Identitätsdiebstahl & Identitätsbetrug im Internet

Identitätsdiebstahl und Identitätsbetrug gehen Hand in Hand und kommen häufiger vor, als viele Menschen glauben. Um zu verstehen, was da eigentlich passiert, sollt man sich die Idee der elektronischen Identität mal ansehen.

Im echten Leben sind Ihre Identität SIE. Wenn Sie zum Bäcker gehen, zu dem Sie täglich gehen, und versehentlich kein Geld bei sich haben, dann wird der auch mal zulassen, dass Sie einen Tag später bezahlen – denn Ihre Identität ist ihm bekannt. Ihr Zahnarzt behandelt Sie, auch ohne dass Sie sich ausweisen müssen, denn Sie lassen sich bei ihm schon seit Jahren die Beisser richten.

Kurz: Im “real life” ist Identität relativ einfach zu handhaben. Ein “Identitätsdiebstahl” ist kaum möglich.

In Sachen Identitätsdiebstahl: So nicht. Aber das wussten Sie sicher schon ;-)
So nicht. Aber das wussten Sie sicher schon 😉

Im Internet ist das ganz anders. Dort besteht Ihre Identität nur aus ganz wenigen Parametern. Das sind typischerweise Name, Adresse, Bankverbindungsdaten und Kreditkartennummern sowie zahlreiche Paare von Benutzernamen plus Kennwort.

Das alles passt auf einen A7-Zettel, wie ich ihn illustrativ rechts abgebildet habe. Und doch macht es SIE aus – zumindest, soweit es das Netz betrifft. Ziel eines Identitätsdiebstahls ist es, den A7-Zettel in die Finger zu kriegen.

Meine Definition: Ein Identitätsdiebstahl im Internet will möglichst viele Parameter Ihrer elektronischen Identität ermitteln, etwa Benutzername, E-Mail-Adresse und Passwort. Diese Daten können dann als Grundlage für einen Identitätsbetrug dienen, bei dem Ihre Daten dann missbräuchlich genutzt werden.

Es gibt auch folgende Variante: Der Angreifer ermitteln nicht die echten Daten der echten Identität, sondern erstellt eine völlig neue, die er kontrollieren kann – und bei der er so tut, als gehöre sie einer anderen Person. Das ist aufwändig und daher selten, aber auch möglich, gerade bei zielgerichteten Angriffen auf eine Person.

Ist Identitätsdiebstahl aufwändig?

Nein. Ein Beispiel: Sie haben im Internet eingekauft. Dazu haben Sie ja mindestens Name und Adresse sowie eine Zahlungsmöglichkeit angegeben.

Doch auch Gauner könnten Shops eröffnen, und jeder Kunde übergäbe, wie Sie, diese persönlichen Daten freiwillig. Fertig ist der Identitätsdiebstahl, denn nun kann der Betreiber des Fake-Shops mit Name, Adresse und Zahlungsdaten im Namen dieser Identität shoppen (sich das dann auch liefern zu lassen ist wieder ein anderes Problem).

  • Es muss nicht immer ein Krimineller sein: Ein gekündigter, frustrierter Mitarbeiter reicht aus, damit Ihre Daten in die falschen Hände gelangen.
  • Der Shop, der E-Mail-Anbieter, das soziale Netzwerk könnten gehackt werden. Passiert ständig.
  • Die den Shop betreibende Firma geht pleite. Wer kann sagen, was dann mit den Daten passiert?

Im Darknet existiert ein Markt für Identitätsdaten. Wer sie kauft, erhält Tausende von Name-Adresse-Bankdaten-Kombinationen und kann theoretisch massenweise Identitätsdiebstahl begehen (Motiv: Habgier).

Für Schüler (Motiv: Mobbing, Stalking) ist es schon anstrengender. Hier muß man Passwörter raten, etc. Ich rate dazu, hier den Beitrag Sicheres Passwort erstellen und auch merken können zu lesen.

Ist ein Identitätsbetrug strafbar?

Schön wärs, aber das ist nicht so: Der reine Identitätsdiebstahl ist nicht strafbar.

