Hannover. Beinahe täglich steht in irgendeiner deutschen Tageszeitung etwas von “Online-Betrug”. Beinahe täglich lese ich darüber hinweg. Online-Betrug, das ist doch was für Menschen mit Passwörtern wie “1234″, für Leichtsinnige, die ohne Nachzudenken auf Phishing-Mails klicken. An einem Samstagabend im Juni sollte sich mein Denken grundlegend ändern.

Es ist gegen 18 Uhr als auf meinem iPhone eine Nachricht aufgeploppt. “Guten Tag, ist das iPad noch zu haben?”. Ich bin gerade auf der Autobahn, auf dem Weg zurück aus dem Urlaub - das Smartphone navigiert mir den Weg, die Nachricht sehe ich nur flüchtig aus dem Augenwinkel. Ich stutze.

Wenige Sekunden später bimmelt es erneut. “Ich hätte Interesse an dem iPad” steht da. Und noch mal. Wieder geht es um ein iPad. Die Mitteilungen stammen von “Ebay Kleinanzeigen” - und genau ist das Problem. Ich habe dort nämlich gar kein iPad inseriert, nein: Ich habe meinen Account seit Jahren nicht mal genutzt. Ich steuere den nächsten Rastplatz an und starre verwundert auf mein Handy.

Mario K. hackt Ebay-Konto

Tatsächlich gibt es auf meinem Account ein neues Inserat: Ein Apple iPad Pro, samt Stift und Hülle zum Schnapper-Preis von 700 Euro. Was zum Teufel?

Mein erster Gedanke: Das muss ein Fehler sein. Möglicherweise bin ich versehentlich in einem falschen Account gelandet. Ich rufe die App-Einstellungen auf und stelle fest: Nein, die E-Mail-Adresse stimmt - es ist meine. Als Account-Inhaber steht dort allerdings nicht mehr mein Name, sondern ein gewisser Mario K.* aus einem kleinen Dorf bei Flensburg, Schleswig-Holstein.

Währenddessen bimmelt es erneut: Eine Frau namens Tanja* schreibt: “Ist das iPad noch zu haben?”. Wie von Geisterhand folgt wenige Sekunden später eine Antwort von meinem Account: “Klar, ist noch zu haben! Wenn Sie so nett wären, würde ich den restlichen Teil per WhatsApp klären. Geben Sie mir freundlicherweise Ihre Rufnummer?” Tanja willigt ein: “Ja klar, sehr gerne!”

Spätestens ab diesem Punkt weiß ich, was hier gespielt wird: Mein Account wurde offenbar gehackt. Mario K. sitzt gerade am anderen Ende der Leitung und versucht, vor meinen Augen und mit meinem Account eine Tanja abzuziehen. Mit einem iPad für 700 Euro, das es wahrscheinlich nicht mal gibt.

Täter bittet um Sofortüberweisung

Im brütend heißen Auto hantiere ich aufgeregt mit meinem Handy herum. Ich ändere umgehend mein Passwort, lösche das Inserat. Dann schreibe ich Tanja und hoffe inständig, dass es noch nicht zu spät ist: “Hallo Tanja, bitte zahlen Sie NICHTS an den Verkäufer! Mein Account ist gehackt worden, es gibt auch kein iPad!”

Tanja antwortet zügig, ist genauso schockiert wie ich. Der Mann habe sie per WhatsApp zur Sofortüberweisung aufgefordert und den Versand des iPads vorgeschlagen, berichtet sie. Das Abholen sei “aufgrund der aktuellen Situation” (damit meint er wohl Corona) nicht möglich.

Zur Überweisung der 700 Euro schickt K. der Betroffenen das Foto eines Überweisungsträgers. Darauf: Das Logo einer Sparkasse in Brandenburg sowie eine deutsche IBAN. Und der Name des angeblichen Kontoinhabers: Mario Konrad K. Tanja wird selbst stutzig - und überweist das Geld glücklicherweise nicht. Die Handynummer blockiert und löscht sie umgehend.

Wie konnte das passieren?

