Vor einigen Tagen ist es passiert. Meine von der Sparkasse ausgestellte Kreditkarte wurde von Unbekannten missbraucht, um im Internet damit zu bezahlen. Ein alltäglicher Fall, wie ihn täglich hunderte Menschen erleben. Was genau passiert, wissen nur diejenigen, denen es selbst schon passiert ist.

Ich zumindest habe in den Tagen danach einiges gelernt: Darüber etwa, dass es die Disziplin des bürokratischen Hürdenlaufs nicht nur in der öffentlichen Verwaltung gibt. Dass es sich durchaus lohnt, gegenüber Hotline-Mitarbeitern auch dann auf Dingen zu bestehen, wenn sie zunächst für unmöglich erklärt werden. Dass es gar nicht selbstverständlich ist, einen Betrug zu erkennen – und wann er vorbei ist. Und vor allem: Dass man im Fall der Fälle weniger auf Erläuterungen, Zusagen und Beschwichtigungen vertrauen sollte, sondern allein auf Kontostände.

Freitag, 15. September, ca. 15:45 Uhr: Die S-ID-App der Sparkasse sendet eine Push-Nachricht auf mein iPhone. Sie informiert, dass in einer fremden Währung in Höhe von mehr als 800 Euro mit meiner Visa-Card bezahlt wurde, daher Wechselkursgebühren anfallen. Kurz darauf kommt eine zweite Nachricht über 200 Euro. Gekauft hatte ich nichts. Die S-ID-App dient eigentlich der sicheren Authentifizierung beim Onlinebanking und beim Online-Einkauf.

Jetzt 6 Ausgaben der WirtschaftsWoche kostenlos lesen – Zum Angebot

Die Fremdwährungsmitteilungen erscheinen kurz, lassen sich später auch nicht noch einmal aufrufen. In der regulären Onlinebanking-App der Sparkasse sind die betrügerischen Umsätze nicht zu sehen. Grundsätzlich sei jedes kartenausgebende Institut verpflichtet, einem Karteninhaber die Option zur sofortigen Benachrichtigung bereit zu stellen, wenn es zu einer Transaktion mit anfallenden Währungsumrechnungsentgelt kommt, heißt es später auf Anfrage von der Ostsächsischen Sparkasse Dresden.

Freitag, 15. September, ca. 16:00 Uhr: Ich bin alarmiert, rufe die Sparkassen-Kreditkartenhotline an. Die bestätigt, dass es solche Umsätze gibt. Zuletzt einen bei Zalando. Ich lasse die Karte sperren. Hätte ich die Funktion nicht aktiviert, Umsätze im Handy anzuzeigen, ich hätte den Betrug wohl nicht so schnell feststellen können.

Freitag, 15. September, ca. 16:15 Uhr: Ich rufe noch einmal die Hotline des Unternehmens Pluscard an, das die Sparkassen-Kreditkarten ausgibt. Ich bitte die Mitarbeiterin, alle Umsätze nach Dienstag – das letzte Mal, dass ich die Karte benutzt habe – auf meiner Abrechnung zu blockieren, sodass sie nicht von meinem Konto abgebucht werden. Insgesamt handele es sich um mehr als 900 Euro, sagt sie. Die Mitarbeiterin nimmt mein Anliegen auf, was damit geschieht, bleibt zunächst unklar.

Mir stellt sich zudem die Frage, wie die Betrüger überhaupt so hohe Summen umsetzen konnten, wenn doch die Mehr-Faktor-Authentifizierung aktiv ist. Ohne gesonderte Freigabe von mit sollte das unmöglich sein. Hat das Sicherheitssystem der Sparkasse vielleicht eine Schwachstelle?

Montag, 18. September: Über die S-ID-App kommt plötzlich eine Anfrage, ob ich den Kauf über rund 20 Euro bei Zalando getätigt habe. Es gibt allerdings nicht die Auswahlmöglichkeiten „Nein“. Man kann nur „OK“ oder „Abbrechen“ drücken. Ich drücke „Abbrechen“.

Dienstag, 19. September: Genützt hat das offenbar nichts. Ein Blick in die Online-Banking-App zeigt, dass die Sparkasse meine Kreditkartenverbindlichkeiten einschließlich des betrügerischen Umsatzes von meinem Girokonto abgebucht hat. Weder im Onlinebanking noch in der App kann ich jedoch sehen, für welche Umsätze diese Abbuchungen angefallen sind.

Ich rufe die Hotline meiner Sparkasse in Dresden an, bitte den Mitarbeiter, den Betrag zurück zu buchen. Der jedoch verweist mich zurück an Pluscard. Auch dort aber komme ich nicht weiter: Die Mitarbeiterin rät mir, zunächst abzuwarten. Als ich mich weigere, das zu tun, schlägt sie mir vor, die Lastschrift zurückzubuchen. Ein Blick in die App zeigt aber: Das ist bei jeder anderen Lastschrift möglich, nur eben nicht bei der der Sparkassen-Kreditkarte. Diese Option hat die Sparkasse offenbar abgeschaltet.

Die Mitarbeiterin, die mich derweil in die Warteschleife gesteckt hat, ist zurück. Sie habe mit der zuständigen Abteilung gesprochen und versichert, der Fall werde heute bearbeitet. Das Geld werde noch am gleichen Tag, spätestens am darauffolgenden, überwiesen.

Mittwoch, 20. September: Auf meinem Girokonto ist kein Geld eingegangen.

Donnerstag, 21. September: Das Geld ist immer noch nicht auf dem Girokonto. Also rufe ich erneut die Hotline von Pluscard an. Ein Mitarbeiter teilt mir nun mit, welche Umsätze getätigt wurden. Und sagt mir, dass ein Betrag von 898,62 Euro bereits gutgeschrieben worden sei – allerdings nicht auf meinem Girokonto, sondern auf der neuen Visa-Karte von Pluscard. Weil ich diese selten nutze, brauche ich das Geld dort nicht. Auf das Girokonto überweisen, so der Mitarbeiter, könne es jedoch nur meine Sparkasse.

Der Anruf bei der Ostsächsischen Sparkasse Dresden bringt mich erst einmal nicht weiter. Das Geld werde mir erst im nächsten Monat, wenn die nächste Abrechnung fällig wird, ausgezahlt. Alternativ wird mir schließlich angeboten, dass mich meine Filiale zurückruft.

Etwas später erhalte ich tatsächlich diesen Anruf. Die Mitarbeiterin sagt mir, dass Pluscard das Geld nun überweise, was zwei bis drei Werktage dauern könne. Meine neue Visa-Card trifft ein, und ein Schreiben mit der Mitteilung, dass meine alte Karte gesperrt wurde.

Montag, 25. September: Die 898,62 Euro tauchen endlich wieder auf meinem Konto auf. Ganz ausgestanden ist der Fall aber noch nicht. Es gebe noch schwebende Umsätze, hatte mir die Pluscard-Hotline mitgeteilt. Mal sehen, ob und wann die auftauchen. Eine Übersicht über die betrügerischen Umsätze habe ich jedenfalls bis heute nicht.

Ein paar Tage später: Mit dem Vorgang durch die WirtschaftsWoche konfrontiert, teilte Pluscard mit, dass kein Zahlungssystem jeglichen Betrug verhindern könne. Es sei aber wesentliches Ziel des Unternehmens, den Schutz der Kunden zu gewährleisten, verdächtige Aktivitäten schnell zu erkennen und zu unterbinden. Bei Kreditkarten sind nicht alle Zahlungen genehmigungspflichtig, heißt es als Erklärung von der Ostsächsischen Sparkasse Dresden.

Ob eine Transaktion vom Karteninhaber über die S-ID-Check-App bestätigt werden müsse oder nicht, sei eine Frage der Haftung und werde einzig vom Händler entschieden. Nur wenn der Händler explizit eine Authentifizierung wünsche, werde die Freigabe des Kunden an in der S-ID-Check-App verlangt. Hält der Händler eine explizite Freigabe des Kunden für unnötig, haftet er für die Zahlung und der Kunde bekomme über die S-ID-Check-App lediglich eine Push-Nachricht über den Umsatz.

Wenn ein Girokonto belastet werde (wie bei mir passiert), habe das den Grund, dass die missbräuchliche Verfügung am monatlichen Abrechnungsstichtag der Karte gebucht wurde, so die Sparkasse. Werde die Kreditkarte eher oder später missbraucht, habe die Reklamationsabteilung genügend Zeit, damit das nicht passiert.

Jetzt 6 Ausgaben der WirtschaftsWoche kostenlos lesen – Zum Angebot

Jetzt 6 Ausgaben der WirtschaftsWoche kostenlos lesen – Zum Angebot