Zugangsverlust, Täterbegünstigung und das Versagen digitaler Kontrollsysteme
Von David Cohnen
Am Anfang steht kein Betrug, kein Fehlverhalten, kein Risiko durch den Betroffenen selbst. Am Anfang steht der Verlust eines Mobilfunkanschlusses. Ein Prepaid-Telefon wird gesperrt - vorzeitig, widersprüchlich begründet und trotz bestehender Relevanz für elementare Alltagsfunktionen. Die Wiederherstellung gelingt entweder gar nicht oder nur unter erheblichem Aufwand. Was wie ein Randproblem der Telekommunikation erscheint, erweist sich bei näherer Betrachtung als sicherheitskritischer Systemfehler.
Denn der Mobilfunkanschluss ist längst Teil der digitalen Identität. Er ist Voraussetzung für Bankkontakte, Versicherungsangelegenheiten, Authentifizierungen, Rückfragen, Freigaben. Fällt er weg, verliert der Betroffene nicht nur Erreichbarkeit, sondern faktisch die Fähigkeit, sich gegenüber Institutionen zu legitimieren. Wäre in der geschilderten Situation kein funktionierender Telefonanschluss mehr vorhanden gewesen, hätte dies unmittelbar und gravierend in die späteren Banken- und Versicherungsvorgänge hineingewirkt. Die Situation wäre nicht nur komplizierter, sondern objektiv riskanter geworden.
Wenn zu diesen Vorgängen zusätzlich Identifikationsprobleme bei Amazon und PayPal sowie Kontosperrungen durch einen E-Mail-Provider auftreten, wird deutlich, wie schnell ein Mensch in einem digital dominierten System handlungsunfähig werden kann.
Damit ist der erste systemische Befund klar: Kritische Identitäts- und Vermögensprozesse hängen an einer Infrastruktur, die jederzeit, automatisiert und ohne effektive Schutzmechanismen entzogen werden kann.
Die Versicherung: Verzögerung als Methode
Es wird eine neue Versicherung abgeschlossen und die bestehende Altversicherung gekündigt; für diesen Vorgang stehen rund vier Wochen zur Verfügung.
Im nächsten Schritt zeigt sich ein Verhalten der Altversicherung, das nicht mehr als bloßes Organisationsversagen erklärt werden kann. Eine ordnungsgemäße Kündigung wird nicht zeitnah bestätigt, sondern um etwa zwei Wochen verzögert. Erst danach wird sie akzeptiert - jedoch unter einer nachträglich eingeführten Einschränkung, die zuvor keine Rolle spielte. Die Zustimmung der Bank wird verlangt, obwohl hierfür keine zwingende rechtliche Grundlage bestand.
Dieses Vorgehen schafft einen Schwebezustand, der die Voraussetzungen für spätere, rechtlich angreifbare Kontozugriffe erst entstehen lässt.
Diese Zustimmung wird unverzüglich erbracht, direkt von der Bank an die Versicherung übermittelt und zusätzlich vom Kunden selbst weitergeleitet. Dennoch erfolgt keine abschließende Bestätigung der Kündigung. Stattdessen folgt Schweigen.
Dieses Schweigen ist nicht neutral. Es erzeugt einen Schwebezustand, der ausschließlich der Versicherung nützt. Denn solange Unklarheit besteht, bleibt der Zugriff auf das Konto technisch möglich.
Tatsächlich nutzt die Versicherung diese Situation aus. Nach dem objektiven Ende des Vertragsverhältnisses wird per SEPA-Lastschrift ein hoher Betrag abgebucht - ohne Rechtsgrundlage. Zeitgleich wird zwar schriftlich eine Gutschrift angekündigt, diese geht jedoch nie ein. Auch auf eine erneute Mahnung erfolgt über weitere zwei Wochen keinerlei Reaktion.
In der Gesamtschau ergibt sich kein zufälliger Ablauf, sondern ein konkludentes Verhalten:
Verzögern, schweigen, abbuchen, Zeit gewinnen. Jeder einzelne Schritt wirkt zugunsten der Versicherung. Keiner zugunsten des Kunden.
