Identitätsdiebstahl im Netz: Wie man sich vor Datenmissbrauch schützt
Erfahren Sie, wie Identitätsdiebstahl im Internet funktioniert, welche Zwecke Cyberkriminelle mit dem Datenmissbrauch verfolgen und wie Sie sich am besten davor schützen können.
Das Internet ist längst Teil des kollektiven Alltags geworden. Anstelle der früher üblichen „Nicknames”, also selbst gewählter Pseudonyme, wird heute vermehrt der Klarname verwendet. Offizielle Stellen, private Anbieter, Foren und soziale Netzwerke verlangen immer öfter einen Identitätsnachweis bei der Eröffnung eines Benutzerkontos. Damit steigt auch die Gefahr für Identitätsdiebstahl und dadurch ermöglichten Datenmissbrauch, denn je mehr Informationen über eine Person online zu finden sind, umso einfacher wird es für Betrüger und Betrügerinnen, diese Daten für ihre zwielichtigen Zwecke zu verwenden. Die Daten des Cybermonitors zeigen, dass die durch Identitätsdiebstahl hervorgerufenen Gefährdungen weiterhin ein hohes Risiko darstellen.
Der oder die Betroffene bemerkt den Datenmissbrauch häufig nicht sofort. Kommen Rechnungen oder Verträge per E-Mail oder Post, denkt man zuerst an einen Fehler in der Adresse oder an Spam. Doch es kann sich um ein Anzeichen von Identitätsdiebstahl handeln. Es kommt auch vor, dass Betroffene erst durch Zufall von einem Eintrag beim KSV, dem Kreditschutzverband, erfahren, der wegen angeblich unbezahlter Schulden die Bonität einschränkt.
Ebenfalls verdächtig sind Forderungen von Inkassobüros, wenn die Forderung nicht mit dem eigenen Finanzverhalten übereinstimmt. Die Einschätzung, ob es sich um berechtigte Forderungen handelt, ist für Laien allerdings schwierig. Denn es gibt auch Betrugsmaschen, bei denen fingierte Rechnungen und Mahnungen verschickt werden. Sollten verdächtige Aktivitäten auftreten, ist es jedenfalls angeraten, Expertinnen oder Experten zu kontaktieren.
Arten von Identitätsdiebstahl
Je nach Motiv lassen sich drei Arten von Identitätsdiebstahl unterscheiden:
- Finanzielle Motive: Dazu zählen etwa betrügerische Bestellungen von Waren oder sonstige Zahlungen mit den Kreditkarten- oder Kontodaten der Opfer. Auch die Eröffnung eines Bankkontos unter fremdem Namen ist möglich, wenn die Täterin oder der Täter an eine digitale Ausweiskopie gelangt ist. Ist das Konto mit gestohlenen Daten ausreichend verifiziert, können die Betroffenen für alle Transaktionen verantwortlich gemacht werden.
- Verschleiern einer Straftat: Die Möglichkeiten reichen von relativ harmlosen, aber dennoch illegalen Aktivitäten wie dem Up- und Download urheberrechtlich geschützten Materials über Geldwäsche bis hin zu besonders schweren Straftaten. Werden E-Mail-Adresse oder sonstige Zugangsdaten einer Person für solche Zwecke missbraucht, kann der Nachweis der eigenen Unschuld schwierig werden.
- Persönliche Motive: Rufschädigende oder gar kriminelle Inhalte werden unter dem Namen einer anderen Person veröffentlicht, die dadurch Nachteile erfährt. Das kann durch das Übernehmen eines bestehenden Benutzerkontos in sozialen Medien oder Foren geschehen. Alternativ ist es auch denkbar, dass Täterinnen oder Täter ein neues Benutzerkonto im Namen des Opfers eröffnen und dessen Identität in digitaler Form vortäuschen.
Maßnahmen gegen Datenmissbrauch
Alle Arten von Identitätsdiebstahl ist gemeinsam, dass die Täter über Informationen verfügen müssen, die eigentlich nur der Zielperson zugänglich sein sollten. Diese Informationen können auf unterschiedliche Art erlangt werden. Deshalb ist es wichtig, vor der Angabe von persönlichen Daten immer kritisch zu überprüfen, ob im jeweiligen Kontext tatsächlich eine Notwendigkeit besteht, diese Daten auch zu übermitteln.
Benutzerkonten schützen
Auch im Jahr 2020 war das am häufigsten genutzte Passwort in Deutschland „123456”. Verlangt die Software zusätzlich Groß- und Kleinbuchstaben und/oder Sonderzeichen, ist es „123456Ab!”. In Österreich dürfte die Lage weiterhin ähnlich sein, wie Daten aus dem Jahr 2019 für das oben genannte Passwort „123456“ zeigen. Man braucht also kein Hacker zu sein, um Zugang zu zahlreichen Daten zu erlangen. Ebenfalls beliebte Varianten sind Kinder- oder Haustiernamen mit einer Jahreszahl, was besonders im Fall von Social Engineering leicht erraten werden kann. Ein anderer, häufig begangener Fehler ist es, ein und dasselbe Passwort für unterschiedliche Apps, Seiten und Dienste zu nutzen. Ist dann eines dieser genannten Services von einem Datendiebstahl betroffen, ist eine Übernahme aller anderen Benutzerkonten mit den gleichen Zugangsdaten ebenfalls denkbar. Deshalb sollte man auf jeden Fall für jedes Benutzerkonto ein eigenes Passwort verwenden, das für Außenstehende nicht leicht zu erraten ist.
