Identitätsdiebstahl im Internet: Digitale Identität schützen
Menschen besitzen heute nicht nur eine analoge, sondern auch eine digitale Identität: In sozialen Netzwerken trifft man sich mit Freunden, die Arbeit verläuft in Pandemie-Zeiten deutlich digitaler und abends geht’s zur gemeinsamen Watch-Party aufs heimische Sofa – verbunden mit Freunden übers World Wide Web. Jeder dieser Schritte hinterlässt Spuren: Sie alle würden es erlauben, Digitalprofile zu erstellen. Und genau das ist das Ansinnen von Cyberkriminellen: Das Erbeuten persönlicher Daten geht zulasten der Opfer und zugunsten der Cyberkriminellen. Nahezu alles Mögliche und Unmögliche ist dabei denkbar: Das Bestellen von Waren dürfte gemeinhin bekannt sein, jedoch erlaubt der Besitz von personenbezogenen Daten sogar Manipulationen von Aktienkursen. Die Auswirkungen sind also gigantisch. Häufig werden zunächst Daten gesammelt, um sie später für kriminelle „Geschäftsmodelle“ zu nutzen. Der Identitätsdiebstahl im Internet wird somit immer relevanter.
Mit dem heutigen Beitrag beginnen wir eine kleine Artikelserie, in der Sie mehr über die Wege erfahren, wie Cyberkriminelle an wertvolle Datenschätze gelangen. Gehen die kommenden Beiträge zu diesen Wegen in die Tiefe, verschaffen wir Ihnen heute einen allgemeinen Überblick zum Thema Identitätsdiebstahl im Internet und zeigen Ihnen, wie Sie sich schützen können.
Identitätsdiebstahl im Internet: Wie gelangen Daten in kriminelle Hände?
Es gibt verschiedene Wege, wie Cyberkriminelle an Ihre digitalen Daten kommen können. Wir stellen Ihnen diese Wege in den kommenden Blogbeiträgen intensiver vor, heute seien sie nur kurz angerissen:
Hacking
Hacker können sich Zugang zu Online-Accounts direkt verschaffen, aber auch Zugang zu Datenbanken, in denen personenbezogene Nutzerdaten gespeichert sind. In beiden Fällen sind leider häufig zu schwache Passwörter das Tor, durch das die Cyberkriminellen einsteigen. So zeigten die Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers im Jahr 2019, wie sie sogar Betreiber kritischer Infrastrukturen (KRITIS) durch schwache Passwörter hacken konnten.
Gefährlich wird es besonders dann, wenn man für verschiedene Dienste dasselbe (schwache) Passwort nutzt. So gelangen die Cyberkriminellen vom Social Media-Profil in den Online-Shop, wo dann häufig auch noch Bankdaten hinterlegt sind. Nicht immer ist es jedoch ein schwaches Passwort eines Nutzenden – selbst der sicherheitsbewussteste Nutzende kann nichts tun, wenn Unternehmen bzw. Online-Dienste klaffende Sicherheitslücken haben.
Idealerweise achten beide Seiten auf optimalen Schutz: Diensteanbieter halten ihre Dienste so sicher wie möglich und Nutzende loggen sich ausschließlich mit sicheren Zugangsdaten ein, die sich von denen anderer Dienste unterscheiden. So wird es Hackern schwer gemacht, Daten zu erbeuten.
Jetzt online zum Weiterlesen: „Was ist Hacking?“
Phishing
Es gibt verschiedene Arten des Phishings: E-Mail-, Website-Phishing, Vishing, Smishing und auch Social Media-Phishing. Unabhängig vom Phishing-Weg bedeutet diese Art des Datendiebstahls, dass Cyberkriminelle betrügerische Inhalte veröffentlichen und Nutzende dazu verführen, persönliche Daten wie Login-Daten einzugeben. So erhält das Opfer beispielsweise beim E-Mail-Phishing eine E-Mail mit dem Hinweis, der Nutzende müsse etwas in seinem E-Mail-Account regeln, um die Funktionalität wiederherzustellen. Der arglose Nutzende glaubt diesem Betrug und gibt seine Zugangsinformationen ein. Diese Informationen können von den Cyberkriminellen dann entsprechend weiterverarbeitet werden.