Es kommt allerdings darauf an, was der Täter mit der gestohlenen Identität macht. Wird die gestohlene ID missbräuchlich verwendet, kann im Einzelfall der Straftatbestand der  Urkundenfälschung (StGB §276) oder Fälschung von Daten (StGB §269) oder Beleidigung (StGB §185) vorliegen, beim Bestellen von Waren oder Anbahnen von Kontakten auch “Stalking” (StGB §238)Die Strafen betragen teils mehrere Jahre.

Darüber hinaus können die Opfer aber auch zivilrechtlich gegen die Täter vorgehen und zum Beispiel Schmerzensgeld fordern. Das geht aber nur, wenn die Identität des Täters bekannt ist.

Warum begeht jemand einen Identitätsdiebstahl?

Typische Gründe:

  1. Identitätsdiebstahl just for fun: weil man es kann.
  2. Identitätsdiebstahl aus Habgier: Um Geld zu stehlen oder Waren abzustauben. (Das sind keine Kleinkriminellen, das ist längst Organisierte Kriminalität.)
  3. Identitätsdiebstahl fürs Stalking: Um jemanden über seine Konten zu stalken.
  4. Rache, Neid, Missgunst: Um jemanden, den man hasst, zu schaden. Den/Die Gegenspieler/in in der Schule, den/die Ex-Partner, etc.

Das geht dann so:

  • Falsche Aussagen: Der Täter schreibt in sozialen Netzen im Namen des Opfers des Identitätsdiebstahls irgendwelchen Unsinn, beleidigt andere, etc. Ziel ist es, durch diesen Unsinn und die Beleidigung dann wiederum von anderen angegriffen zu werden. Die Angriffe treffen aber nicht den Täter, sondern das Opfer des Identitätsdiebstahls.
  • Falsche Bestellungen: Der Täter bestellt unter der fremden Identität Dinge. Die will der Täter nicht haben, aber die bloße Tatsache, dass man plötzlich bestelltes Zeug bekommt und zurückschicken muß, ist schlimm genug und nervt ungemein, zumal die meisten Shops leider sehr dumme Betreiber haben die nicht verstehen, dass auch sie Maßnahmen gegen solchen Missbrauch treffen müssen. Auf diese Weise kann man natürlich auch Illegales bestellen (Drogen, Waffen im Darknet), oder Peinliches (Sex-Spielzeug).
  • Straftaten: Im Deckmantel der gestohlenen Identität Straftaten zu begehen (Morddrohung per Mail, Hetze auf Facebook, Beleidigungen, Ankündigung von Amoklauf) lenkt die Untersuchung der Straftat natürlich auf den ursprünglichen Inhaber der Identität. Der Nutznießer des Missbrauchs kommt dann ungeschoren davon.

Identitätsdiebstahl: besonders leicht bei E-Mails, in Chats, in sozialen Netzen

Bei Freemail-Anbietern wie Outlook, Google Mail, Yahoo!, GMX, Web.de und so weiter besteht Ihre digitale Identität nur aus Nutzername/Email und Passwort. Gleiches gilt für soziale Netze wie Facebook, Twitter, Instagram oder Messenger wie Whatsapp (Telefonnummer und Passwort) oder Snapchat. Nutzername/Email und Passwort. Mehr schützt Sie nicht.

[wc_box color=”info” text_align=”left” margin_top=”” margin_bottom=”” class=””]

Auf Facebook, Instagram & Co geht es heute meist nur um Mobbing bei Halbwüchsigen. “Nur” ist dabei nicht falsch zu verstehen, die Folgen reichen von Depressionen bis Selbstmord, doch das ist selten. Es ist eben kindisch und nervtötend. Aber nicht selten: Es mehren sich die Suchen im Web nach “Facebook Hack Tools”, und natürlich meiden Profis das, die Kids hingegen laden das herunter, meist steckt ein Trojaner drin, der wiederum ihre Identität stiehlt … geschieht ihnen recht.

[/wc_box]

Aber es geht auch richtig kriminell. Mail-Kontendaten sind meist mit einer wirklichen Identität oder mit weiteren digitalen Identitäten verknüpft. Nach dem Identitätsdiebstahl braucht der Täter nur lange genug – und möglichst unauffällig – Ihre Mails mitzulesen. Er kann auf diese Weise herausbekommen, wer Sie wirklich sind, also die Parameter ihren realen Identität ermitteln. Ist zum Beispiel Ihr Wohnort erst einmal bekannt, reicht ein bisschen Stöbern im Altpapier, um einen weggeworfenen Kontoauszug (Bankdaten), weggeworfene Rechnungen (Kundennummern) oder ähnliches aufzutreiben.

Ja, Sie sind mehr als ein paar Nummern. Aber in Sachen Identitätsdiebstahl sind Sie eben nicht mehr als ein paar Nummern… (Foto: CC0 Pexels)
Ja, Sie sind mehr als ein paar Nummern. Aber in Sachen Identitätsdiebstahl sind Sie eben wirklich nicht mehr als ein paar Nummern… (Foto: CC0 Pexels)

Eine gestohlene E-Mail-Identität kann weitere Identitätsdiebstähle nach sich ziehen. Viele Systeme bieten an, gespeicherte Passwörter für den Fall, das man sie vergessen hat, an die E-Mail-Adresse zu schicken. Auf diese Weise kann sich der Dieb einer Mail-Identität weitere Passworte beschaffen, die ihm wiederum neue Identitäten erschließen. Eine längerfristige Beobachtung all dieser Identitäten erlaubt es dem Täter, das Verhalten des Opfers zu studieren und so noch besser seine Identität missbrauchen zu können.

Anderes Beispiel: Ihre eBay-Identität. Sie besteht aus Benutzername & Passwort. Werden beide Angaben gestohlen, reicht das völlig aus, um in Ihrem Namen Gebote abzugeben und Artikel zu kaufen, die sie gar nicht haben wollen. Umgekehrt lassen sich Angebote einstellen und Verkäufe abwickeln: Da jedes Angebot individuelle Zahlungshinweise enthalten kann, können Kriminelle unter einer gestohlenen Identität ungeniert Hehlerwaren verkaufen. Das Geld trudelt beim Gauner ein, polizeiliche Ermittlungen gelten dagegen dem Opfer desIdentitätsdiebstahls.

Hinzu kommt: eBay-User geben als “Verkäufer” jedem „Käufer“, der bereit ist, einen Euro für einen Gebrauchtschnickschnack auszugeben, freiwillig ihre Kontodaten in die Hand. Gangster, die eine E-Mail-Identität gestohlen haben, die mit eBay verknüpft ist, müssen also nur noch “sich selbst” etwas verkaufen, um in den Besitz der Konteninformationen zu gelangen.

[wc_box color=”info” text_align=”left” margin_top=”” margin_bottom=”” class=””]

Beim digitalen Identitätsdiebstahl geht es also nicht immer primär darum, dass jemand Sie direkt schädigen möchte oder wird. Oft geht es dem Angreifer auch darum, seine eigene wahre Identität zu verschleiern und Ermittler auf eine falsche (nämlich Ihre) Spur zu führen. So oder so sind das Opfer am Ende Sie.

[/wc_box]

Wie erkenne ich Identitätsdiebstahl?

  • Phishing: Ein klassischer Versuch, Ihre Identität (und auch die viele anderer) zu stehlen, ist der Phishing-Angriff. Dabei lockt man sie auf eine Webseite, die so tut, als wäre sie echt, zum Beispiel Paypal, und bringt Sie unter einem Vorwand dazu, auf der gefälschten Webseite Ihre Zugangsdaten einzugeben. Als Analogie stellen Sie sich einen Bankautomaten vor: Sie geben Ihre ec-Karte und Ihre PIN ein – der gefälschte Automat ermittelt die Geldkarten-Nummer und Ihre PIN und speichert beides. Danach spucken Fake-Website und Automat eine Fehlermeldung aus – Sie als Kunde schöpfen keinen Verdacht, doch der Identitätsdiebstahl fand statt.
  • Social hacking: E-Mails, Chat-Gesprächspartner oder Anrufer, die einzelne Parameter Ihrer elektronischen Identität direkt bei Ihnen (oder einem Bekannten/Kollegen/Eltern) abfragen, deuten darauf hin, dass jemand gezielt Ihre Identität ausspionieren will. Seien Sie wachsam, wenn jemand von solchen Versuchen berichtet. Denken Sie auch an die anderen, wenn jemand auf diese Weise versucht, über Ihre Bekannten oder Kollegen etwas in Erfahrung zu bringen.
  • Transfer-Poltergeist: Prüfen Sie regelmässig Ihre Kontobewegungen und stellen Sie sicher, dass alle Transaktionen von Ihnen stammen. Merkwürdige Transaktionen, auch von bescheidenen Beträgen, können auf Identitätsdiebstahl hinweisen.
  • Ghostwriter: Prüfen Sie regelmässig den Postausgang und den Papierkorb Ihres Mail-Anbieters. Gibt es dort Mails, die Sie nicht geschrieben haben, dann verweist auch das auf einen Identitätsdiebstahl.
  • Stille: Wenn Sie bestimmte Post nicht mehr erhalten – etwa Kreditkartenabrechnungen -, dann hat unter Umständen jemand eine neue Adresse angegeben und so Ihre Post auf sich umgeleitet. Gleiches gilt für Bestätigungen von Shops.