Die Bank: Schutzmechanismen am falschen Ort
Die Bank, die in diesem System eigentlich als Schutzinstanz fungieren müsste, verschärft das Problem. Eine unberechtigte Lastschrift wird nicht unmittelbar korrigiert, sondern ihre Rückbuchung wird erschwert. Telefonisch werden hohe Identifikationsanforderungen gestellt, gleichzeitig sind Vorgänge nicht bekannt, Zuständigkeiten unklar, Prozesse fragmentiert. Persönliche Ansprechpartner existieren faktisch nicht mehr.
Als der Betroffene schließlich persönlich in der Filiale erscheint, zeigt sich ein weiterer Bruch: Der Zugang zum Schalterraum ist zeitlich eingeschränkt, nur mit Termin möglich, von außen nicht erkennbar. Und entscheidend: Die zuvor eingeforderte strenge Identifikation findet persönlich nicht mehr statt.
Es genügt die Vorlage eines Kontoauszugs. Keine Ausweiskontrolle, keine formale Legitimation, keine Prüfung der Identität. Die Rückbuchung wird durchgeführt.
Damit offenbart sich ein sicherheitsrelevanter Widerspruch:
Dort, wo Missbrauch theoretisch möglich wäre - beim persönlichen Erscheinen -, findet keine ausreichende Kontrolle statt. Dort, wo ein berechtigter Anspruch vorliegt - bei der Rückbuchung einer unautorisierten Abbuchung -, werden Hürden aufgebaut.
Der entscheidende Punkt: Das System schützt den Falschen
Hier liegt der Kern der Problematik. Die Bank schützt nicht den Geschädigten, sondern stabilisiert faktisch den Zustand, den die Versicherung zuvor geschaffen hat. Die unberechtigte Abbuchung bleibt bestehen, bis der Kunde Zeit, Energie und Durchsetzungsvermögen investiert. Die Versicherung hingegen erfährt weder unmittelbaren Druck noch Sanktionen oder eine automatische Korrektur.
Damit wird das zugrunde liegende rechtliche Schutzkonzept ins Gegenteil verkehrt: Es soll den Kontoinhaber vor unberechtigten Zugriffen bewahren, nicht jedoch institutionelle Fehlbuchungen durch Verzögerung faktisch legitimieren.
Noch schwerer wiegt jedoch ein weiterer Aspekt, der die Sicherheitslogik des gesamten Systems infrage stellt:
Ein Mensch mit krimineller Energie hätte unter diesen Bedingungen mit relativer Leichtigkeit Zugang zum Konto des Betroffenen erlangen können. Es entsteht kein Schutzsystem, sondern eine Illusion von Kontrolle.
Die stillen Fälle
Besonders problematisch ist, dass dieses System nur dann korrigiert wird, wenn jemand aufmerksam, informiert und hartnäckig handelt. Viele Menschen prüfen ihre Kontoauszüge nicht regelmäßig. Bei hohem Zahlungsaufkommen fällt eine einzelne Abbuchung kaum auf. Ältere Menschen sind oft nicht in der Lage, komplexe Vorgänge über Wochen zu verfolgen.
Bleibt ein solcher Vorgang unbemerkt, verbleibt das Geld dauerhaft beim Abbuchenden. Stirbt der Betroffene, wissen Erben nichts von dem Vorfall. Das System sieht keine automatische Korrektur vor, keinen Schutz für die Stillen, keinen Mechanismus gegen das bloße Liegenlassen von Unrecht.
Schlussfolgerung
Was hier sichtbar wird, ist kein Einzelfall, sondern ein strukturelles Versagen. Banken, Versicherungen und digitale Identitätssysteme haben ihre Schutzfunktion umgekehrt. Sie sichern Prozesse, nicht Menschen. Sie erschweren Korrekturen, statt Fehler zu verhindern. Sie schaffen Hürden für Berechtigte und lassen zugleich gefährliche Lücken offen.
Ein System, das so funktioniert, schützt nicht vor Missbrauch.
Es ermöglicht ihn - und verlässt sich darauf, dass viele ihn nicht bemerken.
Wenn Kontrolle zur Formalität wird und Verantwortung im Schweigen verschwindet, dann ist nicht der Einzelne das Risiko.
Dann ist es das System selbst.