Seit Monaten versucht die Familie Maier*, ihren Mercedes-Benz C 180 Coupe bei AutoScout24 zu verkaufen. Das Auto – Automatik, 156 PS, Baujahr 2011 – ist gut in Schuss, hat für einen acht Jahre alten Wagen gerade einmal knapp 48.000 km auf dem Tacho und soll 15.800 Euro kosten. Ein faires Angebot, so wird es auch von AutoScout24 bewertet. Seit Monaten aber wird die Familie, die als Privatanbieter im Portal gelistet wird, das Auto nicht los. Aber wieso? Der Mercedes ist Scheckheft-gepflegt und unfallfrei, die Angaben ausführlich, Bilder gibt es reichlich. Auch ein professioneller Händler könnte das Angebot kaum besser platzieren.
Das Problem ist, dass ein Betrüger dafür sorgt, dass das Angebot der Familie als zu teuer erscheint. Wochenlang tauchen im Portal immer wieder neue Angebote für das gleiche Fahrzeug auf, teilweise mit gleichem Baujahr und gleicher Ausstattung, teilweise sogar jünger und mit weniger Kilometern. Da kostet der Wagen dann plötzlich nur 10.800 oder 11.000 Euro. Immer wieder tauchen die Angebote bei anderen Händlern auf, sind kurz darauf aber wieder gelöscht. Die Händler, unter denen die Fahrzeuge gelistet werden, wissen von nichts, müssen sich vor verunsicherten Kunden rechtfertigen.
Keine Handhabe gegen Phishing?
Ein Händler etwa beklagt, er hätte allein an einem Sonntag über 6.000 E-Mails und Anrufe im Minutentakt bekommen, statt 30 hätte er plötzlich über 4.000 Fahrzeuge im Angebot gehabt – alles Fake-Angebote. „Unbekannte haben das Benutzerkonto des Händlers missbräuchlich für die Einstellung unseriöser Inserate verwendet“, heißt es in einer Antwort an einen Händler. Wahrscheinlich mit Hilfe gefälschter Internetseiten und E-Mail-Adressen wurden vertrauliche Benutzerdaten abgegriffen.
Familie Maier lässt nicht locker, schreibt den vermeintlichen Händler an, der wenig überraschend über eine eigene E-Mail-Adresse Kontakt aufnimmt und nicht über den Händler, dessen Konto er missbraucht. Die E-Mail-Adresse wirkt offiziell, trägt die Domain eines irischen Unternehmens und um seine Identität zu beweisen, sendet er gar ein Bild seines Ausweises mit. Er fordert seinerseits eine Kopie des Personalausweises, um die Reederei für den Transfer des Autos zu beauftragen – und natürlich die Zahlung per Banküberweisung. Die Identität ist gefälscht, soll Vertrauen beim Kunden wecken.
AutoScout24 sieht auf Nachfrage der OnlinehändlerNews wenige Möglichkeiten, das Problem zu lösen. Im Wortlaut heißt es: „Bei dem von Ihnen beschriebenen Fall handelt es sich um Phishing, das leider überall im Internet stark verbreitet ist. Betrüger versuchen, durch gefälschte E-Mails, Nachrichten, Websites oder Accounts an Kontodaten zu kommen oder Überweisungen bzw. Vorauszahlungen auszulösen. Natürlich kennen wir die Methoden der Phisher und wenden verschiedene Methoden an, um es ihnen auf unserem Portal so schwer wie möglich zu machen. Leider kann es aber keine hundertprozentige Sicherheit geben, auch wenn wir unsere Tools und Filter ständig optimieren.“
Identitätsklau bei N26
Ein anderer Fall von Identitätsbetrug macht seit Monaten dem ehemaligen Vorzeige-FinTech N26 zu schaffen. Recherchen der Süddeutschen und des NDR ergaben im April, dass Kriminelle in fast 400 Fällen Konten eröffneten, um Geldwäsche für gefälschte Online-Shops zu betreiben. Dabei wurden die Konten in den meisten Fällen gar nicht selbst eröffnet, sondern von gutgläubigen Nutzern übernommen.
