50, 100 oder noch mehr Euro sind schon gestohlen worden, indem Kriminelle Payback-Konten gehackt haben. Payback sieht bei sich kein Sicherheitsproblem. Die Kunden seien selbst schuld.

Wer Payback-Punkte sammelt, kann die sich auszahlen lassen, zum Beispiel in Form von Preisvergünstigungen oder auch Geld als Überweisung. Doch das Payback-Guthaben kann auch gestohlen werden. Und das passiert in letzter Zeit häufiger, berichtet die Verbraucherzentrale Nordrhein-Westfallen. Sie teilt mit: "In großer Zahl ärgern sich die Kunden über verschwundene Punkte – oftmals im Wert von 50 oder 100 Euro, teilweise sogar weit darüber."

Vermutlich funktioniert der Guthabendiebstahl so: Die Täter beschaffen sich auf irgendeinem Wege die Payback-Zugangsdaten von Kundinnen und Kunden, also ein Benutzername und Passwort. Damit können sie sich an Payback-Automaten Gutscheine erstellen lassen, die sie einlösen können.

Payback: User sind selbst schuld

Noch nicht ganz geklärt ist die Frage, wie die Täter oder Täterinnen an die Daten heran kommen.

Denkbar wäre es, dass Payback ein Sicherheitsproblem hat, etwa eine Schwachstelle bei den IT-Systemen oder Mitarbeitenden bei Payback selbst oder bei den Händlern, die einen Weg gefunden haben, Userinnendaten abzugreifen.

Payback hat gegenüber der Verbraucherzentrale und dem IT-Portal Heise versichert, es gäbe keine Sicherheitslücke. Das Problem läge bei den Usern und Userinnen selbst, die zum Beispiel zu schwache Passwörter für ihren Account verwendeten oder auf Phishing-Mails reinfielen.

"Es ist ein Stück weit nachvollziehbar, dass bei Payback nicht die Hochsicherheitsvorkehrungen üblich sind wie bei einem Bank- oder Kreditkartenkonto. Aber in diesen harten Zeiten gehen die Betrüger eben auch schon an die mühsam zusammengetragenen digitalen Rabattmärkchen."
Michael Gessat, Deutschlandfunk-Nova-Reporter

Diese Erklärung erscheint plausibel. Laut Digital-Verband Bitkom nutzen 36 Prozent der Internetnutzerinnen und -nutzer in Deutschland für mehrere Online-Dienste dasselbe Passwort. Im unsichersten Fall ist das auch noch ein sehr einfaches, etwa ein kurzes Wort aus dem Duden.

Wenn ein Dienst zum Beispiel aufgrund eines unsicheren Passworts gehackt wird, könnten die Kriminellen die erlangten Daten auch woanders ausprobieren, zum Beispiel bei Payback.

Auch von Phishingmails ist bekannt, die auf Payback-Nutzerinnen und -Nutzer abzielen. Die sollen sich dann zum Beispiel auf einer Website einloggen, die spezielle Boni und Rabatte bietet. In Wirklichkeit ist sie aber nur dazu da, die Daten abzugreifen.

Mehr Sicherheit ist möglich

Mögliche Verbesserungen in der Sicherheit wären der Zwang, ein längeres und komplizierteres Passwort verwenden zu müssen, zum Beispiel eines mit Sonderzeichen und Zahlen. Auch könnte Payback beim Einloggen beziehungsweise beim Auszahlen von Guthaben eine Zwei-Faktor-Authentifzierung einführen. Die Nutzerinnen müssten dann neben ihren Zugangsdaten zum Beispiel noch die Payback-Karte vom Automaten scannen lassen. Oder es wird eine Transaktionsnummer verlangt, die aufs Handy geschickt wird.

Die üblichen Nachteile solcher Vorkehrungen: Für die Nutzer wird es etwas komplizierter.

Payback sieht keine Grundlage dafür, einen entstandenen Schaden zu erstatten. Deutschlandfunk-Nova-Reporter Michael Gessat empfiehlt den Geschädigten, Anzeige zu erstatten.