Sicherheitsmängel bei Postident: Eintrittskarte für den organisierten Betrug

Sicherheitsmängel bei Postident: Eintrittskarte für den organisierten Betrug

, etwa %minutes% Minuten Lesedauer

Mitglieder von Krautreporter können den Beitrag auch anhören, wenn sie eingeloggt sind. Auf das Autoren-Logo klicken. Dann findet ihr das Audiofile in der rechten Spalte.

Der neue Thermomix war sensationell günstig. Über 400 Euro weniger als im regulären Vertrieb wollte der Verkäufer aus dem Kleinanzeigenportal für die Allzweck-Küchenmaschine haben. Der Käufer hat nicht lange gefackelt, das Geld überwiesen – und wartet nun vergeblich darauf, dass ihm die Ware nach Hause geliefert wird. Weil sie gar nicht existiert. Als sich herausstellt, dass er einem Betrüger aufgesessen ist, ist das Geld weg. Und der vermeintliche Verkäufer auch. Solche Fälle kennt Carsten Szymanski zur Genüge. Er sagt: „Viele Personen, die Konten eröffnet haben, auf denen das Geld aus betrügerischen Online-Verkäufen überwiesen wird, gibt es gar nicht.“

Die Konten aber, die gibt es schon. Und genau das ist das Problem.

Szymanski ist Leiter des Dezernates zur Bekämpfung von Waren- und Leistungsbetrug und Cybercrime beim Landeskriminalamt (LKA) in Berlin und erklärt: „Ein solches Konto ist sozusagen die Eintrittskarte in bestimmte Formen des organisierten Betrugs.“ Dadurch nimmt der Besitzer inkognito am Geschäftsverkehr teil und besitzt schon dadurch Glaubwürdigkeit, weil er sich dafür, wie gesetzlich vorgeschrieben, vorher ausgewiesen haben muss. Zu diesem Zweck nutzen Betrüger die Schwachstellen des Postident-Verfahrens der Deutschen Post.

Wollen neue Kunden zum Beispiel ein Konto bei einer Direktbank eröffnen, die keine Filialen hat, identifizieren sie sich per Postident bei der Post oder deren Partnerläden. Sie zeigen dem Mitarbeiter hinter dem Schalter ihren Ausweis, unterschreiben ein Formular und bekommen damit bescheinigt, dass sie sie selbst sind. Für diese Dienstleistung zahlen Auftraggeber, also zum Beispiel Banken, der Post einen Betrag zwischen 3,90 und 7,90 Euro (PDF-Preisliste). Betrüger lassen sich mit gefälschten Ausweisen unter erfundenen Namen identifizieren.

Wie prüft man einen bulgarischen Ausweis?

Weil Postident-Betrug in der Statistik nicht separat erhoben wird, kann die Polizei nicht konkret sagen, wie oft er passiert. Aus Berlin sind keine Zahlen zu erfahren, beim LKA in Baden-Württemberg geht man von geschätzten 100 Fällen in den vergangenen zwölf Monaten aus, NRW überschlägt bis zu 400 Fälle für 2012. Aber selbst wenn es nur ein paar hundert falsche Konten pro Bundesland sind: Jedes einzelne kann genutzt werden, um Geld für nicht existierende Waren auf Auktionsplattformen einzusammeln oder Überweisungsbetrug zu begehen. „Es gibt Täter, die eine ganze Reihe von Konten haben und diese Art von Betrug über einen längeren Zeitraum begehen“, sagt Szymanski vom LKA Berlin.

„Schnell, sicher und einwandfrei“ sei Postident, wirbt die Deutsche Post für ihre Dienstleistung. Das ist offensichtlich falsch. Zur Zahl der Betrugsfälle mag man sich in der Bonner Zentrale auf Krautreporter-Anfrage nicht äußern: „Wir bitten um Verständnis, dass wir zu sicherheitsrelevanten Themen grundsätzlich keine Zahlen veröffentlichen.“

Ein Grund für die Betrugsanfälligkeit des Verfahrens ist, dass die Voraussetzungen bei der Überprüfung so unterschiedlich sind. Um sich der Echtheit eines Ausweises vergewissern zu können, brauche ein Mitarbeiter Übung und Zeit, sagt Szymanski. „Wenn der Schalter voll ist und zehn oder zwanzig Leute dahinter in der die Schlange stehen, kann es vorkommen, dass die Prüfung auch mal kürzer ausfällt.“

Das wissen die Betrüger auszunutzen. Außerdem muss die Identifizierung nicht zwangsläufig mit deutschen Papieren erfolgen. „Nur mal zum Beispiel: Die Sicherheitsmerkmale eines Ausweises eines Landes beispielsweise aus Zentralafrika sind einem durchschnittlichen Postbeamten hinterm Schalter vermutlich eher selten bekannt. Ich wüsste die auch nicht.“ Meist reicht auch schon ein bulgarischer, ein serbischer oder ein italienischer Ausweis.

Die Postident-Prüfung ist darüber hinaus in sogenannten Partner-Filialen der Deutschen Post möglich, also zum Beispiel Tabakgeschäften, Schreibwarenläden und Kiosken. Die Wahrscheinlichkeit, dass wirklich alle Mitarbeiter wissen, worauf sie bei einer Dokumentenprüfung zu achten haben, ist dort nach Erfahrung der Polizei schon geringer.

Post-Sprecher Alexander Edenhofer erklärt: „Unsere Mitarbeiter und die Mitarbeiter in den Partner-Filialen werden intensiv zu dem Produkt Postident, zum Geldwäschegesetz und zur Betrugsprävention geschult.“ Danach gebe es „regelmäßige Qualitätssicherungen“. Wie genau die Post all das bei „Partner-Filialen“ sicherstellt, sagt er nicht.

Im Hausflur hängt plötzlich noch ein Briefkasten

Es gelingt ja trotzdem immer wieder, Konten unter falscher Identität zu eröffnen. Das kann auch die Prüfung bei der Schufa nicht verhindern – „Weil es unter dem nicht-existenten Namen gar keinen Eintrag gibt“, sagt Szymanski.

Um ein Konto zu nutzen, muss der Eröffner die Zugangsdaten per Post entgegennehmen. Dafür werden wechselnde Adressen genutzt, vornehmlich in großen Städten wie Berlin, wo sich in vielen Häusern niemand darum kümmert, wenn im Hausflur plötzlich ein zusätzlicher Briefkasten hängt. Es gibt auch Fälle, in denen leichtgläubige Leute ihre Adresse zur Verfügung stellen, eine Provision erhalten – und sich nachher wundern, wenn die Polizei vor der Tür steht.

Wer bei der Postident-Prüfung einen ausländischen Pass vorlegt, braucht zusätzlich eine Meldebescheinigung. Die lässt sich genauso fälschen – oder einfach bei einem Berliner Bürgeramt abholen. Szymanski zufolge kommt es vor, dass in einigen Wohnungen der Hauptstadt bis zu zwanzig Leute registriert sind. „Früher musste man für die Anmeldung beim Bezirk eine Bescheinigung des Vermieters mitbringen – heute ist das laut Meldegesetz so nicht mehr erforderlich. Aus Sicht der Polizei ist das aber problematisch, weil es den Missbrauch erleichtert.“

Nicht nur die Post ist äußerst zurückhaltend, wenn es darum geht, konkrete Fragen zu Sicherheitsrisiken zu beantworten, auch die Banken geben sich wortkarg. Bei der ING-Diba, der größten unter den deutschen Direktbanken, die bei Kontoeröffnungen allesamt auf das Postident-Verfahren zurückgreifen, heißt es zu den Betrügerkonten: „Das sind absolute Einzelfälle, welche im Laufe des Eröffnungsprozesses durch diverse Prüfprozesse entdeckt werden.“

Die (von der Deutschen Post unabhängige) Postbank, die die Postident-Prüfung in ihren Finanzcentern selbst anbietet, antwortet bloß allgemein. Die Commerzbank-Tochter Comdirect übergeht die Frage ganz.

Die Pressesprecherin der DKB, einer Tochter der Bayerischen Landesbank, ruft kurz an und möchte nachher nicht einmal schriftlich bestätigen, dass sie keine Auskunft gibt.

Für ein Problem, das eigentlich gar nicht existieren soll, ist die Informationsblockade auf allen Seiten erstaunlich.