Die Süddeutsche dokumentierte den Fall des Eckehard Küntzle. Dieser registrierte sich auf einer Webseite für Marktforschungen und sollte – vermeintlich – das Video-Identifikationsverfahren von N26 testen. Nachdem er dies erledigt hatte, bekam er ein Honorar in Höhe von 60 Euro und das Versprechen, dass das eröffnete Bankkonto wieder gelöscht wird. Zwei Monate später gab es die vermeintlichen Marktforscher nicht mehr, Küntzle alarmierte N26 und die Polizei. Seine Identität wurde missbraucht, das eröffnete Konto für Geldwäsche benutzt. Knapp 400 N26-Konten waren von dieser Betrugsmasche betroffen, gutgläubige Nutzer tappten in die Falle.
Identitätsbetrug ist kein neues Problem
Es sind nur zwei Beispiele für eine Problematik, die dringend Lösungen benötigt. Der Diebstahl und die Fälschung von Identitäten im Internet sind sowohl für Nutzer als auch für Unternehmen eine große Gefahr. Die Unternehmen müssen der Öffentlichkeit erklären, warum sie Phishing und Identitätsklau nicht in den Griff bekommen, die Nutzer, die eventuell leichtgläubig in eine Betrugsfalle tappen, müssen sich im Zweifel sogar vor Gericht verantworten. Denn wie etwa im Fall von N26 drohen diesen dann Verfahren wegen leichtfertiger Geldwäsche und im Nachhinein vielleicht sogar Klagen von Betrugsopfern der gefälschten Online-Shops.
Das Problem ist dabei nicht neu. N26 musste sich schon 2018 wegen Problemen mit gefälschten Ausweisen und mit Geldwäsche rechtfertigen. Schon im Jahr 2015 befand sich der Identitätsdiebstahl auf einem Rekordniveau (wir berichteten). Unsichere Passwörter, der laxe Umgang mit persönlichen Daten und Nutzer, die sich möglicherweise denken: „Mich wird es schon nicht treffen“ tun ihr Übriges. Die Frage ist: Wie löst man das wachsende Problem? Eine Antwort liefern Anbieter wie WebID.
Video-Identifikation als Lösung?
WebID oder der Münchener Konkurrent IDNow haben sich auf die Video-Identifikation spezialisiert. Über ein Video-Telefonat, etwa via Skype, tritt der Nutzer mit dem jeweiligen Unternehmen in Kontakt und hält seinen Personalausweis in die Kamera. Der WebID-Mitarbeiter gleicht das Gesicht des Nutzers mit dem Bild ab und prüft die Ausweisdaten. Nach erfolgreicher Identifikation werden die Daten verschlüsselt an den Geschäftspartner weitergeleitet, etwa den Online-Shop. Zu Beginn fand das Verfahren von WebID vor allem bei Banken Anwendung, mittlerweile wurde der Kundenstamm enorm erweitert.
Bis heute habe man 4,5 Millionen Identitätsprüfungen erfolgreich durchlaufen, WebID verfügt inzwischen über etwa vier Millionen gespeicherte Identitäten, teilt CEO und Co-Founder Frank S. Jorga gegenüber OnlinehändlerNews mit. Zu den Kunden gehören mittlerweile Schwergewichte wie Vodafone, Allianz, Lufthansa oder der Videospiel-Key-Seller MMOGA. Der Anbieter ermögliche es, auch komplexe Verträge online unterzeichnen zu können. „Das Schriftformerfordernis ist dabei erfüllt, die Verträge sind also genauso rechtssicher wie handsignierte Dokumente.“ Mit WebID AI hat das Unternehmen kürzlich sogar eine automatisierte Variante des Angebots an den Start gebracht. Diese nutze künstliche Intelligenz und biometrische Verfahren zur Identitätsfeststellung. „Mittels einer Ausweisprüfung können Personen in Sekundenschnelle automatisiert identifiziert werden. WebID AI eignet sich unter anderem für die Überprüfung des Alters, zur Betrugsprävention und für den Know-Your-Customer-Prozess“, erklärt Jorga.
