Seite 2: 2019: Erhöhtes Risiko

Inhaltsverzeichnis

Identitätsklau rechtlich gesehen

Aus juristischer Perspektive wird die digitale Identität eigentlich nicht gestohlen, denn anders als bei einem Diebstahl kann der Betroffene seine Daten normalerweise weiterhin selbst verwenden. Präziserweise müsste man daher eher von Identitätsmissbrauch reden. Im Strafgesetzbuch (StGB) findet sich – anders als im US-Recht – kein mit "Identitätsdiebstahl" betitelter spezieller Straftatbestand.

Vielmehr können durch den Missbrauch des eigenen Namens oder anderer persönlicher Daten durch unbefugte Dritte eine Vielzahl unterschiedlicher Straftatbestände verwirklicht sein und werden. Gegen welche Gesetze ein Täter verstößt, hängt folglich davon ab, wie er sich die Daten verschafft und was er mit ihnen anstellt. Allen verschiedenen Formen des Identitätsdiebstahls mit den bestehenden Mitteln des Strafrechts beizukommen, ist deshalb schwierig.

Im Deliktbereich Computerkriminalität stellen die Paragrafen 202a bis c StGB verschiedene Formen der illegalen Beschaffung von Daten unter Strafe. Mit einer Freiheitsstrafe von bis zu drei Jahren oder Geldstrafe muss etwa rechnen, wer sich oder einem anderen – beispielsweise mittels Key-Logging-Trojaner oder Backdoor – unbefugt Zugang zu besonders gesicherten Daten verschafft. Auch das mit technischen Mitteln realisierte Abfangen von Daten aus einer nichtöffentlichen Datenverbindung – beispielsweise mittels Sniffing-Software – ist strafbar. Auch wer solche Taten vorbereitet, indem er die benötigte Software herstellt, sich verschafft oder verkauft, verstößt gegen die Rechtsordnung.

Phishing fällt nicht in diese Kategorie, da hier die Daten vom Opfer selbst herausgegeben werden und nicht besonders gesichert sind. Werden abgephishte Daten allerdings etwa dazu benutzt, Waren unter fremden Namen in einem Online-Shop zu bestellen und die Lieferung umzuleiten, dann liegt ohnehin ein Warenkreditbetrug, aber auch ein Computerbetrug nach Paragraf 263a StGB vor. Außerdem greift in einem solchen Fall auch der Paragraf 229 StGB ("Fälschung beweiserheblicher Daten"). Viele Juristen sehen diesen Straftatbestand bereits erfüllt, wenn die Anmeldung eines Accounts unter falschen Personalien erfolgt – zumindest soweit Nutzungsbedingungen akzeptiert werden müssen. In beiden Fällen sieht das Gesetz eine Freiheitsstrafe von bis zu 5 Jahren oder eine Geldstrafe vor.

Toxisches Doxxing

Auch die Weitergabe, der Verkauf oder die Veröffentlichung (Doxxing) von gesammelten persönlichen Daten ist rechtswidrig. Im sogenannten Nebenstrafrecht stellt Paragraf 42 des neuen Bundesdatenschutzgesetzes (BDSG) unter anderem die gewerbsmäßige Weitergabe und das unberechtigte Veröffentlichen personenbezogener Daten mit Schädigungsabsicht unter Strafe. Diese Norm dürfte beispielsweise im Fall der massenhaften Veröffentlichung privater Informationen von Politikern und Prominenten durch den 20-jährigen Schüler aus Hessen im Dezember 2018 greifen.

Wenn in Fällen wie diesem der Täter identifiziert wurde, können Geschädigte auch zivilrechtlich gegen ihn vorgehen. So sind nicht nur Unterlassungsansprüche denkbar, sondern sie können auch Schadensersatz in Form von Schmerzensgeld verlangen – wegen der Verletzung ihres allgemeinen Persönlichkeitsrechts. So hat etwa das Landgericht Memmingen einem 12-jährigen Cybermobbing-Opfer ein Schmerzensgeld in Höhe von 1500 Euro zugesprochen (Az. 21 O 1761/13). In diesem Fall hatte der Täter unter anderem ein neues Facebook-Profil mit dem Namen des Opfers angelegt und dort gefälschte Postings platziert, welche den Schüler als homosexuell, gewalttätig und pädophil erscheinen ließen. (nim)