Was tun bei Identitätsbetrug?

  • Identitätsdaten ändern, sofort, und alle, und zwar auf sichere Werte. Siehe 10 Tipps für sichere Passwörter. Es geht hier darum, die “echte” Identität zu schützen.
  • Social Network & andere betreiber informieren: Wenn das nicht mehr möglich ist oder Sie keinen Zugriff auf die gestohlene Identität haben: Fordern Sie beim jeweiligen Dienst ein, dass das Konto geschlossen wird. Ich sag es gleich: Das ist nur mässig erfolgreich. Wenn Sie es für Ihre Kinder tun, dann geben Sie an, dass das betroffene Kind unter 13 ist, dann gehts u.U. schneller.
    Hier einige Links:
    Gefälschte Identität bei Facebook melden
    Gefälschte Identität bei Instagram melden
    Gefälschte Identität bei Twitter melden
    Gefälschte Identität bei Google+ melden
  • Polizei informieren. Bei der Polizeidienststelle “Anzeige gegen Unbekannt” erstatten. Lassen Sie das nicht aus, auch wenn es nervt und man natürlich Angst haben muß, von Polizisten nicht ernst genommen zu werden. Denn Sie brauchen die getätigte Anzeige vielleicht später, um nachweisen zu können, dass Sie Opfer eines Identitätsdiebstahls wurden. Auch ist es wichtig, dass die Behörden das Ausmaß des Problems erfassen.
  • Freunde & Bekannte, Lehrer des Kindes, Geschäftspartner, Nachbarn, Banken & Shops (!) etc. informieren. Je mehr Leute wissen, das die Identität falsch ist, desto weniger kann sie noch anrichten.
  • Zwei Checklisten finden Betroffene auf www.surfer-haben-rechte.de

Verzichten Sie auch nicht darauf, sich Gedanken zu machen, wer hinter den Angriffen steckt. In der Regel ergibt sich nämlich ein zeitlicher Zusammenhang. Auch bestimmtes Wissen, dass sich in der Verbreitung von Falschnachrichten, in Bestellungen ausdrückt, kann dazu dienen, den Täter zu ermitteln. Auch über Online-Uhrzeiten, ja selbst über die Rechtschreibung kann man Täter identifizieren. Einfach die vermutete Person anzeigen ist aber keine gute Idee, sie könnte auch unschuldig sein, ihrerseits Opfer… suchen Sie stets zuerst das Gespräch.

