Es ist ein eher ungewöhnlicher Betrugsfall, der am Mittwoch bekannt wurde. Ein Versicherungsvertreter aus dem Burgenland kassierte rund 280.000 Euro in Form von Arbeitnehmerveranlagungen. Zwischen März 2020 und April 2022 erstellte er dafür immer wieder neue Handysignaturen, um sich im Namen anderer Menschen bei Finanz Online einzuloggen. Insgesamt 224 Personen hat er dadurch um ihr Geld gebracht. Das wirft die Frage auf: Wurde die Plattform des Bundesministeriums nicht richtig abgesichert? Die kurze Antwort: Nein.

Wie bereits erwähnt, meldet man sich bei Finanz Online mittels Handysignatur oder auch der neuen ID Austria an. Erstere wird vom österreichischen Unternehmen A-Trust betrieben und bietet unter anderem die Möglichkeit einer digitalen Signatur. Gerade im Falle behördlicher Services soll damit die Identität von Personen sichergestellt werden. Die Aktivierung erfolgt entweder online oder physisch bei einer von 581 Registrierungsstellen in ganz Österreich. Meist handelt es sich dabei um Gemeindeämter oder Bezirkshauptmannschaften. In der Liste finden sich allerdings auch Privatunternehmen, wie zum Beispiel Versicherungen. So auch im genannten Betrugsfall.

Vertrauenswürdige Vertragspartner

Wollen entsprechende Firmen eine Befugnis zur Ausstellung von Handysignaturen, müssen sie einen "Registration-Authority-Vertrag" mit A-Trust abschließen. Anschließend können sie sogenannte Registration-Officers ausbilden – die wiederum die Aufgabe haben, die Identität jener Personen sicherzustellen, die eine Signatur beantragen, erklärt A-Trust auf STANDARD-Anfrage. Voraussetzung dafür sei die Absolvierung einer Schulung und ein unbescholtener Leumund. Es dürfen also keine Vorbestrafungen im polizeilichen Führungszeugnis zu finden sein. Der Ausstellungsprozess selbst werde außerdem "lückenlos dokumentiert". Nach Bekanntwerden des Betrugsfalls sei es in Zusammenarbeit mit den Behörden deshalb rasch möglich gewesen, alle Betroffenen zu identifizieren.

Das größte Sicherheitsrisiko geht also von den für die Ausstellung verantwortlichen Personen aus. Diese können bisher nicht aus der Gleichung gestrichen werden. Deshalb sei es eigentlich eine Voraussetzung, dass die Signaturwerbenden dabei persönlich anwesend sind. "Ein hundertprozentiger Schutz vor krimineller Energie" des Personals könne aber nicht garantiert werden, sagt A-Trust.

Dennoch seien bereits weitere Sicherheitsvorkehrungen in den Registrierungsprozess implementiert worden. Konkret habe man in Abstimmung mit der Telekom-Regulierungsbehörde RTR die Schulung von Registration-Officers nachjustiert. Außerdem seien weiterführende Antibetrugsprüfungen eingeführt worden. Gibt es einen Verdachtsmoment, werde künftig stärker manuell kontrolliert, so das Unternehmen. Ein ganzes Stück sicherer dürfte die Authentifizierung kommendes Jahr werden. Die Handysignatur wird dann zur Gänze durch die ID Austria ersetzt. Die Registrierung erfolgt dann exklusiv durch österreichische Behörden.

Investiert in Kryptowährungen

Der Vorfall wurde bekannt, nachdem ein ungarischer Leiharbeiter im Jänner dieses Jahres Anzeige wegen Verdachts auf Betrug erstattete. Im Rahmen der Ermittlungen konnte ein 45-jähriger Burgenländer identifiziert werden. Dieser fand seine Opfer auf sozialen Medien, schreibt die Polizei Salzburg in einer Pressemitteilung. Weil er selbst Ungarisch spricht, habe er sich auf ungarische Staatsbürger konzentriert, die zwar in Österreich gearbeitet haben, sich aber nicht mehr im Land befinden.

Das erbeutete Geld hat der mutmaßliche Täter laut Polizeiangaben in Kryptowährungen investiert, ein Großteil sei verlorengegangen. Als Motiv habe er seine Spielsucht genannt. (Mickey Manakas, 26.11.2022)