger, Verbrecher. Einen Einbrecher im echten Leben würde niemand einen Tür-Öffner-Experten nennen. In diesem Fall ist es nicht entscheidend, wie jemand etwas tut, sondern was er damit bezweckt: Menschen und Unternehmen zu betrügen und abzuzocken.

MDR (Marcel Roth)