Internetkriminalität: Wohin Identitätsdiebstahl im Netz führen kann

Bei dem einen war es ein iPad, bei der anderen waren es Schuhe. Fast 40 Abgeordnete aus Berlin sind gerade Opfer von Identitätsmissbrauch geworden. Kriminelle haben in ihrem Namen im Internet eingekauft – die Abgeordneten sollten dann dafür zahlen.

Dabei ist solch ein Identitätsklau kein Berliner Phänomen, sondern ein bundesweites Problem. Kriminelle greifen Daten ab und machen damit gute Geschäfte – zulasten unbescholtener Verbraucher.

Wie groß ist das Problem?

Im vergangenen Jahr deckten Kriminalbeamte bundesweit gut 9600 Straftaten auf, bei denen es um das Ausspähen und Abfangen von Daten ging. Dazu kommen noch einmal knapp 24.000 Fälle des Computerbetrugs, bei dem Täter geklaute Daten zum Beispiel genutzt haben, um Geld von fremden Konten abzubuchen oder im fremden Namen einzukaufen.

Diese Zahlen klingen zwar noch überschaubar. Doch das sind nur die Fälle, in denen die Kriminalbeamten tatsächlich Straftaten feststellen konnten. „Die Dunkelziffer fällt vermutlich um ein Vielfaches höher aus“, sagt Christoph Engling, Geschäftsführer am Institut für Rechtsinformatik der Universität des Saarlands. Sehr viele Fälle bleiben schlichtweg unaufgeklärt.

Dabei legen Studien nahe, dass Identitätsdiebstahl längst weit verbreitet ist. So hat die Wirtschaftsauskunftei Schufa über 2000 Verbraucher befragt, die regelmäßig im Internet unterwegs sind. Elf Prozent gaben an, es habe schon einmal ein Fremder auf ihren Namen etwas im Internet bestellt. Unter den „Heavy Usern“ – Internetnutzer, die sogar Bankgeschäfte per Smartphone machen – ist der Anteil sogar noch größer: Von ihnen sind nach eigenen Angaben bereits 17 Prozent schon einmal Opfer von Identitätsdiebstahl geworden.

Wie kommen die Täter an die Daten?

Betroffenen ist es meist ein Rätsel, wie jemand ihre Identität stehlen konnte: Namen, Geburtsdatum, Adresse und im schlimmsten Fall auch noch Bankdaten. Angriffspunkte gibt es genug. Professionelle Täter hacken zum Beispiel private Computer oder gleich ganze Firmennetzwerke, um sensible Daten von Mitarbeitern oder Kunden abzugreifen. Andere manipulieren Geldautomaten und lesen so Daten aus, die auf der Girokarte gespeichert sind. Wiederum andere verschicken Phishing-E-Mails – also gefälschte Mails von angeblich offizieller Stelle, in denen man aufgefordert wird, seine Daten auf einer von den Betrügern gefälschten Website einzugeben.

Doch selbst wer auf so etwas nicht hereinfällt, kann leicht Opfer von Identitätsdieben werden: Manche Täter sollen schlichtweg Mülltonnen nach alter Post durchsuchen. Und auch wem die Brieftasche oder das Smartphone geklaut wird, sollte aufpassen – Kriminelle haben es dabei längst nicht mehr nur auf das Bargeld und das Gerät abgesehen, sondern auch auf die Daten der Opfer.

Wer sind die Täter?

Hinter dem Datendiebstahl stehen inzwischen oft kriminelle Banden. Sie greifen Daten in Massen ab und verkaufen sie dann weiter. So haben deutsche Kriminalbeamte im vergangenen Jahr zum Beispiel eine Plattform entdeckt, auf der über sieben Millionen Datensätze gehandelt worden sind. Wissenschaftler Engling spricht von einer Professionalisierung der Szene. „Rund um den Datendiebstahl ist eine mafiöse Industrie entstanden“, sagt er.

So verdienen mit dem Datendiebstahl inzwischen eine ganze Reihe von Kriminellen ihr Geld: Das fängt an bei Hackern, die Sicherheitslücken bei Unternehmen entdecken und ihr Wissen dann an andere Kriminelle verkaufen. Die wiederum nutzen die Sicherheitslücken aus, um massenhaft Daten abzugreifen, welche sie dann paketweise anderen zum Kauf anbieten. Die Kriminellen, die die Daten erwerben, nutzen sie schließlich zum Beispiel, um damit im fremden Namen im Netz einzukaufen. So entsteht eine Art illegale Wertschöpfungskette. Der Dumme ist am Ende meist der Verbraucher.