Tipps zum Schutz gegen Identitätsdiebstahl

  • Sicheres Passwort wählen: Siehe Sicheres Passwörter: 10 Tipps (kompakt) und Sicheres Passwort erstellen und auch merken können (lang).
  • Zwei-Faktor-Authentifizierung: Das ist derzeit die sicherste Methode, einem Identitätsdiebstahl vorzubeugen. Die Idee: Ihre Identität besteht nicht mehr nur aus dem Datenpaar Benutzername/Email und Passwort, sondern aus einem zweiten Ding, meist Ihre Handy-Telefonnummer. Wer Ihre gestohlene Identität nutzen will, müsste dann einen zusätzlichen Code eingeben, der ans Smartphone geschickt wird. Weil Smartphones schwieriger zu stehlen sind als Zugangsdaten, ist das sehr sicher, wenn auch zuweilen unbequem. Und: Es sollte klar sein, dass man besser auch sein Smartphone sichert und verschlüsselt… Ich rate dazu, alle wichtigen Identitäten so abzusichern.
  • Leak-Check: Prüfen Sie ab und zu mal, ob Ihre Zugangsdaten irgendwo im Umlauf sind. Beispiele vertrauenswürdiger Leak-Checker sind www.sicherheitstest.bsi.de und sec.hpi.uni-potsdam.de. Wenn Sie glauben, dass Sie auf diesen Plattformen (wo Sie nur Ihre Mail-Adresse, NIEMALS Ihr Passwort eingeben) ausspioniert werden, dann ziehen Sie bitte doppellagige Alufolie über Ihren Kopf.
  • Daten sparen: Speichern Sie so wenig persönliche Daten wie möglich auf Ihrem Rechner, auch wenn es sich um einen stationären PC handelt. Legen Sie zum Beispiel mit VeraCrypt oder einem vergleichbaren Tool einen Container an, in dem Sie Ihre Korrespondenz speichern. Für riesige Datenmassen, etwa Fotos, ist so was natürlich ungeeignet, aber als Mittel gegen Identitätsdiebstahl dennoch ratsam.
  • Müll shreddern: Ja wirklich, es gibt Leute, die durchwühlen Müll auf der Suche nach Identitätshinweisen. Das heisst seit den 80er Jahren “dumpster diving” und war immer schon ein Mittel für Identitätsdiebstahl. Schmeissen Sie also Kontoauszüge und ähnliches sowie Notizzettel mit alten Login-Daten, Passwörtern etc. nicht einfach in den Müll. Shreddern Sie diese von Hand. Machen Sie von den Schnipseln zwei oder mehr Häufchen und entsorgen sie diese zeitlich und räumlich getrennt, etwa einen Teil heute mit dem Hausmüll, einen Teil in zwei Wochen mit dem Papiermüll.
  • Schweigen: Verschicken Sie keine Parameter Ihrer elektronischen Identität (Kontendaten, Kreditkartennummern, Zugangsdaten, Passwörter und so weiter) per E-Mail und speichern Sie diese auch nicht online.
Identitätsdiebstahl per Phishing: eine Fake-Website greift Benutzername und Passwort ab (Foto: CC0 Geralt)
Identitätsdiebstahl per Phishing: eine Fake-Website greift Benutzername und Passwort ab (Foto: CC0 Geralt)
  • Kein Internet-Café: Verwenden Sie Ihre Zugangsdaten, ergo auch jedwede Webservices, niemals auf wenig vertrauenswürdigen Rechnern wie denen in Internet-Cafés. Richten Sie sich speziell hierfür ein wertloses Freemail-Konto ein, das möglichst nicht mit Ihrer wahren Identität verknüpft ist. Ändern Sie dessen Passwort nach jeder Sitzung über öffentlich zugängliche Rechner. Ich will nicht behaupten, dass im Internet-Café das Risiko für einen Identitätsdiebstahl höher wäre, aber ich würde so handeln, als ob dem so wäre.
  • Kein Office-PC: Verwenden Sie Ihre Zugangsdaten, ergo auch jedwede Webservices, niemals auf Firmenrechnern. Sie müssen damit rechnen, dass Ihr Chef Sie ausspioniert (natürlich nur aus sinnvollen Gründen, um etwa die Einhaltung von Arbeitszeiten etc. zu kontrollieren). Sie müssen aber außerdem damit rechnen, dass sich Admin oder Support einen Spaß daraus machen, Sie oder den Chef auszuspionieren (denn es sind nur Menschen). Und selbst wenn weder Ihr Boss noch der Admin wirklich Böses im Schilde führen, so fallen doch persönliche Daten an, bei Verwendung von Keyloggern zum Beispiel alle Ihre Identitätspaare aus Username/Passwort. So erfasste Daten, die existieren, können dann auch mal in falsche Hände fallen. (Dies ist übrigens das wahre Problem mit Vorratsdatenspeicherung & Co.: Nicht dass Schäuble uns belauscht, sollte uns Sorgen machen, sondern dass unsere abgelauschten Daten dann fix & fertig irgendwo rumliegen, wo Kriminelle oder Korrupte sie nur noch abholen müssen, und es ist ja hinreichend bekannt, wie gut unsere Behörden gegen Hacker geschützt sind, nämlich 0.)
  • Verschlüsseln: Auf mobilen Rechnern sind Ihre Daten besonders gefährdet. Sichern Sie Ihr Netbook oder Notebook auch als Schutz gegen Identitätsdiebstahl mit VeraCrypt oder einer vergleichbaren Lösung.

[wc_box color=”secondary” text_align=”left” margin_top=”” margin_bottom=”” class=””]

Geben Sie ganz allgemein niemals Ihren Benutzernamen und Ihr Passwort preis, außer dort, wo die Eingabe dieser Daten wirklich erforderlich ist – also beim Login. Und stellten Sie sicher, dass die Login-Seite auch wirklich “echt” ist.

[/wc_box]

  • Verwenden Sie nur Login-Webseiten, die Sie selbst manuell aufgerufen oder von der Hauptseite des jeweiligen Dienstes aus erreicht haben –also „www.ebay.de“, „www.gmx.de“ oder „www.web.de“.
  • Um Services zu nutzen, klicken Sie nicht auf Links, die Sie per Mail erhalten. Vor allem Hinweis-Mails von Banken oder allem, was mit Geld und Kauf zu tun hat.
    Natürlich lässt sich das nicht durchhalten, jede Verifikationsmail verlangt ja genau das. Überlegen Sie einfach stets genau, ob es jetzt konkret einen plausiblen Grund gibt, warum der Dienst Ihnen eine E-Mail mit diesem Link schickt, der dann ja oft zu einer Passwortabfrage führt.
  • Wenn Sie ein Notizbuch für Ihre Passwörter verwenden (wogegen wenig spricht, solange Sie nicht wenigstens Geheimnisträger sind), nehmen Sie dieses nicht ins Büro mit. Bewahren Sie es nicht bei ihren sonstigen geldrelevanten Unterlagen auf. Speichern Sie Zugangsdaten und Passwörter möglichst nicht auf Ihrem PC. Wenn Sie es tun, verschlüsseln Sie diese Daten unbedingt mit einem Verschlüsselungstool.
  • Wählen Sie stets ein sicheres Passwort. (Siehe Tipps für sichere Passwörter.)
  • Verwenden Sie pro Service / Dienst / System je ein individuelles Passwert. Verwenden Sie auf keinen Fall ein und dasselbe Passwort bei mehreren Diensten. Wer eines Ihrer Passwörter gestohlen hat, hat sonst Zugriff auf Ihre anderen Identitäten mit denselben Passwörtern. Dass viele Menschen überall die gleichen Passwörter verwenden ist häufig Ursache eines Identitätsdiebstahls.
  • Wechseln Sie alle Ihre Passworte, wenn Sie auch nur den geringsten Verdacht eines Identitätsdiebstahls haben. Der Grund: Ein schlauer Identitätsdieb fällt nicht sofort durch Raubzüge im großen Stil auf. Stattdessen wird er versuchen, zuerst möglichst viele weitere Informationen zu sammeln. Indem Sie alle Kennworte auf einmal ändern, sperren Sie den unbemerkten Kuckuck aus.
  • Wer es sich leisten kann, doppelte Kontoführungsgebühren zu bezahlen, sollte zum Beispiel ein Konto ohne Dispo-Kredit nur für eBay-Überweisungen betreiben und dieses Konto gegen Einzüge sperren. So können Sie Einkäufe bezahlen und Einnahmen annehmen, ohne elektronischen Kontoraub befürchten zu müssen. Suchen Sie per Google nach „girokonto kostenlos“, um entsprechende Banken zu finden.
  • Wer bereits Opfer wurde, ändert möglichst alle Parameter seiner elektronischen Identität: Wechseln Sie die Bank, löschen Sie alle E-Mail-Konten und auch alle Zugänge bei Shops und ähnlichem. Setzen Sie sich mit dem anderen Teilnehmer der Transaktion (zum Beispiel jemand, der über Ihre gestohlene Identität bei Ebay etwas gekauft hat) in Verbindung und erstatten Sie beide Anzeige gegen Unbekannt.

[wc_box color=”primary” text_align=”left” margin_top=”” margin_bottom=”” class=””]

Einen recht unterhaltsamen Roman zum Thema hat übrigens T.C.Boyle geschrieben: “Talk Talk” schildert sachlich recht gut (und aus Opfersicht), was passieren kann, wenn ganz gezielt eine Identität übernommen wird. Das Problem wird in den Behörden heute immerhin ernster genommen als noch vor Jahren.

[/wc_box]

Interessante Links zum Thema: