Thomas Müller (Name geändert) sitzt am frühen Sonntagnachmittag vor drei Tagen am Steuer seines Autos mitten im Stadtverkehr, als auf seinem Smartphone eine Benachrichtigung eingeht. Seine Frau bemerkt es, wirft einen Blick auf das Handy und sieht, dass vom Konto der UBS 5'000 Franken abgebucht worden sind. «Was hast du da gekauft?», fragt sie ihren Mann, der verdutzt reagiert. Als das Handy in kurzen Abständen erneut «tschäderet» und weitere Abbuchungen im Umfang von 5000 Franken meldet, ist rasch klar, worum es geht: Jemand hat Müllers Konto bei der Finanzdienstleisterin Revolut gehackt und bereichert sich unrechtmässig. Noch während der Fahrt – das Smartphone meldet laufend neue Abbuchungen – versucht die Frau das Konto zu sperren. Es verstreichen fünf Minuten, bis das über die hauseigene App von Revolut gelingt und der Spuk beendet ist. Bis dahin sind 30'000 Franken weg.

Müller ist Inhaber einer Firma, die unter anderem Sicherheitsdienstleistungen im Internet verkauft. Er ist sensibilisiert im Umgang mit digitalen Medien und wählt für all seine Konten hochsichere Passwörter. Er schliesst auch aus, auf eine Phishing-Attacke hereingefallen zu sein.

Starker Kundenzuwachs trotz mittelmässigem Service

Aufgrund der verfügbaren Kontodaten von Revolut und UBS, die dieser Zeitung vorliegen, kann Müller den Betrug in groben Zügen skizzieren. Unbekannte Personen verschafften sich Zugang zu seinem Konto bei Revolut, das mit einer Visa-Kreditkarte der UBS hinterlegt ist. In einem ersten Schritt luden Unbekannte die Revolut-Prepaid-Karte mit 5'000er-Beträgen auf, die von der Visa-Kreditkarte abgebucht wurden. In einem zweiten Schritt wechselten sie auf Müllers Revolut-Konto die Schweizer Franken in Dirham um – die Währung der Vereinigten Arabischen Emirate. In einem dritten Schritt floss das Geld auf ein fremdes Konto an eine angebliche «Anastasja Mihhailova». Aus den bisher verfügbaren Informationen gibt es keine präziseren Angaben zum Zielkonto.

All diese Transaktionen erfolgten innerhalb weniger Minuten. Und als das Revolut-Konto bereits gesperrt war, gab es vier weitere Versuche, zuerst 10'000 Franken und danach kleinere Beträge zu entwenden.

Müller versuchte umgehend Revolut zu kontaktieren. Er besitzt die schwarze Metal Card von Revolut, bei der sich Kunden mit etwas höherer Gebühr Anrecht auf besseren Service kaufen. Doch Müller ist enttäuscht von der Unterstützung durch Revolut. Revolut gilt als sogenannte Smartphone-Bank, die Zahlungen – oft auch in Fremdwährungen – zu oft deutlich günstigeren Konditionen anbietet als traditionelle Banken. Unter diesen noch jungen Fintech-Unternehmen zählt Revolut derzeit weltweit zu den populärsten Anbietern und verzeichnet starken Kundenzuwachs.

Keine Hilfe per Telefon

Vergeblich bemühte sich Müller darum, eine fachkundige Person ans Telefon zu bekommen. Als einzige Kontaktmöglichkeit blieb ihm eine Chat-Funktion, die in der Revolut-App am Smartphone integriert ist. Dort verwiesen ihn Mitarbeiter auf eingeleitete Untersuchungen und stellten eine Antwort in rund 15 Tagen in Aussicht. Eine Revolut-Mitarbeiterin schrieb, es gebe Hinweise darauf, dass die SIM-Karte gehackt worden sei. Doch die Swisscom bestätigt auf Nachfrage von Müller, dass dies nicht der Fall sei. Zudem empfiehlt die britische Revolut im Chat, sich an die Polizei in Grossbritannien zu wenden. Darauf hat Müller bisher verzichtet: «Was kann die Polizei schon tun, wenn ich eine Anzeige gegen unbekannt einreiche und über praktisch keine Informationen verfüge?»

Revolut beantwortete eine Anfrage dieser Zeitung zurückhaltend und summarisch. Ob es ­weitere vergleichbare Fälle gibt, bleibt beispielsweise offen. Revolut betont stattdessen, es gebe keine Lücken in den «robusten Sicherheitskontrollen». Zum konkreten Fall gibt das Unternehmen grundsätzlich keine Kommentare ab. Unbeantwortet bleibt damit zum Beispiel die folgende Frage, die Müller im Chat gestellt hat: Warum konnten die Hacker 30'000 Franken erbeuten, obwohl die Limite seiner Revolut-Karte bei 15'000 Franken lag?

Ein Cybersicherheits-Experte einer grossen Unternehmensberaterin wundert sich darüber, dass es überhaupt möglich war, innert weniger Minuten sechsmal 5000 Franken abzubuchen. «Finanzinstitute haben in ihren Systemen Sicherheitsmechanismen eingebaut, die ungewöhnliche Zahlungen erkennen und automatisch blockieren», sagt er. Selber nutzt er auch die Angebote der noch jungen Smartphone-Banken. Doch er mahnt auch zur Vorsicht: «Sie sind zwar schneller und cooler als die komplizierteren Bezahlsysteme der traditionellen Banken, doch damit geht der Kunde auch ein etwas höheres Risiko ein.»