Identitätsdiebstahl

Beim Identitätsdiebstahl versuchen Cyberkriminelle mittels Ausnutzung typischer psychologischer Verhaltensmuster wie Höflichkeit, Hilfsbereitschaft oder Neugierde sensible Informationen zu erschleichen, um damit Identitäten zu stehlen und die Unachtsamkeit von Internetnutzerinnen und -nutzern auszunützen.

Identitätsdiebstahl ist im Rahmen des Social Engineerings eine repräsentative Methode, um Schaden zu verursachen, Menschen zu täuschen und Online-Identitäten von Personen zu übernehmen. Damit haben die Kriminellen die Möglichkeit, auf Ihre Kosten Einkäufe zu tätigen oder Accounts bei Dienstleistern in Ihrem Namen zu eröffnen. Auch Mobbing-Kampagnen können damit einhergehen. Oft ist Identitätsdiebstahl mit direkter oder indirekter Rufschädigung verknüpft.

Der Diebstahl einer Identität

Kriminelle täuschen beim Identitätsdiebstahl eine existierende falsche Identität vor. Social Engineering-Angriffe gehen dabei dem Identitätsdiebstahl häufig voraus. Cyberkriminelle nützen dazu öffentlich zugängliche Informationen (z. B. Social Media-Daten) oder durch Social Engineering-Angriffe erschlichene Daten, aber auch durch das Abhören von Konversationen gesammelte wertvolle Informationen über eine andere Person. In der Folge können die Kriminellen in Ihrem Namen auftreten.

Identitätsdiebstahl kann über verschiedene Kommunikationskanäle bzw. durch den Einsatz unterschiedlicher Technologien erfolgen. Darüber hinaus ist es auch möglich, dass Kriminelle ein Social Media-Konto in Ihrem Namen eröffnen und dieses als Basis für die Erstellung einer gefälschten Identität heranziehen. Mögliche Auswirkungen umfassen neben finanziellem Schaden auch umfangreichen Reputationsschaden.

Persönliche Daten sind für Cyberkriminelle daher überaus interessant. Internetnutzerinnen und -nutzer übermitteln beispielsweise Kreditkartendaten an Hotels oder Ausweisnummern an Veranstalter über das Internet. Für die Kriminellen hilfreiche Daten umfassen die Adresse, die Ausweisnummer, das Geburtsdatum, die Kontonummer, Kreditkartendaten, die Sozialversicherungsnummer oder Telefonnummern.

Frühwarnsignale, die auf gestohlene Identitäten hinweisen – Beispiele

  • Sie erhalten Post Ihres Arbeitgebers oder Ihrer vertrauten Bank nicht mehr.
  • Sie haben neue Social Media-Kontakte in Ihrer Freundesliste, die Sie nicht selbst bestätigt haben.
  • Auf Ihrem Smartphone wurde eine App installiert, die Sie nicht gekauft haben und auch nicht benötigen.
  • Sie erkennen, dass an Ihrem Social Media-Profil Änderungen vorgenommen wurden, die nicht von Ihnen stammen.
  • In Ihrem Profil wird Ihr aktueller Standort angezeigt, auch wenn Sie dies vorher deaktiviert haben.
  • Und auch Social-Media-Kontakte, die nicht Ihren Interessen (Likes etc.) entsprechen, können ein Anzeichen für eine gestohlene Identität sein.

Gegenmaßnahmen

Die Methoden hinter Attacken, die das Ziel verfolgen, eine Identität zu stehlen, sind überaus vielfältig. Daher sind auch weitreichende Gegenmaßnahmen erforderlich. Diese sollten nicht isoliert angewendet, sondern kombiniert eingesetzt werden.

  • Achten Sie auf Warnsignale.
  • Verwenden Sie keine einfachen Passwörter für Online-Zugänge (Social Media, Web-Banking etc.)
  • Ändern Sie Ihre Zugangsdaten zeitgerecht.
  • Geben Sie keine telefonischen Auskünfte über sensible Daten (z. B. Passwörter, Sozialversicherungsnummer, TAN etc.)
  • Übermitteln Sie keine sensiblen Daten per E-Mail, da diese Form der Kommunikation nicht sonderlich sicher ist und zudem die Fälschung einer E-Mail-Adresse einfach ist.
  • Klicken Sie nicht auf Links (z. B. in E-Mails), um persönliche Daten – beispielsweise Adressangaben – zu bestätigen.
  • Schützen Sie Ihre persönlichen Informationen (Ausweisnummern, Kreditkartendaten, Sozialversicherungsnummer, Arbeitnehmerinnen-/Arbeitnehmerveranlagungs-Informationen etc.)
  • Beachten Sie unerwünschte Post (dabei kann es sich auch um missbräuchlich bestellte Produkte wie etwa Kreditkarten handeln).
  • Sensible Informationen wie Passwörter und Zugangsdaten sollten niemals offen zugänglich sein.
Letzte Aktualisierung: 8. Oktober 2020

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria