Einkaufsbummel auf fremde Rechnung
Identitätsdiebstahl als existierende Gefahr – Jeder mit Mail-Adresse ist gefährdet
Ohne großen Aufwand können Kriminelle auch falsche Nachrichten verbreiten. Oft nehmen es Unternehmen mit dem Schutz der Kundendaten auch nicht so genau.
L N Jeder ist gefährdet: Jeder mit einer Mail-Adresse, jeder, der bei sozialen Netzwerken aktiv ist und jeder, der Kunde von Online-Diensten, -Marktplätzen und -Shops ist, warnt Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Sie alle sind potenziell im Visier von Kriminellen.
Für den Warenkreditbetrug braucht es oft nur Namen und Geburtsdatum einer Person, um auf Rechnung zu bestellen. Als Lieferadresse wählen die Betrüger etwa eine Packstation. Weil die Zahlung ausbleibt, wendet sich der Händler dann an die Person, in deren Namen die Bestellung abgegeben wurde. Dann beginne der Ärger für das Opfer, sagt Michael Littger von der Initiative „Deutschland sicher im Netz“.
„Im äußersten Fall schaltet der Händler ein InkassoUnternehmen ein, meldet die Erfahrung an Bonitätsprüfer wie die Schufa und erwirkt einen Mahnbescheid“, schildert Littger. Das könne dazu führen, dass das Opfer Probleme bei Bestellungen oder bei Banken bekommt, da seine Bonität infrage steht.
Eine weitere Form des Missbrauchs spielt sich in sozialen Netzwerken ab: Nicknapping – eine Wortschöpfung aus Nickname (Spitzname)
und Kidnapping, erklärt Littger: „Das ist der klassische Identitätsdiebstahl, zumal der Facebook-Zugang oft Generalschlüssel für andere mit dem Netzwerk verbundene Portale ist.“
hising sehr beliebt
Noch größer kann der Schaden werden, wenn den Datendieben Login-Daten etwa für Bezahldienste oder Online-Marktplätzen bekannt sind. An diese Daten gelangen sie oft per Phishing. Die Opfer werden angemailt und dazu verleitet, ihre Daten preiszugeben – oft auf fingierten Internetseiten. „Das hat immer noch Hochkonjunktur“, sagt Littger: „Im Sicherheitsindex, einer repräsentativen Studie, haben wir herausgefunden, dass mehr als ein
Drittel aller Nutzer direkte Phishing-Versuche bemerkt hat.“
Die Kriminellen kaufen teils auch Datenpakete mit Zehntausenden sensibler Kundendaten wie Passwörtern oder Kreditkartennummern, die etwa aus Angriffen auf Unternehmens-Server, schlecht geschützte Rechner oder Onlinekonten stammen. Diese Daten würden dann – meist erst einmal vom Nutzer unbemerkt – missbraucht, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Wird unter falschem Namen bestellt, liegt das Risiko grundsätzlich beim Händler, sagt Christian Solmecke, Fachanwalt für IT-Recht. Er müsse sicherstellen, dass mit der Bestellung alles in Ordnung ist und gegebenenfalls
vor Gericht beweisen, wer die Ware bestellt hat – das werde schwierig. Dennoch werde der Händler versuchen, Geld für gelieferte Waren zu erhalten, weshalb der Nutzer glaubhaft machen sollte, dass er nichts bestellt hat – etwa mittels IP-Adressen.
Str nzeige stellen
„In jedem Fall sollte man Strafanzeige stellen, auch wenn es den Tatbestand des Identitätsdiebstahls nicht gibt“, rät Solmecke. Man müsse andere Strafnormen nutzen wie Urkundenfälschung, Computerbetrug oder Ausspähen und Abfangen von Daten. Auskunfteien wie etwa die Schufa unterhalten teils auch Datenbanken, in die sich Opfer zum eigenen Schutz eintragen lassen können.
Eine Möglichkeit ist es ITAnwalt Solmecke zufolge auch, Unternehmen, aus deren Beständen die missbrauchten Daten stammen, ins Visier zu nehmen, da die Daten bei ihnen möglicherweise unzureichend geschützt sind oder waren.
Laut EU-Datenschutzgrundverordnung haben Verbraucher gegenüber Unternehmen weitere Rechte, die auch den Diebstahl von Identitäten eindämmen können, heißt es bei „Deutschland sicher im Netz“: Automatisch müssten die Daten nach Ende der Geschäftsbeziehung gelöscht werden, eine heimliche Speicherung ist nicht erlaubt. Und: Unternehmen müssten betroffene Kunden spätestens nach 72 Stunden über Datenlecks sowie Gegenmaßnahmen im Detail informieren.