Sind die Daten sicher?
Gespeicherte Identitäten? Gesichtserkennung? Die Frage nach dem Datenschutz drängt sich auf. Man halte die existierenden, strengen Vorschriften und Gesetze „selbstverständlich“ ein, versichert Jorga. „Auf unseren in Deutschland vorhandenen Servern sind alle Daten verschlüsselt hinterlegt und wir nutzen moderne Firewall-Strukturen. Jeder Einzelvorgang erhält zuvor die datenschutzrechtliche Zustimmung des Nutzers.“ WebID agiere auch ausnahmslos DSGVO-konform. Sowohl bei der Datenerfassung als auch bei der Datenverwendung geschehe Speicherung und Nutzung der Daten nur mit ausdrücklicher Zustimmung des Nutzers.
Gerade die strenge Gesetzeslage in Deutschland habe letztlich auch zu einem gestiegenen Vertrauen in die Gesichtserkennung geführt. „Mittlerweile gibt es nur noch sehr wenige Vorbehalte gegenüber unserem Angebot. Zu Beginn unserer Tätigkeiten, als Videoidentifikation für viele Marktteilnehmer noch Neuland war, gab es selbstverständlich auch kritische Stimmen. Nachdem sich das Verfahren aber in der Praxis vielfach bewährt hat und die Sicherheit unserer Verfahren unter Beweis gestellt wurde, sind diese Stimmen zunehmend verstummt.“ Künftig wolle man vor allem den E-Commerce in den Fokus nehmen, der von Betrügern geplagt wird. Eine automatische Ausweisprüfung oder schon eine einfache Altersverifikation sollen für erhöhte Sicherheit sorgen.
Zunehmende Automatisierung
WebID steht stellvertretend für das gestiegene Bewusstsein für die Identitätssicherung im Internet. Verimi und NetID sind in den vergangenen Jahren als Anbieter für Universal-Logins an den Start gegangen, dezidiert als Alternativen zu den Angeboten von Facebook oder Google und explizit als sichere Varianten, bei denen der Datenschutz im Vordergrund steht. Ideen wie der Selfie-LogIn von Facebook – letztlich auch nichts anderes als die deutschen und europäischen Angebote – sorgen bei hiesigen Nutzer eher für Vorbehalte, ist Facebook doch nicht eben als Speersitze des Datenschutzes bekannt.
Auch wenn Unternehmen wie WebID seit Jahren im Geschäft sind, steckt die Video-Identifikation noch in den Kinderschuhen. Viele Anbieter wollen Fuß fassen, stehen in direkter Konkurrenz zueinander. Eine Konsolidierung liegt noch in der Zukunft, durchsetzen werden sich, passenderweise, diejenigen, die am meisten Vertrauen schaffen können. „Entscheidend bei der Auswahl des geeigneten Anbieters für Identifikationsverfahren sollten nicht die teils bunten Aussagen auf den Webseiten der Anbieter sein, sondern allein die Expertise und die Referenzen“, findet Jorga.
Für Familie Maier kann man nur hoffen, dass sie ihren Mercedes nicht erst dann verkaufen, wenn der Identitätsbetrug im Internet großflächig wirksam eingedämmt werden kann. Denn bis der Großteil der Branche auf praktibale Identifizierungslösungen setzt und bis die Kunden bereit sind, für die Sicherheit ihrer Identität diese auch presizugeben, bis dahin werden wohl noch einige Jahre ins Land gehen.
* Name von der Redaktion geändert
Newsletter
Abonnieren
Abonnieren
Bleibe stets informiert mit unserem Newsletter.
Meistgelesene Artikel
Aktuelle Urteile | 12.01.2024
Marktplätze | 07.11.2023
Marktplätze | 06.02.2024