Noch auf dem Rastplatz verständige ich per Telefon die Polizei. Der Polizist am anderen Ende der Leitung empfiehlt mir, eine Online-Anzeige zu erstatten, was ich noch am selben Abend tue. Die Aussicht auf Erfolg gibt er mir gleich mit auf den Weg: Tagtäglich würden etwa 200 solcher Fälle gemeldet - dass die Täter gefasst werden, sei nahezu aussichtlos.

Nun gut, Polizei - dann muss ich halt selbst ran. Dieser Fall wurmt mich. Mario und ich - das ist jetzt ein persönliches Ding. Ich will ihn finden und herausbekommen, wie er das gemacht hat.

Wie zum Teufel ist er in meinen Account gekommen? Warum konnte er dort einfach ein Inserat schalten? Und überhaupt: Wie kommt jemand mit einem offenbar gefälschten Namen an ein Konto einer Sparkasse in Brandenburg?

Nicht zu vergessen: Mario ist noch immer da draußen. Es ist vermutlich nur eine Frage der Zeit, bis er den nächsten Account hackt und versucht, den nächsten gutgläubigen Ebay-Nutzer übers Ohr zu ziehen. Gibt es eine Chance, ihn zu stoppen?

Wer ist Mario K.?

Ich beginne meine Recherche mit der Suche nach Marios Namen - und komme zu einem erstaunlichen Ergebnis: Es gibt ihn offenbar wirklich. In dem Dorf bei Flensburg wurde im Jahr 2010 ein junger Mann mit dem Namen Mario Konrad K. konfirmiert, wie auf der Website einer Kirchengemeinde zu lesen ist. Socialmedia-Accounts und andere Sucheinträge jedoch fehlen. Es gibt keine öffentlich bekannten Schulabschlüsse, keine Vereinsmitgliedschaften, keine Berichte über Mario K. in Lokalzeitungen.

Kann es wirklich sein, dass ein Betrüger seinen echten Namen bei Ebay angibt und Konten hackt? Wohl kaum. Vielleicht ist Mario selbst Opfer von Identitätendiebstahl.

Im Telefonbuch der Gemeinde finde ich zwei Personen mit dem Nachnamen K. Ist Mario womöglich ein Sohn der Familie? Erneut laufe ich vor dicke Wände: Telefonisch ist keine der beiden Personen zu erreichen, auch nach mehrmaligen Versuchen nicht. Dieser Mario K. ist ein unerreichbares Phantom.

Wie kam Mario in meinen Account?

Deutlich einfacher zu klären ist derweil, wie der Betrüger mit dem Namen “Mario K.” an mein Ebay-Konto kam. Ich besitze den Account bei Ebay Kleinanzeigen seit gefühlt zehn Jahren, nutze ihn aber praktisch nie. Das Passwort auf der Plattform habe ich demnach auch seit Jahren nicht mehr erneuert. Gleiches gilt für die dazugehörige E-Mail-Adresse bei GMX. Gut möglich, dass die Zugangsdaten irgendwie im Netz gelandet sind.

Eine kurze Recherche beim Hasso-Plattner-Institut bestätigt meine Vermutung. Das Institut bietet auf seiner Website einen sogenannten “Identity Check” an. Mit Hilfe seiner E-Mail-Adresse kann dort jeder überprüfen, ob seine persönliche Daten abgegriffen und im Internet veröffentlicht wurden. Dabei greift das Institut auf eine Datenbank zurück, in der Cyberangriffe und die betroffenen Konten dokumentiert sind.

Meine E-Mail-Abfrage bringt Wundersames zum Vorschein: Gleich mehrmals sind meine E-Mail-Adresse und ein Passwort in den vergangenen Jahren im Netz gelandet, etwa nach Angriffen auf die Plattformen Adobe, Dropbox oder Tumblr. Seit März 2020 befinden sich Mailadresse und Passwort zudem in einer großen Datenbank der Polizei Nordrhein-Westfalen, die dem Institut zur Verfügung gestellt wurde. Woher die Daten genau kommen, ist unbekannt. Möglicherweise ist genau dieser Datenleak auch für den Ebay-Hack verantwortlich.