Tipp
Verwenden Sie einen geprüften Passwortmanager. Das ist eine Software, die ihre Zugangsdaten für unterschiedliche Webseiten verschlüsselt speichert. Auf diese Art können Sie unterschiedliche komplizierte und schwer zu knackende Passwörter vergeben, ohne sich diese einzeln merken zu müssen. Auch ist eine zufällige Erzeugung sicherer Passwörter mit den meisten Passwortmanagern durchführbar. Weitere Tipps, die Sie beim Abspeichern von Passwörtern beachten sollten, lesen Sie in unserem Beitrag zur Speicherung von Passwörtern im Browser.
Vorsicht ist auch bei den Sicherheitsfragen angebracht, die im Fall eines vergessenen Passworts zur Wiederherstellung des Kontos genutzt werden. Geburtsort, Mädchenname der Mutter, der Name des ersten Haustiers oder des ersten Arbeitgebers sind Informationen, die Nutzer häufig auch in sozialen Netzwerken preisgeben. Ist es nötig, eine Antwort auf so eine Sicherheitsabfrage zu hinterlegen, sollte diese nicht dieselben Informationen beinhalten, die leicht über andere Plattformen gefunden werden können. Es empfiehlt sich, beispielsweise eine persönliche Dialektform für Ortsnamen zu benutzen oder andere Variationen, die anderswo nicht verwendet werden. Im Idealfall ist auf solche Sicherheitsabfragen besser zu verzichten und diese zu deaktivieren.
Wo es möglich ist, sollte die Zwei-Faktor-Authentifizierung benutzt werden. Dabei genügt es nicht, sich mit Benutzer-ID und Passwort anzumelden. In diesem Fall wird der Zugang zum Benutzerkonto beim Login durch eine zusätzliche Freigabe geschützt. Diese Freigabe erfolgt über einen zweiten Kanal mittels eines im Vorhinein freigeschalteten Geräts oder mittels einer darauf installierten App. Je nach Anwendungsfall wird zu diesem Zweck entweder ein temporäres Einmalkennwort (etwa eine Kombination aus Buchstaben beziehungsweise Ziffern) auf eine vorab hinterlegte Mobiltelefonnummer gesendet oder über einen gesicherten Kanal an eine vorweg auf diesem Gerät installierte sowie registrierte App übertragen. Das Einmalkennwort ist anschließend in einer Anmeldemaske einzugeben. Andererseits sind auch Login- beziehungsweise Freigabe-Apps in Verwendung, bei welchen die auf dem Bildschirm dargestellten Transaktionscodes für einen visuellen Vergleich durch die Benutzerin beziehungsweise den Benutzer zur Verifikation der Transaktion zu nutzen sind. Die Freigabe erfolgt in diesem Fall bei Übereinstimmung durch eine Bestätigung der Transaktion in dieser App. Ein dritter Anwendungsfall ist alternativ für Mehrfaktorauthentifizierung relevant, nämlich indem sogenannte TAN-Generatoren für die Erzeugung eines einmalig nutzbaren TANs zum Einsatz kommen. Dies ist entweder mit einer eigenen App oder unter Verwendung einer Debitkarte beziehungsweise einer Bankomatkarte und durch Eingabe eines PINs auf dem TAN-Generator möglich. Auf einem Display zeigt der TAN-Generator den erzeugten TAN an. Dieser TAN ist in einer Anmeldemaske einzugeben.
Vorsicht bei Emails, SMS und Anrufen
Die häufigste Art, Bankkonto- und Kreditkartendaten zu stehlen, ist das sogenannte „Phishing”: Emails, die vorgeblich von der eigenen Bank kommen und einen falschen Link zum Login enthalten, oder eine SMS vom Paketdienst, die einen Identitätsnachweis verlangt, sind beliebte Methoden, um an sensible Daten zu gelangen. Darin enthaltene Links führen zu Seiten, die mehr oder weniger gut die tatsächliche Webseite der Bank oder des Unternehmens nachahmen. Am besten ist es, solchen Links aus E-Mail und SMS nicht zu folgen, denn auch wenn man keine Daten eingibt, könnte allein durch den Besuch eine Schadsoftware installiert werden. Auf keinen Fall sollte man auf so erreichten Seiten Zugangsdaten eingeben.
Bei Anrufen, die (angeblich) von der eigenen Bank oder einer anderen offiziell klingenden Stelle kommen und für die vermeintliche Verifikation Geburtsdatum, Kreditkartennummer oder weitere persönliche Daten abfragen, sollte man ebenfalls keinesfalls sensible Informationen preisgeben. Mitarbeiterinnen und Mitarbeiter von Banken, Behörden und sonstigen offiziellen Stellen fragen nicht telefonisch nach solchen Informationen.
