- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Identitätsdiebstahl und die Folgen


Bei einem Identitätsdiebstahl ist potenziell die komplette Online-Identität betroffen
Im schlimmsten Fall erwischt es kritische Konten wie etwa Bank- und Finanzkonten


- Anzeigen -





Jon Gross, Director of Threat Intelligence und Sascha Dubbel, Senior Sales Engineer, beide Cylance

Ist jemand nachweislich Opfer eines Identitätsdiebstahls geworden stecken nicht selten Gruppen aus der organisierten Kriminalität dahinter. Sie operieren länderübergreifend und sind selten dingfest zu machen. Meistens lässt sich zudem nicht mehr eindeutig ermitteln zu welchem Zeitpunkt genau die Daten kompromittiert wurden. Eine der bestätigten Ursachen ist die jüngst bekannt gewordene Datenschutzverletzung beim Finanzdienstleistungsunternehmen Equifax, der größten Wirtschaftsauskunftei der Vereinigten Staaten. Betroffen waren über die Hälfte aller Amerikaner. Vor kurzem erbrachte eine Senatsanhörung sogar, dass die Datenschutzverletzung noch wesentlich weitreichender sein soll als von Equifax im September 2017 eingeräumt wurde.

Wenn es schon passiert ist
Allen, die es bereits erwischt hat, kann man nur dringend raten ihre Angelegenheiten nach einem Identitätsdiebstahl selbst in die Hand zu nehmen und das nicht Dritten zu überlassen. Dabei müssen sich die Opfer mit einem vermutlich bisher ungekannten Ausmaß an Bürokratie auseinandersetzen und sehr viel Zeit investieren, bis sie annähernd "back to normal" sind. Eine Identität zu stehlen ist eben sehr viel einfacher als sie zurückzubekommen.

Auch laut der Schutzgemeinschaft für allgemeine Kreditsicherung – kurz Schufa – der größten Wirtschaftsauskunft in Deutschland "weist die polizeiliche Kriminalstatistik für 2015 in Deutschland rund 46.000 Fälle von Cyberkriminalität im engeren Sinne aus. Betrachtet man alle Fälle mit "Tatmittel Internet", steigt die Zahl sogar auf fast 250.000.Berücksichtigt sind in diesen Zahlen jedoch nur polizeilich registrierte Fälle. Opfer von Cyberkriminalität erstatten oft keine Anzeige, z. B. weil Reputationsverlust befürchtet wird oder der Schaden nicht bemerkt oder als zu gering erachtet wird. So hat eine Studie in Niedersachsen bereits 2013 errechnet, dass nur rund jeder zehnte Fall aktenkundig gemacht wurde. (...) Nach einer repräsentativen Studie des Deutschen Instituts für Wirtschaftsforschung aus dem Jahr 2015 gehen die jährlichen Schäden durch Internetkriminalität in die Milliarden. In den vier besonders bedeutenden Kategorien Phishing, Identitätsbetrug, Waren- und Dienstleistungsbetrug sowie Angriffe mit Schadsoftware belaufen sie sich auf 3,4 Milliarden Euro."

Die folgenden Empfehlungen sollen dazu beitragen potenziell Betroffene in Zukunft besser zu schützen, und denen, die bereits betroffen sind, einige Maßnahmen an die Hand geben, ihre Angelegenheiten nach einem Identitätsdiebstahl wieder in den Griff zu bekommen.

1. Frieren Sie Ihre Guthaben ein
Selbst, wenn Sie nicht unmittelbar in der Lage sind, die geforderten Buchhaltungsauskünfte bereitzustellen, können Sie ihre Konten online immer sofort sperren.

Angesichts millionenfacher Identitätsdiebstähle stellt auch das Bundesamt für Sicherheit in der Informationstechnik Informationen und Sicherheitstests zur Verfügung mit denen besorgte Bürger überprüfen können ob ihre E-Mail-Adresse tatsächlich betroffen ist. Um nicht von einem Rechtsanwalt oder einem Inkasso-Büro zu erfahren, dass man Opfer eines Identitätsdiebstahls geworden ist, kann man im Verdachtsfall selbst etwas tun.

Sie können beispielsweise Internetregistraturen nach ihrem Namen durchsuchen, simple Google-Alerts setzen, um festzustellen wo und wann Ihr Name auftaucht oder auch eine umgekehrte Bildersuche in Google anstoßen. Wenn bei groß angelegten Identitätsdiebstählen Firmen oder Auskunfteien nicht sofort eine eigene Webseite bereitstellen, auf der Sie überprüfen können, ob Sie betroffen sind oder nicht, pflegt auch das Hasso-Plattner-Institut eine übergreifende Datenbank.

2. Melden Sie den Fall bei den Strafverfolgungsbehörden und erstatten Sie Anzeige
Als nächstes sollten Sie auf jeden Fall bei der lokalen Polizeidienststelle Anzeige erstatten. Das müssen Sie persönlich tun sowie zusätzlich eine eidesstattliche Erklärung unterzeichnen, dass Ihre Angaben der Wahrheit entsprechen. Die polizeiliche Fall-ID ist die Voraussetzung um weitere Informationen zur potenziellen Nutzung der betreffenden Identität zu bekommen. Aber auch, um bei den großen Auskunfteien wie beispielsweise Equifax oder der deutschen SCHUFA eine Betrugswarnung anbringen zu können.

Erwarten Sie lieber nicht, dass groß angelegte Identitätsdiebstähle aufgeklärt werden. Das gelingt leider nur selten. Identitätsdiebstahl wird zudem nicht in allen Ländern als Verbrechen eingestuft, was die Aufklärungsquote nicht unbedingt nach oben treibt. Die Anzeige bei der Polizei und das entsprechende Aktenzeichen sind nötig um den Schaden so weit wie möglich zu begrenzen und so viele Informationen wie möglich zu bekommen.

3. Setzen Sie eine Betrugswarnung
Mit dem Aktenzeichen der polizeilichen Strafanzeige sollten Sie dann eine Betrugswarnung bei den Kreditauskunfteien platzieren. Ihre Hausbank hilft Ihnen gegebenenfalls weiter mit welcher Auskunftei Sie zusammenarbeiten müssen. Kreditauskunfteien sind verpflichtet, die jeweils anderen Auskunfteien in Kenntnis zu setzen, sobald sie von einer Betrugswarnung erfahren. 90-Tage-Alarme sind in aller Regel kostenlos und man kann sie verlängern. Mit einer Aktenzeichen und zusätzlichen Informationen kann man den Zeitraum sogar erheblich ausdehnen.

4. Wie ist der aktuelle Stand bei Kreditanfragen?
Solche Auskünfte sind entweder kostenfrei zu bekommen (wie in den USA ein Mal im Jahr), oder man erhält nach Zahlung einer vergleichsweise geringen Gebühr von der Kreditauskunftei eine Kopie des aktuellen Kreditstatus (Selbstauskunft). Den können allerdings auch die Identitätsdiebe selbst anfordern, denn sie sind ja im Besitz aller dazu notwendigen Informationen. Ein solcher Bericht listet sämtliche der neu eingegangenen Kreditanfragen auf. Man sollte sich die Mühe machen, jeden Anbieter persönlich zu kontaktieren. Zusätzlich können Sie anhand dieser Auskunft feststellen, ob in ihrem Namen vielleicht noch weitere Konten eröffnet wurden.

Leider kommt man nicht umhin alle in Frage kommenden Kreditauskunfteien anzusprechen. Die Erfahrung lehrt, dass unterschiedliche Auskunfteien unterschiedliche Verläufe zeigen. Es kommt sogar vor, dass sich die Informationen widersprechen. Oder ein Bericht verzeichnet eine zusätzliche Kontoeröffnung, ein anderer aber nicht. Das Nachvollziehen der Verläufe und Richtigstellungen im Detail kostet Zeit und Nerven.Und nicht immer sind Kreditauskunfteien so entgegenkommend, wie sie es sein sollten. Vor allem angesichts der Dimensionen, die der Diebstahl von Identitäten inzwischen angenommen hat.

5. Die Post
Wenn Sie vermuten, Opfer eines Identitätsdiebstahls geworden zu sein, sollten Sie sich unbedingt auch an Ihr örtliches Postamt wenden und sicherstellen, dass Ihre Post nicht ohne zusätzliche Verifizierung oder von Ihnen bestätigte Informationen angenommen, gelagert und befördert wird.

6. Die Telefonnummer
Es ist wenig überraschend, dass Cyberkriminelle Telefonnummern nutzen, um sich zu legitimieren. Etliche Online-Anbieter und Institutionen verwenden Telefonnummern als Mittel zur Verifikation. Dabei ist es wohl eher selten, dass diese Unternehmen prüfen, ob es sich bei der Person, die eine bestimmte Telefonnummer verwendet, tatsächlich um die dazu legitimierte handelt. Bei Identitätsdiebstählen wird gerne die Handy-Nummer verwendet. Sie ist inzwischen fast schon zu einem Synonym für die persönliche Identität geworden.

Das Problem ist, dass Telefonnummern öffentlich zugänglich sind. Jede Art von öffentlichen Aufzeichnungen und Websites wird regelmäßig durchkämmt und die Ergebnisse weiter verkauft. Telefonnummern sollten deshalb unter keinen Umständen zur Authentifizierung und Verifizierung verwendet werden.

Mit dem oder den Mobilfunkanbietern ist es noch komplizierter. Und Kriminelle haben – technisch zwar nicht ganz unkompliziert – weitreichende Möglichkeiten, die verschiedenen Kommunikationskanäle zu infiltrieren, Nachrichten abzufangen oder auch Nummern auf andere Anbieter und Carrier zu portieren (mithilfe der PIN). Es kann sogar passieren, dass Kriminelle, neue, mithilfe der Identität des Opfers erstellte Konten, dann ironischerweise selbst mit einem PIN schützen. Das Opfer kann so gut wie nichts dagegen tun, schon gar nicht, wenn der Mobilfunkbetreiber sich nicht kooperativ zeigt.

Dann hilft nur, sich mit übergeordneten Institutionen in Verbindung zu setzen, die ihrerseits eine Anfrage an den oder die Provider stellen. Anhand der Daten können Sie dann etwa darum bitten, dass keine neuen Konten in Ihrem Namen zu eröffnet werden, ohne dass die Anfrage zusätzlich geprüft wurde.

7. Online-Identität und kritische Konten sichern
Bei einem Identitätsdiebstahl ist potenziell die komplette Online-Identität betroffen. Im schlimmsten Fall erwischt es kritische Konten wie etwa Bank- und Finanzkonten. Auch wenn es wie eine Binsenweisheit klingt: aktualisieren Sie alle Passwörter in allen Bereichen und verwenden Sie am besten einen Passwort-Manager. Falls vorhanden, stellen Sie sicher, dass Sie die Zwei-Faktor-Authentifizierung für jedes Konto aktivieren, das sie nutzen. Vorzugsweise mit einer neuen Telefonnummer, die durch einen Authentifizierungs-PIN geschützt ist.

Ihr E-Mail-Konto dient zur Verifizierung und Authentifizierung gegenüber fast alle anderen Online-Identitäten. Verwenden Sie Zwei-Faktor-Authentifizierung oder andere Möglichkeiten der erweiterten Verifizierung. Verwenden Sie das betreffende E-Mail-Konto niemals auf öffentlichen Systemen. Konten von Versorgungsunternehmen sind ebenfalls kritische Accounts, und leider hapert es in der Branche noch an umfassenden IT-Sicherheitsmaßnahmen. Sperren Sie solche Konten, mindestens die unten aufgezählten:

>> Finanzkonten (Bank-, Investitions-, Hypotheken- und Rentenkonten)
>> Konten von Versorgungsunternehmen und Service Providern (Strom, Wasser, Gas, Kabel, Telefon und was immer Sie sonst noch monatlich abrechnen).
>> E-Mail-Account/s
>> Online-Dienste (Netflix, YouTube, Amazon, Spotify, etc. etc.)
>> Social Media-Konten (Facebook, XING, LinkedIn, Instagram und sämtliche andere Konten, die geeignet sind um weitere Informationen einzusammeln).

8. Steuerrelevant
Für Finanzämter hat das Thema Identitätsdiebstahl inzwischen höchste Priorität. Gestohlene Sozialversicherungsnummern dienen beispielsweise dazu, gefälschte Steuererklärungen einzureichen und betrügerische Rückerstattungen zu erwirken.

9. Kontonummern ändern
Im Falle eines Identitätsdiebstahls oder eines Verdachts kommen Sie nicht umhin alle Banken und Finanzinstitute persönlich und unabhängig voneinander zu kontaktieren.
Sie müssen die Kontonummern ändern und zwar auch die bei allen automatisierten Zahlungssystemen, etwa bei Versorgungsunternehmen, Kreditkartenanbietern und anderen Diensten. Unter Umständen ist es sinnvoll Kredit- und Debit-Kartennummern zu ändern.

