Das ist passiert: Ein 25-jähriger Student aus Zürich stellt fest, dass er sich auf der SBB-App nicht mehr in sein Swisspass-Konto einloggen kann. Beim SBB-Kundendienst und am Schalter erfährt er, dass jemand in sein Konto eindringen und dort eine andere E-Mail-Adresse hinterlegen konnte. Die Betrüger haben also sein Swisspass-Konto samt den hinterlegten Zahlungsmitteln quasi gekapert. Dann haben sie auf Kosten des Studenten Bahnbillette nach Frankreich im Wert von insgesamt 853 Franken gekauft.
So reagiert der Bestohlene: «Ich war schockiert, dass so etwas passieren konnte», sagt der Student im SRF-Konsumentenmagazin «Espresso». Fast 900 Franken sind für ihn eine Menge Geld. Wie die Betrüger an seine Daten gelangen konnten – über Phishing, zum Beispiel, oder wegen eines Datenlecks bei einer anderen Firma –, weiss er nicht. Am SBB-Schalter hilft man ihm, sein Swisspass-Konto zurückzusetzen und ein neues Login zu erstellen. Da er seine Zugtickets jeweils über die Bezahl-App Twint gekauft hat, meldet er den Betrugsfall auch dort und erstattet Anzeige bei der Polizei.
Erhält er sein Geld zurück? Das ist noch offen. Die SBB teilt ihm zu seiner Enttäuschung mit, man könne ihm den Betrag nicht zurückerstatten, da jene Tickets bereits benutzt worden seien. Das sei allgemein so in den Tarifbestimmungen der Alliance Swisspass geregelt, sagt Michaela Ruoss, Mediensprecherin der ÖV-Branchenorganisation: «Wir können nur Billette zurückerstatten, die noch nicht benutzt worden sind.»
Was machen die Bezahl-App und die Bank? Dort ruhen nun die Hoffnungen des Betroffenen. Im Fall einer Beanstandung sollen sich Kundinnen und Kunden an ihre Bank wenden, heisst es bei Twint auf Anfrage. Im konkreten Fall hat der Bezahl-Dienstleister nach Auskunft des Studenten gleich direkt mit seiner Bank, der Crédit Suisse, Kontakt aufgenommen. Diese prüft eine Rückerstattung.
Was rät die ÖV-Branche? Die Masche sei schon länger bekannt, heisst es bei der Alliance Swisspass. Man empfehle geschädigten Kundinnen und Kunden, sich umgehend bei ihrem Zahlungsdienstleister zu melden, die betroffene Kreditkarte sperren zu lassen und eine Anzeige bei der Polizei zu erstatten.
Wie kann man Hackern das Leben schwerer machen? Als wirksamstes Mittel gegen Cyberkriminalität empfiehlt die ÖV-Branche, eine zusätzliche Sicherheitsstufe einzuschalten: die Zwei-Faktor-Authentifizierung. Das lässt sich relativ einfach im Swisspass-Kundenkonto unter «Persönliche Daten» und «Logindaten ändern» anpassen. Dann erhält man fortan beim Einloggen zusätzlich noch ein SMS mit einem Code aufs Handy.
Welche Sicherheitsmassnahmen sind sonst noch sinnvoll? Seit Kurzem erhalten ÖV-Kundinnen und -Kunden ein Warn-Mail, wenn eine Anmeldung über ein bisher unbekanntes Gerät erfolgt ist. Man kann dann reagieren, falls tatsächlich jemand Fremdes ins Konto eindringen will. Allgemein empfiehlt es sich für jeden Dienst ein anderes Passwort und vor allem starke Passwörter zu verwenden. Auch ein Login mit Fingerabdruck, Gesichtserkennung oder Authentifizierungs-Apps machen es Hackern schwer bis unmöglich, Daten zu klauen und Leute abzuzocken.