Ich stelle mal eine Information im Blog ein, die mich bereits Ende Juli 2024 erreicht hat. Jemand ist von einem Gericht zu einer Haftstrafe verurteilt worden, weil er auf "kreative Art" das Unternehmen TeGut betrogen hat. Alles, was es brauchte, war die TeGut-App und ein Fake-Mitarbeiterausweis mit einer geratenen Mitarbeiter-Personalnummer. Schon ließ sich auf fremde Kosten in den voll digitalisierten teo-Märkten einkaufen. Inzwischen hat die IT wohl ihre Hausaufgaben gemacht, aber der Fall zeigt, wie weit die Strecke bis zur sicheren und beherrschbaren Digitalisierung noch ist.
Anzeige
Mir fallen ad hoc zwei doofe Werbesprüche im Kontext ein – Toyota hat mal "nichts ist unmöglich" getitelt – und irgendwie spuckt noch der Werbespruch "wir machen es möglich" – oder war es "wir manchen den Weg frei" einer Bank – im Hinterkopf herum. Und mir kam natürlich sofort der Blog-Beitrag Betrug: "Unberechtigte Fremdeinkäufe" mit Netto-App; PayPal verweigert Erstattung in den Sinn, als mich die Information des Lesers erreichte. Bei der Netto-App gab es Fälle, wo Kunden erstaunt feststellten, dass jemand in einer fremden Stadt auf ihre Kosten eingekauft hat. Genau in diesem Kontext segelt auch der aktuelle Betrugsfall – alles was gebraucht wird, ist eine App, etwas Kreativität, gepaart mit krimineller Energie, sowie die Patzer der TeGut IT bzw. der dort Verantwortlichen.
TeGut und die Teo-Märkte
TeGut ist eine Supermarkt-Kette, die "gute Lebensmittel und Bio-Produkte" im Angebot hat. Wir hatten vor vielen Jahren einen solchen Markt in einem Stadtteil – wobei ich das Angebot verwirrend fand – es blieb bei einem Besuch, und die TeGut-Filiale ist seit mindestens 10 Jahren in unserem Wohnort Geschichte. Aber das Unternehmen hat laut Eigenaussage gut 350 tegut-Läden in Deutschland.
Und dann gibt es noch die sogenannten teo-Läden – kannte ich bis jetzt nicht. Es sind kleine Läden, die in Regionen eröffnet werden, wo sich ein normaler Supermarkt mit Personal nicht halten kann. Ein spannendes und sinnvolles Konzept, um die Versorgung auf dem Land in kleinen Ortschaften aufrecht zu erhalten. Der erste teo-Markt wurde 2020 in Fulda eröffnet. Es handelt sich um ein innovatives Ladenkonzept, bei dem in einem digitalen und nachhaltigen Kleinstladen auf einer Verkaufsfläche von 50 m² insgesamt 950 Produkte für den täglichen Bedarf angeboten werden.
Die digitale Verkaufstechnologie macht den Supermarkt zu einem Selbstbedienungsladen, der rund um die Uhr geöffnet hat (nur gesetzliche Auflagen im Ladenöffnungsgesetz der Länder, die ein Sonntags-Verkaufsverbot festlegen, schränken die Öffnungszeiten ein). Anfang März 2024 gab es 39 dieser teo-Märkte, weiß die Wikipedia.
Anzeige
Auf fremde Kosten einkaufen
Da die Kleinstläden weitgehend ohne Personal auskommen, und zu normalen Zeiten wohl auch dünn besetzt sind, erfolgt die Bezahlung der Einkäufe ausschließlich digital. Dreh- und Angelpunkt ist dabei die TeGut teo-App. Der Zugang zum Markt geschieht über die teo-App, und auch das Scannen der Waren erfolgt per App. Am Ende des Einkaufs ist der Warenkorb dann zu bezahlen.
Das funktioniert laut dieser FAQ über eine Kredit- oder Debit-Karte, eine Mitarbeiterkarte oder über die tegut teo-App per Smartphone (wenn dort ein Bankkonto für den Ausgleich der Einkäufe hinterlegt ist). Alles wunderbar digital und auch ohne Mitarbeiter im teo-Markt anwendbar.
Ein 27 jähriger Mann kam nun auf die Idee, sich die TeGut-App auf dem Smartphone zu installieren. Da als Bezahlmethode die teo-Märkte bzw. die App auch eine Mitarbeiternummer akzeptieren, fertigte der Betrüger sich einen "eigenen Mitarbeiterausweis" mit der Fantasiepersonalie Maximilian Seefürst an. Im aktuellen Betrugsfall konnte die betreffende Person einfach eine fiktive Personalnummer durch Eingabe einiger Ziffern auf dem Fake-Mitarbeiter-Ausweis sowie in der App hinterlegen.