10. Geburtsurkunde

Wenn jemand ihre Daten gestohlen hat, um sich eine Kopie der Geburtsurkunde zu beschaffen (was vergleichsweise einfach ist), wird in der Folge kaum noch die Echtheit der Angaben überprüft oder eine Authentifizierung durchgeführt. Praktisch für Kriminelle.

11. Kostenträger benachrichtigen
Ein Identitätsdiebstahl verursacht neben anderen schwerwiegenden Folgen nicht zuletzt finanzielle Schäden. Ist es den Tätern vielleicht sogar gelungen etwas derart wertvolles wie einen Ausweis in die Finger zu bekommen, kann das Dokument multipel genutzt werden. Für Bestellungen im Internet, die man niemals getätigt hat, für Verträge, die man niemals abgeschlossen hat, etwa für Wohnungen und Handys und nicht zuletzt um Straftaten zu begehen. Man sollte folglich wenigstens die Kostenträger informieren, mit denen man es regelmäßig zu tun hat. Dazu gehören insbesondere Versicherungen wie Kranken- und KFZ-Versicherungen.

Speziell in Deutschland ist für den Fernabsatz oder das Abschließen von Finanzverträgen allerdings das PostIdent-Verfahren üblich, eine Ausweiskopie reicht nicht aus.

12. Online-Identität und personenbezogene Daten
Die meisten Menschen machen sich im Alltag weniger Sorgen um ein einzelnes Dokument. Immer mehr Informationen werden aber in Online-Repositorien vorgehalten und entsprechend häufig kompromittiert. Das kann zu einem sehr viel größeren Problem werden als der Verlust eines einzelnen Dokuments. In jedem Fall handelt es sich um personenbezogene Daten, also die Art von Informationen über die man direkt einen Personenbezug herstellen kann. Mit der am 25. Mai 2018 wirksam werdenden EU-Datenschutz-Grundverordnung gibt es zudem eine Reihe von neuen Anforderungen unter anderem die Meldepflicht bei einer Datenschutzverletzung.

Es gibt viele Arten des Identitätsdiebstahls beziehungsweise des Identitätsmissbrauchs. Dabei können Vermögensschäden entstehen, aber auch Rufschäden und Cybermobbing sind denkbar. Ein großes Problem ist auch die Tatsache, dass niemand weiß, ob und wann die gestohlenen Daten tatsächlich benutzt werden. Liegen Anhaltspunkte vor, dass ein Angriff stattgefunden hat, sollte man schnell handeln und auch rechtliche Schritte in Betracht ziehen. Grundsätzlich sind sowohl strafrechtliche wie zivilrechtliche Maßnahmen möglich, allerdings sind beide in der Praxis naturgemäß schwierig durchzusetzen. Das sollte einen aber trotzdem nicht abschrecken, bestehende Möglichkeiten auszuschöpfen.
(Cylance: ra)







eingetragen: 30.04.18
Newsletterlauf: 29.05.18

Cylance: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Cybersicherheit ist ein schrittweiser Prozess

    Unsere zunehmende Abhängigkeit von digitalen Systemen schafft ständig neue Optionen für Hacker. Die jüngsten Änderungen bei der Kreditkarten- und E-Mail-Sicherheit erhöhen eher die Anzahl von Online-Identitätsdiebstählen und anderer Cyberverbrechen. Herkömmliche Maßnahmen reichen längst nicht mehr aus, meint GlobalSign-Gastautorin Shea Drake in ihrem Blogpost, rät aber trotzdem zu einer gewissen Pragmatik und gibt entsprechende Tipps.

