Eine unachtsame Sekunde, ein Klick auf einen falschen Link und 20'000 Franken sind weg. Für eine Baslerin ist dieser Albtraum Realität geworden. Und die Bank will zunächst von nichts wissen.

Der Vorfall begann auf der Kleinanzeigen-Plattform Tutti.ch. Eine Baslerin wollte ein Kinderspielzeug verkaufen, als Betrüger Kontakt mit ihr aufnahmen. Über einen manipulierten Link, der zu einem gefälschten Portal führte, verschafften sie sich Zugang zu ihrem Twint-Account. Innerhalb von Sekunden übernahmen die Täter die Kontrolle, indem sie den Zugangscode änderten. Die Frau war fortan machtlos.

Was folgte, war eine minutiös geplante Abbuchungsserie. Binnen einer halben Stunde wurden von verschiedenen ihrer Konten rund 20'000 Franken abgebucht. Die Täter agierten mit System, führten insgesamt 70 Abbuchungen durch, fast alle mit dem gleichen Betrag von 250 Franken. Ein Muster, das eigentlich die Alarmglocken läuten lassen sollte.

Sicherheitssysteme bleiben stumm

Doch trotz des auffälligen Transaktionsmusters blieb das Sicherheitssystem der Postfinance stumm. Die Kundin kontaktierte ihre Bank, um zu erfahren, wie ein solcher Vorfall unbemerkt bleiben konnte. Die Antwort war ernüchternd: Sie habe ihre Zugangsdaten weitergegeben und sei daher selbst schuld.

Diese Reaktion der Bank ist exemplarisch für eine zunehmende Problematik. Finanzinstitute schieben die Verantwortung bei Phishing-Fällen oft auf die Kunden. Sie berufen sich auf die Sorgfaltspflicht der Kontoinhaber, ihre sensiblen Daten zu schützen. Doch die Frage, warum ein Sicherheitssystem nicht auf ein derartiges Abbuchungsmuster reagiert, bleibt unbeantwortet.

Angesichts der Tatsache, dass sich Phishing-Fälle im Kleinanzeigenbereich innerhalb eines Jahres verfünffacht haben, scheint die Weiterentwicklung der Sicherheitssysteme nicht mit der kriminellen Kreativität der Täter Schritt zu halten.

Neuprüfung und Teilerstattung nach Medienintervention

Erst als das SRF-Konsumentenmagazin «Espresso» den Fall aufgriff und bei der Postfinance nachhakt, kam Bewegung in die Sache. Die Redaktion stellte die berechtigte Frage, wie ein so auffälliges Abbuchungsmuster unbemerkt bleiben konnte. Daraufhin versprach die Bank, den Fall erneut zu prüfen.

Die Baslerin konnte sich mit der Postfinance schliesslich einigen und bekommt einen Teil des erbeuteten Geldes zurück. Wie hoch dieser Betrag ist, darf sie nicht preisgeben. Die Bank selbst gibt sich in ihrem Statement bedeckt, verweist aber darauf, ihre Sicherheitssysteme laufend weiterzuentwickeln. Man nehme die Erkenntnisse aus Betrugsversuchen auf, um die Systeme zu optimieren.