Identitätsdiebstahl & Identitätsbetrug

Im echten Leben sind Ihre Identität SIE. Wenn Sie zum Bäcker gehen, zu dem Sie täglich gehen, und versehentlich kein Geld bei sich haben, dann wird der auch mal zulassen, dass Sie einen Tag später bezahlen - denn Ihre Identität ist ihm bekannt. Ihr Zahnarzt behandelt Sie, auch ohne dass Sie sich ausweisen müssen, denn Sie lassen sich bei ihm schon seit Jahren die Beisser richten. Im "real life" ist Identität relativ einfach zu handhaben.

Im Internet ist das ganz anders. Dort besteht Ihre Identität nur aus ganz wenigen Parametern. Das sind typischerweise Name, Adresse, Bankverbindungsdaten und Kreditkartenummern sowie zahlreiche Paare von Benutzernamen plus Kennwort. Das alles passt auf einen A7-Zettel, und doch macht es SIE aus - zumindest, soweit es das Netz betrifft.

Ziel eines Identitätsdiebstahls ist es, den A7-Zettel in die Finger zu kriegen, anders gesagt: möglichst viele Parameter Ihrer elektronischen Identität zu ermitteln.

Ist Identitätsdiebstahl aufwändig?

Wer im Internet jemals eingekauft hat, hat ja mindestens Name und Adresse sowie eine Zahlungsmöglichkeit angegeben. Doch auch Gauner könnten Shops eröffnen, und jeder Kunde übergäbe dann seine persönlichen Daten freiwillig. Es muss nicht immer ein Krimineller sein: Ein gekündigter, frustrierter Mitarbeiter reicht aus, damit Ihre Daten in die falschen Hände gelangen. Oder: Die den Shop betreibende Firma geht pleite. Wer kann sagen, was dann mit den Daten passiert?

Beispiel: Freemail-Anbieter wie Windows Live Mail, Hotmail, Google Mail, Yahoo! Mail, GMX, Web.de und so weiter. Auch dort besteht die Identität nur aus Nutzername und Passwort. Wer beides an sich bringt, kann unter fremden Namen Mails schreiben und zum Beispiel andere Personen belästigen, was wiederum polizeiliche Ermittlungen gegen den eigentlichen Inhaber der gestohlenen Identität nach sich ziehen kann.

Mit Hilfe einer gestohlenen E-Mail-Identität melden sich Kriminelle z.B. bei Shops an. Ein Identitätsdieb benötigt dann nur noch Kontendaten, um in diesen Shops auch einkaufen zu können. Oder: Mail-Kontendaten sind meist mit einer  wirklichen Identität verknüpft. Der Identitätsdieb braucht nur lange genug – und möglichst unauffällig – Ihre Mails mitzulesen und kann auf diese Weise herausbekommen, wer Sie wirklich sind. Ist Ihr Wohnort erst einmal bekannt, reicht ein bisschen Stöbern im Altpapier, um einen weggeworfenen Kontoauszug oder ähnliches aufzutreiben.

Eine gestohlene E-Mail-Identität kann weitere Identitätsdiebstähle nach sich ziehen. Viele Systeme bieten an, gespeicherte Passwörter für den Fall, das man sie vergessen hat, an die E-Mail-Adresse zu schicken. Auf diese Weise kann sich der Dieb einer Mail-Identität weitere Passworte beschaffen, die ihm wiederum neue Identitäten erschließen. Eine längerfristige Beobachtung all dieser Identitäten erlaubt es, das Verhalten des Opfers zu studieren und so noch besser seine Identität missbrauchen zu können.

Anderes Beispiel: Ihre eBay-Identität. Sie besteht aus Benutzername & Passwort. Werden beide Angaben gestohlen, reicht das völlig aus, um in Ihrem Namen Gebote abzugeben und Artikel zu kaufen, die sie gar nicht haben wollen. Umgekehrt lassen sich Angebote einstellen und Verkäufe abwickeln: Da jedes Angebot individuelle Zahlungshinweise enthalten kann, können Kriminelle unter einer gestohlenen Identität ungeniert Hehlerwaren verkaufen. Das Geld trudelt beim Gauner ein, polizeiliche Ermittlungen gelten dagegen dem Geprellten.

Hinzu kommt: eBay-User geben als "Verkäufer" jedem „Käufer“, der bereit ist, einen Euro für einen Gebrauchtschnickschnack auszugeben, freiwillig ihre Kontodaten in die Hand. Gangster, die eine E-Mail-Identität gestohlen haben, die mit eBay verknüpft ist, müssen also nur noch "sich selbst" etwas verkaufen, um in den Besitz der Konteninformationen zu gelangen.

