Seit drei Jahren erlebt ein Mann im Netz ein Martyrium: Verträge und Kredite werden auf seinen Namen abgeschlossen, sein Stromanbieter gekündigt. Er hat einen Verdacht, wer hinter dem Identitätsdiebstahl steckt – aber die Polizei guckt weg
Das Martyrium von Frank S.* beginnt an einem Mittwochabend im März 2019 mit einem „Herzlichen Glückwunsch“. In der Mail von der Vermittlungsplattform kautionsfrei.de wird ihm mitgeteilt: „Wir haben Ihre Daten geprüft und die Bonitätsprüfung hat zu einem positiven Ergebnis geführt.“ Einen Tag später erhält er einen Bürgschaftsvertrag, elektronisch unterschrieben und damit rechtskräftig. In der Mail heißt es: „Den Jahresbeitrag bucht die R+V Versicherung anschließend von Ihrem Konto ab.“ Das Problem: Der reale Frank S. hat nie eine Mietkautionsversicherung abgeschlossen.
Seit drei Jahren geht das nun schon so, etwa alle zwei Monate ein neuer Vertrag, von dem Frank S. keine Ahnung hat. Inzwischen sind es 35 Fälle von Identitätsdiebstahl. Mal ist es eine Versicherung, die die unbekannten Täter auf seinen Namen abschließen, mal ein Kredit, mal ein Handyvertrag. Es werden Reisen, Pralinen, Hundefutter bestellt, Gaming-, Dating-, Zeitungs- und Netflix-Abos angelegt. Allein vier Stromanbieterwechsel wurden in Auftrag gegeben. Frank S, 58, lebt in Süddeutschland und ist selbstständiger Unternehmensberater. Er heißt anders, doch der Schutz seiner Identität ist ihm wichtig geworden. Da ihm Polizei, Cybercrime-Experten und Staatsanwaltschaft nicht helfen konnten, hat er den Freitag in Einzelheiten seines Falles eingeweiht. Nach drei Jahren des Missbrauchs fragt sich Frank S.: „Wie lange noch? Wo soll das hinführen, wenn die wahre Identität eines Menschen nichts mehr wert ist? Am Ende heißt das für mich sogar lebenslänglich!“
Digitale Identitäten sind zur lukrativen Dealerware geworden, erklärt das Hasso-Plattner-Institut und zählte vergangenes Jahr weltweit fast 13 Milliarden kompromittierte Accounts: Das sind gut 1,6 Millionen geleakte Datensätze am Tag, die wiederum „als Ausgangspunkt für weitere kriminelle Handlungen genutzt werden“, so das Bundeskriminalamt.
Obwohl Frank S. gleich am nächsten Tag widerspricht, lässt sich die Kautionsversicherung nicht mehr stoppen. Die Daten, die die Täter angeben, sind völliger Unsinn. Demnach soll Frank S. eine Bürgschaft für eine Wohnung (Nettokaltmiete: 5.000 Euro) gebraucht haben, an deren Adresse seit 30 Jahren sein Eigenheim steht. Trotz der absurden Angaben konnte der Täter mit elektronischer Unterschrift eine Kautionsversicherung über 14 .500 Euro für Frank S. abschließen, deren erste beiden Beiträge in Höhe von 147,42 Euro am 2. April 2019 von seinem Konto abgebucht wurden. Wie konnte es dazu kommen?
Die genossenschaftliche R+V Versicherung reagierte spät und machte dann lieber Produktwerbung: Eine Mietkautionsversicherung sei heute „der gängige Weg“, um die Kaution für eine Wohnung zu hinterlegen. Darüber hinaus frage man sich natürlich schon, „warum jemand auf derartige Weise betrügt“. kautionsfrei.de sagt, man könne nichts über die Maßnahmen gegen ID-Diebstahl sagen, um diese nicht zu kompromittieren.
Eon ist alles egal
Im August 2021 informiert die Schufa Frank S. über eine Bonitätsabfrage von Eon. Dabei ist Frank S. seit zwanzig Jahren bei einem Ökostromanbieter. Keine Stunde später telefoniert er mit dem Eon-Kundenservice, schreibt eine Mail mit der Bitte um sofortige Klärung – nichts passiert. Anfang September kündigt ihm sein bisheriger Stromanbieter Naturstrom aufgrund des in Auftrag gegebenen Anbieterwechsels automatisiert. Weil fast alle maßgeblichen Angaben über den echten Frank S. falsch sind – Geburtsdatum, Telefonnummer, E-Mail-Adresse –, hat er nie eine Auftragsbestätigung von Eon erhalten. Auch die Bankverbindung ist diesmal ungültig, Frank S. hatte sie nach der falschen Kautionsversicherung aufgelöst.
