Identitätsdiebstahl: Was dies ist und wie man es verhindern kann
Seit dem Beginn des digitalen Zeitalters können wir uns unser Leben ohne Online-Dienste nicht vorstellen. Es vergeht kaum eine Stunde, in der wir online nichts tun: ob wir einen Beitrag in den sozialen Medien liken, einkaufen, einen Uber bestellen, Netflix schauen, Geld überweisen, usw. Unsere Online-Aktivitäten, Websites und Unternehmen, auf die wir zugreifen, können variieren, aber dies bleibt bestehen: Wir alle haben unsere eigene digitale Identität, die mit unserem realen Selbst übereinstimmen können oder auch nicht.
Wir vertrauen einige Informationen den Regierungen und privaten Unternehmen, teilen bewusst oder unbewusst unsere Daten mit Tech-Giganten, die unseren digitalen Lebenslauf mit immer raffinierteren Tools verfolgen. Diese Informationen werden auch Teil unserer digitalen Identität.
Ein Mann hat gesagt — Daten sind das neue Öl — und diese Aussage wurde berühmt. Ein anderer Mann behauptete, sie seien eher die neue Atomenergie, weil sie als Waffe eingesetzt werden und Schaden verursachen können. In einer Welt, in der alles gekauft und verkauft werden kann, ist das gesamte digitale Leben einer Person (die digitale Identität) zu einer Ware geworden. Wenn sie gestohlen und missbraucht wird, kann die reale Person zu Fall gebracht werden.
Einem Bericht über den Dark Web Price Index zufolge kann eine digitale Identität — d. h. vollständige Informationen über die Konten einer Person — im Dark Web für weniger als 1.200 $ gekauft werden. Ein gehacktes Facebook-Konto kostet 45 Dollar, ein 1-Jahres-Netflix-Abonnement 25 Dollar, ein Selfie mit einem gefälschten US-Ausweis kostet etwa 120 Dollar, genauso viel wie eine Kreditkarte mit einem Kontostand von bis zu 5.000 Dollar. Auch Krypto-Konten sind vor Diebstahl nicht geschützt: Die Kosten für ein Krypto-Konto schwanken zwischen 90 und 250 Dollar.
Kriminelle versuchen diese Daten in großen Mengen zu kaufen. 50 gehackte PayPay-Kontoanmeldungen werden für nur 150 Dollar verkauft, und 10 Millionen E-Mail-Adressen aus den USA können für 120 Dollar erworben werden. Die Regeln dunkler Marktplätze erinnern zunehmend an die der legalen: Verkäufer:innen bieten Rabatte und Gutscheine an, während Käufer:innen Produktbewertungen hinterlassen.
Es ist traurig, dass es oft gar nicht nötig ist, eine digitale Identität anzuschaffen — Die Nutzer:innen stellen den Großteil der persönlichen Daten selbst freiwillig und kostenlos zur Verfügung.
Wozu sollte jemand Ihre Identität stehlen?
Sobald eine digitale Identität oder zumindest ein Teil davon in die Hände von Kriminellen fällt, kann sie auf vielfältige Weise missbraucht werden. Die Daten können weiterverkauft werden, sie können für Erpressung oder Geld verwendet werden, für finanzielle oder medizinische Betrugsversuche oder sogar für Mord.
Die US-Behörden schätzten, dass 100 Millionen Dollar an COVID-19-Geldern über Online-Investitionsplattformen über Konten mit gestohlenen Identitäten gewaschen wurden. In einem Fall nutzten Kriminelle die Identität eines Mannes, um 28.000 Dollar an Hilfsgeldern für ein nicht existierendes Unternehmen zu beantragen. Dann eröffneten sie ein Anlagekonto in seinem Namen und ein Bankkonto, auf das das Geld überwiesen wurde.
Der Diebstahl von medizinischen Daten ist vielleicht nicht das Erste, was einem in den Sinn kommt. Dennoch gibt es einen wachsenden Markt für Versicherungsnummern. Eine Medicare-Nummer kann im Dark Web bis zu 1.000 Dollar einbringen, eine Sozialversicherungsnummer dagegen nur 1 Dollar. In einem solchen Fall hat ein älterer Mann eine hohe Rechnung für eine Reihe von medizinischen Verfahren und mehrere Arztbesuche erhalten, von denen er zum ersten Mal hörte.
