{"id":303075,"date":"2024-09-19T00:13:42","date_gmt":"2024-09-18T22:13:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=303075"},"modified":"2024-09-20T19:13:39","modified_gmt":"2024-09-20T17:13:39","slug":"betrugsfall-mit-tegut-teo-app-und-fiktiver-mitarbeiternummer","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/09\/19\/betrugsfall-mit-tegut-teo-app-und-fiktiver-mitarbeiternummer\/","title":{"rendered":"Betrugsfall mit tegut teo-App und fiktiver Mitarbeiternummer"},"content":{"rendered":"

\"SicherheitIch stelle mal eine Information im Blog ein, die mich bereits Ende Juli 2024 erreicht hat. Jemand ist von einem Gericht zu einer Haftstrafe verurteilt worden, weil er auf \"kreative Art\" das Unternehmen TeGut betrogen hat. Alles, was es brauchte, war die TeGut-App und ein Fake-Mitarbeiterausweis\u00a0 mit einer geratenen Mitarbeiter-Personalnummer. Schon lie\u00df sich auf fremde Kosten in den voll digitalisierten teo-M\u00e4rkten einkaufen. Inzwischen hat die IT wohl ihre Hausaufgaben gemacht, aber der Fall zeigt, wie weit die Strecke bis zur sicheren und beherrschbaren Digitalisierung noch ist.<\/p>\n

<\/p>\n

Mir fallen ad hoc zwei doofe Werbespr\u00fcche im Kontext ein – Toyota hat mal \"nichts ist unm\u00f6glich\" getitelt – und irgendwie spuckt noch der Werbespruch \"wir machen es m\u00f6glich\" – oder war es \"wir manchen den Weg frei\" einer Bank – im Hinterkopf herum. Und mir kam nat\u00fcrlich sofort der Blog-Beitrag Betrug: \"Unberechtigte Fremdeink\u00e4ufe\" mit Netto-App; PayPal verweigert Erstattung<\/a> in den Sinn, als mich die Information des Lesers erreichte. Bei der Netto-App gab es F\u00e4lle, wo Kunden erstaunt feststellten, dass jemand in einer fremden Stadt auf ihre Kosten eingekauft hat. Genau in diesem Kontext segelt auch der aktuelle Betrugsfall – alles was gebraucht wird, ist eine App, etwas Kreativit\u00e4t, gepaart mit krimineller Energie, sowie die Patzer der TeGut IT bzw.\u00a0 der dort Verantwortlichen.<\/p>\n

TeGut und die Teo-M\u00e4rkte<\/h2>\n

TeGut<\/a> ist eine Supermarkt-Kette, die \"gute Lebensmittel und Bio-Produkte\" im Angebot hat. Wir hatten vor vielen Jahren einen solchen Markt in einem Stadtteil – wobei ich das Angebot verwirrend fand – es blieb bei einem Besuch, und die TeGut-Filiale ist seit mindestens 10 Jahren in unserem Wohnort Geschichte. Aber das Unternehmen hat laut Eigenaussage gut 350 tegut-L\u00e4den in Deutschland.<\/p>\n

Und dann gibt es noch die sogenannten teo-L\u00e4den – kannte ich bis jetzt nicht. Es sind kleine L\u00e4den, die in Regionen er\u00f6ffnet werden, wo sich ein normaler Supermarkt mit Personal nicht halten kann. Ein spannendes und sinnvolles Konzept, um die Versorgung auf dem Land in kleinen Ortschaften aufrecht zu erhalten. Der erste teo-Markt wurde 2020 in Fulda er\u00f6ffnet. Es handelt sich um ein innovatives Ladenkonzept, bei dem in einem digitalen und nachhaltigen Kleinstladen auf einer Verkaufsfl\u00e4che von 50 m\u00b2 insgesamt 950 Produkte f\u00fcr den t\u00e4glichen Bedarf angeboten werden.<\/p>\n

