Es ist der Albtraum schlechthin: ein anderer klaut die persönlichen Zugänge zu E-Mail, Packstation oder Online-Banking und treibt damit im Netz sein Unwesen. Welche drastischen Folgen das haben kann, hat ein Stuttgarter erlebt.
Stuttgart - Plötzlich steht das Mobile Einsatzkommando (MEK) vor der Tür, vermummte Polizisten mit Sturmgewehren im Anschlag. Ein Gefühl zwischen Panik, Ohnmacht und Hoffnung, es handelt sich vielleicht doch um einen Streich für die versteckte Kamera, macht sich breit. Was sich anhört wie ein schlechter Film, ist Sven K. (Name geändert) tatsächlich passiert. Beamte stürmen seine Wohnung, beschlagnahmen seinen Laptop und führen ihn wie einen Kriminellen zur Vernehmung ab. Viel später erst stellt sich heraus, dass der Stuttgarter eigentlich ein Opfer ist. Jemand hat ihm seine digitale Identität gestohlen und damit andere betrogen.
„Identitätsdiebstähle kommen jeden Tag vor, wir beobachten quantitativ ein permanentes Grundrauschen, die Qualität nimmt hingegen zu“, sagt Matthias Gärtner, Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI). Erst Mitte Januar hat das BSI Internetnutzer vor dem bisher größten bekannten Datenklau in Deutschland gewarnt. 16 Millionen E-Mail-Adressen und Passwörter sind betroffen, es handelt sich um Zugangsdaten zu Mail-Accounts, sozialen Netzwerken wie Facebook und Twitter sowie zu Online-Handelsplattformen wie Amazon, Zalando oder Ebay. Das Problem: Da viele Internetnutzer für verschiedene Online-Dienste dasselbe Passwort verwenden wie für ihr E-Mail-Konto, haben Cyber-Kriminelle oft gleich mehrere Facetten einer digitalen Identität in der Hand.
Was passieren kann, wenn man im Internet nicht mehr man selbst ist, hat Sven K. am eigenen Leib erfahren. Sein Mail-Konto wurde gehackt, ebenso seine Zugangsdaten zu einer Packstation. Als Sven K. sich mit dem gewohnten Login bei der Packstation anmelden will und das nicht funktioniert, denkt er sich nichts dabei. Passwort vergessen, das kommt vor. Er wird auch nicht stutzig, als eine E-Mail mit einem neuen Passwort nicht in seinem Posteingang landet. Unbemerkt hat ein Cyber-Krimineller K.s hinterlegte Daten geändert – und kann nun ebenso unbemerkt unter falschem Namen im Netz agieren.
Alle Arten von digitaler Identität sind für Kriminelle interessant
„Es werden von E-Mail-Konten über Bankdaten, Zugängen zu Online-Shops und sozialen Netzwerken bis hin zu Logins von Online-Spielen alle Formen von Identitäten von Kriminellen gesammelt und verwendet. Doch im Fokus stehen Accounts, mit denen unmittelbar Geld gemacht werden kann“, erklärt Georg Borges, Professor für Bürgerliches Recht, Wirtschaftsrecht und IT-Recht an der Ruhr-Universität Bochum. Persönliche Daten werden auf dem digitalen Schwarzmarkt gehandelt – ein E-Mail-Konto oder Zugang zu einem Profil in einem sozialen Netzwerk gibt es laut dem IT-Sicherheitsdienstleister Panda Security schon ab zehn US-Dollar, ein PayPal-Account oder eine Kreditkartennummer kostet zwischen zwei und 150 Dollar, wie eine Bericht der Sicherheitsfirma Trend Micro zeigt.
Identitätsdiebstahl fällt oft nicht sofort auf – denn die Daten sind ja nicht weg, es hat nur einfach eine weitere Person Zugang dazu. Auch Sven K. bemerkt nichts, bis ihn das MEK eines Tages unsanft weckt. Nicht nur sein Mail-Account und sein Packstation-Login wurden gekapert. Ein Krimineller hat auch noch das PayPal-Konto eines Dritten gehackt und dann auf Sven K.‘s Namen Waren im Internet bestellt. So leicht wird K. zum Sündenbock für eine Straftat, die er nicht begangen hat.
Für Opfer von Identitätsmissbrauch bietet die 2005 gegründete Arbeitsgruppe Identitätsschutz im Internet ein Beratungstelefon an. Durchschnittlich drei Menschen melden sich dort pro Woche und suchen Hilfe. Es sei etwas ruhiger geworden als in der Anfangszeit der Phishing-Mails, sagt der Vorstandssprecher Borges. Ein Link in solchen Mails führt auf gefälschte Websites beispielsweise von Banken oder E-Mail-Diensten, wo die Login-Daten abgegriffen werden.
Die Zahlen beim Phishing sind nach Angaben des BKA rückläufig. 3440 Fälle wurden 2012 registriert, im Vergleich zum Vorjahr ist das ein Rückgang von rund 46 Prozent. Das liegt laut BKA an einer zunehmenden Sensibilisierung der Internetnutzer, aber auch an verstärkten Schutzmaßnahmen, beispielsweise beim Onlinebanking. Kriminelle versuchen heutzutage häufiger, Daten über Trojaner auszuspähen. Solche Schadprogramme können zum Beispiel über E-Mails, manipulierte Websites oder PDF-Dokumente auf den eigenen Rechner gelangen – oft ohne aktives Zutun der Nutzer; es reicht, wenn Software nicht auf dem aktuellsten Stand ist. Auch beim Fall der 16 Millionen gestohlenen digitalen Identitäten gehen die Ermittlungsbehörden laut BSI davon aus, dass die Daten über Jahre hinweg mithilfe von Trojanern gesammelt wurden.