  • Standardisierte Hacking-Techniken

    Anbieter von IT-Sicherheitslösungen werden sich stärker vor dem Gesetzgeber zu verantworten haben: Schwerwiegende und folgenreiche Angriffe wie WannaCry und Datenschutzverletzungen haben bereits die Aufmerksamkeit des Gesetzgebers sowohl in den USA als auch in Großbritannien und den übrigen europäischen Ländern auf sich gezogen. In den USA rechnet man fest damit, dass sich in nicht allzu ferner Zukunft Anbieter von Cybersicherheitslösungen vor dem Kongress werden verantworten müssen. Ähnliche Bestrebungen, Hersteller stärker als bisher in die Pflicht zu nehmen gibt es auch hierzulande. Das im Herbst letzten Jahres auf den Weg gebrachte BSI-Projekt "Impulse für eine smarte und sichere digitale Gesellschaft" zielt in eine ähnliche Richtung: "Ziel des von Vertretern aus Zivilgesellschaft, Kultur, Wirtschaft, Wissenschaft und Verwaltung formulierten Impulspapiers ist, den aktuellen Stand der gesellschaftlichen Debatte zu Fragen einer sicheren Informationsgesellschaft transparent zu machen und den weiteren Diskurs anzuregen. Insbesondere werden die Punkte der staatlichen und gesamtgesellschaftlichen Verantwortung, Bildung und Forschung, Haftung, Sicherheitsstandards sowie Zertifizierung adressiert."

  • Große Zahl ungesicherter IoT-Geräte

    DDoS-Angriffe haben sich in den letzten sechs Monaten nahezu verdoppelt. Laut einer Studie von Corero Network Security entspricht das einem monatlichen Mittel von 237 Angriffsversuchen. Einer der Gründe für den Anstieg liegt in der hohen Zahl einfach zu übernehmenden IoT-Geräten, die zumeist nur unzureichend geschützt sind. Diese "smarten" Geräte eignen sich dann ganz vorzüglich um zu einem Teil eines riesigen Botnets zu werden. Dieses Problem wird sich weiter verschärfen. Dazu muss man nur an die unzähligen Gadgets für Endverbraucher denken, die etwa in der Weihnachtszeit über die physischen und virtuellen Ladentische gewandert sind. Diese Geräte sind eines der vordringlichen Ziele für die Übernahme durch Hacker. Neben den Bedenken, die man im Hinblick auf die Sicherheit der Privatsphäre und vertraulicher Daten hegen kann gibt es noch eine ganze Reihe von weiteren ernsthaften Gefahren, die mit diesen Geräten verbunden sind. Hacker machen sich unsichere IoT-Geräte zunutze um riesige Bot-Netze aufzubauen und DDoS-Attacken zu lancieren. Unsichere IoT-Devices waren in einigen der größten DDoS-Angriffe auf Online-Plattformen innerhalb der letzten Jahre beteiligt. Es spielt bei DDoS-Angriffen keine Rolle, wie groß ein Unternehmen ist. Gefährdet sind alle. Und sollten entsprechend Sorge tragen, was die Sicherheit ihrer Geräte, Daten und Netzwerke anbelangt.

  • A fool with a tool

    Unternehmen stehen heute vielfältige Sicherheitslösungen zur Verfügung. Doch ein Sammelsurium aus technischen Einzelmaßnahmen kann nur bedingt gegen Angriffe schützen. Vielmehr benötigen Unternehmen eine Informationssicherheitsstrategie, gestützt auf Prozesse und Tools die es einem Unternehmen ermöglichen, Informationssicherheit effizient und effektiv zu managen. Der Schlüssel zum Erfolg wird dabei im richtigen Mix aus Menschen und deren Fähigkeiten, Prozessen und Tools liegen. Nur so wird es Unternehmen gelingen proaktiv zu agieren und durch Antizipation zukünftiger Bedrohungen und entsprechender Vorbereitung die richtigen Maßnahmen zum Schutz ihrer sensiblen Daten zu treffen.

  • Was ist Certificate Transparency?

    Möglicherweise haben Sie schon vor einigen Jahren von Certificate Transparency (CT) gehört, als Google die Anforderung für alle Extended Validation (EV) SSL/TLS-Zertifikate ankündigte, die nach dem 1. Januar 2015 ausgestellt worden sind. Seitdem hat Google die Anforderung auf alle Arten von SSL-Zertifikaten ausgedehnt und zuletzt eine Frist bis zum April 2018 gesetzt. Zertifikaten, die nicht CT-qualifiziert sind und die nach diesem Datum ausgestellt werden, wird in Chrome nicht vertraut. GlobalSign hat im Hintergrund bereits daran gearbeitet, dass alle Zertifikate mit CT ausgestattet werden - Extended Validation (EV) seit 2015, Domain Validated (DV) seit August 2016 und Organisation Validated (OV) ab Oktober 2017 - GlobalSign-Kunden sind damit für den Fristablauf seitens Google gerüstet.