Haben Sie schon einmal ein gefälschtes Profil einer berühmten Persönlichkeit in den sozialen Medien mit einem echten Profil verwechselt? Aber was ist, wenn ein Betrüger ein gefälschtes Profil für Sie erstellt? Wenn es gelingt, kann er oder sie Geld von Ihren Bekannten und Verwandten erpressen. Diese Praxis ist als Cloning bekannt. Die Betrüger erstellen ein Konto mit Hilfe von Informationen, die ein Opfer großzügig online geteilt hat — dies kann genauso wie das echte Konto aussehen. „Facebook-Freunde“ sind eine besondere Art von Freunden, die dem Betrüger seine Lügengeschichten leicht abkaufen könnten. So erging es einem indischen Mann, dessen Facebook-Bekanntschaften 10.000 Rupien (136 Dollar) auf das Konto des Kriminellen überwiesen haben.
Und Geld ist ein billiger Preis, denn einige Opfer bezahlen mit ihrem Leben. Eine besonders abartige Form von Cloning ist das „Catfishing“, bei dem die Betrüger die Online-Identität einer anderen Person annimmt, um eine Liebesbeziehung einzugehen. Es ist so weit verbreitet, dass es sogar eine eigene Sendung auf MTV gibt. Eine australische Frau nahm sich 2018 das Leben, nachdem eine Catfish-Frau, die sich als männlicher Schauspieler ausgab, online eine romantische Beziehung mit ihr einging und sie dazu brachte, intime Fotos und Videos zu schicken.
Ein anderes extremes Beispiel: Betrüger könnten echte Fotos eines kranken Kindes verwenden, um damit Geld zu sammeln.
Sie können sich bei Online-Casinos, Krypto-Börsen und Marktplätzen anmelden, indem sie einfach ihren Reisepass scannen. Ein SIM-Swap-Betrug (bei dem eine Telefongesellschaft dazu gebracht wird, die Nummer eines Opfers einem neuen Telefon zuzuweisen) kommt ins Spiel, wenn die Hürde der Zwei-Faktor-Authentifizierung genommen werden muss. Jack Dorsey von Twitter wurde 2019 Opfer eines solchen Betrugs.
Wenn Sie durch einen Hack oder einen Social-Engineering-Angriff den Zugriff auf Ihr Konto verlieren, kann es für Spam, Werbung und zur Imitation einer echten Person bei Betrugsversuchen missbraucht werden.
Selbst nach Ihrem Tod kann Ihre digitale Identität nicht in Frieden ruhen. Eine Form des Identitätsdiebstahls, die als „Ghosting“ bekannt ist, wird häufig von Kriminellen genutzt, um im Namen von kürzlich Verstorbenen Steuererklärungen einzureichen. Die US-Regierung schätzt, dass die Identitäten von 2,5 Millionen verstorbenen Amerikaner:innen jedes Jahr von Betrügern gestohlen werden.
Also, man kann mit Sicherheit sagen, dass unsere digitale Identität sehr leicht missbraucht werden kann. Und wenn Sie das Glück hatten, noch nicht Opfer von Betrügern geworden zu sein, dann ist dies eher eine Ausnahme, die nur die Regel bestätigt.
Wie fällt unsere digitale Identität in die Hände von Betrügern?
Es gibt zwei Wege, wie eine digitale Identität in die Hände von Verbrechern gelangen kann: Die Opfer werden entweder gezwungen, sie preiszugeben, oder sie tun es freiwillig.
Die Daten von staatlichen Behörden, medizinischen Organisationen und Unternehmen können durch Brute-Force-Angriffe oder Social-Engineering-Angriffe verletzt werden. Ersteres basiert auf einer Trial-and-Error-Methode zum Hacken von Passwörtern und Verschlüsselungscodes, während letzteres in der Regel eine Form der Kommunikation zwischen Angreifern und einem ahnungslosen Opfer beinhaltet. Bei einem Einbruch in eine beliebte Online-Handelsplattform in Indien im vergangenen Jahr wurden die Daten von über 3,4 Millionen Kund:innen zum Verkauf angeboten. Dazu gehörten Kunden-ID, E-Mail-ID, Kontaktnummer, Handelslogin-ID, Filial-ID und Standort.