Bei der Vishing-Variante verläuft das Phishing sprachlich: Opfer werden also mündlich zu Handlungen bewogen, von denen sie glauben, sie seien in ihrem Interesse. Im Hintergrund arbeiten die Cyberkriminellen daran, die Daten des Opfers abzuziehen. Das Phishing per SMS nennt sich „Smishing“; mehr zu dieser Variante können Sie in unserem Beitrag „Smishing-Gefahr: So funktioniert Phishing per SMS“ nachlesen. Auch das Social Media-Phishing, also die Variante, die über soziale Netzwerke stattfindet, wird immer häufiger von Kriminellen eingesetzt.
Jetzt online zum Weiterlesen: „Phishing-Schutz: So erkennen Sie Phishing und schützen sich“
Trojaner
Nutzende laden sich nicht nur über den Rechner, sondern auch über Mobilgeräte Software wie Apps oder Freeware sowie Informationen herunter. Wird hierbei wenig auf die Download-Quelle geachtet, kann es passieren, dass heruntergeladene Dateien mit Trojanern infiziert sind. Durch den Download gelangen Trojaner auf die Geräte – häufig werden dann mit dieser Software sensible Daten abgefangen, die an Dritte verkauft werden. Auch an E-Mails angehängte Dateien können Schadsoftware wie Trojaner enthalten.
Jetzt online zum Weiterlesen: In unserem Beitrag „Was ist Malware?“ besprechen wir neben Trojanern auch andere Schadsoftware.
Social Engineering
Beim Social Engineering werden Opfer mit persönlichen Informationen dazu gebracht, Vertrauen in den Angreifer zu entwickeln. So können sich die Cyberkriminellen beispielsweise mit einem gefälschten Social Media-Profil als Freund oder verschollener Verwandter des Opfers ausgeben. Durch den persönlichen Kontakt sollen dem Opfer dann Informationen wie Login-Daten oder andere private Informationen entlockt werden, die sich für die Cyberkriminellen wieder in Bares wandeln lassen.
Jetzt online zum Weiterlesen: „Was ist Social Engineering?“
So können Sie sich vor Identitätsdiebstahl im Internet schützen
Wie eingangs aufgezeigt, gehören zu einer umfassenden Sicherheitsstrategie mindestens zwei Parteien: Die Anbieter der von Ihnen genutzten Dienste und Sie als Nutzender. Wenngleich Sie Ihre Anbieter nicht vor Sicherheitslücken schützen können, können Sie viel für Ihre Sicherheit tun:
- Passwörter: Wählen Sie Passwörter aus, die wirklich sicher sind. Nutzen Sie für jeden Dienst ein anderes Passwort. Wie Sie sichere Passwörter erstellen und was die Passwort-Sicherheit überhaupt ausmacht, können Sie in unserem Beitrag „Sichere Passwörter: Starke Passwörter erhöhen die Sicherheit“ nachlesen.
- 2FA: Zwei Faktoren bieten mehr Sicherheit als einer – so weit, so logisch. Dennoch verzichten viele Anwendende – leider oft aus Bequemlichkeit – auf einen zweiten Faktor beim Anmelden. Viele Dienste-Anbieter erlauben mittlerweile den Login per Zwei-Faktor-Authentifizierung (2FA), also: Nutzen Sie das und wählen Sie für Ihre Logins immer einen zweiten Faktor. Das ist mittlerweile auch recht bequem geworden: So erhalten Sie beispielsweise einmalige Codes aufs Handy, die als zusätzliche Sicherheitsschranke zu Ihrem Profil dienen.
- Updates: Wir werden nicht müde, das zu betonen: Wenn Anbieter Updates zur Verfügung stellen, so sind diese so zeitnah wie möglich einzuspielen. Denn Updates enthalten nicht nur funktionelle Neuerungen, sondern sie schließen vor allem Sicherheitslücken, die entweder bereits ausgenutzt werden oder spätestens mit Veröffentlichung des Updates bekannt und dann ausgenutzt werden. Idealerweise konfigurieren Sie automatische Updates auf Ihren Geräten. So verpassen Sie kein Update und so klaffen auch keine Sicherheitslücken länger als nötig auf Ihren Devices.
- Öffentliche Geräte & Netzwerke: Nutzen Sie öffentlich verfügbare Geräte sowie Netzwerke bitte mit Bedacht – es ist absolut unnötig, Ihren Kontostand in einem öffentlichen WLAN abzufragen. Nutzen Sie in öffentlichen Netzwerken oder auf öffentlichen Geräten – etwa den Rechner in Ihrer örtlichen Bücherei – nur für allgemeine Recherchen und Informationen. Verzichten Sie auf Logins und surfen Sie mit Bedacht: Ihre Daten sind nicht geheim!