Die digitale Verkaufstechnologie macht den Supermarkt zu einem Selbstbedienungsladen, der rund um die Uhr ge\u00f6ffnet hat (nur gesetzliche Auflagen im Laden\u00f6ffnungsgesetz der L\u00e4nder, die ein Sonntags-Verkaufsverbot festlegen, schr\u00e4nken die \u00d6ffnungszeiten ein). Anfang M\u00e4rz 2024 gab es 39 dieser teo-M\u00e4rkte, wei\u00df die Wikipedia.<\/p>\n

Auf fremde Kosten einkaufen<\/h2>\n

Da die Kleinstl\u00e4den weitgehend ohne Personal auskommen, und zu normalen Zeiten wohl auch d\u00fcnn besetzt sind, erfolgt die Bezahlung der Eink\u00e4ufe ausschlie\u00dflich digital. Dreh- und Angelpunkt ist dabei die TeGut teo-App.\u00a0Der Zugang zum Markt geschieht \u00fcber die teo-App, und auch das Scannen der Waren erfolgt per App. Am Ende des Einkaufs ist der Warenkorb dann zu bezahlen.<\/p>\n

Das funktioniert laut dieser FAQ<\/a> \u00fcber eine Kredit- oder Debit-Karte, eine Mitarbeiterkarte oder \u00fcber die tegut teo-App per Smartphone (wenn dort ein Bankkonto f\u00fcr den Ausgleich der Eink\u00e4ufe hinterlegt ist). Alles wunderbar digital und auch ohne Mitarbeiter im teo-Markt anwendbar.<\/p>\n

Ein 27 j\u00e4hriger Mann kam nun auf die Idee, sich die TeGut-App auf dem Smartphone zu installieren. Da als\u00a0Bezahlmethode die teo-M\u00e4rkte bzw. die App auch eine Mitarbeiternummer akzeptieren, fertigte der Betr\u00fcger sich einen \"eigenen Mitarbeiterausweis\" mit der Fantasiepersonalie Maximilian Seef\u00fcrst an. Im aktuellen Betrugsfall konnte die betreffende Person einfach eine fiktive Personalnummer durch Eingabe einiger Ziffern auf dem Fake-Mitarbeiter-Ausweis sowie in der App hinterlegen.<\/p>\n

Ein Blog-Leser hat mich per Mail \u00fcber den Fall informiert und merkte an, dass zu\u00a0dieser Zeit wohl keine Validierung dieser Eingabe erfolgte. Weder gab es eine 2FA-Authentifizierung oder einen Best\u00e4tigungslink an die im Mitarbeiter-Account hinterlegte Mailadresse, etc.<\/p>\n

Es reichte eine fiktive Nummer in der App einzugeben und auf dem gef\u00e4lschten Mitarbeiterausweis einzutragen, um in den Teo-M\u00e4rkten einkaufen\u00a0 zu k\u00f6nnen – selbst wenn es f\u00fcr die angegebene Mitarbeiternummer keinen Mitarbeiter-Account und kein Bankkonto zum Abbuchen gab. Am Scanner an der Kasse der Theo-M\u00e4rkte verwendete der Mann dann eine gef\u00e4lschte Mitarbeiterkarte zum Nachweis \"der Legitimit\u00e4t\" und zur Bezahlung des Warenkorbs.<\/p>\n

Im Prozess sagte der Angeklagte: \"Ich war zu der Zeit arbeitslos. F\u00fcr die M\u00e4rkte gibt es eine App und da konnte man bei Bezahlungsmitteln die Mitarbeiternummer als Karte hinterlegen. Ich habe es einfach mit einer zuf\u00e4lligen Zahl probiert, und es hat direkt geklappt. Ich habe es dann mit verschiedenen Nummern ausprobiert, weil ich es nicht glauben konnte, aber es hat immer funktioniert.\" War nat\u00fcrlich ein \"Freifahrtschein\" und zeigt, wie Digitalisierung (nicht) funktioniert.<\/p>\n