Je mehr Geschäfte wir online abwickeln, je mehr Prozesse aus der Offline-Welt sich über unsere digitale Identität im Internet erledigen lassen, desto begehrenswerter werden die zugehörigen Daten. Und Kriminelle entwickeln immer ausgefeiltere Methoden, um sie zu ergattern. Sicherheitsbehörden mahnen derzeit verstärkt, dieses Problem ernstzunehmen. Die European Union Agency for Network and Information Security (ENISA) etwa kategorisierte in ihrem Jahresbericht die Deliktgruppe "Identity Theft" sowohl 2018 als auch 2019 als "increasing risk".

Das Bundeskriminalamt (BKA) spricht im aktuellen "Bundeslagebild Cybercrime" (9/2018) von einem "gängigen und lukrativen Geschäftsmodell". Allerdings ändern dem Bericht zufolge die Diebe offenbar zurzeit ihre Methoden, mit denen sie an Identitätsdaten von Personen kommen. Sowohl das BKA als auch Europol beobachten einen Rückgang der gemeldeten Phishing-Attacken. An deren Stelle traten vermehrt "Datenabflüsse bei großen Dienstleistern", wie es das BKA nennt. Gemeint sind Einbrüche (Data-Breaches) bei Online-Shops, Webdiensten oder Auskunfteien mit dem Ziel, persönliche Informationen wie Adressen und Kreditkartennummern, vor allem aber Zugangsdaten für Nutzerkonten zu erbeuten.

Kombinationen aus Benutzernamen und Passwörtern, die sogenannten Credentials, stehen im Zentrum der Begehrlichkeiten. Eine der Kombinationen genügt Kriminellen oft als Startpunkt, um sich damit Zugang zu allen möglichen Accounts einer Person zu verschaffen und damit ihre digitale Identität komplett zu kapern, beispielsweise über Passwort-Recovery-Mechanismen.

Verantwortung der Dienste

Eine große Verantwortung kommt den Betreibern der Dienste zu. Sie regulieren den Einlass zu ihren Plattformen und stehen deshalb in der Pflicht, die dazu nötigen Credentials einbruchssicher zu verwalten. Ein noch so kryptisches Passwort hilft dem Nutzer wenig, wenn es im Klartext bei der Gegenstelle abgegriffen werden kann. Und genau da liegt einiges im Argen.

Aber auch Nutzer können das Risiko minimieren. Unter anderem gilt es, sich wo immer angeboten neben dem Passwort mit einem zweiten Merkmal (Token) zu authentifizieren. Fast alle großen, wichtigen Anbieter bieten diese zusätzliche Schutzschicht mittlerweile an, die dem besonders sensiblen Online-Banking entlehnt ist. Aber je mehr sich die Zwei-Faktor-Authentifizierung durchsetzt, desto intensiver werden die Bemühungen von Kriminellen, auch diese Barriere auszutricksen.

Als löchriger Schutz gilt beispielsweise bereits heute die Authentifizierung mit einer via SMS ans Handy gesendeten PIN: Angreifer missbrauchen die Rufnummernportierung der Mobilfunk-Provider, um eine Nummer einer anderen SIM-Karte zuzuordnen. Sie rufen dazu bei dem Mobilfunkanbieter an und überzeugen den Support-Mitarbeiter, eine Portierung vorzunehmen. Dabei nutzen die Angreifer Social Engineering, spionieren also das persönliche Umfeld des Opfers aus, um dessen Identität vortäuschen zu können.

In Deutschland sind erst wenige solcher Taten bekannt. Dagegen passiert in den USA der "Port-out Scam" (auch bekannt als SIM-Swapping) inzwischen regelmäßig. In einem besonders spektakulären Fall hat ein 20-jähriger Student aus Kalifornien fünf Millionen US-Dollar an Kryptogeld durch SIM-Swapping gestohlen und muss dafür nun für zehn Jahre ins Gefängnis. Er hatte SIM-Karten von rund 40 Opfern gekapert und dadurch Zugriff auf Accounts erlangt, um sich schließlich von dort aus Zugang zu ihren Kryptogeldbörsen zu verschaffen.