Wer zahlt für zusätzliche Sicherheit?

Das könnte daran liegen, dass die Einbußen, die den Banken selbst entstehen, überschaubar sind. Es gibt zwar Fälle, in denen Betrüger leichtfertig eingeräumte Dispokredite ausschöpfen und dann auf Nimmerwiedersehen verschwinden – aber das sind „keine nennenswerten Schäden“, bestätigt die ING-Diba. Den eigentlichen Schaden haben andere.

Die Deutsche Post kann es sich nicht so einfach machen. Nach KR-Informationen hat sich neben der Polizei auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) um verstärkte Sicherheitsmaßnahmen für das Postident-Verfahren bemüht. Die BaFin möchte dazu keine Stellung beziehen, dementiert aber auch nicht.

Inzwischen sind die Kriterien verschärft worden, um das Verfahren sicherer zu machen. Wie genau, will die Post nicht sagen: „Die Geheimhaltung unserer Sicherheitsmaßnahmen ist Teil unseres Sicherheitskonzepts.“ Für die Gewinnung neuer Auftraggeber scheint dieser Vorsatz nicht zu gelten, zumindest informiert die Post auf ihrer Internetseite im Detail über einige Maßnahmen. Dazu gehört etwa die „Scan-Datenbereitstellung“, bei der Formulare und Anlagen auch eingescannt werden. So lässt sich beispielsweise der zur Identifizierung vorgelegte Ausweis im Nachhinein noch einmal auf Echtheit prüfen und eine Kontoeröffnung mit gefälschten Dokumenten doch noch verhindern.

Für diesen „Service“ berechnet die Post jedoch zusätzlich 30 bis 85 Cent (zuzüglich Mehrwertsteuer). Das heißt, die Post wälzt die Kosten für zusätzliche Sicherheit auf die Auftraggeber ab. Aber: Zahlen die auch?

Comdirect antwortet: „Aus Sicherheitsgründen äußern wir uns hierzu nicht konkreter.“ Die DKB kommuniziert gar nicht. Die Postbank weicht aus. Einzig der ING-Diba-Sprecher erklärt konkret: „Aktuell nein, aber wir prüfen derzeit die Anbindung per Schnittstelle an die Post für die digitale Bereitstellung der Identifikationsdaten.“ Das heißt: Theoretisch sind zusätzliche Sicherheitsmaßnahmen verfügbar. Praktisch scheint bislang aber niemand die Kosten dafür übernehmen zu wollen.


Nun lassen sich Post und Banken nicht alleine für das Problem verantwortlich machen. Der mit der Kontoeröffnung angestoßene Betrugskreislauf funktioniert letztlich nur deshalb, weil bei vielen Kunden im Angesicht des Schnäppchens die Vernunft aussetzt. Georg Tryba von der Verbraucherzentrale Nordrhein-Westfalen weiß, wie das von Kriminellen ausgenutzt wird: „Manche Fake-Händler locken ihre Kunden während des Bezahlvorgangs bewusst in Zahlarten, die für sie vorteilhaft sind.“ So würden zum Beispiel Rabatte versprochen, wenn per Vorkasse bezahlt wird. Sicherere Bezahlmöglichkeiten wie der Kauf auf Rechnung oder Einzug per Lastschrift würden hingegen verteuert.

Handelslimits für neue Ebay-Verkäufer

„Wenn ein Händler eine deutsche Kontonummer angibt, heißt das noch lange nicht, dass er deswegen seriös ist oder Sie Ihr Geld zurückbekommen können, wenn sich ein Betrug herausstellt“, sagt Carsten Szymanski vom LKA. Genau das glauben aber viele. Deshalb raten Polizei und Verbraucherzentralen, vor einem Kauf genauestens Nutzerbewertungen und Kontaktmöglichkeiten des Verkäufers zu prüfen. Szymanski: „Aufmerksam sind die Kunden immer dann, wenn Sie hochpreisige Artikel einkaufen – bei Waren, die günstig angeboten werden, eher nicht.“