Warenbetrug und Mobbing mit geklauten Identitäten
Wie häufig es in Deutschland zu Identitätsdiebstählen kommt, lässt sich schwer sagen, die Dunkelziffer ist hoch. BSI-Präsident Michael Hange sprach 2013 von etwa 250.000 Fällen in einem Vierteljahr. Laut der polizeilichen Kriminalstatistik des Bundeskriminalamts wurden im Jahr 2012 rund 16.800 Fälle gemeldet, bei denen es um das Ausspähen und Abfangen von Daten ging – eine leichte Zunahme im Vergleich zum Vorjahr. Die Aussichten, dass die Strafverfolgungsbehörden die Datendiebe fassen, ist mit knapp 17 Prozent so niedrig wie bei kaum einer anderen Deliktsgruppe.
Wie Sven K.‘s digitale Identität gestohlen wurde, ist bis heute nicht geklärt. Klar ist nur, dass jemand unter seinem Namen einen Laptop im Wert von 960 Euro bestellt hat und über einen geklauten PayPal-Zugang bezahlen wollte. Der Besitzer des PayPal-Kontos hat jedoch Unregelmäßigkeiten bemerkt und die Zahlung gestoppt. Also bekam der Verkäufer sein Geld nicht und hat Sven K. angezeigt. Der wiederum rückte ins Visier der Ermittler als derjenige, der sich widerrechtlich Zugang zu diesem PayPal-Account verschafft hat und ihn für Warenbetrug missbrauchen wollte. Dem Bestohlenen wird schließlich selbst Identitätsdiebstahl vorgeworfen.
Unangenehme Folgen für Betroffene
Nicht immer geht es Identitätsdieben um finanzielle Bereicherung. Manchmal sollen einfach Personen im Internet bloß gestellt werden, erklärt der Stuttgarter Rechtsanwalt Frederic Gessier, der auch Sven K. vertreten hat. „In einem anderen Fall wurden beispielsweise Profile eines Mandanten auf der Karriere-Plattform Xing angelegt und mit falschen Informationen versehen.“
So oder so kann es unangenehm werden, wenn man nicht mehr die Kontrolle über seine persönlichen Daten hat. Zwar liegt die Beweislast nicht beim Betroffenen, wenn beispielsweise ein Dritter unter seinem Namen Geschäfte abschließt. Georg Borges erklärt: „Der Betroffene muss für etwaige Schäden nur eintreten, wenn er seine Sorgfaltspflichten verletzt hat. Leider sind, auch wenn meist keine schwerwiegenden finanziellen Schäden auftreten, etliche Sekundärschäden möglich.“ Ein ruinierter Ruf im Netz, der sich oft nur durch spezielle Agenturen wiederherstellen lässt, die sich ihre Säuberungsdienste fürstlich bezahlen lassen. Eine Welle an Mahnungen und eine Verschlechterung der Kreditwürdigkeit, weil angeblich bestellte Ware nicht bezahlt wird. Oder wie im Fall von Sven K. sogar ein Strafverfahren.
Doch Sven K. hat Glück, er kann die Staatsanwaltschaft nach Monaten überzeugen, dass er selbst Opfer von Identitätsmissbrauch geworden ist. Das Strafverfahren wird ohne mündliche Verhandlung eingestellt. Auf den Anwaltskosten bleibt Sven K. aber sitzen. Der Mann, der ihm seine Identität gestohlen hat, wurde zwar mittlerweile gefunden. Da K. aber keinen fristgerechten Antrag auf Strafverfolgung gestellt hat, kommt der Datendieb ungeschoren davon. Auch Schadensersatz kann er nicht leisten, er ist zahlungsunfähig und mittlerweile untergetaucht. Vielleicht ja mithilfe einer gestohlenen Identität.
Tipps für den Schutz der digitalen Identität
Passwörter Es ist eigentlich eine Binsenweisheit: Keine Passwörter verwenden, die so auch in einem Wörterbuch stehen. Experten raten, dass man sich einen Satz ausdenken und die Anfangsbuchstaben der Wörter mit Zahlen und Sonderzeichen kombinieren soll. Wichtig auch: für verschiedene Online-Dienste unterschiedliche Passwörter nehmen.
Software Regelmäßige Updates der Software auf dem eigenen Rechner verringern die Angriffsfläche für Schadcode. Häufige Einfallstore für Trojaner sind veraltete Versionen von Java, Adobe Acrobat Reader sowie Shockwave und Flash Player.
Wenn die eigene Identität doch geklaut wird Rechtsanwalt Frederic Gessier rät Betroffenen dazu, sofort Strafanzeige gegen Unbekannt bei der Polizei zu stellen, sobald ein Missbrauch der eigenen Daten bemerkt wird. Zudem sollten sämtliche Passwörter geändert und der PC mit einem aktuellen Antivirenprogramm gescannt werden. Rat bieten auch die Verbraucherzentrale, die polizeiliche Kriminalprävention oder das Beratungstelefon der Arbeitsgruppe Identitätsschutz im Internet (0234/3228058, montags von 16 bis 18 Uhr, donnerstags von 15 bis 17 Uhr).