Karin K. wollte ein paar T-Shirts bestellen, Harald T. suchte Oberhemden, Elke S. brauchte warme Skisachen, Ute S. eine neue Regenjacke, Manuela S. wollte ganz bestimmte Turnschuhe noch einmal kaufen. Sie fanden die Produkte über Google, sogar als Angebote mit zwanzig, dreißig Prozent Rabatt und mehr. Alle waren überzeugt, sie würden Markenware erhalten. Die seltsamen Webadressen der angeblichen Markenshops hielten sie nicht von einer Bestellung ab. "Sie sah aus wie eine Seite aus Deutschland, daher dachte ich, da kannst du ruhig bestellen", sagt Harald T., ein Unternehmensberater aus Hessen, der ein Baumwollhemd von Uniqlo für 60 Euro geordert hatte.
Doch die bestellten Produkte kamen bei den Betroffenen nie an, das Geld ist weg.
Die angeblichen Seiten von Uniqlo, Reebok, Lacoste oder Camp David sind Fake-Shops. Es gibt sie zuhauf im Internet. Egal welche Marke, egal welches Produkt – Betrüger bauen solche Onlineshops inzwischen für alles, vom Gartenzwerg bis zum Winterreifen, vom Sneaker bis zum Rasenmäher. Gefälschte Bestellseiten im Internet sind ein Multimillionen-Euro-Markt geworden.
Die hier beschriebenen Kunden wurden allesamt Opfer einer einzigen weltweit agierenden und verbundenen Gruppe von Kriminellen, die das Geschäft mit dem Betrug professionell in vielen Ländern gleichzeitig organisiert. Die ZEIT hat die Spur dieser Fake-Shops in einer Kooperation mit dem britischen Guardian und der französischen Le Monde verfolgt und ist dabei auf eine kriminelle Organisation in China gestoßen, die das wohl größte bisher bekannt gewordene Netzwerk solcher Betrugsseiten betreibt. Ausgangspunkt der Recherche waren mehrere Gigabyte interne Unterlagen und technische Daten der Täter, die das Berliner IT-Sicherheitsunternehmen SR Labs entdeckt und der ZEIT übergeben hat. Die ZEIT hat die Daten mit Le Monde und dem Guardian geteilt und gemeinsam ausgewertet.
SR Labs nennt die Gruppe BogusBazaar, betrügerischer Markt. Sie ist den vorliegenden Daten zufolge für mindestens 76.000 Fake-Shops weltweit verantwortlich, auf denen vor allem Kleidung und Schuhe angeboten werden. Mit ihnen wurden mehr als 850.000 Menschen um viele Millionen Euro gebracht, vor allem in Europa und den USA. Die Daten zeigen, dass die betrügerischen Shopseiten in einem industriellen Maßstab aufgesetzt und betrieben werden, es handelt sich um eine regelrechte Fabrik für Fake-Seiten made in China, die es auf Menschen wie Erika B. abgesehen haben.
"Ich wollte ganz bestimmte Sachen haben", sagt die Rentnerin aus Freiburg am Telefon. In ihrem Fall waren es Löffel der Designermarke Alessi. Sie habe dann bei Google eine Seite gefunden. "Die hatten ganz wunderbare Preise", sagt sie, "ich war ganz überrascht." Bei der Seite selbst habe sie keinen Verdacht geschöpft. "Man konnte das nur mit der Kreditkarte bezahlen, und ich war so unvorsichtig und habe das gemacht." Erst als sie eine Bestellbestätigung aus China erhielt, habe sie sich gewundert und sich an ihre Bank gewandt. 113 Euro seien ihr abgebucht worden, viel mehr als die eigentliche Bestellsumme. Die Ware erhielt sie nie.
Deutschland belegt bei den vorliegenden Bestellungen über die gefälschten Seiten nach den USA und Frankreich den dritten Platz. Mehr als 100.000 Bestellversuche kamen demnach allein von deutschen Kundinnen und Kunden. Die gefälschten Websites lassen sich zu Servern in China verfolgen. Dokumente aus dem Datensatz belegen, dass diese Server und sämtliche Daten darauf von einem Kernteam organisiert und betrieben werden.
Diese Gruppe von Entwicklern programmiert die Software und die zentralen Werkzeuge für die Betrugsseiten. Das System ist weitgehend automatisiert, Marken, Produkte, Preise können mit wenigen Klicks in Minuten ausgewählt werden. Die Entwickler nutzen diese Infrastruktur selbst, um mit den Fake-Shops Geld zu verdienen. Gleichzeitig haben sie offenbar eine Art Franchisesystem aufgebaut: Sie stellen die Software auch anderen Gruppen zur Verfügung – intern "Händler" genannt –, die damit Tausende weitere Fake-Shops unterhalten.
Ermittler nennen so etwas ein Cybercrime-as-a-Service-Modell, eine Art Betrugssoftware von der Stange. Solche Vermietungsmodelle gibt es bei der Internetkriminalität seit einigen Jahren. Sie führen zu einem erheblichen Anstieg der Taten, da sich dadurch auch Menschen und Gruppen beteiligen können, denen die technische Expertise fehlt.
Bemerkenswert ist, wie sicher sich die Täter fühlen müssen. Denn sie haben in China offenbar sogar ein Unternehmen gegründet. Die Spur führt in einen Hochhauskomplex am Rand der chinesischen Stadt Fuzhou, einer großen Hafenstadt an Chinas Ostküste. Dort zumindest befindet sich die offizielle Adresse der Firma. In den internen Unterlagen, die die ZEIT und ihre Recherchepartner einsehen konnten, befanden sich mehrere Arbeitsverträge und zahlreiche Gehaltsabrechnungen. Auf den Arbeitsverträgen steht der Firmenname, Fuzhou Zhongqing Network Co., Ltd. Das Unternehmen ist im chinesischen Handelsregister verzeichnet. Welche Rolle es in dem kriminellen Netzwerk spielt, ist nicht ganz klar. Doch es scheint, als sei das Kernteam der Programmierer und Datensammler dort angestellt. Mindestens ein Dutzend Festangestellte arbeiten für die Firma. Sie beziehen ein monatliches Gehalt und scheinen für jeden erfolgreichen Betrug eine Provision zu erhalten.