Feindliche Übernahme
Identitätsdiebstahl hat häufig übelste Folgen für die Betroffenen. Darüber hinaus können solche kriminellen Machenschaften jedoch auch auf Unternehmen oder Behörden durchschlagen, in denen Betroffene tätig sind – egal ob private oder dienstliche Identitäten kompromittiert wurden. Organisationen sollten Mitarbeiter:innen daher beim Schutz aller ihrer Identitäten unterstützen.
Maßnahmen gegen Identitäts-Diebstahl
Schon in der physischen Welt kann es sich auch auf Arbeitgeber oder Dienststellen auswirken, wenn Kriminelle die Identität von Mitarbeiter:inne:n annehmen und sich so etwa Zugang zu Bereichen verschaffen, die ihnen eigentlich nicht offen stehen sollten. Angesichts der intensiven Verflechtung beruflicher und privater Accounts sowie der Möglichkeit des weltweiten Zugriffs auf digitale Ressourcen potenziert sich diese Bedrohung in der digitalisierten Welt – sowohl wenn dienstliche Identitäten direkt betroffen sind als auch durch mittelbare Einflussnahme, etwa über persönliche Geräte, Social-Media-Accounts oder eventuell eine Erpressbarkeit von Angestellten.
Jede Organisation tut also bereits aus eigenem Interesse gut daran, ihre Mitarbeiter:innen beim Schutz jeglicher digitaler (wie auch „klassischer“) Identitäten zu unterstützen, zumal die Zahl entsprechender Angriffe deutlich steigt, wie etwa die bei der US Federal Trade Commission (FTC) gemeldeten Betrugs- und Missbrauchsfälle zeigen (vgl. Abb. 1). Hinzu kommt noch eine enorme Dunkelziffer.
Neben den im Folgenden dargestellten Best Practices (nicht nur) für den Einsatz im professionellen Umfeld finden Sie aus diesem Grund im Kasten „Arbeitshilfe“ ab Seite 21 auch einen allgemeinen Text als Arbeitshilfe zur Aufklärung/Sensibilisierung für Nicht-Fachleute, den Sie für eigene Zwecke nutzen und auch anpassen können.
Digitale Hygiene / Prävention
Um das Risiko, Opfer eines Identitätsdiebstahls zu werden, zu minimieren, gilt einmal mehr die 80-zu-20-Regel (Paretoprinzip): Bereits einige wenige Maßnahmen können es – konsequent umgesetzt – potenziellen Tätern so schwer machen, dass diese sich „einfacher zugänglichen Opfern“ zuwenden. Dazu gehören:
- Nutzung sicherer Kennwörter ohne „Mehrfacheinsatz“ – sprich: ein eindeutiges, hinreichend langes und komplexes Kennwort für jeden Account (vgl. etwa „Passwort 2020“, <kes> 2020#2, S. 26)
- keine Speicherung von Kennwörtern in Webbrowsern oder anderen „allgemeinen“ Anwendungen, egal von welchem Hersteller und auf welcher Plattform
- besondere Sorgfalt/Vorsicht bei Auswahl und Einsatz von Kennwortmanagern (noch besser: Verzicht darauf), die einen singulären Angriffspunkt darstellen (Single Point of Failure) – werden sie kompromittiert oder gehackt, ist „alles“ verloren
- Aktivierung von Zwei- (oder Mehr-) Faktor-Authentifizierung (2FA/MFA) bei allen Online-Aktivitäten, die mit Geld oder Waren zu tun haben (Banking, Online-Shops etc.) – wird diese vom Betreiber nicht angeboten, sollte man einen alternativen Anbieter wählen oder auf klassische Kommunikationskanäle (Papierform) wechseln
- Nutzung unabhängiger Systeme bei 2FA/MFA (z. B. PC und Smartphone) – keinesfalls beide „Faktoren“ über dasselbe System durchführen
- Nutzung unterschiedlicher E-Mail-Adressen für verschiedene Bereiche und/oder Anbieter (z. B. Banking, Shopping, Social Media) und gegebenenfalls ein Verbot der Nutzung dienstlicher Adressen für private Zwecke
- Aktivierung vorhandener Benachrichtigungsfunktionen, um zeitnah informiert zu werden, wenn auf einem Account eine Aktivität stattfindet
- Vermeiden unverschlüsselter Websites (bzw. URLs, die nicht mit „https“ beginnen) – gerade über öffentlich zugängliches WLAN ist der zusätzliche Schutz auf der Transportschicht eine unverzichtbare Maßnahme gegen unerwünschtes Mitlesen
- Zurückhaltung oder Verzicht auf Speicherung von Daten in der Cloud
- zurückhaltende Nutzung sozialer Netzwerke, vor allem hinsichtlich einer Beschränkung öffentlich zugänglicher Informationen
- und natürlich: zeitgemäßer Schutz der Endgeräte (min. Anti-Malware-Software) inklusive zeitnahem Einspielen aller Sicherheitsupdates – bietet der Hersteller keine Sicherheitsupdates (mehr) an, sollte man den Anbieter wechseln
Regelmäßige Kontrolle
Darüber hinaus sollte man regelmäßig überprüfen, ob wichtige Identitäten bereits ins Visier von Angreifern geraten oder sogar schon als Teil größerer Datenleaks kompromittiert worden sind. Es gibt verschiedene Dienste im Internet, welche die eigene E-Mail-Adresse, Mobilnummer oder auch Namen auf bekannt gewordenen Identitätsmissbrauch hin überprüfen:
- ’;–have i been pwned? (https://haveibeenpwned.com) prüft, ob eine E-Mail-Adresse bei einem größeren Datendiebstahl enthalten war – dort findet man auch umfangreiche Informationen zu Vorkommnissen der jüngeren Vergangenheit.
- Das Hasso-Plattner-Institut bietet mit dem HPI Identity Leak Checker (https://sec.hpi.de/ilc/) einen ähnlichen Dienst an: Man gibt die zu überprüfende E-Mail-Adresse ein und erhält eine Nachricht, ob man von einem (bekannten!) Datenleak betroffen sein könnte.
- Einen weiteren vergleichbaren Service bietet die Universität Bonn in Zusammenarbeit mit der Identeco GmbH unter https://leak-checker.uni-bonn.de an.
Allen diesen Prüfprogrammen ist gemein, dass sie nur darüber informieren können, was ihnen mitgeteilt wurde – tatsächlich war und ist es so, dass Datendiebstähle von betroffenen Unternehmen nicht oder erst sehr verspätet kommuniziert werden.
Ego-Surfing und Bedrohungsanalyse
- Mithilfe allgemeiner Suchmaschinen sowie weiterer Websites kann man sich ein Bild davon machen, was über eine Person im Internet bekannt ist und damit potenziellen Angreifern zur Verfügung steht. So lässt sich die Bedrohung
für sich selbst sowie exponierte oder privilegierte Mitarbeiter:innen ergründen. - IntelTechniques (https://inteltechniques.com/tools/index.html) bietet eine Vielzahl von Open-Source-Intelligence-(OSINT)-Werkzeugen an, die Angreifer wie Verteidiger verwenden können, um aus vorliegenden Informationen
weitere Erkenntnisse zu gewinnen. - Mit einem Google Alert (www.google.com/alerts) lassen sich Suchanfragen automatisieren: Dazu gibt man eine E-Mail-Adresse an, der Google eine Benachrichtigung sendet, sobald ein zu der eingestellten Suchanfrage passendes Ergebnis vorliegt (Google-Account erforderlich). So lassen sich etwa Veröffentlichungen, Zeitungsberichte oder Blog-Einträge im Internet finden, in denen bestimmte Stichworte erwähnt werden.
- Eine „Rückwärtssuche“ für Bilder steht etwa über https://images.google.com sowie www.bing.com/visualsearch zur Verfügung, um herauszufinden, ob ein eigenes Bild von Dritten genutzt wird. Dabei werden üblicherweise abweichende Größen des gesuchten Bilds, Websites, auf denen das Bild angezeigt wird, sowie ähnliche Bilder gefunden.
Allerdings durchsuchen Google-Werkzeuge sowie allgemeine Suchmaschinen nur das „bekannte“ Internet – das Deep Web und das darin enthaltene Darknet werden nicht erfasst. Diesem „dunklen“ Teil des Internets kann man sich bei Bedarf mithilfe kostenpflichtiger Angebote wie „Pipl“ (https://pipl.com/product/pipl-search) nähern, einer englischsprachigen Personensuchmaschine, die ihre Erkenntnisse zu Vor- und Nachname, E-Mail-Adresse, Username und/oder Telefonnummer unter anderem zur Verifizierung von Identitäten, der Vermeidung von Fake-Registrierungen oder für Ermittlungen anbietet.
Maßnahmen bei Identitätsdiebstahl
Im Schadensfall sind folgende Maßnahmen unverzüglich und idealtypisch in dieser Reihenfolge zu ergreifen:
- Ändern der E-Mail-Kennwörter auf einem vertrauenswürdigen Computer, Smartphone oder Tablet (es könnte ja sein, dass der eigene PC von einer Malware befallen ist, was das Einfallstor für den Identitätsdiebstahl war)
- Erstatten einer Strafanzeige – diese ist oft Voraussetzung für einen Widerspruch gegen Zahlungsbefehle und Grundlage für das Verlangen von Profilsperren, Löschanforderungen et cetera
- Sicherstellen, dass das System, mit dem man arbeitet, nicht von Malware infiziert oder kompromittiert ist (sonst helfen Kennwortänderungen nicht, da die Täter u. U. weiter mitlesen)
- Ändern aller Zugangsdaten aller weiteren Accounts – besonders der Kennwörter
- Information aller Stellen, bei denen man einen Account hat (Bank, Online-Shops, soziale Netzwerke usw.)
- Information von Arbeitgeber, Kollegen, dem engeren und weiteren sozialen Umfeld, Kunden und Lieferanten sowie der Behörden
In der Praxis kann es leider Monate dauern, sich gegen falsche Zahlungsforderungen zu wehren, nachdem ein digitaler Doppelgänger auf Beutezug war. Geschädigte müssen dazu meist einen kostspieligen und langwierigen Kampf mit Behörden, Unternehmen, Auskunfteien und Inkassobüros ausfechten.
Auch eine umfassende Korrektur falscher Daten im Netz ist schwierig bis unmöglich umzusetzen: Oft sind diese vielfach redundant vorhanden, zum Beispiel in Form von Backups, als kopierte oder gespiegelte Dateien. Bei öffentlichen Daten genügt es beispielsweise im Fall einer falschen Außendarstellung längst nicht, nur bei Google einen Antrag auf Löschen dieser Daten zu stellen – vielmehr sind alle gängigen Suchmaschinen zu kontaktieren. Je nachdem, ob und inwieweit weitere „Datenanbieter“ involviert sind (z. B. Wikipedia, Facebook oder „Zeitmaschinen“ wie https://archive.org/web/), kann ein Löschen falscher Daten sogar unerreichbar sein.
Alles in Allem kann man angesichts dieser erheblichen Schwierigkeiten nur zu umso intensiveren Vorsichtsmaßnahmen zur Prävention raten.
Peter Sopka hat den M. Sc. Digitale Forensik und ist im Dezernat Digitale Kriminalität der Staatsanwaltschaft Basel-Stadt als IT-Ermittler tätig.
Abbildung 1: Zahl gemeldeter Betrügereien im Zusammenhang mit Identitätsdiebstahl im Vergleich der US Federal Trade Commission (FTC) – der Missbrauch digitaler IDs ist mit den Unterkategorien „Email or Social Media“, „Online Shopping or Payment Account“ sowie „Securities Accounts“ (Details siehe Einblendung) Teil von „Other Identity Theft“
Arbeitshilfe
Identitätsdiebstahl für Einsteiger
Der Duden beschreibt den Begriff Identität mit „Echtheit einer Person oder Sache; völlige Übereinstimmung mit dem, was sie ist oder als was sie bezeichnet wird“. Eine Identität spiegelt Charaktereigenschaften, Beziehungen und soziale Interaktionen eines Menschen wider. In der physischen Welt können Dritte, die über entsprechende Mittel und Kenntnisse verfügen, eine Identität nachahmen und zum Schaden der betroffenen Person einsetzen. Allerdings ist die Reichweite dieses „Identitätsdiebstahls“ sehr begrenzt: Der Täter kann (z. B. mit einem Firmenausweis) nur zu einer Zeit an einem Ort mit der gestohlenen Identität agieren und geht dabei ein erhebliches Risiko ein, wo er persönlich anwesend sein muss.
Das stellt sich bei einer digitalen Identität komplett anders dar: Gelingt es, eine digitale Identität zu „übernehmen“,
- kann der Angreifer diese gleichzeitig weltweit und tausendfach wiederverwenden,
- sie auf einschlägigen Marktplätzen (z. B. im Darknet) weiterverkaufen,
- können er oder weitere Käufer die digitale Identität missbrauchen, um wirtschaftliche Vorteile zu gewinnen oder Betroffene als „Strohmann“ für Cybercrime-Delikte einsetzen.
- Zudem: Das Netz „vergisst“ niemals – MissbrauchsSpuren lassen sich nur schwer oder gar nicht tilgen.
Wie entsteht eine digitale Identität?
Um in der digitalen Welt zu agieren, benötigt man vielfältige Accounts, die auf eine oder mehrere digitale Identitäten zurückgehen: Letztlich bestehen diese Datensätze aus Informationen zu einer Person (Namen, Wohnort, Bilder, Geburtsdatum usw.) sowie ferner ihrem Verhalten bei der Nutzung des Internets (wie die Selbstdarstellung in sozialen Medien, die Veröffentlichung von Beziehungen über Freundeslisten, Reaktionen auf Informationen durch Likes usw.) und Spuren, welche die Aktionen in der digitalen Welt hinterlassen, etwa in Form von genutzten Werbe-IDs, IP-Adressen, Browser- oder Standortdaten.
Auch wenn die zuletzt genannten Informationen nicht aktiv für eine Anmeldung genutzt werden, können böswillige Akteure anhand solcher Datenspuren und der Verkettung bekannter (Teil-) Identitäten ein umfassendes Profil von Menschen zusammensetzen, das sich ebenfalls missbrauchen lässt.
Methoden des Identitätsdiebstahls
Identitätsdiebstahl bezeichnet die missbräuchliche Benutzung solcher personenbezogenen Daten einer natürlichen Person durch Dritte. Im weitesten Sinne kommt es bereits dann zum Identitätsdiebstahl, wenn Fremde Anmeldedaten abgreifen, ohne diese tatsächlich einzusetzen. Es gibt, vereinfacht gesagt, zwei Methoden eines Identitätsdiebstahls: Der klassische Weg ist der physische Diebstahl beispielsweise von Ausweisen, Bankkarten, der Post aus dem Briefkasten oder das Durchsuchen des Mülls nach Kontoauszügen oder anderer „spannender“ Korrespondenz.
Die mittlerweile vorherrschende Vorgehensweise ist der Diebstahl über sogenanntes Social-Engineering, bei dem Täter mit psychologisch fundierten Methoden Menschen dazu bringen, sensible Informationen preiszugeben oder selbst Sicherheitsvorkehrungen zu umgehen. Ein bedeutender Vorteil für Kriminelle ist, dass sie dabei nicht physisch anwesend sein müssen, sondern aus großer Entfernung (etwa aus dem Ausland) heraus agieren können. Außerdem lässt sich eine enorme Masse an „Zielen“ analysieren, um programmgestützt herauszufinden, welche vielversprechend erscheinen – oder man attackiert schlicht eine große Zahl von Menschen per E-Mail (sog. Phishing) „auf Verdacht“, was praktisch nichts kostet und auch heute noch immer einige „Treffer“ liefert.
In der analogen Welt könnte man solche Vorgehensweisen als „Trickbetrug“ bezeichnen. Je genauer ein Täter dabei über sein Ziel Bescheid weiß, desto leichter kann er es täuschen: Er informiert sich beispielsweise in sozialen Netzwerken über Interessen, Hobbys oder Einstellungen der Zielperson – oder nutzt die Firmenwebsite, um Tätigkeitsbereiche oder Vorgesetztenverhältnisse auszuspähen. Dann versucht er, eine Bindung aufzubauen: etwa über (vorgespiegelte) gemeinsame Interessen oder Kollegialität. So gewonnenes Vertrauen missbraucht er, um vom Betroffenen weitere Informationen zu erhalten oder diesen zu Handlungen zu verleiten, die ihm nutzen. Neben der Hilfsbereitschaft von Menschen setzen Täter auch auf deren Schwächen durch das Ausnutzen von Eitelkeit, Autoritätshörigkeit, Gier und anderem mehr.
Zudem gelangen Täter immer noch auch mit Lauschangriffen per erfolgreich eingeschleuster „Computer-Viren“ oder schierer Rechenleistung ans Ziel, indem sie schwache Passwörter mithilfe gesammelter persönlicher Daten erraten oder durchprobieren. Und der „Hack“ von Computer-Systemen, auf denen Daten von Kunden oder Mitarbeitern gespeichert sind, kann digitale Identitäten ebenfalls kompromittieren.
Mehrfach verwendete Zugangskennungen machen es Angreifern dabei besonders leicht: Eröffnet dasselbe Passwort gleichermaßen den Zugang zu einem gehackten Onlineshop wie zum beruflichen Account des Betroffenen, ist eine wichtige Sperre bereits überwunden. Einmal erbeutete Kennwörter werden zudem häufig automatisiert an vielen anderen Onlineshops ausprobiert.
Gelingt der Zugang, ändert der Täter die hinterlegte E-Mail-Adresse sowie das Kennwort und sperrt dadurch den ursprünglichen Konteninhaber aus. Zudem sind Angreifer sehr kreativ im Austüfteln „ähnlicher“ Passwörter – und verfügen über eine große Zahl bekannter „üblicher“ Passwörter in etlichen Variationen.
Ein Passwort ist noch immer die erste (und oft auch letzte) Hürde, die Kriminelle überwinden müssen. Achten Sie daher darauf, Passwörter hinreichend gut und komplex zu wählen – beachten Sie etwa die Richtlinien Ihres Unternehmens möglichst auch im privaten Bereich und/oder folgen Sie den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI, siehe www.bsi.bund.de/BSIFB), um sich zu schützen. Aktivieren Sie bei wichtigen Konten möglichst eine sogenannte Zwei-Faktor-Authentifizierung, die zusätzlich zu einem Passwort etwa die Eingabe einer Ziffernfolge erfordert, die Sie per SMS erhalten oder einer Sicherheits-App („Authenticator“) entnehmen.
Folgen eines Identitätsdiebstahls
Wer sich mithilfe eines korrekten Kennworts anmeldet, „ist“ in der digitalen Welt (zumindest zunächst), derjenige, der er zu sein vorgibt. Aus Händler- oder Bankensicht wie auch in den Augen von Ermittlern besteht somit anfangs kein Unterschied zwischen flüchtigem Schuldner und missbrauchter Identität, zwischen Betrug oder gewöhnlichem Kreditausfall sowie zwischen „echtem“ Cybercrime-Täter oder vorgespiegeltem Strohmann. Zunächst muss der Betroffene den Rest der Welt mühsam überzeugen, nicht selbst gehandelt zu haben.
Neben der Umleitung bestellter Waren, die dem Opfer in Rechnung gestellt werden, kann es in der Folge solcher Handlungen auch zu falschen Schufa-Einträgen kommen, wenn Lieferanten melden, dass sie nicht bezahlt wurden – was weiteren wirtschaftlichen Schaden verursachen kann, bis hin zur Kündigung von Kreditlinien bei der Hausbank.
Gelingt es einem Täter, im Namen einer anderen Person falsche Aussagen im Internet zu verbreiten, führt das zu einem falschen Bild in der Öffentlichkeit – früher bekannt als „Rufmord“. Das kann selbst Auswirkungen auf das engste soziale Umfeld haben (z. B. durch einen erstellten Dating-App-Account) – oder auf die berufliche Karriere, wenn etwa eine in sozialen Medien angeblich getätigte Äußerung mit den Vorstellungen des Arbeitgebers völlig inkompatibel ist.
Auch der „Enkeltrick“ hat mittlerweile sein Pendant in der virtuellen Welt gefunden: Hier erhält ein Dritter via Internet den Hilferuf eines vermeintlichen Kollegen, Freundes oder Familienmitglieds, das angeblich – häufig im Ausland – in einer plötzlichen Notlage steckt und dringend Geld benötigt. Dabei stecken dahinter in Wahrheit Betrüger, die das E-Mail- oder Whatsapp-Konto, Facebook-Profil oder den Teams-Account übernommen oder gefälscht haben.
Gestohlene Daten können auch an Werbefirmen verkauft oder schlimmstenfalls im sogenannten Darknet, quasi dem Schwarzmarkt des Internets, zum Kauf angeboten werden. Das Opfer hat dann keine Kontrolle mehr über seine digitalen, persönlichen Daten und erfährt von einem Missbrauch regelmäßig erst, nachdem Schaden entstanden ist. Teilweise kommt es zudem zu einer Art „Wettrennen“ zwischen Tätern und Betroffenen, die mit Massen eingehender Werbung, Zahlungsforderungen und missbräuchlich angelegten Accounts umgehen müssen – je mehr Kriminelle zuvor Zugriff auf die Identität(en) eines Opfers erlangt haben, desto ungleicher ist dieser Kampf.
Der Text in diesem Kasten steht unter der Creative Commons License „Attribution 4.0 International“ (CC BY
4.0, siehe https://creativecommons.org/licenses/by/4.0/). Er kann bei Quellenangabe „Peter Sopka / www.kes.info/IDtheft“ gemäß den Lizenzbestimmungen genutzt, verbreitet und angepasst werden.