Dann gibt's noch Malware-Angriffe. Ein bösartiger Täter kann das Gerät eines Opfers mit einer datenraubenden Malware infizieren, die z. B. die Tastenanschläge aufzeichnet. Diese kann die im Browser gespeicherten Informationen, einschließlich Cookies und Passwörter, auslesen, wenn sich ein Opfer bei Konten anmeldet. Als Ergebnis eines solchen Angriffs wird der Browser-Fingerabdruck eines/er Benutzers/in offengelegt. Das Zurücksetzen von Passwörtern hilft nicht, solange ein Fehler im System vorhanden ist. Die Daten können dann auf dem bekannten Genesis-Marktplatz (oder wo anders) verkauft werden, der nur für geladene Benutzer:innen zugänglich ist.
Die Liste ist nicht vollständig ohne Phishing-E-Mails und Websites. Betrüger fälschen eine E-Mail von einer legitimen Einrichtung und fordern den Empfänger auf, in einer Antwort seine persönlichen Daten preiszugeben. Die US-Steuerbehörde (Internal Revenue Service, IRS) warnt Amerikaner:innen ständig davor, dass Betrüger das Logo und den Namen der Behörde benutzen, um geheime Zugangsdaten sowie Kreditkarten- und Bankkontonummern zu stehlen.
Anmeldeinformationen und andere Daten können auch über gefälschte Websites gestohlen werden, da sie genau wie die echten Seiten aussehen. Im November 2020 wurden die Kontodaten zahlreicher PUBG Mobile-Spieler:innen durch ein gefälschtes Werbegeschenk über Hunderte von Phishing-Seiten offengelegt.
Wir können Schadsoftware aufspüren, Phishing-Websites blockieren, ausgeklügelte Sicherheitsprotokolle einsetzen — das alles wird bis zu einem gewissen Grad helfen, aber selbst wenn wir den Angreifern alle Werkzeuge vorenthalten, werden sie weiterhin unsere Daten stehlen.
Die Hauptursache des Problems kann die moderne Tendenz zum Oversharing sein. Einige posten Urlaubsfotos mit Geotagging, damit jeder sehen kann, in welchem schicken Hotel sie waren. Andere posten Fotos von der Veranda ihres neu erworbenen Familienhauses: mit Geotags, mit sichtbaren Haus- und Autonummern.
Viele Menschen offenbaren gerne ihre Geburtstage, Gesundheitsprobleme, Interessen und Wunschlisten, denn ihre Freunde reagieren gerne darauf. Doch auch Tracking-Algorithmen reagieren: sie hören zu und schlagen die passendste Werbung vor.
Außerdem sind einige so unvorsichtig, Identitätsdokumente in soziale Netzwerke hochzuladen. Eine kurze Suche in einem beliebten sozialen Netzwerk ergab zahlreiche eingescannte Kopien von Dokumenten, die gültig zu sein scheinen.
Ein solches Oversharing kann nach hinten losgehen. Und das tat es bei einem Insta-berühmten Betrüger namens 'Hushpuppi'. Der Nigerianer war der Drahtzieher einer E-Mail-Betrugsaktion und stellte seinen luxuriösen Lebensstil online zur Schau. Das FBI nutzte seine Social-Media-Konten, um Beweise zu sammeln und ihn aufzuspüren.
Hin und wieder hören wir von normalen Menschen, die wegen der Inhalte, die sie veröffentlichen, entlassen werden, wie im Fall einer russischen Krankenschwester, die Selfies mit einem sterbenden Patienten gemacht hat.
Eine britische Bank schätzte, dass die Auswirkungen des „Sharenting“, d. h. die Preisgabe von Namen, Alter, Wohnadresse, Geburtsort, Namen von Haustieren und Sportmannschaften sowie anderer persönlicher Daten über ihre Kinder, bis 2030 zwei Drittel der Identitätsbetrugsfälle ausmachen werden, die sich gegen junge Menschen richten. Sie sollen jährlich 670 Millionen Pfund kosten.