- Sicherheitssoftware & VPN: Um Ihre Geräte vor Gefahren wie Malware zu schützen und um sicher zu surfen, ohne viele persönliche Spuren zu hinterlassen, sind Sicherheitssoftware und VPN unabdingbar. Und das gilt nicht nur für den stationären Rechner, sondern auch für Mobilgeräte – und zwar über alle Betriebssysteme hinweg.
- E-Mails & Links: Messenger und E-Mails sind – neben dem persönlichen Wort – die Kommunikationsmedien unserer Zeit. Natürlich haben das auch Cyberkriminelle für sich entdeckt, und für sie ist es ein Leichtes, sich als jemand auszugeben, dem Sie vertrauen könnten. Deshalb öffnen Sie E-Mails bitte grundsätzlich mit Bedacht – auch wenn die E-Mail von einem bekannten Absender zu stammen scheint. Dasselbe gilt für Links, die Sie per E-Mail oder Messenger erreichen: Klicken Sie nicht ungeprüft darauf! Prüfen Sie zunächst, ob der Absender auch der ist, der er vorgibt zu sein, und prüfen Sie auch Links vor dem Anklicken.
Die Folgen vom Identitätsdiebstahl im Internet sind vielfältig
In aller Regel sind die Folgen von Identitätsdiebstahl im Internet finanzieller Natur: Cyberkriminelle verschaffen sich Zugang zum Online-Banking und können das Konto direkt leerräumen. Oder sie haben Zugang zum Online-Shop, wo sie auf den Namen des Opfers massenhaft Bestellungen tätigen. Es gibt jedoch auch Folgen außerhalb dieser finanziellen Schäden:
- Spam: Nicht immer sind die Kriminellen hinter Ihren Zahlungsinformationen her, zuweilen begnügen sie sich auch mit Zugang zu E-Mail-Accounts oder anderen Kommunikationskanälen. Im Hintergrund bauen die Kriminellen sogenannte Botnetze auf. Vom Nutzenden in aller Regel unbemerkt wird über solche Bots massenhaft Spam versendet. In unserem Beitrag „Frei verfügbare Botnetz-Enzyklopädie“ erfahren Sie mehr darüber, wie Botnetze arbeiten.
- Cybermobbing & Imageschäden: Es ist außerdem möglich, dass die Daten anderer für Cyber-Mobbing genutzt werden. Bei einem Identitätsdiebstahl in den sozialen Netzwerken beispielsweise könnten über einen gekaperten Account gefälschte Tatsachen verbreitet werden. Das würde zu einer Rufschädigung führen: Recht zügig werden über das Profil fragwürdige Ansichten oder Fake-News publiziert. Da Hetz-Postings mittlerweile strafrechtlich verfolgt werden, kann das üble Folgen haben: Aus dem eigentlichen Opfer wird der Täter – und dieser muss erst mal beweisen, tatsächlich Opfer krimineller Machenschaften zu sein. Eine derartige Rufschädigung kann nicht zuletzt berufliche Konsequenzen haben.
- Fake-Shops: Eine noch recht junge Masche, die in den vergangenen Monaten immer wieder auftauchte, ist die der Fake-Shops: Kriminelle gründen solche Online-Shops auf den Namen derer, von denen sie vorher persönliche Daten entwendet haben. In dem Fake-Shop können dann beispielsweise falsche Markenartikel vertrieben werden. In einem solchen Fall können ernste juristische Folgen auftreten: Der ahnungslose Nutzende, auf den der Online-Shop läuft, kann nicht nur mit Klagen von Herstellern der gefälschten Artikel überhäuft werden, sondern auch von denen, die in dem Shop womöglich bereits bestellt haben, aber nie Ware erhielten. Deshalb müssen Opfer in einem solch schwerwiegenden Fall sofort Strafanzeige stellen und verdeutlichen, dass sie mit dem Fake-Shop nichts zu tun haben. Leider ist die Aufklärungsquote bei allen genannten Fällen sehr gering, oft hinterlassen die Kriminellen so gut wie keine Spuren.
Schnell handeln bei ersten Anzeichen von Identitätsdiebstahl im Internet
Haben Sie den Verdacht, dass Sie Opfer eines Identitätsdiebstahls im Internet geworden sind, so gilt es, zügig zu reagieren. Insbesondere bei etwaigen finanziellen Transaktionen, die die Cyberkriminellen unbefugt vollzogen haben, müssen die jeweiligen Fristen der Geldinstitute beachtet werden – Ihre Bank informiert Sie darüber. Stellen Sie bitte auch Strafanzeige. Auch wenn die Aufklärungsquote bei derartigen Verbrechen noch gering ist: Wenn niemand Strafanzeige stellt, wird es auch keine Ermittlungen geben. Die folgenden Schritte sind außerdem wichtig:
- Setzen Sie sämtliche Passwörter zurück – und zwar präventiv auch jene von nicht betroffenen Anbietern.