Mangelnde Sicherheit bei Ebay Kleinanzeigen

Doch auch Ebay Kleinanzeigen selbst dürfte nicht ganz unschuldig an der Misere sein. Bis heute bietet die Plattform trotz immer wiederkehrender und bekannter Angriffe keine 2-Faktor-Authentifizierung an - ein Sicherheitsstandard, der bei vielen Anbietern heute fest integriert ist und vor möglichen Hacker-Angriffen schützt. Man habe das Verfahren zwar in der Vergangenheit getestet, sagt Unternehmenssprecher Pierre Du Bois auf RND-Anfrage - eingeführt wurde es bislang jedoch nicht.

Du Bois vermutet, dass mein Passwort möglicherweise mittels einer Software “erraten” wurde. Dies sei vor allem bei Passwörtern unter 16 Zeichen der Fall. “Wir empfehlen daher, möglichst lange Passwörter zu verwenden.” Zahlen, Groß- und Kleinschreibung und Sonderzeichen spielten dabei “heutzutage kaum noch eine Rolle. Auf die Länge kommt es an.”

Wahrscheinlicher sei allerdings, dass sich jemand Zugang zu meinem GMX-Postfach verschafft habe, so Du Bois. Dann habe der Täter Zugang zu allen möglichen mit der Mail-Adresse verknüpften Konten.

Wie kam Mario an das Bankkonto?

Was auch immer der Grund war: Der Hack meines Kleinanzeigen-Accounts erscheint im Nachhinein plausibel. Meine eigene Schludrigkeit und fehlende Sicherheitsstandards beim Anbieter - eine verheerende Kombination. Weniger logisch hingegen ist die Sache mit dem Bankkonto. Denn wie kam Mario K. mit einem offenbar gefälschten Namen an das Konto einer deutschen Sparkasse? Muss man sich da nicht persönlich und mit einem Personalausweis identifizieren?

Auf der Suche nach Antworten stoße ich auf einen Artikel von Carsten Grüttner. Er ist Rechtsanwalt für unter anderem Vertragsrecht, Arbeitsrecht und Datenschutzrecht in Köln und hat erst im Mai auf der Plattform Anwalt.de über Betrugsfälle bei Ebay Kleinanzeigen geschrieben. Sein Artikel bildet genau meinen Fall ab: Ein gehackter Kleinanzeigen-Account bietet hochwertige Produkte an, dann weicht der Betrüger auf einen alternativen Kommunikationsweg aus - zum Beispiel WhatsApp. Dort bittet er um Überweisung auf ein deutsches Bankkonto.

“Es ist nicht besonders einfach, in Deutschland ein Bankkonto zu eröffnen”, weiß Grüttner. “Daher haben Betrüger sich inzwischen darauf spezialisiert, Konten durch gefälschte Ausweisdokumente zu eröffnen, oder Dritte durch Täuschung dazu zu bringen für sie Konten durch ein WebCam-Ident-Verfahren zu eröffnen.”

Auch einen weiteren Fall kennt der Rechtsanwalt: “Inhaber von Konten werden unter Vorspiegelung von falschen Tatsachen zur Ausnutzung ihres Kontos verleitet, indem eingehende Beträge nach Empfang an die Betrüger weitergeleitet werden.” Zwar machten sich diese “Strohmänner” damit strafbar, die Betrüger selbst seien jedoch oft nicht identifizierbar und greifbar.

Spur führt zur Online-Bank N26

Das passt zusammen. Den Namen Mario Konrad K. gibt es tatsächlich, das Konto ist offenbar auf seinen Namen ausgestellt. Mario K. ist möglicherweise gar kein Betrüger, sondern ein Strohmann. Ein Unschuldiger, der möglicherweise gar nichts von den Betrugsfällen weiß.

Ich schaue mir die IBAN des Betrüger-Kontos noch mal genauer an - und werde stutzig. Erst beim zweiten Blick fällt mir auf, dass auch der Überweisungsträger eine Fälschung ist. Und die IBAN gehört gar nicht zu einer angeblichen Sparkasse in Brandenburg, sondern zu der Online-Bank N26. Herausfinden lässt sich das beispielsweise über den IBAN-Rechner.

