Wirtschaft Teure Bezahl-Fallen drohen

Mobiles Surfen kann manchmal unerwünschte Folgen haben. Beim Clickjacking manipulieren Anbieter ihre Webseite so, dass bereits b
Mobiles Surfen kann manchmal unerwünschte Folgen haben. Beim Clickjacking manipulieren Anbieter ihre Webseite so, dass bereits beim Anklicken eines Werbebanners eine Bestellung ausgelöst wird.

«Ludwigshafen.»Abo-Fallen beim mobilen Surfen haben die Bundesbürger innerhalb von drei Jahren alles in allem rund 70 Millionen Euro gekostet. Auch ein neues Redirect-Bezahlsystem, das die drei großen Mobilfunk-Netzbetreiber seit Mitte 2016 aus Sicherheitsgründen praktizieren, bietet „keinen ausreichenden Schutz“. Dies ist das Ergebnis einer aktuellen Studie des Marktwächter-Teams Digitale Welt der Verbraucherzentralen unter Hinweis auf Analysen eines Fraunhofer-Instituts.

Die Verbraucherschützer raten deshalb Kunden, die sich verlässlich schützen möchten, eine komplette oder selektive Drittanbietersperre für ihr Mobilgerät einzurichten (siehe zur Sache). Drittanbieter sind Unternehmen, etwa Nahverkehrsbetriebe oder Spiele- und Erotikportale, deren Leistungen der Verbraucher über die Smartphone-Rechnung bezahlt. Dies ist bequem, bietet aber eine Angriffsfläche für unseriöse Firmen, die Kunden angebliche Bestellungen unterschieben. Die Kosten für unbeabsichtigte Abos: zwischen 4,99 und 9,99 Euro – pro Woche. Beim sogenannten Clickjacking manipulieren Anbieter ihre Webseiten beispielsweise so, dass der Surfer bereits beim Anklicken eines Werbebanners oder des Abspiel-Buttons eines Videos eine Bestellung auslöst – ohne das zu bemerken. Laut einer repräsentativen Forsa-Umfrage im Auftrag der Verbraucherzentralen haben hochgerechnet rund 2,8 Millionen Bundesbürger im Zeitraum August 2013 bis August 2016 ungewollte Drittanbieter-Leistungen in Rechnung gestellt bekommen. Die geschätzte Schadenssumme: 71,5 Millionen Euro. Bei dem neuen Redirect-Verfahren, das die drei großen Netzbetreiber Telefónica, Telekom und Vodafone freiwillig eingeführt haben, werden die Surfer von Internetseiten der Drittanbieter auf eine separate Bezahlseite des jeweiligen Netzbetreibers geleitet. Nur wenn der Verbraucher den Kauf dort bestätigt, wird der Preis über die Mobilfunkrechnung abgebucht. Das Verfahren erreicht auch die Kunden der anderen Provider, die die Netze nutzen. Allerdings kann der einzelne Betreiber bestimmte Drittanbieter, die er als seriös einschätzt, vom Redirect ausnehmen. Laut Studie hat das neue Verfahren bislang zwar zu einem deutlichen Rückgang der Anzahl an Kunden-Beschwerden geführt. Als unzureichend bewerten die Verbraucherzentralen jedoch die Drittanbieter-Kontrollen durch die Netzbetreiber. „Aufgrund unserer Untersuchungsergebnisse kommen wir zu dem Schluss, dass 250 Stichproben pro Monat nicht ausreichen“, sagt Teamleiter Tom Janneck von der Verbraucherzentrale Schleswig-Holstein. Außerdem befürchten die Verbraucherschützer, dass unseriöse Anbieter vom herkömmlichen Clickjacking auf andere Tricks ausweichen könnten. Vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit in München haben sie deshalb Ende 2016 und im Juli 2017 verschiedene Missbrauchsszenarien testen lassen. Demnach könnte es unseriösen Drittanbietern insbesondere mit manipulierten Smartphone-Apps gelingen, das Redirect-Schutzverfahren „zu unterlaufen“, wie es in der Marktwächter-Studie heißt. Vereinfacht dargestellt läuft die „derzeit wirtschaftlich erfolgversprechendste“ Angriffsvariante so ab: Mittels einer App lädt der Anbieter zunächst die eigene Webseite auf dem Smartphone seines Opfers, leitet den Redirect dort ein und aktiviert schließlich den Bestell-Button auf der Netzbetreiber-Plattform – wie beim Clickjacking vom Gerätenutzer unbemerkt. „Im Zusammenhang mit einer schädlichen Applikation auf dem Smartphone bietet das Redirect-Verfahren als alleinige Sicherheitskomponente keinen Schutz“, folgern die Verbraucherschützer. Selbst weitere Schutzmechanismen, die die Betreiber in unterschiedlicher Weise anwenden, könnten Missbräuche nicht restlos ausschließen, so die Studie. Die Untersuchung ist im Kontext einer Novelle des Telekommunikationsgesetzes vom April dieses Jahres zu sehen, mit der die Bundesnetzagentur den Auftrag erhalten hat, den Mobilfunkfirmen ein verbraucherschützendes Verfahren für das mobile Bezahlen verbindlich vorzuschreiben. Die – noch ausstehenden – Anhörungen zur Festlegung dieses Verfahrens sollten „das Risiko minimieren“, dass Lücken im Redirect „vorhanden sind oder entstehen“, sagte ein Sprecher der Agentur. In diesem Jahr habe die Behörde bislang 181 schriftliche Kunden-Beschwerden zum Themenkomplex Drittanbieter registriert, wobei es nicht immer um strittige Anbieter-Forderungen gehe. Wie hoch die Dunkelziffer an Missbrauchsfällen liegt, ist unbekannt. Nach Einschätzung des Verbandes der Anbieter von Telekommunikations- und Mehrwertdiensten (VATM) ist das Redirect-Verfahren „sicher und zuverlässig“ und „gegenwärtig einer der besten Schutzmechanismen, der Unternehmen und Kunden zur Verfügung steht“. Die VATM-Mitgliedsunternehmen verzeichneten Reklamationen nur noch in Einzelfällen. Die Deutsche Telekom weist darauf hin, dass es bei keinem Bezahlverfahren eine hundertprozentige Sicherheit gebe. „Jedoch verhindert Redirect, dass durch das Anklicken einer mobilen Webseite oder eines Banners sofort eine Bezahlung ausgelöst wird und somit ungewollte Kosten entstehen“, sagte ein Sprecher.

x