Am 22. Februar erhielt Manuel Dossenbach aus Zug am Abend von den SBB ein E-Mail: «Vielen Dank für deinen Ticketkauf», hiess es in der Betreffzeile. Der 27-Jährige hielt die Nachricht für ein Spammail, da er zuvor kein Billett gekauft hatte.
Am nächsten Morgen fand er in seiner Mailbox fünf weitere Bestätigungen für Käufe von SBB-Tickets. Angeblich hatte er Billette für Reisen etwa in Italien, Deutschland, Österreich und in den Niederlanden gekauft.
Bezahlt worden waren die Tickets über Twint, für insgesamt 1367 Franken. In seiner SBB-App hat Manuel Dossenbach Twint als Zahlungsmittel hinterlegt. Via Twint war der Betrag von seinem Konto bei der Zuger Kantonalbank abgebucht worden.
Dossenbach begab sich sofort zu einem Schalter der SBB. Einige Tickets konnte er noch stornieren, doch letztlich blieb ihm ein Verlust von 689 Franken. Er wandte sich auch an die Österreichischen Bundesbahnen und bat darum, die Tickets zu annullieren. Doch dort liess man ihn wissen, diese seien bereits verwendet und kontrolliert worden.
«SBB schützen Kaufprozess zu wenig»
Darauf erstattete Dossenbach Anzeige bei der Zuger Polizei. Auf Anfrage sagt diese, bei ihr hätten sich weitere Geschädigte gemeldet. Dossenbach gelangte auch an die Zuger Kantonalbank, die seine Twint-App herausgibt. Die Bank lehnte eine Erstattung ab. Man leite den Fall an Twint weiter.
Dossenbach wundert sich, dass der Billettkauf auf seine Kosten möglich war, und kritisiert: «Die SBB schützen den Kaufprozess nicht genügend.» Er hält es für «unglaublich», dass irgendjemand in seinem Namen Tickets kaufen und diese einfach so mit seinem Twint-Konto zahlen könne.
Die Billette hatten Unbekannte über Manuel Dossenbachs Swisspass-Konto gekauft. Es ist unklar, wie sie an die Zugangsdaten gelangten. Der K-Tipp weiss von zwei ähnlichen Fällen. Auch dort bereicherten sich Unbekannte, indem sie über ein Swisspass-Konto für mehrere Hundert Franken Bahnbillette kauften und dafür das in der SBB-App hinterlegte Zahlungsmittel Twint benutzten.
Die Alliance Swisspass ist die Betreiberin der Plattform Swisspass. Sie bestätigt die erwähnten Fälle. Laut Sprecherin Susanna Wittwer gab es bei den SBB kein Datenleck.
Als möglicher Grund für gehackte Swisspass-Konten kommen für Wittwer Phishing-Angriffe infrage: In letzter Zeit waren laut der Sprecherin E-Mails im Umlauf, die den Anschein machten, als kämen sie von den SBB. Kunden werden mit einem angeblichen Treuebonus dazu verleitet, ihr Passwort anzugeben. Wer dies tut, liefert den Versendern der Mails alle nötigen Angaben, um sich in das Swisspass-Konto einzuloggen.
Twint ist nicht zusätzlich gesichert
Eine Weitergabe des Passwortes wird zusätzlich zu einem Verlustrisiko, wenn in der SBB-App Twint als Zahlungsmittel hinterlegt ist. Das ermöglicht es nach dem Einloggen, ohne Hürden Zahlungen vorzunehmen. Denn diese müssen nicht durch eine weitere Sicherheitsstufe, etwa ein Passwort oder einen PIN-Code, bestätigt werden. Das Geld wird dem Bankkonto sofort belastet.
Twint-Sprecher Ettore Trento nimmt zu den konkreten Fällen nicht Stellung. Er sagt nur, das Geld werde jeweils «gemäss Twint-Regeln» zurückerstattet. Der Kunde müsse sich an den Händler wenden. Komme es dort zu keiner Einigung, müsse man an die Bank gelangen, welche die Twint-App herausgibt.
Das haben die erwähnten SBB-Kunden getan – doch sie warten noch immer auf ihr Geld. Immerhin: Die Bank einer Betroffenen hat dieser angekündigt, die SBB würden ihr Geld erstatten. Die Alliance Swisspass sagt, jeder Fall werde einzeln geprüft.
Swisspass: So verhindert man den Ticketbetrug
- Swisspass-Konto: Wer bei Swisspass über ein Konto verfügt, sollte die Zwei-Faktor-Authentifizierung aktivieren: am Computer unter Swisspass.ch beim eigenen Konto anmelden und unter «Mein Konto» > «Logindaten» > «Zweistufiges Anmelden (2 FA)» auswählen. Dann reicht die Eingabe von E-Mail und Passwort nicht aus, um sich ins Konto einzuloggen. Für den Zugriff ist eine zusätzliche Bestätigung via SMS am Handy nötig.
- Zahlungsmittel: In der Smartphone-App der SBB sollte man wenn möglich als Zahlungsmittel eine Kreditkarte wählen. So lassen sich Belastungen noch vor dem Bezahlen prüfen und allenfalls beanstanden. In der Twint-App kann man ausserdem prüfen, welche Händler Twint automatisch als Zahlungsmittel benutzen können. In den Zahlungseinstellungen unter «Automatisierte Zahlungen» kann man die Erlaubnis für jedes einzelne Unternehmen aufheben.
- Passwort: Auf der Internetplattform Haveibeenpwned.com kann man überprüfen, ob die eigene E-Mail-Adresse von einem Datenleck betroffen ist. Ist dies der Fall, sollte man bei Benutzerkonten, die diese Mailadresse verwenden, das Passwort ändern. Benutzt man für mehrere Benutzerkonten das gleiche Passwort, sollte man dieses überall ändern. Das gilt auch, wenn man sich von einem Phishingmail hat täuschen lassen.
