Essen. Immer mehr Menschen im Ruhrgebiet werden ihre Payback-Punkte gestohlen. Wie man sich schützen kann und wie das Unternehmen reagiert.

Es ist wahrscheinlich die Frage, die im deutschen Handel am häufigsten gestellt wird. „Sammeln Sie Payback-Punkte?“ 31 Millionen Menschen nicken dann, zücken ihre Karte und halten sie vor ein spezielles Lesegerät, um für ihren Einkauf elektronische Rabattpunkte auf einem speziellen Konto im Internet zu sammeln. Für einen Euro, manchmal auch erst für zwei, gibt es einen Punkt. Und jeden Punkt ist einen Cent wert. „Das ist nicht die Welt“, sagt Dieter Weber (Name geändert), „aber eigentlich eine gute Sache. Einkaufen gehen wir ja sowieso.“

Deshalb sammeln der Essener und seine Frau auch schon seit zehn Jahren. „Meine Frau löst die Punkte immer für Bücher ein.“ Im Augenblick aber gibt es nichts zu lesen. 4000 angesammelte Punkte sind weg. Eingelöst von Unbekannten im Online-Shop einer großen Einzelhandelskette. „Ich kann mir das nicht erklären.“

Immer mehr Beschwerden im Internet

Auch interessant

Wer in dm-Drogeriemärkten seine Payback-Karte zückt, erhält künftig weniger Punkte für seinen Einkauf.
Payback-Ärger: So erklärt dm die heftige Punkte-Kürzung

Da ist Weber nicht alleine. Bei Facebook etwa gibt es seit einigen Wochen eine eigene Gruppe der Payback-Geschädigten. Jüngst wurde der 1000. Teilnehmer gezählt. Auch in anderen Online-Foren häufen sich die Beschwerden. Und die Verbraucherzentrale NRW hat mittlerweile eine eigene Internetseite zu dem Phänomen eingerichtet. In Einzelfällen sind angeblich Punkte im Wert von über Tausend Euro verschwunden. Solche Zahlen will Payback-Sprecherin Nina Purtscher nicht bestätigen. „Aber die Zahl der Fälle“, räumt sie ein, „ist gestiegen, seit es Corona gibt.“

Auch auf dem Handy lassen sich Payback-Punkte sammeln
Auch auf dem Handy lassen sich Payback-Punkte sammeln © SOPA Images/LightRocket via Getty Images | Sopa Images

Ansonsten weist das Unternehmen jede Schuld von sich: „Wir haben keine Sicherheitslücke“, widerspricht Purtscher Gerüchten aus dem Internet. Deshalb erstattet das Unternehmen „gestohlene Punkte leider nicht zurück“. Das Problem liege auf Kundenseite, sagt Purtscher. Gerade in letzter Zeit seien wieder verstärkt Phishing-Mails im Netz unterwegs. Mails also, die die Empfänger auf täuschend echt aussehende Unternehmensseiten locken, wo sie gebeten werden, ihre Zugangsdaten einzugeben. „Das ist sehr professionell gemacht.“

Im Netz kursieren Milliarden von gestohlenen Passwörtern

„So etwas habe ich nie bekommen“, stellt Dieter Weber klar. Und blättert man durch die Foren, ist dort jeder überzeugt, nie auf eine Phishing-Mail geklickt zu haben. Durchaus möglich, räumt die Payback-Sprecherin ein, weist aber darauf hin, dass im so genannten „Darknet“ Milliarden von Datensätzen – eMail-Adressen samt Zugangsdaten - verkauft werden, die illegal bei große Online-Unternehmen abgegriffen wurden. Computerhacker würden diese Daten mit spezieller Software im Sekundentakt auf Seiten wie Ebay, Amazon, Facebook oder eben Payback testen. „Oft nutzen Kunden leider dieselbe Email und Passwort-Kombination bei mehreren Accounts“, weiß Purtscher. Und leider seien trotz aller Warnungen immer noch Passwörter wie „12345“ oder „Passwort“ sehr beliebt.

Ist mein E-Mail Konto gehackt?

Sicherheitsexperten weisen einmal mehr darauf hin, dass man im Internet für jeden Account ein anderes Passwort auswählen sollte.

Tipps für sichere Passwörter gibt es u.a. unter www.verbraucherzentrale.de

Unter haveibeenpwned.com kann man auch ganz einfach prüfen, ob die eigene Mailadresse schon mal im Netz in Datenlecks auftaucht ist.

Nach dem Diebstahl von Punkten, rät Payback, sollte man Anzeige erstatten.

Wer Punkte von den Payback-Konten gestohlen hat, muss anschließend nur an eines der Payback-Terminals gehen, die in vielen Supermärkten stehen. An ihnen lässt sich das bestehende Punkteguthaben in Gutscheine umwandeln, die man wenig später zu Bargeld machen kann. Um sich an den Terminals anzumelden benötigt man keine Payback-Karte. Es reichen die (abgefischten) E Mail-Adressen und Passwörter.

Neue Sicherheitsmaßnahmen geplant

Die gesammelten Punkte kann gegen Prämien eintauschen
Die gesammelten Punkte kann gegen Prämien eintauschen © dpa | Jens Kalaene

Auch interessant

Die NRW-Verbraucherzentrale warnt vor teuren Prämien in den Shops von Bonusprogrammen wie Payback oder Deutschlandcard.
Payback verklagt Verbraucherschutz nach Warnung vor Prämien

Da kommt anscheinend was zusammen mit der Zeit. Auf einschlägigen Seiten im Netz werden Punktesammlungen im Wert von über 80000 Euro für wenig Geld angeboten. Zum Glück bleibt der Schaden im Einzelfall allerdings meist überschaubar. „Es geht aber nicht in erster Linie um das Geld“, sagt Dieter Weber. „Es geht darum, dass man das Gefühl hat, von Payback nicht ernst genommen zu werden.“

Bei Payback will man die Sicherheitsmaßnahmen nun verschärfen. Unter anderem, sagt Purtscher, ziehe man – ähnlich wie beim Online-Banking - auch eine Zwei-Faktor-Authentisierung (2FA) in Erwägung. Dann würden sich die Punkte nur einlösen lassen, wenn neben E-Mail und Passwort zum Beispiel auch ein spezieller Code eingeben wird, der unmittelbar zuvor auf das Smartphone des rechtmäßigen Kontoinhabers geschickt wurde.

Weber kennt die Technik und hofft auf schnelle Umsetzung. „Das wäre“, sagt er, „zumindest mal ein Anfang.“