Es war purer Zufall, dass er spätabends noch mal in sein Online-Girokonto bei der Commerzbank Bremen geschaut habe, erzählt Mario Poppen. Dabei sei er auf zwei ihm vollkommen unerklärliche Überweisungen von zusammen knapp 40.000 Euro gestoßen. Das Geld war schon von seinem Konto abgebucht, sollte aber erst ab nächsten Morgen freigegeben werden. So konnte er die Transaktion noch in letzter Minute über die Hotline der Bank stoppen. Weniger Glück hatte er im September 2024, als ihm bei der Sparkasse Bremen Ähnliches widerfuhr. Damals wurden 33.000 Euro auf drei ihm unbekannte Konten überwiesen. Bis heute versuche er, das Geld ersetzt zu bekommen, sagt er. Ohne Erfolg – nach Auffassung der Bankinstitute muss der Fehler bei ihm gelegen haben.
Es war Anfang Mai, als Poppen entdeckte, dass jemand dabei war, sein Girokonto bei der Commerzbank abzuräumen. Zwei Überweisungen sollte er angeblich früher am selben Tag autorisiert haben. Über 37.839,99 Euro die eine, über 2145,99 Euro die andere. Adressiert jeweils an das Konto einer gewissen Ayse Y. bei einer Bank in Frankfurt. Sogar wofür das Geld gedacht war, konnte Poppen dem Buchungstext entnehmen – für eine BMW-Limousine M340i.
Erklären konnte er sich das alles nicht. Und was ihn zusätzlich wundert: „Eigentlich haben wir keine so hohe Summe auf dem Girokonto, aber ich hatte just eine Woche zuvor eine größere Rückzahlung erhalten.“
Bei der Commerzbank ging die Sache glimpflich aus. Die Zahlung konnte abgebrochen werden, das Girokonto wurde gesperrt, inzwischen hat Poppen neue Zugangsdaten bekommen. „Allerdings wurde mir seitens der Bank in keiner Weise erklärt, wie das passieren konnte.“
Die Commerzbank äußert sich auf Anfrage des WESER-KURIER aus Datenschutzgründen nicht zu dem konkreten Fall. Im Prinzip könne es aber nur eine Erklärung für das Geschehene geben, sagt Jutta Wellmann, Pressesprecherin Region West der Bank. Die persönlichen Daten des Kunden seien offensichtlich geleakt worden, verweist sie auf Betrugsmaschen wie Phishing, bei denen es Betrügern gelingt, Betroffene dazu zu bringen, auf gefälschte Links zu klicken, persönliche Daten anzugeben oder schädliche Dateien herunterzuladen. „Der Kunde hat mit Sicherheit irgendwann im Internet seine Daten freigegeben.“
Ähnlich sieht es auch die Sparkasse Bremen. Hier hatte es am 17. September 2024 zwischen 17.09 Uhr und 17.16 Uhr vier Überweisungen über insgesamt knapp 32.000 Euro von zwei seiner Konten gegeben. Angeblich wurden damit Rechnungen beglichen. Empfänger waren Konten bei Banken in Hamburg, Düsseldorf und Duisburg.
Es gibt einen gravierenden Unterschied zum Vorfall mit der Commerzbank im Mai dieses Jahres – Poppen bemerkte die Überweisungen erst, als sie bereits abgeschlossen waren. Auch hier schlug er sofort Alarm, hatte aber nur teilweise Erfolg. Die an die Bank in Hamburg überwiesenen 9456,98 Euro konnten von der Sparkasse zurückgeholt werden, ebenso 3000 Euro von der Bank in Duisburg. Doch die restlichen fast 20.000 Euro blieben verschwunden.
Ihn habe unter der Festnetznummer der Sparkasse ein gewisser „Dennis Schneider“ angerufen, erinnert sich Mario Poppen. Der habe ihn aufgefordert, mehrere Push-TAN freizugeben. Wie viele andere Geldinstitute nutzt die Sparkasse dieses Verfahren, um über eine spezielle App Onlinebanking-Transaktionen freizugeben. Dabei wird jeder Sicherheitscode verschlüsselt erzeugt und kann nur auf dem persönlich registrierten Smartphone in der App angezeigt und freigegeben werden.
Obwohl er der Aufforderung des Anrufers nicht nachgekommen sei, wurden kurz darauf 31.711,82 Euro von seinen Konten überwiesen. Im Nachhinein sei ermittelt worden, dass von einem anderen Handy aus jemand sein Limit in mehreren Schritten von 2000 auf 50.000 Euro hochgesetzt hatte. Die Freigabe der Überweisungen soll dann aber laut Sparkasse von seinem Handy aus erfolgt sein, berichtet Poppen. „Die haben mir unverblümt gesagt, dass der Drops damit gelutscht ist. Man könne da nichts mehr machen, weil ich die Überweisungen über mein Handy legitimiert hätte.“ Was er energisch bestreitet. „Ich habe überhaupt nichts freigegeben.“
Auch Oliver Ladeur, Pressesprecher der Sparkasse Bremen, äußert sich auf Anfrage nicht zu dem konkreten Fall. Verweist aber auf die hohen Sicherheitsstandards beim Push-TAN-Verfahren. Eine heimliche Registrierung eines weiteren Geräts durch Dritte sei ausgeschlossen. Selbst wenn Unbekannte an die Onlinebanking-Zugangsdaten eines Betroffenen gelangen würden: „Ohne die aktive Freigabe durch den Kunden in der App wird keine Transaktion ausgeführt.“ Und diese Freigabe könne ausschließlich von dem zuvor in der App registrierten Gerät erfolgen.
Trotz aller technischen Absicherungen bleibe aber ein Restrisiko, betont Ladeur. „Wenn fremden Personen Zugriff auf das Gerät erlaubt oder persönliche Daten weitergeben werden, kann selbst das beste Sicherheitssystem die Kunden nicht schützen.“ Die Sparkasse sieht darin eine grob fahrlässige Verletzung der Sorgfaltspflicht. „In solchen Fällen haften wir nicht für entstandene Schäden.“
Mario Poppen will das nicht hinnehmen. Er hat in beiden Fällen Anzeige bei der Polizei erstattet und im Streit mit der Sparkasse einen Anwalt eingeschaltet. Aus der Aufstellung der Geschäftsvorfälle ginge hervor, dass der Zugriff auf sein Konto mittels eines fremden Smartphones erfolgte und im Zusammenhang mit den getätigten Transaktionen zwei unterschiedliche IP-Adressen im Spiel gewesen seien. „Was laut Sparkasse doch angeblich gar nicht möglich ist.“