Beim Diebstahl Ihrer "Identität" im Internet geht es nicht ausschliesslich darum, dass jemand Sie direkt schädigen möchte oder wird. Oft geht es dem Angreifer auch darum, seine eigene wahre Identität zu verschleiern und Ermittler auf eine falsche (nämlich Ihre) Spur zu führen. So oder so sind das Opfer am Ende Sie.

Wie erkenne ich Identitätsdiebstahl?

• Phishing: Ein klassischer Versuch, Ihre Identität (und auch die viele anderer) zu stehlen, ist der Phishing-Angriff (siehe dort).

• Social hacking: E-Mails, Chat-Gesprächspartner oder Anrufer, die einzelne Parameter Ihrer elektronischen Identität direkt bei Ihnen (oder einem Bekannten/Kollegen/Eltern) abfragen, deuten darauf hin, dass jemand gezielt Ihre Identität ausspionieren will. Seien Sie wachsam, wenn jemand von solchen Versuchen berichtet. Denken Sie auch an die anderen, wenn jemand auf diese Weise versucht, über Ihre Bekannten oder Kollegen etwas in Erfahrung zu bringen.

• Transfer-Poltergeist: Prüfen Sie regelmässig Ihre Kontobewegungen und stellen Sie sicher, dass alle Transaktionen von Ihnen stammen. Merkwürdige Transaktionen, auch von bescheidenen Beträgen, können auf Identitätsdiebstahl hinweisen.

• Ghostwriter: Prüfen Sie regelmässig den Postausgang und den Papierkorb Ihres Mail-Anbieters. Gibt es dort Mails, die Sie nicht geschrieben haben, dann verweist auch das auf einen Identitätsdiebstahl.

• Stille: Wenn Sie bestimmte Post nicht mehr erhalten - etwa Kreditkartenabrechnungen -, dann hat unter Umständen jemand eine neue Adresse angegeben und so Ihre Post auf sich umgeleitet. Gleiches gilt für Bestätigungen von Shops.

Tipps gegen Identitätsdiebstahl

• Daten sparen: Speichern Sie so wenig persönliche Daten wie möglich auf Ihrem Rechner, auch wenn es sich um einen stationären PC handelt. Legen Sie zum Beispiel mit TrueCrypt oder einem vergleichbaren Tool einen Container an, in dem Sie Ihre Korrespondenz speichern. Für riesige Datenmassen, etwa Fotos, ist so was natürlich ungeeignet, aber im Prinzip dennoch ratsam.

• Müll shreddern: Ja wirklich, es gibt Leute, die durchwühlen Müll auf der Suche nach Identitätshinweisen. Schmeissen Sie also Kontoauszüge und ähnliches sowie Notizzettel mit alten Login-Daten, Passwörtern etc. nicht einfach in den Müll. Shreddern Sie diese von Hand. Machen Sie zwei oder mehr Häufchen und entsorgen sie diese zeitlich und räumlich getrennt, etwa einen Teil heute mit dem Hausmüll, einen Teil in zwei Wochen mit dem Papiermüll.

• Schweigen: Verschicken Sie keine Parameter Ihrer elektronischen Identität (Kontendaten, Kreditkartenummern, Zugangsdaten, Passwörter und so weiter) per E-Mail und speichern Sie diese auch nicht online.

• Kein Internet-Café: Verwenden Sie Ihre Zugangsdaten, ergo auch jedwede Webservices, niemals auf wenig vertrauenswürdigen Rechnern wie denen in Internet-Cafés. Richten Sie sich speziell hierfür ein wertloses Freemail-Konto ein, das möglichst nicht mit Ihrer wahren Identität verknüpft ist.

• Kein Office-PC: Verwenden Sie Ihre Zugangsdaten, ergo auch jedwede Webservices, niemals auf Firmenrechnern. Sie müssen damit rechnen, dass Ihr Chef Sie ausspioniert, natürlich nur, um die Einhaltung von Arbeitszeiten etc. zu kontrollieren. Sie müssen außerdem damit rechnen, dass sich Admin oder Support einen Spaß daraus machen, Sie auszuspionieren. Selbst wenn weder Ihr Boss noch der Admin wirklich Böses im Schilde führen, so fallen doch persönliche Daten an, bei Verwendung von Keyloggern zum Beispiel alle Ihre Identitätspaare aus Username/Passwort. So erfasste Daten, die existieren, können dann auch mal in falsche Hände fallen. (Dies ist übrigens das wahre Problem mit Vorratsdatenspeicherung & Co.: Nicht dass Schäuble uns belauscht, sollte uns Sorgen machen, sondern dass unsere abgelauschten Daten dann fix & fertig irgendwo rumliegen, wo Kriminelle oder Korrupte sie nur noch abholen müssen.)

• Verschlüsseln: Auf mobilen Rechnern sind Ihre Daten besonders gefährdet. Sichern Sie Ihr Netbook oder Notebook mit TrueCrypt oder einer vergleichbaren Lösung.

