Erst im April dieses Jahres startete der Discounter Lidl einen Test der eigene Payment-App. Nun zeigt sich: Nicht nur Kunden, sondern auch Betrüger nutzen das integrierte Bezahlsystem rege. Für Kriminelle ist es offenbar recht leicht, sich mit fremden Kontodaten anzumelden und zu bezahlen.

Lidl Pay ist Teil der App Lidl Plus, in der auch Coupons für vergünstigte Artikel angeboten werden, seit Anfang Mai ist die App deutschlandweit verfügbar. Allerdings legt Lidl ein individuelles Zahlungslimit fest, dass die Bonität des Kunden berücksichtigt.

Lidl testet Bezahlen per hauseigener Smartphone-App 

Für die Payment-Funktion werden die Kontodaten des Nutzers hinterlegt, an der Kasse bezahlt der Kunde dann mit einem QR-Code der in der App generiert wird, abgebucht wird dann per Lastschrift. Ob die Kontodaten korrekt sind, wird allerdings wohl nicht kritisch genug geprüft.

Das haben sich Betrüger offenbar zu Nutzen gemacht: Sie verknüpften Lidl Pay mit Konten, die gar nicht ihnen gehörten - und gingen einkaufen, wie der Supermarktblog als erster berichtete. Woher die offenbar geklauten Kontodaten stammen, ist unklar, eventuell kommen sie aus einem Daten-Leak.

Viel Zeit für den Betrug

Laut Recherchen des Supermarktblog lässt sich Lidl aber viel Zeit bei der die "Abbuchungsankündigung" an den Kunden, danach braucht es noch einmal ein bis drei Bankarbeitstage für die Buchung auf dem Konto - viel Zeit für die Kriminellen, um über die App mit den gestohlenen Kontodaten einzukaufen.

Die Frage, ob sich an der bisherigen Überprüfungsmaßnahmen der Kontodaten angesichts der Betrugsfälle etwas ändern soll, ließ Lidl unbeantwortet. Andere Payment-Anbieter nutzen beispielsweise Kontrollabbuchung mit einem niedrigen Cent-Betrag, der dann wieder rückerstattet wird, um die Echtheit von Konten zu überprüfen. Ein im Verwendungszweck übermittelter Code, muss dann im Kunden-Account eingegeben werden, um die Verknüpfung von Bank- und Kundenkonto zu bestätigen.

Bei Lidl reicht es dagegen eine E-Mail-Adresse zu hinterlegen, die Kontodaten selbst werden nicht überprüft. Auf Nachfrage von FinanzBusiness erklärt Lidl, man habe innerhalb des Risikomanagements "verschiedene marktübliche Sicherheitsmaßnahmen" für die Zahlung mit Lidl Pay eingeführt, die sich in der Vergangenheit bewährt hätten. "Vollständig ausschließen lassen sich Betrugsfälle unabhängig von der Bezahlmethode nie", erklärte Lidl zu den Vorfällen. "Uns sind ausschließlich Einzelfälle bekannt, in denen es zu Unregelmäßigkeiten bei der Verwendung von Lidl Pay gekommen sein könnte."

Anzeige erstatten, Geld zurückholen

Die "missbräuchliche Verwendung" der persönlichen Daten von Kunden nehme man sehr ernst. "In der Regel bitten wir darum, gemäß unserer mit der Polizei abgestimmten Vorgehensweise, eine Anzeige zu stellen", sagt die Sprecherin. Dazu reiche schon der Verdacht einer betrügerischen Transaktion.

Gemeinsam mit den Ermittlungsbehörden könne man eine umfangreiche Untersuchung gewährleisten. "Die Bearbeitung durch einen Inkassopartner stoppen wir selbstverständlich sofort, sollte sich ein Betrugsverdacht nach einer Anzeige bestätigen", sagt die Lidl-Sprecherin. Darüber hinaus könnten Kunden sich den abgebuchten Betrag bei einem Betrugsfall bei ihrer jeweiligen Bank sofort zurückgeben lassen.

Die Polizei Berlin ermittelt bereits in den Betrugsfällen. Zu den Nutzerzahlen von Lidl Pay machte das Unternehmen auf Nachfrage keine Angaben.