Ein Mann aus dem Kanton Luzern konnte sich plötzlich nicht mehr in sein Kundenkonto beim Online-Elektronikhändler Digitec einloggen. Es stellte sich heraus, dass Betrüger sich mit seinen Zugangsdaten eingeloggt und danach E-Mail-Adresse und Passwort geändert hatten. An eine Lieferadresse in der Westschweiz bestellten sie so Waren für 1'300 Franken.
Auf Anraten des Digitec-Kundendienstes erstattete der Betroffene Anzeige und informierte seine Rechtsschutz- und Haftpflichtversicherungen. Von der Polizei erfuhr er kurz darauf, dass auch Digitec Anzeige eingereicht habe in diesem Fall. Der Kunde nahm daher an, dass Digitec ihm die Rechnung erlassen würde, da es sich um eine betrügerische Bestellung handelte.
Das schliesst nicht aus, dass unser Kunde selbst für sein Login verantwortlich ist und die Rechnung entsprechend begleichen muss
Digitec besteht auf Zahlung
Doch weit gefehlt. Digitec besteht darauf, dass er die offene Rechnung von 1300 Franken bezahlt. Digitec-Sprecherin Norina Brun sagt, sie hätten bei der Polizei zwar ebenfalls eine Anzeige gemacht: «Dennoch schliesst dies nicht aus, dass unser Kunde selbst für sein Login verantwortlich ist und die Rechnung entsprechend begleichen muss.»
Hier können Sie testen, ob Ihre Zugangsdaten gestohlen und im Internet angeboten werden:
Digitec habe überprüft, dass die Logindaten nicht aus ihrem System entwendet worden seien: «Bei uns hat weder ein Hack stattgefunden, noch wurden Logindaten geleakt. Die Täterschaft ist mit gültigen Anmeldedaten in das Kundenkonto eingedrungen.» Bei diesem unrechtmässigen Zugriff seien Cookies verwendet worden, die den verwendeten Computer gegenüber Digitec als bereits bekanntes Gerät identifiziert hätten. Daher habe der «Espresso»-Hörer auch keine Sicherheitswarnung erhalten, als seine Zugriffsdaten und die Lieferadresse verändert wurden. Die verwendeten Cookies hätten ausschliesslich im Browser des Kunden existieren können, schreibt Digitec: «Daraus lässt sich folgern, dass die Angreifer zum Zeitpunkt der Bestellung Zugriff auf Geräte des Kunden bzw. dessen Cookies hatten.»
Kunde hatte Zwei-Faktoren-Authentifizierung nicht aktiviert
Der Betroffene selbst kann sich nicht erklären, wie und wann ihm seine Logindaten hätten gestohlen werden können. Er sei sehr vorsichtig und befolge die gängigen Sicherheitstipps. Nur die Zwei-Faktoren-Authentifizierung, mit welcher jede Anmeldung zusätzlich bestätigt werden muss, hatte er nicht aktiviert.
Experte: «Haftungsausschluss nicht missbräuchlich.»
Digitec hat den Haftungsausschluss für solche Fälle auch in den AGB festgehalten. Rechtsanwalt Martin Steiger, Spezialist für Recht im digitalen Raum, sagt, dass dieser Passus nicht missbräuchlich sei. Es sei verständlich, dass Digitec keine Haftung übernehmen könne und wolle, wenn es Probleme mit den Zugangsdaten eines Kunden gebe. Und weiter: «Wenn mit den eigenen Zugangsdaten etwas missbräuchlich bestellt wurde, ist man weiter in der Verantwortung. Nur mit dem Verweis auf den Missbrauch ist man nicht aus dem Schneider.»
Hilreiche Links:
Auch wenn eine Bestellung mit gestohlenen Login-Daten also offensichtlich betrügerisch ist, entbindet dies betroffene Kundinnen und Kunden nicht von der Zahlungspflicht. Denn Kunden sind für den Schutz ihrer Login-Daten vor Missbrauch selbst verantwortlich. Anders ist es, wenn die Logindaten direkt aus dem System des Online-Händlers gestohlen oder weitergegeben werden.
Der Kunde hat die offene Rechnung bis jetzt nicht beglichen. Er will abwarten, was Digitec weiter unternimmt.