Achtung Fake-Accounts

Besonders leicht machen es Kriminellen jene Nutzer, die allzu freizügig persönliche Daten und Identifikationsmerkmale in sozialen Medien veröffentlichen. Das Sicherheitsunternehmen Eset warnte jüngst davor, dass Social-Media-Profile von Privatpersonen zunehmend ins Visier geraten. "Der Identitätsdiebstahl erfolgt automatisiert", erläuterte Thomas Uhlemann von Eset: "Skripte scannen ohne menschliches Zutun die Social-Media-Plattformen nach geeigneten Profilen, um dann persönliche Bilder und Account-Informationen abzugreifen." Danach werden mit diesen Informationen – ebenfalls vollautomatisiert – neue Accounts auf den Plattformen angelegt.

Diese Fake-Accounts nutzen die Kriminellen, um neue Opfer anzulocken. Sie erkennen nicht, dass sie sich auf einem gefälschten Profil befinden und tappen in die Falle. So werden sie beispielsweise zu Betrugsopfern oder laden über den Klick auf einen harmlos erscheinenden Shortlink im Fake-Profil unwissentlich Schadsoftware auf ihren Rechner.

In Deutschland grassiert seit Längerem die "PIN-Code-Masche": Mit einer gefakten Facebook-Identität schreibt der Täter Freunde des echten Account-Inhabers per Messenger an und bittet sie aus irgendwelchen dringenden Gründen um ihre Mobilfunknummern. Kurz darauf erhalten die Opfer eine SMS mit einem Bestätigungscode. Der "Freund" bittet sie um den Code, der in Wirklichkeit ein Bezahl-Passwort ist, das er gleich einsetzt: Den Schaden hat das Opfer, denn es wird über seine Mobilfunkrechnung (mit Zeitverzug) abgerechnet.

Besonders perfide an dieser Masche ist, dass sie für die Opfer oft unentdeckt bleibt. "Die Geschädigten gehen oft davon aus, dass der eigene Account gehackt wurde. Oft auch, weil die Facebook-Freunde das so vermuten und dem Geschädigten so vermitteln. Dass es eine Kopie war, die inzwischen vielleicht schon wieder gelöscht wurde, wurde nicht bemerkt", erklärt Hans-Joachim Henschel vom LKA Niedersachsen.

Schnell reagieren

Wer den Verdacht hat, Opfer eines Identitätsdiebstahls zu sein, sollte unbedingt aktiv werden. Neben technischen Eingriffen steht auch der Gang zur Polizei an. Genau wie die Kollegen vom BKA in ihrem Lagebild 2017 geht auch Henschel von einer hohen Dunkelziffer aus, weil eben viele Geschädigte – oft aus Scham – Strafanzeigen scheuen.

Dabei zeigt gerade ein aktueller, besonders spektakulärer Fund, dass längst nicht immer der Nutzer die Schuld trägt: Der Sicherheitsexperte Troy Hunt machte im Untergrund eine Sammlung an gehackten Onlinekonten mit über eine Milliarde Kombinationen aus Anmeldenamen und Passwörtern ausfindig. Kurz nach dem Fund dieser "Collection #1" tauchten weitere Sammlungen "Collection #2 bis #5" auf. Die fast 700 GByte großen Dateien umfassen Sammlungen von 2,2 Milliarden Onlinekonten, darunter Mail-Adressen und Passwörter.

Auf haveibeenpwned.com lässt sich checken, ob eigene Credentials in dem Fundus auftauchen. Alternativ kann man dort eine sortierte Liste mit Hashes von Passwörtern aus Hacks und Leaks herunterladen, um die eigenen Passwörter nicht durchs Web übertragen zu müssen. Die Kollegin Pina Merkert hat ein Python-Tool entwickelt, mit dem Sie diese Liste trotz ihrer Größe (25 GByte) in wenigen Millisekunden durchsuchen können.

Literatur

Tina Groll, Cem Karakaya, Die Cyber-Profis: Lassen Sie Ihre Identität nicht unbeaufsichtigt, Ariston-Verlag, 2018

(hob)