Vielleicht versuchen Sie sich zu schützen und verbergen Ihr persönliches Leben. Aber dennoch verlangen die Anforderungen des digitalen Zeitalters von uns, dass wir unsere Daten weitergeben. Wir stellen ausführliche Lebensläufe auf Job-Websites ein, erstellen Dating-Profile und nehmen an Online-Fragebögen teil.
Die Folgen
Wie wir bereits gesagt haben, können die Folgen eines digitalen Identitätsdiebstahls wirklich fatal sein. Sie können unwissentlich Terrorismus finanzieren, die Regierung betrügen oder jemanden um Tausende von Dollar betrügen. Ihr Ruf kann geschädigt werden, wenn Ihr Abbild benutzt wird, um Menschen zu betrügen oder um jemanden in eine romantische Beziehung zu locken.
Kriminelle können Informationen, die Sie online weitergegeben haben, nutzen, um Ihre Passwörter zu erraten (vor allem, wenn es sich um den Geburtstag Ihrer Oma oder den Namen eines Haustiers handelt) und in Ihre Konten einzubrechen, um Ihr Geld und Ihre Dienste zu stehlen.
Außerdem können Ihre Gesundheit oder Ihr Leben in Gefahr sein. Stellen Sie sich vor, Sie gehen in ein Krankenhaus, um einen Test durchführen zu lassen, aber ein Arzt sagt Ihnen, dass Sie diesen Test bereits vor zwei Wochen gemacht haben. Oder Ihre echten Gesundheitsparameter können mit denen eines Betrügers verwechselt werden, der Ihre Versicherung missbraucht hat.
Und nicht nur Ihr guter Ruf und Ihre Finanzen könnten darunter leiden, sondern auch Ihr Unternehmen. Todd Davis, CEO von LifeLock, einem in Arizona ansässigen Unternehmen zum Schutz vor Identitätsdiebstahl, hat sich zum Gespött gemacht, nachdem er seine Sozialversicherungsnummer auf Plakatwänden und in Fernsehspots veröffentlicht und behauptet hatte, dass der Kreditüberwachungsdienst des Unternehmens „persönliche Informationen für Kriminelle unbrauchbar“ machen würde. Zur Überraschung von kaum jemandem, außer wahrscheinlich Davis selbst, wurde die Identität des CEO mindestens 13 Mal gestohlen. Seine Sozialversicherungsnummer wurde missbraucht, um einen Kredit zu erhalten und um mehrere Konten zu eröffnen, die alle bereits ausstehende Schulden aufwiesen, als er von ihrer Existenz erfuhr. LifeLock wurde wegen irreführender Werbung zu einer Geldstrafe von 12 Millionen Dollar verurteilt.
Laut dem 2022 Data Breach Investigation Report von Verizon ist bei 82% der Datenschutzverletzungen, die auf Unternehmen abzielen, der „menschliche Faktor“ beteiligt. Phishing, die Verwendung gestohlener Zugangsdaten und die Manipulation eines Mitarbeiters zur Preisgabe vertraulicher Informationen („Pretexting“) sind die drei wichtigsten Social-Engineering-Techniken, die Kriminelle einsetzen.
Wie hoch ist die Chance, dass Ihre Identität gestohlen wird?
Je mehr Apps, elektronische Geräte, soziale Medien und Online-Dienste Sie nutzen, desto größer ist die Wahrscheinlichkeit, dass Sie Opfer eines digitalen Identitätsdiebstahls werden. Wir hinterlassen auf jedem unserer Geräte Teile unserer persönlichen Daten und teilen sie mit jeder App, die wir nutzen — das Gleiche gilt für soziale Medien. Sie sind gefährdet, wenn Sie ein aktives Mitglied zahlreicher öffentlicher Gruppen sind und persönliche Informationen über sich selbst (über Ihre finanzielle Situation, über das Wohlergehen Ihrer Kinder) für jedermann einsehbar veröffentlichen.