Große Anbieter wie die Verkaufsplattform Ebay haben reagiert und Handelslimits für neu angelegte Konten eingeführt, erklärt ein Sprecher auf Krautreporter-Anfrage und nennt exakte Grenzen für private und gewerbliche Verkäufer, die sich auf Umsatz und Artikelzahl beziehen. (An dieser Stelle bin ich freiwillig unkonkret.) Außerdem seien Limits für Kategorien eingeführt worden, die sich als besonders betrugsanfällig herausgestellt haben. Neue Anbieter dürfen „nur eine bestimmte Anzahl an Produkten in bekannten riskanten Kategorien einstellen“. Zudem überprüfe Ebay hochpreisige Artikel neuer Verkäufer „sehr genau“: „Im Zweifel werden Herkunftsnachweise zu den angebotenen Artikeln angefordert, oder der Verkäufer wird angehalten, sichere Zahlungsmethoden wie Paypal anzubieten.“


Der Knackpunkt ist aber weiterhin das Konto, auf welches das Geld überwiesen wird. So lange sich ein Weg finden lässt, Bankgeschäfte unter falscher Identität abzuwickeln, lohnt sich für Kriminelle auch der Aufwand, Kunden und Anbieter auszutricksen.

Auf „Sichtkontakt“ im Videochat

Die Banken wiederum wollen in erster Linie neue Kunden gewinnen und haben deshalb wenig Interesse daran, das Prüfverfahren zu verkomplizieren. Sie arbeiten sogar an einer Vereinfachung. Einige Institute bieten seit kurzem die – komfortablere – Identifizierung am heimischen PC an, per Videochat. Bei den von der BaFin lizenzierten Verfahren geben Kunden ihre Daten in ein Formular ein, chatten mit einem Mitarbeiter des Bank-Dienstleisters (oder der Post) per Webcam, lassen Fotos von sich machen und halten ihren Ausweis mit Vorder- und Rückseite in die Kamera, damit der Mitarbeiter das Hologramm überprüfen kann. Das war's schon.

Die Echtheit sei anhand „verschiedener, über Videokamera gut erkennbarer Sicherheitsapplikationen in den Ausweisen“ gut überprüfbar, heißt es bei der Post. Comdirect erklärt zum „VideoIdent“: „Wir erachten die Betrugsanfälligkeit als gering, da sich der Interessent im direkten Sichtkontakt per Videotelefonie mit uns befindet.“ Es klingt wie eine Einladung an Betrüger, sich künftig nicht mal mehr um besonders ausgefeilte Fälschungen bemühen zu müssen.

Ein paar Klicks, bitte lächeln - fertig ist die Identifizierung per Video

Image caption: Ein paar Klicks, bitte lächeln - fertig ist die Identifizierung per Video

Copyright: Foto: Deutsche Post

Beim Berliner LKA wartet man ab: „Wir müssen sehr aufmerksam beobachten, wie sich das elektronische Verfahren entwickelt, damit es nicht missbraucht werden kann“, sagt Carsten Szymanski.

Bislang ist die Nutzung des neuen Angebots offensichtlich überschaubar. Comdirect meldet Video-Identifizierungen „im unteren vierstelligen Bereich“ pro Monat; bei ING-Diba sind es eigenen Angaben zufolge „über 10 Prozent der Neukunden“, insgesamt „über 20.000“; die DKB schweigt. Und die Postbank hat das Verfahren noch gar nicht im Einsatz.

Die meisten Kunden werden sich also weiterhin in der Postschlange anstellen, um ihr neues Konto zu eröffnen. Und machen im Zweifel die Erfahrung, dass die Sicherheitsmaßnahmen doch ganz gut funktionieren: Manch „echtem“ Kunden wird die Identifikation am Schalter verweigert, wenn der Mitarbeiter feststellt, dass die Unterschrift zu sehr von der auf dem mitgebrachten Ausweis abweicht. Jeder, der nicht mehr exakt so unterschreibt wie auf dem Dokument, das er vor vielen Jahren beantragt hat, wird bei der Postident-Prüfung also zuverlässig aussortiert. Wer erst vor ein paar Tagen eine Fantasieunterschrift auf den frisch gefälschten Ausweis gesetzt hat, muss sich deswegen eher keine Sorgen machen.


Aufmacherfoto: Deutsche Post

Der Text wurde gesprochen von Alexander Hertel von detektor.fm