Sofort widerruft er die Kündigung bei seinem langjährigen Lieferanten und erfährt von seinem Kundenbetreuer, dass die Täter, wie schon bei den drei versuchten Stromanbieterwechseln zuvor, seine Zählernummer nicht kannten. Der Kundenbetreuer spricht von einem „Zahlendreher“. Falsche Zählernummern sind für einen Stromriesen wie Eon mit seinen 14 Millionen Kunden nicht ungewöhnlich, wie der Konzern Frank S. in einem Schreiben vom September 2021 erläutert, „da viele Kunden bereits die Herstellernummer mit der Zählernummer verwechseln“. Man gehe nicht sofort von einem Identitätsdiebstahl aus, wenn Kunden wegen „mitunter komplexer Vorgänge“ in der Energiewirtschaft „durchaus öfter“ unterschiedliche Marktakteure verwechseln. Da der vom Täter angegebene Vorlieferant falsch war, wie Eon bestätigt, stellt sich die Frage: Wie konnte es überhaupt zum Vertragsabschluss kommen?
Unklar bleibt, wer die Angaben ohne Wissen und auf Kosten von Herrn S. korrigiert hat, sodass der Anbieterwechsel angebahnt werden konnte. Lieferant und Netzbetreiber schieben sich gegenseitig die Verantwortung zu. Für die Verifizierung der Zählernummern sei der Netzbetreiber zuständig, schreibt Eon. Die Lechwerke als Netzbetreiber erklären, dass die Zählerdaten „von Beginn an korrekt“ gewesen seien. Da der Täter weder Zählernummer noch Stromlieferant von Frank S. kannte, ist das nachweislich falsch. Die Verbraucherzentrale Rheinland-Pfalz beklagt schon lange einen „mangelnden Einblick in die Geschäftspraxis der Netzbetreiber“ und geht davon aus, dass „ungefragt eine Korrektur des offensichtlichen Fehlers vorgenommen“ wurde, „um den Wechselprozess nicht zu verzögern“. Warum eine detaillierte Plausibilitätsprüfung der online eingegebenen Angaben grundsätzlich nicht durchgeführt werde, erklärt Eon so: „Ein möglichst sparsamer Umgang mit Daten ist uns insgesamt sehr wichtig – im Interesse unserer Kundinnen und Kunden.“ Im eigenen Interesse prüft Frank S. jetzt juristische Schritte gegen Eon: wegen grober Verletzung seiner personenbezogenen Daten.
Ihn ärgert, dass in einem Land mit einem so hohen Datenschutz die Kriminellen so leichtes Spiel haben. Warum in der Plattformökonomie alle Systeme automatisiert auf Vertragsabschluss getrimmt sind und einfachste Sicherheitsüberprüfungen unterlassen werden? Warum die Unternehmen die Nutznießer dieses Spiels sind und die Verbraucher sich nicht dagegen wehren können? Frank S. ist seit Oktober 2019 bei der Schufa als „Identitätsbetrugsopfer“ gelistet, wie über 7.000 Verbraucher in Deutschland. Seine Kreditwürdigkeit hat darunter wundersamerweise nicht gelitten, sein Basisscore: 99,54 Prozent! Die Schufa hält Frank S. für einen exzellenten Kunden, bei dem sich die Unternehmen keine Sorgen machen müssen, dass er seine Rechnungen bezahlt. Wie das geht?
Im Oktober 2021 erhält Frank S. von der Vergleichsplattform finanzcheck.de gleich mehrere Vertragsangebote für einen Privatkredit, den er nie angefragt hat. Die Schufa informiert ihn noch am selben Tag, dass sechs Banken (darunter SWK-Bank, Deutsche Bank und Postbank) eine Bonitätsabfrage zu seiner Person gestellt haben. Obwohl „Identitätsbetrugsopfer“, bekommt er einen unterschriftsreifen Kreditvertrag („Ihr persönlicher Wunschkredit“) zugeschickt. Auch diesmal sind die Angaben absurd. So verfügt der „Arbeiter“ Frank S. über ein monatliches Nettoeinkommen von 6.222 Euro, seine monatlichen Verpflichtungen belaufen sich auf 236 Euro, davon beneidenswerte 34 Euro für Miete und kein einziger Euro für seinen Lebensunterhalt. Dennoch soll er einen Kredit in Höhe von nur 2.300 Euro über eine Laufzeit von zwei Jahren beantragt haben. Am selben Tag schreibt Frank S. an finanzcheck.de, dass er keine Kreditangebote angefragt habe. Er bitte darum, dass das Portal umgehend die betroffenen Banken darüber informiere, dass er seit zweieinhalb Jahren Opfer von Identitätsbetrug sei. Auf Nachfrage erklärt finanzcheck.de, dass solche Kreditangebote ausschließlich „automatisiert“ erstellt werden und wieder verfallen, wenn sie nicht angenommen werden. Die SWK-Bank reagiert kryptisch, „ein solcher Finanzierungsvorschlag ist kein von der SWK-Bank unterbreitetes, verbindliches Kreditangebot“. Was dann?
Frank S. ahnt, wer hinter dem Identitätsdiebstahl steckt
Seit Frank S. bei der Schufa als Identitätsbetrugsopfer registriert ist, wurde seine Identität 28-mal missbraucht, das vorerst letzte Mal Anfang Mai 2022. Zu betrügerischen Geschäftsanbahnungen könne es immer kommen, erklärt die Auskunftei auf Nachfrage, das könne „weder das betroffene Unternehmen noch die Schufa verhindern“. Der Fall von Frank S. zeige, „dass das Verfahren funktioniert“. Die anfragenden Unternehmen erhielten die Information über den Identitätsbetrug, „letztendlich kam es nicht zu einem Geschäftsabschluss“.
Das wiederum ist nachweislich falsch: Die Kündigung des Stromanbieters inklusive des Wechsels zum neuen Anbieter Eon war ein gültiger Geschäftsabschluss. In den anderen Fällen war es Frank S., der Widerspruch einlegte und Schlimmeres verhinderte – nicht die Schufa. Damit nicht immer neue Verträge auf seinen Namen abgeschlossen werden können, versucht sich Frank S. bei Eon & Co. auf eine schwarze Liste setzen zu lassen. Das wiederum heißt: Je besser er sich selbst vor einem erneuten Identitätsbetrug schützt, desto schwieriger wird es für ihn in Zukunft, tatsächlich den Stromanbieter wechseln oder einen Kredit aufnehmen zu können.
Die Polizei wirkt bei all dem hilflos. Im Oktober 2021, zweieinhalb Jahre nach Beginn der Diebstahlserie, hat sie ein Sammelaktenzeichen zum Fall Frank S. angelegt. Damals gab es 13 Aktenzeichen zu 13 verschiedenen Ermittlungsverfahren wegen „versuchten Computerbetrugs“. Die meisten wurden von der Staatsanwaltschaft Kempten zügig eingestellt. Die Standardbegründung: „Der Täter konnte nicht ermittelt werden.“ Der bewegt sich im Internet auf Seiten mit gefälschten Zertifikaten, die auf Panama, in Russland oder Osteuropa registriert sind, seine IP-Adressen verschleiert er mittels VPN-Server ganz legal. Frank S. ist empört: „Dass man im digitalen Geschäftsverkehr kein Nummernschild braucht, über das jeder identifizierbar wird, ist ein Unding.“ Die Polizei erklärt auf Nachfrage, dass „alle verfügbaren Ermittlungsansätze ausgeschöpft“ wurden, doch bis heute ist ungeklärt, wie die Täter an die Daten von Frank S. gekommen sind. Frank S. hat keine Social-Media-Accounts, ist im Netz kaum zu finden, sein Computer nie gehackt worden. Eine privat beauftragte IT-Forensikerin bestätigte ihm, dass seine Echtdaten im Darknet nicht zu finden sind.
Dabei hat er durchaus einen Verdacht, wer ihm seit Jahren so übel mitspielen könnte: Ein Onlinehändler aus Niedersachsen, mit dem er unmittelbar vor dem ersten Datenmissbrauch in Streit geraten war. Frank S. hatte bei ihm ein fehlerhaftes Zubehörteil gekauft, das sein Motorrad erheblich beschädigt haben soll. Frank S. bestand darauf, dass ihm der Schaden ersetzt werde, die Gemüter kochten hoch, im März 2019 willigte der Händler ein, den Schaden seiner Berufshaftpflicht zu melden. Tags darauf begann der Datendiebstahl.
Wenn Frank S. recht hat, dann geht es dem Täter vor allem um Rache, nicht um Geld. Das Bedrohungsgefühl aber, sagt Frank S., dass ein Unbekannter jahrelang in krimineller Absicht in seinem Leben herumspuke, sei beängstigend. Die Polizei interessierte sich kaum für den von Frank S. vermuteten Händler. Für einen Anfangsverdacht sei das zu wenig, erklärte man ihm, die Verhältnismäßigkeit angesichts des bisher entstandenen finanziellen Schadens für derlei Eingriffe in den Datenschutz nicht gegeben. Das ist die bittere Ironie am Martyrium des Frank S.: Letztlich genießen die Daten des mutmaßlichen Täters einen größeren Schutz als die seines Opfers.
* Name geändert
Thilo Komma-Pöllath ist freier Journalist u. a. für SZ Magazin, FAS und Welt. Mitautor von „Die notwendige Revolution“ (Ariston-Verlag 2021, 22 €)
Lesen Sie mehr in der aktuellen Ausgabe des Freitag.