- Informieren Sie den jeweiligen Anbieter über den Missbrauch Ihres Accounts. In aller Regel gibt es entsprechende Meldeformulare.
- Lassen Sie die jeweiligen Zugänge und/ oder Konten sperren. Ist Ihr Girokonto betroffen, können Sie Ihre EC- und Kreditkarten unter der Sperr-Notruf-Nummer 116116 sperren lassen. Selbstverständlich werden Sie auch von Ihrer Bank unterstützt, weiter verfügt die Polizei über ein System zum Sperren.
- Klären Sie Freunde und Bekannte auf und warnen Sie diese vor. Es könnte sein, dass die Cyberkriminellen auf ihren Streifzügen durch Ihre Online-Profile auf Ihre Freunde gestoßen sind und mit ihnen schon ihre nächsten Opfer auswählen. Hat der Identitätsdiebstahl auch berufliche Folgen, ist natürlich auch ein Gespräch mit dem Arbeitgeber und mit dem Kollegium unabdingbar.
- Prüfen Sie Ihre Geräte auf Malware wie Viren oder Trojaner. Das schließt nicht nur Ihren PC, sondern all Ihre Geräte ein: Ihr Smartphone, Ihr Tablet, Ihren TV-Stick, Ihre IoT-Geräte – alles, was Sie nutzen. Eine gute Sicherheitssoftware nimmt Ihnen diese Arbeit für gewöhnlich ab, im Falle eines Verdachts auf Identitätsdiebstahl sollten Sie jedoch genau untersuchen.
- Behalten Sie Ihre Bankkonten im Blick – einschließlich den von Ihnen genutzten Zahlungsdienstleistern. Zahlen Sie also vorrangig mit PayPal, kontrollieren Sie etwaige Kontobewegungen genauso wie auf Ihrem Girokonto.
- Manchmal kann es sinnvoll sein, eine SCHUFA-Auskunft anzufordern. Hier können Sie nachvollziehen, ob es Händler-Bonitätsanfragen gab, die nicht von Ihnen stammen. Ihnen steht nach Art. 15 DSGVO eine kostenfreie Datenkopie zu, sodass Sie für die SCHUFA-Auskunft nichts zahlen müssen.
Identitätsdiebstahl im Internet: Keine Angst, aber Vorsicht ist geboten
Wir haben es eingangs bereits angedeutet: Es gibt keinen 100-prozentigen Schutz. Selbst wenn Ihr Sicherheitsdenken groß ausgeprägt ist, ist da noch die Herstellerseite, die vielleicht nicht immer alles gibt, um Ihre Daten wirklich zu schützen. Dies gilt es, im Hinterkopf zu behalten. Wenn Sie das tun, entsteht eine gesunde Vorsicht, die auch angemessener erscheint als Angst und Panik. Denn mit dieser gesunden Vorsicht werden Sie nicht mehr arglos jeden Link anklicken; Sie werden nur noch mit Bedacht Daten in die digitale Welt geben. Und so soll es sein, denn ein gewisses Maß an Achtsamkeit und Skepsis, die wir ja auch in der analogen Welt an den Tag legen, sind auch in der digitalen Welt sinnvoll.
Möchten Sie sich intensiver in das Thema „Identitätsdiebstahl im Internet“ einlesen, bieten das BSI, die Verbraucherzentralen sowie die Polizei hilfreiche Informationen. Auch unsere zertifizierten Sicherheitsexperten unterstützen Sie in allen Fragen der Sicherheit – nehmen Sie einfach Kontakt zu uns auf. In den kommenden Wochen ergänzen wir unsere Serie „Identitätsdiebstahl im Internet“ mit weiteren Beiträgen zu Phishing, Hacking, Schadsoftware sowie Social Engineering. Sie sind bereits ein Experte zum Thema Phishing? Testen Sie Ihr Wissen doch in unserem Phishing-Quiz – vielleicht fordern Sie ja noch einige Freunde fürs gemeinsame Quizzen heraus.
Gender-Disclaimer:
Zur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum für Substantive und meinen damit alle natürlichen Personen unabhängig ihres Geschlechts.
Schreibe einen Kommentar