Tipp
Erscheint das Anliegen dennoch legitim, vergewissern Sie sich am besten durch einen Rückruf – aber nicht direkt an die anrufende Nummer, sondern an die offiziell im Telefonverzeichnis eingetragene Nummer des Bankinstitutes, Unternehmens oder der Behörde.
Ausweiskopien bewusst verwenden
Wird eine Ausweiskopie verlangt, ist besondere Vorsicht angebracht. Mit dem Bild eines amtlichen Lichtbildausweises und den enthaltenen Daten können Identitäten besonders einfach gefälscht werden. Es gibt zahlreiche Betrugsmaschen, um an solche Ausweiskopien zu kommen, etwa fingierte Job-Angebote, angebliche Meinungsumfragen und sogar Transaktionen auf Shopping-Portalen, bei denen der Verkäufer aus fadenscheinigen Gründen einen Ausweis verlangt.
Nur in wenigen Fällen ist es tatsächlich notwendig, einen Ausweis vorzuzeigen, etwa für die Legitimierung einer Kreditkarte oder zur Aktivierung eines Mobiltelefons. Hier ist Vorsicht beim Übertragungsweg geboten. Der E-Mail-Versand erfolgt in den meisten Fällen unverschlüsselt, der Ausweis könnte also „unterwegs” von Unbefugten eingesehen werden. Daher sollte man nach Möglichkeit andere Wege wählen, um sich den Mitarbeiterinnen und Mitarbeitern des Unternehmens gegenüber auszuweisen, etwa einen verschlüsselten Videochat. Zudem empfehlen Expertinnen und Experten, vor dem Versenden einer Ausweiskopie ein Wasserzeichen auf dem Bild anzubringen, beispielsweise „Kopie zur Kontoeröffnung bei Bank x”. Dadurch wird die Verwendung auf einen bestimmten Zweck eingeschränkt.
Den eigenen Namen suchen
Eine Vorsichtsmaßnahme gegen den „persönlichen” Identitätsdiebstahl ist es auch, in Suchmaschinen Benachrichtigungen auf den eigenen Namen beziehungsweise auf benutzte „Nicknames“ zu erstellen. Bei Google lassen sich Filter etwa unter alerts.google.com erstellen. Kommt der Name (oder das angegebene Suchwort) neu auf einer Webseite vor, wird eine E-Mail versandt, und man kann die Webseite überprüfen. Das funktioniert allerdings nur für allgemein einsehbare Informationen, also beispielsweise für öffentlich gesetzte Facebook-Profile, nicht für solche, die nur einem bestimmten Nutzerkreis zugänglich sind.
Nicht genutzte Accounts deaktivieren
Expertinnen und Experten empfehlen, sich bei allen Benutzerkonten auf Webseiten regelmäßig einzuloggen und diese auf verdächtige Aktivität zu prüfen. Einfacher ist es, Accounts, die nicht ohnehin regelmäßig genutzt werden, zu deaktivieren oder zu löschen, um etwaigen Missbrauch der dort vorliegenden Daten zu verhindern.
Verhalten im Schadensfall
Sollte es trotz aller Vorsichtsmaßnahmen zu einem Fall von Identitätsdiebstahl gekommen sein, ist eine polizeiliche Anzeige angebracht. Auch wenn es nicht gelingt, die Täter auszuforschen, ist diese Anzeige eine wichtige Handhabe gegen weiteren Schaden.
Zusätzlich werden je nach Schadensart folgende Schritte empfohlen:
- Bei Banken, Geldinstituten oder Kreditkartenunternehmen:
Das jeweilige Unternehmen unverzüglich direkt kontaktieren. Je nach Art und Umfang des Schadens ist möglicherweise eine komplette oder teilweise Sperrung des Kontos oder der Debit- bzw. Kreditkarte nötig. Alle seriösen Unternehmen haben eigens dafür Mitarbeiterinnen und Mitarbeiter, die Hilfestellung bei der Lösung des Problems bieten.
- Bei Online-Shops und Shopping-Plattformen:
Wenn ein Login noch möglich ist, sofort das Passwort ändern, Bestellungen und Zahlungen kontrollieren und gegebenenfalls stornieren. Haben die Angreifer die Login-Daten bereits geändert, ist es ebenfalls nötig, direkt Kontakt aufzunehmen.
- In sozialen Netzwerken und Foren:
Funktioniert das vergebene Passwort noch, ist auch hier eine sofortige Änderung nötig. Wenn nicht, hilft nur, das betreffende Konto beim Betreiber der Plattform zu melden, um es sperren zu lassen. Handelt es sich um ein soziales Netzwerk mit automatisierten Melderoutinen, kann es die Sperrung beschleunigen, wenn mehrere Personen das übernommene Benutzerkonto melden.
Tipp
Weiterführende Informationen, wie Sie Identitätsdiebstahl vermeiden können, lesen Sie in unserem Artikel Vorbeugung gegen Identitätsdiebstahl.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria