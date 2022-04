Am 28. Januar machte Lena S. aus Neukölln eine Entdeckung. Auf dem Konto, das mit ihrer Kreditkarte verknüpft ist, wurden offenbar zweimal einhundert Euro abgebucht. Dort stand etwas von Reisegutscheinen. Sie hatte aber gar nicht vor, zu verreisen, noch hatte sie Gutscheine bestellt. Es konnte nur eine Erklärung geben: Jemand hatte ihren Bahn-Account gehackt, in dem ihre Kreditkartendaten hinterlegt waren.

Lena S. wollte sich anschließend in ihr Kundenkonto der Bahn einloggen. Doch das ging plötzlich nicht mehr. Jemand hatte ihre E-Mail-Adresse in dem Account geändert und ihn dann mit einer Zwei-Faktor-Authentifizierung verriegelt. Unglaublich: Es konnte nur noch der an das Konto herankommen, der es gehackt hatte. Und er konnte immer weiter Gutscheine auf Kosten von Lena S. erwerben.

Betrüger bedienen sich eines alten Tricks, der bei der Deutschen Bahn aus Sicht eines internen Sicherheitsexperten die Tore für Betrug weit offen stehen lässt: Sie buchen eine Fahrkarte und stornieren sie. Dann bekommen sie abzüglich einer Bearbeitungsgebühr einen Gutschein-Code, den man beim Kauf eines neuen Tickets einlösen kann. Das funktioniert bei einem online gebuchten und stornierten Sparpreis-Ticket. Bei einem Flexpreis-Fahrschein dagegen erhalten Kunden bei einer Stornierung den Ticketwert auf das Zahlungsmittel zurückerstattet, mit dem sie gebucht haben.

Der Gutschein-Code gilt drei Jahre und kann eingelöst werden in Reisezentren und DB-Agenturen, am Automaten oder auf bahn.de im Internet. Er ist nicht personengebunden und kann an Dritte weitergegeben werden. Mit solchen Gutscheinen wird aber auch auf dem Schwarzmarkt reger Handel betrieben, indem sie unter Wert verkauft werden und die Abnehmer sich über ein Schnäppchen freuen.

Warteschleifen anstatt Hilfe

Nach Angaben von Polizisten greifen Betrüger unter anderem in ungesicherten WLan-Netzen die Mail-Daten von Internetnutzern ab und probieren sie dann aus. Sind die gestohlenen Mail-Daten bei der Bahn registriert, klicken die Täter auf Passwort vergessen und lassen sich ein neues Passwort kommen. Im Bahn-Account ändern sie die angegebene Mailadresse, während sich Bahnkunden darüber wundern, dass sie keinen Zugang mehr haben. Schon 2018 bestellten die Täter Sparpreis-Tickets, stornierten diese sofort und ließen sich die Gutscheine dafür an ihre eigene Mailadresse schicken.

So geschieht es noch immer, wie im Fall von Lena S. Sie ist von Beruf Wirtschaftsprüferin und kennt sich mit Finanzdaten und Zahlungswegen aus. Ihre Kreditkarte ließ sie sperren. Dann begann ihr Marathon durch die Telefonleitungen beim Kundenservice der Deutschen Bahn. Sie wollte das Geld zurück und ihr betrügerisch von Fremden übernommenes Kundenkonto durch die Bahn „befreien“ lassen. Doch sie hing in Warteschleifen.

Was man ihr am Telefon nicht sagte: Die Betrüger hatten auch die von Lena S. bereits bezahlten Sparpreis- und Supersparpreis-Tickets storniert. Sie hatte sie für sich und ihren Partner für eine Urlaubsreise gebucht.

„Fünf oder sechs Mal habe ich bei der Bahn angerufen“, sagt die Frau. „Jedes Mal hatte ich unterschiedliche Stellen dran, wo ich den Eindruck hatte, dass die Mitarbeiter vorgefertigte Texte ablesen und das Gefühl, dass man mich nicht verstanden hat.“ Immer wieder sei ihr gesagt worden, sie solle sich bei Betrugsfällen an ihre Bank wenden. Doch die Bank kann nichts dafür, dass es bei der Bahn eine Sicherheitslücke gibt. Einmal sei sie an eine angebliche Bearbeitungsstelle weitergeleitet worden. „Doch dort wurde dann einfach aufgelegt.“ Und befreit wurde ihr Konto von dem fremden Zugriff bis heute nicht. Bei der Bahn sagte man ihr, dass könnten die Mitarbeiter nicht.

„Irgendwann hatte ich das erste mal jemanden dran, von dem ich den Eindruck hatte, dass er mir helfen könnte. Doch er sagte nur, ich solle mich an die Polizei wenden. Man müsse deren Ermittlungen abwarten.“ An die Polizei hatte sie sich bereits gewandt und über die Internetwache Anzeige erstattet.

Bahn buchte mehr als 11.000 Euro ab

Das betrügerische Geschäft mit Stornogutscheinen floriert offenbar seit Jahren. Bereits 2018 hatte die Berliner Zeitung über den Fall einer 20-jährigen Studentin berichtet. Auf ihrem Online-Konto der Bank hatte die Bahn 11.213,90 Euro abgebucht. Demnach soll sie zahlreiche Fahrten gebucht haben: unter anderem mit dem Eurostar von Brüssel nach London, 1. Klasse, fünf Personen, oder auch von Rostock nach London für fünf Personen, 1. Klasse. Auch sie hing damals in etlichen Warteschleifen der Bahn und bekam keine Antwort. Stattdessen kam eine Mahnung von der zuständigen Inkassostelle. Weil zu der Zeit bei der Bahn die Betrugsmasche bekannt war, verzichtete das Unternehmen auf seine Forderung von 11.213,90 Euro. Eine Entschuldigung von der Bahn bekam die junge Frau damals nicht. Dieser massenhafte Betrug kostete die Bahn, die Schadenssumme nannte, offenbar Millionen, die wiederum auf die Fahrpreise umgelegt werden. Als Konsequenz begrenzte die Bahn damals den Höchstbetrag für Abbuchungen auf 150 Euro.

Auf Anfrage dieser Zeitung preist die Bahn ihre Bezahlsicherheit: „Wir verbessern die Sicherheitsvorkehrungen laufend, um die Buchung für unsere Kund:innen so sicher wie möglich zu gestalten“, teilt eine Sprecherin schriftlich mit. „Hierzu zählt beispielsweise die Einführung des Sicherungsverfahrens 3-D Secure.“ Das Bankkonto von Lena S. war nicht mit 3-D Secure abgesichert. Dass sie auch eine 2-Faktor-Authentifizierung hätte haben sollen, weiß sie jetzt.

Das „Befreien“ eines Nutzerkontos, etwa indem sich ein Kunde mit Personalausweis identifiziert, ist nicht möglich. Die Sprecherin empfiehlt deshalb für den Fall, dass ein Konto von Betrügern angegriffen wurde, für „den höchstmöglichen Schutz der persönlichen Daten ein neues Benutzerkonto anzulegen und dieses umgehend mit der Zwei-Faktor-Authentifizierung zu sichern“.

Das ändert aber nichts daran, dass das alte Kundenkonto noch immer existiert und Betrüger weiterhin mit der Kreditkarte Gutscheine erwerben können – solange ein Kunde seine Karte nicht hat sperren lassen.

Das hat Lena S. getan. Das Kreditkarteninstitut – nicht etwa die Bahn – hat ihr die 200 Euro inzwischen erstattet. Die von den Betrügern stornierten Urlaubstickets musste sie aber neu buchen zum doppelten Preis. Diesen Preisaufschlag will sie von der Bahn wieder haben und hat einen Anwalt eingeschaltet. „Hier scheint die Bahn immer noch nicht ausreichend gegen Betrug im großen Stil gewappnet zu sein“, sagt Rechtsanwalt Ehssan Khazaeli, der Lena S. vertritt. „Es ist erschütternd, wie die Kunden hier mit ihren Problemen allein gelassen werden.“