N26 ist bekannt als deutscher Vorreiter der Smartphone-Banken, hat nach eigenen Angaben rund 5 Millionen Kunden. Einnahmen und Ausgaben lassen sich hier in Echtzeit per App verfolgen. Zudem wirbt das Unternehmen mit der Eröffnung eines “Girokontos in wenigen Minuten auf deinem Smartphone”.

Sicherheitslücken bei der Online-Bank

Genau diese Einfachheit fällt dem Unternehmen allerdings regelmäßig auf die Füße: Im vergangenen Jahr berichtete der Bayerische Rundfunk von massiven Sicherheitslücken im Identifikationsprozess der Online-Bank. Zu Wort kommt in dem Beitrag Karin Schindler aus Köln (Name geändert), die sich für einen Nebenjob als Produkttesterin bei einem vermeintlich seriösen Marktforschungsunternehmen bewirbt. Ihr Auftrag: Sie soll testen, wie gut und einfach sich bei der Bank N26 ein Online-Konto eröffnen lässt - dazu durchläuft sie den typischen Identifikationsprozess per Webcam.

Was Karin Schindler nicht weiß: Sie legt bei der Bank gar kein Testkonto für das vermeintliche Marktforschungsunternehmen an - sondern ein Betrüger-Konto, das künftig auf Plattformen wie Ebay Kleinanzeigen zum Einsatz kommen soll. Das Marktforschungsunternehmen meldet sich daraufhin nie wieder. Die Website der angeblichen Firma wird gelöscht, Handynummern sind nicht mehr erreichbar. Das Konto allerdings ist weiterhin im Einsatz.

Die Bafin, die Bundesanstalt für Finanzdienstleistungsaufsicht hatte N26 bereits im Frühjahr des vergangenen Jahres abgemahnt: Es gebe Mängel bei Maßnahmen gegen Geldwäsche und Terrorfinanzierung, hieß es damals. Das Unternehmen werde angewiesen, “eine vorgegebene Anzahl von Bestandskunden neu zu identifizieren”, also: Fake-Konten zu löschen oder zu verhindern.

Was sagt N26 zum Fall?

Auch N26 bitte ich um Aufklärung des Falls. Ein Sprecher erklärt auf RND-Anfrage, man habe den Fall Mario K. an die Abteilung zur Kriminalitätsbekämpfung weitergeleitet. “Alle potenziellen Betrugsfälle werden von uns untersucht. Sollte sich der Verdacht bestätigen, wird das Konto sofort gesperrt und der Fall unverzüglich der Financial Intelligence Unit und den Strafverfolgungsbehörden gemeldet”, heißt es in einer Stellungnahme der Bank.

Wie genau Mario K. ein Konto bei der Bank eröffnen könnte, lässt die Bank aus Datenschutzgründen offen. Man habe in den vergangenen Jahren verschiedene “Sicherheitsmaßnahmen implementiert”, etwa beim Anmeldeprozess - aber auch bei der Überwachung auffälliger Transaktionen, heißt es auf Anfrage. Dabei komme auch künstliche Intelligenz zum Einsatz, so der Sprecher.

Betrugsfälle wie dieser seien der Bank durchaus bekannt - man arbeite daher “aktiv mit der Polizei und den Behörden” zusammen.

Mario K. macht weiter

Abgeschlossen ist der Fall damit noch lange nicht. Denn Mario K. hat sich wieder auf Ebay Kleinanzeigen eingeloggt. Nicht in seinen Account, nicht in meinen, sondern in den eines anderen nichtsahnenden Nutzers - er versteht schließlich sein Handwerk.

Am Abend weist mich Tanja auf den neuen Fall hin. Diesmal bietet Mario in dem kleinen Dorf bei Flensburg neben dem schon mal inseriertem iPad Pro auch ein iPhone sowie eine Drohne von DJI an. Natürlich nicht zur Abholung. Aufgrund der aktuellen Situation.

Tanja und ich melden die Inserate bei Ebay Kleinanzeigen. Kurz darauf verschwinden sie von der Seite. Eins muss man der Plattform lassen: Sie reagiert schnell. Ob es auch schnell genug war, um gutgläubige Interessenten zu schützen? Das weiß nur Mario.

* Namen und Wohnorte wurden zum Schutz der beteiligten Personen geändert.