Online-Sicherheit
Identitätsdiebstahl: So schützen Sie sich
Plötzlich treten Betrüger in Ihrem Namen auf: Schreiben E-Mails, posten Beleidigungen und bestellen teure Sachen. Ein Fall von Identitätsdiebstahl. Wir zeigen, wie Sie sich online schützen können.
Identitätsdiebstahl ist online eine Gefahr, vor der man sich nur schwer schützen kann. Todd Davis, damaliger CEO der Sicherheitsfirma LifeLock, wagte den Selbstversuch: Er ließ seine Sozialversicherungsnummer groß auf Plakatwände, Litfaßsäulen, LKWs und andere Werbeflächen drucken. Auch im Internet verbreitete er sie auf Werbebannern. Der Sicherheitsspezialist war so von der Kompetenz seiner Software überzeugt, dass er in der Werbekampagne die ganze Welt dazu aufforderte, seine Identität zu stehlen.
Er hatte Pech: Die ganze Welt stahl seine Identität. Betrüger nutzten in mindestens 87 Fällen seine Nummer dazu, Darlehen aufzunehmen und andere Schulden zu verursachen. Neben den daraus resultierenden Problemen wurde die Firma zu einer Strafe von 12 Mio. Dollar verurteilt, weil sie irreführend immer noch behauptet, die Identität der Kunden schützen zu können.
Das Beispiel zeigt, dass sich nicht einmal Sicherheitsprofis vor Identitätsdiebstahl schützen können. Mit gestohlenen Daten erschleichen Betrüger Kredite, bestellen sich teure Geräte oder Schmuck, machen Schulden und plündern schlichtweg anderer Leute Bankkonten. Oft reichen wenige Informationen, um im Namen einer Person ein Geschäft zu tätigen: Geburtsdatum, Wohnort, Kontonummer. Die Betrüger gehen per Telefon oder im Netz großzügig shoppen, geben aber eine abweichende Lieferanschrift an. Mit ein paar Tricks fangen sie die Lieferungen dort ab, während die Rechnungen an das Opfer gehen. Und dann die Mahnungen, schließlich die Mahnbescheide.
Viele Opfer berichten, dass sie sich oft monatelang gegen Inkassobüros wehren mussten, und selbst wenn sie letztendlich recht bekamen, ist dies nervenaufreibend und zermürbend. Der Schaden für die Kreditwürdigkeit ließ sich hingegen nie ganz aus der Welt schaffen.
Unter Identitätsdiebstahl versteht man insgesamt die missbräuchliche Nutzung personenbezogener Daten einer natürlichen Person. Ziel ist in der Regel, Geld oder andere Werte zu ergaunern, Daten der betroffenen Person zu verkaufen oder den Ruf des Opfers zu verunglimpfen, z. B. durch herabwürdigende Facebook-Postings. Oft dauert es ein paar Wochen, bis dem Opfer die Attacke auffällt, z. B. wenn Mahnungen und Zahlungsaufforderungen per Brief ins Haus flattern, denn die Online-Mahnungen ignoriert man meist zurecht als Spam.
Weitere Symptome: Angemessene Kredite werden nicht gestattet, die Krankenkasse lehnt übliche Leistungen ab, das Finanzamt gibt an, dass mehrere Steuererklärungen unter demselben Namen getätigt wurden etc.
Daher sind kritische Daten wie Sozialversicherungsnummer (USA), steuerrechtliche Informationen, Bank- und Kreditkartendaten oder das E-Mail-Konto mit äußerster Vorsicht zu behandeln - online wie offline. Denn auch im realen Leben lassen sich Daten abgreifen, beispielsweise im Müll, der unachtsam entsorgte Bankbriefe oder Steuernachweise birgt.
Passwortvielfalt verhindert späteren Schaden
Die Online-Attacke richtet sich gegen die Konten bei Online-Diensten der Opfer. Insbesondere im Postfach oder bei Facebook liegen die wertvollen Daten gebündelt. Ein einziger unsicherer Anbieter genügt, der seine Kundendaten nicht adäquat verschlüsselt, damit fallen Tausende E-Mail-Passwort-Kombinationen den Cyberkriminellen in die Hände.
Beispiele gab es in letzter Zeit genug: Sony, Steam, Dropbox, Twitter. Die Täter probieren die erbeuteten Zugangsdaten sofort automatisch bei weiteren gängigen Diensten aus: Google, GMX, Facebook etc. Ein Anwender, der immer dieselben Passwörter nutzt, ist auf einen Schlag alle Konten los. Wenn die Täter dann das Passwort ändern, verliert er vollends die Kontrolle über die eigene Online-Identität.
Ein gutes Passwort ist der Schlüssel zur Sicherheit
Im Internet sollten gute Passwörter daher eine Selbstverständlichkeit sein. Und für jeden Dienst sollten Sie am besten ein eigenes Passwort verwenden. Genauso kritisch sind Sicherheitsfragen wie beispielsweise "Wie ist der Mädchenname Ihrer Mutter?". Das sollten Sie nicht wahrheitsgemäß beantworten, sonst könnten sogar flüchtige Bekannte leicht Ihre Konten hacken. Geben Sie stattdessen lieber frei erfundene Antworten an, und verwahren Sie diese mit Verweis auf die jeweiligen Konten an einem sicheren Ort. Statt nur auf Passwörter zu setzen, sind viele Anbieter auf Multifaktor-Authentifizierung umgestiegen.
Wer etwa versucht, sich von einer nicht erkannten Browser-ID anzumelden, muss sich auf mindestens zwei verschiedene Arten identifizieren: z. B. Passwort + PIN, Passwort + Handycode oder Passwort + zusätzliches Passwort per E-Mail. Multifaktor-Authentifizierung bedeutet: Mehr Sicherheit ist in jedem Fall traditionellen Anmeldeverfahren vorzuziehen.
Kontodiebe gehen auch gerne über Trojaner auf Raubzug. Ein guter Schutz dagegen ist eine virtuelle Surfumgebung.
Gefahr im sozialen Netz
Mit 1,4 Milliarden Nutzern nimmt Facebook eine hohe Priorität bei Hackern ein, und deren Methoden sind vielfältig. Betrügerische Links, die private Informationen verlangen, bevor weitergeleitet wird, oder solche, die direkt Drive-by-Downloads starten, nutzen die Leichtgläubigkeit der Nutzer beim Browsen ihrer Timeline aus.
Besonders perfide, wenn gehackte Konten der eigenen Freunde diese Links anpreisen. Facebook wird so zur Phishing-Plattform umfunktioniert. Aber auch außerhalb des Netzwerks ist Vorsicht geboten. Lädt eine unbekannte Seite etwa dazu ein, sich mit Ihrem Facebook-Account anzumelden, geben Sie womöglich ungewollt Daten weiter, mit denen sich Hacker Zugang verschaffen können.
Privater Identitätsdiebstahl im Freundeskreis oder durch einen missmutigen Ex-Partner darf ebenfalls nicht unterschätzt werden. Wenn Sie Ihre internetfähigen Geräte also mit mehreren Personen (auch nur kurzzeitig) teilen, sollten Sie sich nach dem Facebook-Besuch immer temporär ausloggen. Noch besser ist es, für diesen Fall ein Gastprofil mit eingeschränkten Rechten (ohne Browsernutzung oder Zugang zu persönlichen Daten) einzurichten.
Lesetipp: Die besten Antivirus-Programme 2015
Stiehlt ein Bekannter aus böswilligen Gründen Ihre Online-Identität, geht es vorrangig um Verunglimpfung. Der Täter schreibt meist nicht schmeichelhafte Kommentare im Namen des Opfers, verknüpft das Profil mit rufschädigenden Organisationen oder verschafft sich Zugang zu Fotos. Diese landen auf Porno-Webseiten, deren Alleinstellungsmerkmal Bloßstellung aus Rache ist ("Rache-Porno"). Opfer haben oft jahrelang mit den sozialen und psychologischen Schäden zu kämpfen.
Rechtliche Konsequenzen
Die Justiz kommt in puncto Internetkriminalität nur langsam hinterher. Tatsächlich besteht kein Straftatbestand, wenn jemand die Identität eines anderen annimmt. Vilma Niclas, Rechtsanwältin und Fachjournalistin für IT-Recht erläutert: "Der Schaden lässt sich oft nicht in Zahlen ausdrücken, etwa wenn die Reputation leidet. Allerdings können die Folgen eines Identitätsdiebstahls strafbar sein."
Diebstahl und Verbreitung von Fotos verletze das Urheberrecht und das Recht am eigenen Bild. Der Kauf unter fremdem Namen sei ebenso rechtswidrig wie das Nachstellen von Menschen (Stalking). Es drohen Freiheitsstrafen bis zu drei Jahren oder Geldstrafen. Daneben greift bei den genannten Fällen gleich eine Palette von Computerstraftaten wie der Computerbetrug, die Datenveränderung oder die Computersabotage.
Sicherheits-Tools
Diese Tools schützen vor Betrügern, die es auf Ihre Daten abgesehen haben.
- Bitlocker Drive Encryption: Microsofts Antwort auf TrueCrypt verschlüsselt das Dateisystem all Ihrer Festplatten. Zugriff ist nur mit Ihrem Passwort möglich. Preis: kostenlos (seit Vista in jedem Windows integriert)
- DBAN: Mit DBAN stellen Sie sicher, dass Ihre Festplatten vor Verkauf oder Verschrottung keine Daten mehr enthalten. Nach der Löschung durch DBAN sind Informationen darauf nicht einmal mehr mit forensischen Mitteln zu rekonstruieren. Preis: kostenlos
- VirtualBox: Ein virtuelles Betriebssystem, das Ihnen als Testfeld für verdächtige Programme dient. Trojaner und andere Malware haben keine Chance! Preis: kostenlos
- LastPass: Alle Passwörter in einem Programm statt sie unsicher im Browser zu hinterlegen. Preis: kostenlos
- GNU Privacy Guard: Endlich den Sprung machen zum verschlüsselten E-Mail-Verkehr (Plug-in für MS-Outlook und Thunderbird). E-Mail-Hacks sind zwecklos, wenn der Inhalt des Postfachs verschlüsselter Datenbrei ist. Preis: kostenlos
Der Notfall
Doch was, wenn es bereits zu spät ist? Mit diesen Maßnahmen können Sie weitere Schäden verhindern.
- Wenn Sie Ihre Zugangsdaten per Multifaktor-Authentifizierung (E-Mail oder Handy) nicht wiederbekommen, stehen Sie vor verschlossener Tür. Wenden Sie sich zuerst an den technischen Support des Dienstleisters. Wichtig: Falls Sie noch in der Lage sind, Ihr Konto zu löschen, tun Sie das lieber nicht! Falls z. B. Bestellungen mit Ihrer nun gelöschten E-Mail-Adresse abgesendet wurden, werden Sie auf Probleme bei der Stornierung stoßen.
- Vergessen Sie auch nicht, weitere private Konten an anderer Stelle zu untersuchen. Womöglich hat sich der Hacker schon an weiteren Stellen unbefugt Zugang verschafft.
- Haben sich die Betrüger an Ihren Bankdaten vergriffen, wenden Sie sich direkt an Ihre Bank, und lassen Sie alle Konten auf Ihren Namen sperren.
- Danach ist eine Anzeige gegen unbekannt bei der Polizei absolut unerlässlich. Das schafft Rechtssicherheit, falls Sie sich gegen weitere erwartete Rechnungen zur Wehr setzen müssen. Erwägen Sie außerdem, einen Rechtsanwalt zurate zu ziehen.