• Geben Sie ganz allgemein niemals Ihren Benutzernamen und Ihr Passwort preis, außer dort, wo die Eingabe dieser Daten wirklich erforderlich ist – also beim Login.

• Verwenden Sie nur Login-Webseiten, die Sie selbst manuell aufgerufen oder von der Hauptseite des jeweiligen Dienstes aus erreicht haben –also „www.ebay.de“, „www.gmx.de“ oder „www.web.de“.

• Um Services zu nutzen, klicken Sie nicht auf Links, die Sie per Mail erhalten. Vor allem Hinweis-Mails von Banken oder allem, was mit Geld und Kauf zu tun hat.
  Natürlich lässt sich das nicht durchhalten, jede Verifikationsmail verlangt ja genau das. Überlegen Sie einfach stets genau, ob es jetzt konkret einen plausiblen Grund gibt, warum der Dienst Ihnen eine E-Mail mit diesem Link schickt, der dann ja oft zu einer Passwortabfrage führt.

• Wenn Sie ein Notizbuch für Ihre Passwörter verwenden, nehmen Sie dieses nicht ins Büro mit. Bewahren Sie es nicht bei ihren sonstigen geldrelevanten Unterlagen auf. Speichern Sie Zugangsdaten und Passwörter möglichst nicht auf Ihrem PC. Wenn Sie es tun, verschlüsseln Sie diese Daten unbedingt mit einem Verschlüsselungstool.

• Wählen Sie stets ein sicheres Passwort. (Siehe Tipps für sichere Passwörter.)

• Verwenden Sie pro Service / Dienst / System je ein individuelles Passwert. Verwenden Sie auf keinen Fall ein und dasselbe Passwort bei mehreren Diensten. Wer eines Ihrer Passwörter gestohlen hat, hat sonst Zugriff auf Ihre anderen Identitäten mit denselben Passwörtern.

• Wechseln Sie alle Ihre Passworte, wenn Sie auch nur den geringsten Verdacht eines Identitätsdiebstahls haben. Der Grund: Ein schlauer Identitätsdieb fällt nicht sofort durch Raubzüge im großen Stil auf. Stattdessen wird er versuchen, zuerst möglichst viele weitere Informationen zu sammeln. Indem Sie alle Kennworte auf einmal ändern, sperren Sie den unbemerkten Kuckuck aus.

• Wer es sich leisten kann, doppelte Kontoführungsgebühren zu bezahlen, sollte zum Beispiel ein Konto ohne Dispo-Kredit nur für eBay-Ãœberweisungen betreiben und dieses Konto gegen Einzüge sperren. So können Sie Einkäufe bezahlen und Einnahmen annehmen, ohne elektronischen Kontoraub befürchten zu müssen. Suchen Sie per Google nach „girokonto kostenlos“, um entsprechende Banken zu finden.

• Wer bereits Opfer wurde, ändert möglichst alle Parameter seiner elektronischen Identität: Wechseln Sie die Bank, löschen Sie alle E-Mail-Konten und auch alle Zugänge bei Shops und ähnlichem. Setzen Sie sich mit dem anderen Teilnehmer der Transaktion (zum Beispiel jemand, der über Ihre gestohlene Identität bei Ebay etwas gekauft hat) in Verbindung und erstatten Sie beide Anzeige gegen Unbekannt.

Einen recht unterhaltsamen Roman zum Thema hat übrigens T.C.Boyle geschrieben: "Talk Talk" schildert sachlich recht gut (und aus Opfersicht), was passieren kann, wenn ganz gezielt eine Identität übernommen wird. Allerdings stellen sich Boyles Protagonisten anfangs auch selten blöd an...

Interessante Links zum Thema:

• www.kriminologie.uni-hamburg.de
• www.identitytheft.org.uk
• www.idtheftcenter.org
• www.fraud.org

Und hier noch ein scareware.de-Buchtipp:

736 Seiten rund um Sicherheit, Windows 7, Virenschutz, Backup, Anonymität. Infos hier oder bei Amazon.de: Windows 7 Sicherheit

Themen: Datenschutz • Fragen+Antworten • Sicherheit • Tipps+Tricks.
Tags: Datensparsamkeit • ID-Theft • Identität • Identitätsbetrug • Identitätsdiebstahl • identity theft • Kriminalität • Online-Banking • Paranoia • Phishing • Phreaking • Vorsicht!.
Am 07.10.09 um 18:34 publiziert.
Am 11.10.09 um 19:43 überarbeitet.
Beitrag kommentieren, als erster!
Teilen: Beitrag buzzen, twittern oder facebooken.
Trackback: http://scareware.de/2009/10/id-identitaetsdiebstahl-identitaetsbetrug/trackback/
Feed abonnieren: ScareWare.de-RSS / Kommentare-dieses-Posts-RSS