Der 27-J\u00e4hrige erschlich sich im Jahr 2022 in Teo-M\u00e4rkten der Region G\u00f6ttingen waren im Wert von 17.000 Euro. In diesem Artikel<\/a> des Hanauer Anzeiger, der \u00fcber den Fall und die Verurteilung berichtete, ist von Eink\u00e4ufen in weiteren Regionen wie Fulda, Steinau und weiteren Orten die Rede. Beliebt waren Zigaretten, die der 27-J\u00e4hrige weiter verkaufte.<\/p>\n

Der Betrug flog auf, als der\u00a0Treasury-Abteilung auffiel, dass bei einer Mitarbeiternummer zwar gro\u00dfe Bewegungen stattfanden, jedoch kein Konto hinterlegt war. Im Artikel des Hanauer Anzeigers wird eine Mitarbeiterin von Tegut mit der Aussage zitiert: \"Ich sollte \u00fcberpr\u00fcfen, was passiert ist. Wir haben uns, passend zu den Belegen, die \u00dcberwachungsvideos angesehen und eine Anzeige geschrieben.\"<\/p>\n

Die Identit\u00e4t des 27-J\u00e4hrigen konnte die Polizei schlie\u00dflich \u00fcber die Eink\u00e4ufe von Tabakwaren aufdecken. Denn zur Altersidentifizierung war einmalig eine Debit-Karte erforderlich – in der teo-App wurde diese Freigabe vermerkt. Die benutzte \"EC-Karte\" f\u00fchrte zum T\u00e4ter.<\/p>\n

Der Fall legte schonungslos die Vers\u00e4umnisse der TeGut-Verantwortlichen bei der Implementierung dieser Digitalisierungsprozesse offen. Dort hat man inzwischen nachgesteuert und diese Art des Betrugs ist nicht mehr m\u00f6glich.<\/p>\n

Spannend wird es noch bei der Verurteilung des 27-J\u00e4hrigen zu 19 Monaten Haft. Staatsanwaltschaft und Verteidigung pl\u00e4dierten beide auf Diebstahl. Die Richterin erkannte aber in diesem Fall durch die Eingabe der Ziffern f\u00fcr die Personalnummer der Mitarbeiterkarte einen Fall von Computerbetrug. Der Beklagten wurde daraufhin auf Grund von \u00a7263a zu einer Freiheitsstrafe verurteilt. Fall von \"Security by Obscurity bzw. Androhung von Strafe\" – so geht Deutschland juristisch Anno 2024.<\/p>\n

Wie schloss der Blog-Leser, der mir obigen Fall per Mail zuspielte: Wenn du den Inkognito-Modus des Browsers nutzt, um einen zweiten Visit beim Z\u00e4hler einer Webseite zu generieren, stehst du mit einem Bein im Knast. Registrierst du dich als \"Max Muster\" in irgendeinem unbedeutenden Forum sind es beide Beine.<\/p>\n

Ich f\u00fcrchte, eine (sichere) digitale Wende, die immer erfleht wird, liegt noch Lichtjahre entfernt.\u00a0Mir graust jedenfalls vor den Folgen der Digitalisierungsumsetzung, kann ich doch t\u00e4glich hier im Blog gravierende Vers\u00e4umnisse von Seiten der IT, aber auch fehlendes Wissen und Sorglosigkeit auf Seiten der Anwender dokumentieren.\u00a0Oder wie seht ihr das?<\/p>\n","protected":false},"excerpt":{"rendered":"

Ich stelle mal eine Information im Blog ein, die mich bereits Ende Juli 2024 erreicht hat. Jemand ist von einem Gericht zu einer Haftstrafe verurteilt worden, weil er auf \"kreative Art\" das Unternehmen TeGut betrogen hat. Alles, was es brauchte, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4346,4328],"class_list":["post-303075","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-app","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/303075","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=303075"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/303075\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=303075"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=303075"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=303075"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}