Identitätsklau nimmt zu und wird raffinierter
Ihre digitale Identität ist zum begehrten Angriffsziel geworden. Doch wenn Sie die Methoden der Identitätsdiebe kennen, können Sie sich selber schützen.
- Holger Bleich
Es war ein lang geplanter Urlaubstrip nach New York. Simone Peters freute sich darauf, ihren 33. Geburtstag zusammen mit ihrer besten Freundin im Big Apple zu feiern. Als sie am Flughafen ihren Pass zur Einreise überprüfen ließ, erschienen drei uniformierte Beamte: "Kommen Sie mit", forderte einer sie auf. In einem Hinterzimmer sah sich Peters unvermittelt grimmig dreinschauenden, bewaffneten Polizisten gegenüber.
Später stellte sich heraus, dass die Bankerin ohne ihr Wissen auf einer US-Fahndungsliste gelandet war – jemand hatte ihre Identität digital dazu missbraucht, einen betrügerischen Online-Shop zu eröffnen und dort gefälschte Louis-Vuitton-Taschen zu verkaufen. Die Vorladungen gingen an eine Fake-Adresse, sodass Peters als flüchtig deklariert wurde. Erst einen Tag später hatte sich der Fall geklärt und Peters durfte einreisen.
Das ist eine von vielen wahren Geschichten, die die Journalistin Tina Groll und der Polizist Cem Karakaya erzählen. Die beiden haben jüngst ein Buch veröffentlicht, in dem sie anhand konkreter Beispiele viele Facetten des Identitätsdiebstahls zeigen. Da geht es etwa um Stalker, die Facebook-Konten kapern, um den illegalen Handel mit ergaunerten persönlichen Daten, und vor allem um Warenbetrug, der die Opfer mitunter um viel Geld bringt.
Schwammiger Begriff
Der Klau, oder präziser gesagt: der Missbrauch von Identitätsdaten hat sich in den letzten Jahren zu einem massiven Problem entwickelt. Einer repräsentativen Befragung der Wirtschaftsprüfungsgesellschaft PwC zufolge war bereits 2016 fast jeder Dritte in Deutschland schon einmal Opfer eines Identitätsklaus. Je sechs Prozent berichteten, dass mit ihren Daten ein gefälschter Account angelegt wurde – etwa bei eBay oder Facebook –, oder dass die Kreditkartendaten gestohlen und missbraucht wurden. Drei von zehn der Betroffenen hatten demnach einen finanziellen Schaden erlitten.
(Bild: PwC)
Was der Begriff Identitätsdiebstahl genau beschreibt, bleibt oft schwammig. Es fehlt arglosen Konsumenten oft die Fantasie, sich vorzustellen, was böswillige Täter mit einigen wenigen privaten Informationen anfangen können – das muss nicht einmal ein Passwort sein. Deshalb ist vielen potenziellen Opfern nicht klar, welche Angriffsvektoren Täter nutzen, um an fremde Daten zu kommen.
Datendiebstahl leicht gemacht
Der Journalist Richard Gutjahr berichtete einmal launisch in seinem Blog, wie er im Flughafen-Wartebereich genervt dem Handy-Gespräch eines Geschäftsmanns neben ihm zuhörte: "Offenbar war er gerade dabei, eine Limousine zu buchen. Irgendwann zückt er seinen Geldbeutel, beginnt damit, seine Kreditkartendaten vorzulesen. Reflexartig fahre ich die Tastatur meines iPads aus und tippe mit. Ziffer für Ziffer der Kartennummer, dann das Gültigkeitsdatum und die Prüfnummer. Warum ich das tue? Weil ich es kann."
Gutjahr brachte es auf den Punkt: "Auf einmal wird mir klar, ich könnte jetzt weiß Gott was mit seinen Daten anstellen: einkaufen, Online-Konten bei eBay, Amazon oder Apple einrichten." Seinem Bericht zufolge beließ er es dabei, dem "Opfer" seines Identitätsdiebstahls über den Druck- und Lieferservice der Deutschen Post eine Fun Card nach Hause zu schicken: "Bezahlt mit seiner Kreditkarte. Das musste sein."
Daten auf eBay sammeln
Hans-Joachim Henschel, Kriminalhauptkommissar am Landeskriminalamt (LKA) Niedersachsen, berichtete c’t auf Anfrage von derzeit häufig gemeldeten Angriffsmethoden. Da wären beispielsweise die arglosen Nutzer von eBay und anderen Miet- oder Verkaufsplattformen. Von ihnen fordern Täter wahlweise als Käufer, Verkäufer oder Vermieter einen Echtheitsnachweis, etwa einen Scan des Personalausweises, eine Zulassungsbescheinigung, einen Mietvertrag oder einen Gehaltsnachweis. Diese Daten sammeln sie, um sie später selbst zu missbrauchen oder zu verkaufen.
Beliebt sei es derzeit, das Videoident-Verfahren bei Jobsuchenden zu missbrauchen. Die Täter schalten dafür gefakte Stellenangebote bekannter Unternehmen, beispielsweise Tchibo oder der Deutschen Bahn, und bauen deren Bewerbungsportale nach. Sie bringen die Jobsuchenden dazu, das Videoident-Verfahren einer Bank zu nutzen, um sich vorgeblich im Online-Bewerbungsverfahren zu authentifizieren. In Wirklichkeit bestätigen die Opfer hier der Bank, dass sie ein Konto eröffnen wollen.
Die Täter stellen sich beim Schriftverkehr zwischen Videoident-Verfahren, Bank und Jobsuchenden. Alle von der Bank benötigten Unterlagen werden über die Täter geleitet, sodass die beiden anderen Parteien nichts davon mitbekommen: "Der Jobsuchende wird dann hingehalten oder letztendlich doch nicht ‚eingestellt’. Dass in seinem Namen ein Bankkonto existiert, bemerkt er nicht oder erst, wenn die polizeilichen Ermittlungen gegen ihn laufen. Bereits wenige Tage und Wochen reichen den Tätern, um ein Konto zum Beispiel für Geldwäsche zu missbrauchen", beschreibt das LKA.