Was kann im schlimmsten Fall passieren?

Identitätsdiebstahl kann für die Betroffenen krasse Folgen haben. Dass jemand unter fremdem Namen im Netz einkauft, ist da noch vergleichsweise harmlos. „Im schlimmsten Fall bekommen Sie Besuch von der Anti-Terroreinheit“, sagt Michael Böhl, Vize-Präsident im Bund Deutscher Kriminalbeamter (BDK).

Er schildert folgenden Fall: Angenommen, ein Krimineller nutzt die Daten eines unbescholtenen Verbrauchers für einen gefälschten Pass, mit dem er dann ein Konto bei der Bank eröffnet. Über dieses Konto lässt er dann illegale Gelder an den „Islamischen Staat“ fließen. Der Verbraucher bekommt von alldem zunächst nichts mit – bis Ermittlungen gegen ihn laufen. Natürlich ist das ein Extrembeispiel. Allerdings zeigt es, was für ein Nachspiel der Datenklau haben kann.

Wie kann man sich schützen?

Eigentlich sind es jene Regeln, die auch jeder kennt, die Datendieben das Leben schwermachen. Etwa, dass man seine Passwörter regelmäßig ändern soll. Und vor allem, dass man nicht ein Passwort für sämtliche Dienste verwenden sollte, die man im Netz nutzt. Denn ist das Passwort einmal geknackt, können Kriminelle gleich auf sämtliche Netzwerke und Mail-Konten zugreifen, bevor der Verbraucher es überhaupt merkt. Eine weitere simple Regel: Sich die Transaktionsnummer Tan für das Onlinebanking bloß nicht auf das Smartphone schicken lassen, wenn man die Überweisung über die App auf demselben Handy tätigt.

Zudem kann man prüfen, ob die eigenen Daten womöglich bereits im Umlauf sind. Das Hasso-Plattner-Institut aus Potsdam hat dafür einen Identity Leak Checker entwickelt: Die Forscher haben Zugriff auf 230 Millionen Datensätze, die Hacker im Netz abgegriffen haben. Ob die eigene E-Mail-Adresse darin auftaucht, kann man hier kostenlos testen.

Sinn macht zudem regelmäßig zu prüfen, welche Daten die Wirtschaftsauskunftei Schufa über einen gespeichert hat. Einmal im Jahr kann man dort eine solche Selbstauskunft kostenlos anfordern. Aufgelistet sind dabei zum Beispiel auch Mobilfunkverträge: Ist dort einer dabei, den man gar nicht abgeschlossen hat, könnten Identitätsdiebe dahinterstecken.

Dabei ist die Schufa selbst einer der größten Datensammler und – da niemand von uns sein Einverständnis gegeben hat – Datendiebe. Wie absurd, dem Dieb nun Geld zu zahlen, um sehen zu können, was er geklaut hat.

schreibt NutzerIn Schnittchen

Zusätzlich bietet die Auskunftei für knapp fünf Euro im Monat einen Benachrichtigungsservice an: Wer diesen Dienst nutzt, bekommt eine SMS, sobald ein Händler die Kreditwürdigkeit bei der Schufa abfragt. Hat man bei diesem Händler gar nichts online bestellt, weiß man: Da könnte jemand gerade in meinem Namen einkaufen.

Was sollten Opfer von Identitätsklau tun?

Ist auf unerklärliche Weise Geld vom Konto abgebucht worden, sollte man sofort Girokarte und Kreditkarte sperren lassen. Der Sperrnotruf ist über das Festnetz kostenlos erreichbar unter 116116. Außerdem sollte man die Bank kontaktieren und versuchen, das Geld zurückbuchen zu lassen. Böhl rät zudem Anzeige bei der Polizei zu erstatten.

Wer als Opfer von Datendieben weiterem Schaden vorbeugen will, kann den Vorfall auch bei der Schufa kostenlos vermerken lassen. Fragt ein Online-Händler dann die Kreditwürdigkeit der betroffenen Person ab, ist der Händler von der Auskunftei vorgewarnt und kann den Kunden um einen Identitätsnachweis bitten, bevor er die Ware verschickt und die Rechnung stellt. Beraten lassen können sich Betroffene zudem bei der „Arbeitsgruppe Identitätsschutz im Internet“, die von Forschern der Ruhr-Universität Bochum gegründet worden ist. Ihre Juristen helfen jeweils montags von 16 bis18 Uhr und donnerstags von 15 bis 17 Uhr weiter unter der Telefonnummer 0234/32-28058.