Bei Online-Fragebögen, Quizspielen, Werbegeschenken und bezahlten Umfragen gibt es auch solche Gefahr. Sie können Werkzeuge sein, um Ihre Daten zu sammeln, die dann an Spammer verkauft oder auf andere Weise missbraucht werden können. Lebensläufe und Studienbewerbungen, die Sie online veröffentlichen und in denen Sie Ihre persönlichen Daten preisgeben, machen Sie ebenfalls angreifbar. Letztendlich ist es die Menge der öffentlich zugänglichen Informationen, die den Unterschied ausmacht.
Die Vernachlässigung grundlegender Schutzmaßnahmen wie die Installation von Antiviren-Software, die Aktivierung der Zwei-Faktor-Authentifizierung oder die Einrichtung eines sicheren Passworts erhöhen die Wahrscheinlichkeit, dass Ihre digitale Identität kompromittiert wird.
Wie man die Risiken verringern kann
Sie können sich nicht von der Welt abkoppeln, aber Sie können Ihren digitalen Fußabdruck verkleinern und Kriminellen zumindest das Leben schwer machen, wenn sie Ihre digitale Identität in die Hände bekommen wollen.
- Teilen Sie weniger in sozialen Medien: das Internet vergisst nichts. Selbst wenn Sie den Beitrag nachträglich entfernen, kann er immer noch per Screenshot oder über Web-Archive abgerufen werden. Widerstehen Sie dem Drang, Ihre Einkäufe und Informationen über Ihre Lieben oder Ihren Aufenthaltsort zu teilen. Seien Sie aufmerksam, wenn Sie Fotos mit Geotags versehen und andere darin markieren.
- Laden Sie keine Kopien Ihrer Ausweisdokumente wie Pässe oder Führerscheine auf Ihre Konten in sozialen Medien hoch. Senden Sie Ihre Dokumente, insbesondere Ihr Selfie mit einem Ausweis, nicht an zufällige Drittdienste „zur Identitätsüberprüfung“, es sei denn, dies ist absolut notwendig.
- Lesen Sie die Datenschutzrichtlinien sorgfältig durch, bevor Sie an einer Online-Umfrage oder einem Fragebogen teilnehmen, und finden Sie heraus, wofür Ihre Antworten verwendet werden können. Wenn es keine solche Richtlinie gibt, sollten Sie besser ganz auf die Umfrage verzichten. Selbst wenn die Datenschutzrichtlinien keine roten Fahnen enthalten, kann der Meinungsforscher die Daten trotzdem weitergeben. Je weniger Fragebögen Sie also ausfüllen, desto sicherer sind Sie.
- Seien Sie vorsichtig bei „zu schön, um wahr zu sein“-Rabatten und großzügigen Werbegeschenken, die von bekannten Unternehmen angeboten werden. Prüfen Sie, ob Sie sich nicht auf einer Phishing-Website befinden, und wenden Sie sich im Zweifelsfall an einen Vertreter des Unternehmens, um die Aktion zu überprüfen.
- Lassen Sie nur die Cookies zu, die für die Funktionalität der Website unerlässlich sind, wenn Sie nicht wollen, dass Werbetreibende Sie im gesamten Web verfolgen und mit Werbung bombardieren.
- Verwenden Sie Werbeblocker, die vertrauenswürdig sind und nicht auf frischer Tat beim Abgreifen von Daten ertappt wurden. Sie können auch zu einem datenschutzfreundlichen Browser wechseln, ein VPN oder einen vertrauenswürdigen DNS-Server verwenden.
- Legen Sie sichere Passwörter fest, die nicht für andere Konten oder Geräte wiederverwendet werden, und verwenden Sie Passwortmanager.
- Aktivieren Sie, wo immer möglich, die Multi-Faktor-Authentifizierung — sie schützt Sie vor unbedarften Hackern.
- Installieren Sie Antiviren-Software und aktualisieren Sie sie regelmäßig.
- Geben Sie Ihren Apps nur die nötigsten Berechtigungen.
Was die Dokumente angeht, die wir unseren Arbeitgeber:innen, Professor:innen, Versichererungsagenturen und anderen online schicken müssen, so sollten Sie sicherstellen, dass Sie sie über einen verschlüsselten E-Mail-Dienst versenden und dass Ihre E-Mail passwortgeschützt ist.