Ein Blog-Leser hat mich per Mail über den Fall informiert und merkte an, dass zu dieser Zeit wohl keine Validierung dieser Eingabe erfolgte. Weder gab es eine 2FA-Authentifizierung oder einen Bestätigungslink an die im Mitarbeiter-Account hinterlegte Mailadresse, etc.
Es reichte eine fiktive Nummer in der App einzugeben und auf dem gefälschten Mitarbeiterausweis einzutragen, um in den Teo-Märkten einkaufen zu können – selbst wenn es für die angegebene Mitarbeiternummer keinen Mitarbeiter-Account und kein Bankkonto zum Abbuchen gab. Am Scanner an der Kasse der Theo-Märkte verwendete der Mann dann eine gefälschte Mitarbeiterkarte zum Nachweis "der Legitimität" und zur Bezahlung des Warenkorbs.
Im Prozess sagte der Angeklagte: "Ich war zu der Zeit arbeitslos. Für die Märkte gibt es eine App und da konnte man bei Bezahlungsmitteln die Mitarbeiternummer als Karte hinterlegen. Ich habe es einfach mit einer zufälligen Zahl probiert, und es hat direkt geklappt. Ich habe es dann mit verschiedenen Nummern ausprobiert, weil ich es nicht glauben konnte, aber es hat immer funktioniert." War natürlich ein "Freifahrtschein" und zeigt, wie Digitalisierung (nicht) funktioniert.
Der 27-Jährige erschlich sich im Jahr 2022 in Teo-Märkten der Region Göttingen waren im Wert von 17.000 Euro. In diesem Artikel des Hanauer Anzeiger, der über den Fall und die Verurteilung berichtete, ist von Einkäufen in weiteren Regionen wie Fulda, Steinau und weiteren Orten die Rede. Beliebt waren Zigaretten, die der 27-Jährige weiter verkaufte.
Der Betrug flog auf, als der Treasury-Abteilung auffiel, dass bei einer Mitarbeiternummer zwar große Bewegungen stattfanden, jedoch kein Konto hinterlegt war. Im Artikel des Hanauer Anzeigers wird eine Mitarbeiterin von Tegut mit der Aussage zitiert: "Ich sollte überprüfen, was passiert ist. Wir haben uns, passend zu den Belegen, die Überwachungsvideos angesehen und eine Anzeige geschrieben."
Die Identität des 27-Jährigen konnte die Polizei schließlich über die Einkäufe von Tabakwaren aufdecken. Denn zur Altersidentifizierung war einmalig eine Debit-Karte erforderlich – in der teo-App wurde diese Freigabe vermerkt. Die benutzte "EC-Karte" führte zum Täter.
Der Fall legte schonungslos die Versäumnisse der TeGut-Verantwortlichen bei der Implementierung dieser Digitalisierungsprozesse offen. Dort hat man inzwischen nachgesteuert und diese Art des Betrugs ist nicht mehr möglich.
Spannend wird es noch bei der Verurteilung des 27-Jährigen zu 19 Monaten Haft. Staatsanwaltschaft und Verteidigung plädierten beide auf Diebstahl. Die Richterin erkannte aber in diesem Fall durch die Eingabe der Ziffern für die Personalnummer der Mitarbeiterkarte einen Fall von Computerbetrug. Der Beklagten wurde daraufhin auf Grund von §263a zu einer Freiheitsstrafe verurteilt. Fall von "Security by Obscurity bzw. Androhung von Strafe" – so geht Deutschland juristisch Anno 2024.
Wie schloss der Blog-Leser, der mir obigen Fall per Mail zuspielte: Wenn du den Inkognito-Modus des Browsers nutzt, um einen zweiten Visit beim Zähler einer Webseite zu generieren, stehst du mit einem Bein im Knast. Registrierst du dich als "Max Muster" in irgendeinem unbedeutenden Forum sind es beide Beine.
Ich fürchte, eine (sichere) digitale Wende, die immer erfleht wird, liegt noch Lichtjahre entfernt. Mir graust jedenfalls vor den Folgen der Digitalisierungsumsetzung, kann ich doch täglich hier im Blog gravierende Versäumnisse von Seiten der IT, aber auch fehlendes Wissen und Sorglosigkeit auf Seiten der Anwender dokumentieren. Oder wie seht ihr das?
Anzeige
Toller Beitrag. Machte Spaß, ihn zu lesen.
Über die Nikotinsucht (Altersnachweis) hat man Ihn gefunden, da hat er wohl nicht nachgedacht. Und die fiktive Mitarbeiternummer zeigt nur das die APP wohl schnell fertig sein musste, die Sicherheit fällt dann eben aus.
Hauptsache die APP ist bunt und fertig. Das mit dem Verifizieren von Benutzer-Eingaben scheint heutzutage erstmal nicht so wichtig zu sein.
Da wundert es nicht, das A03 "Injection" bei OWASP in den Top 10 2021 geführt wird.
Wir reden hier "nur" von Digitalisierung wo Denken und Umsetzung zu kurz kommen.
So wird es wohl auch mit KI gehandhabt.
Naja man könnte neben Computerbetrug auch noch Urkundenfälschung und Hehlerei in den Fall hinein deuten und das auch gut begründen. Wobei ich da auf das Opportunitätsprinzip und den Rechtsfrieden hinweise. Gerade wenn Verteidigung und Staatsanwaltschaft sich nach Abwägung der Umstände beide bei Diebstahl belassen wollten. Mich würde da die Urteilsbegründung interessieren, warum da das Gericht dem Anschein nach noch meint, einen "oben drauf" setzen zu müssen.
Steht nicht auch "Verleiten zu einer Straftat" unter Strafe?
Ich meine das muß ja wohl Absicht sein, wenn man die Nummer nicht prüft?
Andererseits gibt's wohl tausende von Überwachungskameras, die leer sind…
Genau sehe ich auch so, dein Auto darfst du auch nicht unverschlossen herumstehen lassen, da du sonst andere zu einer Straftatverleiten könntest. Da gibt es bei den Versicherern auch eine Gewisse Mitschuld, wenn du es trotzdem tust, kann das auch eine Ordnungswidrigkeit darstellen.
Selbstverständlich darf man nichts einfach so klauen, nur weil es einem extrem einfach gemacht wird, aber in diesem Fall sollte man doch dem Hersteller, der App, eine gewisse Mitschuld nachweisen können.
Mir ist nicht klar, wie der zutragende Blog-Leser aus dem geschilderten Sachverhalt zu seinem Schluss mit den Beinen im Knast kommt.
Da hat einer mit Aufwand (gefälschter Ausweis) und krimineller Energie eine Sicherheitslücke in der Software planmäßig ausgenutzt. Klar ist das Computerbetrug. Ein konventioneller Ladendieb wird sich schwer tun, 17.000 Euro Beute zu machen. Und wenn der – bloß weil die Ladentür über Nacht offenstand – mit Bewährung davonkäme, liefe wirklich was verkehrt.
Ich finde die Begründung zum Computerbetrug dennoch spannend. Wenn ich rein durch das Eingeben von falschen Daten (die Richterin hat ihr Urteil und die Strafe laut Zeitungsartikel so begründet) dieses Strafmaß kassiere kann es IMHO strafbewährt sein, wenn ich als "Max Muster" und "Lisa Müller" und drei anderen Namen bei irgendeiner Abstimmung für jemanden stimme (der dann als Bestplatzierter 300€ für sein Projekt gewinnt). Und Hand aufs Herz, wer hat nicht schon mal über seine Zweit-Mailadresse noch mal für das Herzensprojekt eines Freundes/Bekannten gestimmt, wenn das in irgendeinem Wettbewerb war?
Ja, das Gesetz lässt die Begründung zu, nur würde ich den Fokus nicht auf COMPUTERBetrug, sondern klassischen Betrug setzen. Du kommst heute nicht mehr ohne Computer aus, nahezu jegliche Prozesse haben irgendwo IT im Ablauf drin. Ich hatte z. B. mal (inzwischen verjährt – wie die Zeit vergeht) bei Rossmann deren App zwei mal installiert (China-Handys hatten damals die Funktion drin, zwei Nutzer auf einem Handy zu haben, sonst gab es auch Apps dazu – ich habe mich ein mal mit richtigen, ein mal mit Fake-Daten registriert). Somit konnte ich den Bedarf an Windel&Co. immer mit 10% und zusätzlichen Pampers-Coupons abdecken (hab sogar ein paar mal anderen Eltern an der Kasse ausgeholfen, weil ich ja genug Coupons hatte). Nur weil das über die App lief (und nicht klassisch über das Einsammeln der Coupons bei Eltern & Freunden) wird daraus ein Computerbetrug? Oder der plumpe Versuch, als ein dubioser Telefonvertrags-Drücker meinem Vater mal einen Vertrag unterjubeln wollte (plumpe Fäslchung des vorgeblichen Vertrags durch den Drücker) – letztendlich wurde durch falsche Angaben ein Computersystem (Vertragsmanagement bei der Telekom) zum Vermögensschaden meines Vaters (überteuerter Vertrag) manipuliert – also Computerbetrug?
Deshablb: Betrug – meinetwegen. Strafmaß – diskutabel. Aber den Fokus der Urteilsbegründung auf den Computerbetrug zu legen finde ich etwas übertrieben.