Mobilfunkkunden sind vor teuren Abo-Fallen im Internet mangelhaft geschützt. Auch das von den drei großen Netzbetreibern neu eingeführte „Redirect“-Bestellsystem, das eigentlich ungewollte Abbuchungen über die Telefonrechnung verhindern soll, „räumt die Probleme nicht ausreichend aus“. Zu diesem Ergebnis kommt das Marktwächter-Team Digitale Welt der Verbraucherzentralen in einer aktuellen Untersuchung.
Bei dem neuen Redirect-Verfahren werden die Surfer von Webseiten der Drittanbieter – dazu gehören Betriebe des öffentlichen Nahverkehrs ebenso wie etwa Spiele- und Erotikportale – auf eine separat gehostete Bezahlseite des jeweiligen Netzbetreibers geleitet. Nur, wenn der Kunde den Kauf dort bestätigt, wird der Preis über die Handyrechnung abgebucht.
Geschätzte Schadensumme: 71,5 Millionen Euro
Die Marktwächter haben verschiedene Missbrauchsszenarien vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit in München testen lassen. Das Fazit: Insbesondere mit entsprechend präparierten Smartphone-Apps kann es unseriösen Anbietern gelingen, das neue Redirect-System zu „unterlaufen“, warnen die Autoren in der Studie.
Das Risiko, als Mobilfunkkunde in die Kostenfalle zu tappen, ist hoch. Insbesondere das sogenannte Clickjacking, bei dem bereits das Wegklicken eines Werbebanners eine unbeabsichtigte Bestellung auslösen kann, hat das mobile Bezahlen über die Telefonrechnung in Verruf gebracht. Zwischen 4,99 und 9,99 Euro kosten die unerwünschten Abos pro Woche. Laut einer repräsentativen Forsa-Umfrage im Auftrag der Marktwächter haben rund 2,8 Millionen Bundesbürger im Zeitraum August 2013 bis August 2016 ungewollte Drittanbieter-Leistungen in Rechnung gestellt bekommen. Die geschätzte Schadensumme: 71,5 Millionen Euro.
Unzureichende Kontrolle durch die Netzbetreiber
Das freiwillig von den Netzbetreibern Telefónica, Telekom und Vodafone initiierte Redirect-Verfahren ist als Reaktion auf missbräuchliche Abbuchungen zu verstehen und erreicht auch Kunden der anderen Provider. Werden Drittanbieter als seriös eingestuft (die Studie nennt hier etwa Google, Apple, Netflix und Spotify), können Netzbetreiber auf das Redirect-Verfahren verzichten.
Der neue Mechanismus habe inzwischen zwar zu einem deutlichen Rückgang der Anzahl an Beschwerden geführt, berichten die Verbraucherzentralen. Als unzureichend bewerten sie jedoch die Drittanbieter-Kontrollen durch die Netzbetreiber. „Aufgrund unserer Untersuchungsergebnisse kommen wir zu dem Schluss, dass 250 Stichproben pro Monat nicht ausreichen“, sagt Teamleiter Tom Janneck von der Verbraucherzentrale Schleswig-Holstein.
Ausweichmanöver: Schadcodes in Smartphone-Apps
Außerdem befürchten die Verbraucherschützer, dass unseriöse Anbieter vom herkömmlichen Clickjacking auf andere Tricks ausweichen könnten. Von verschiedenen Methoden, die das Fraunhofer-Institut Ende 2016 und im Juli 2017 untersuchte, ist der Einbau von Schadcodes in Smartphone-Apps der für Angreifer „derzeit wirtschaftlich erfolgversprechendste Ansatz“, heißt es in der Marktwächter-Studie.
Vereinfacht dargestellt könnte es unseriösen Drittanbietern demnach gelingen, mittels einer App die eigene Webseite auf dem Smartphone des Opfers zu laden, dort die Umleitung einzuleiten und schließlich den Bestell-Button auf der Netzbetreiber-Plattform zu aktivieren – und das alles vom Gerätenutzer optisch unbemerkt.
„Im Zusammenhang mit einer schädlichen Applikation auf dem Smartphone bietet das Redirect-Verfahren als alleinige Sicherheitskomponente keinen Schutz“, folgern die Verbraucherschützer. Selbst weitere Schutzmechanismen, die die Betreiber teils bereits anwenden, könnten Missbräuche nicht restlos ausschließen, so die Studie.
Hintergrund: Gesetzgeber fordert, Verband dementiert
Die Untersuchung ist vor dem Hintergrund zu sehen, dass der Gesetzgeber die Bundesnetzagentur im April dieses Jahres beauftragt hat, den Mobilfunkfirmen ein verbraucherschützendes Verfahren für das mobile Bezahlen verbindlich vorzuschreiben. Die – noch ausstehenden – Anhörungen zur Festlegung eines Verfahrens sollten „das Risiko minimieren“, dass Lücken im Redirect „vorhanden sind oder entstehen“, sagte ein Sprecher der Agentur auf Anfrage. In diesem Jahr habe die Behörde bislang 181 schriftliche Kundenbeschwerden zum Themenkomplex Drittanbieter registriert, wobei es nicht immer um strittige Anbieterforderungen gehe. Wie hoch die Dunkelziffer an Missbrauchsfällen liegt, ist unbekannt.
Der Verband der Anbieter von Telekommunikations- und Mehrwertdiensten (VATM) indes hält das Redirect-Verfahren für „sicher und zuverlässig“ und für „gegenwärtig einen der besten Schutzmechanismen, der Unternehmen und Kunden zur Verfügung steht“. Die VATM-Mitgliedsunternehmen würden Reklamationen nur noch in Einzelfällen verzeichnen. „Unternehmen und Verband werden natürlich die weiteren technischen Entwicklungen genau im Auge behalten und fortlaufend alle Möglichkeiten prüfen, wie auf neue Situationen schnell und wirkungsvoll reagiert werden kann“, so eine VATM-Sprecherin.