Blog
Goldgrube Identitätsbetrug
Jul 27, 2018
Maria Genova ist Forschungsjournalistin und Autorin eines Buches über Identitätsdiebstahl. Sie ist eine gefragte Referentin, wenn es um Datenschutz, Identitätsbetrug und Informationssicherheit geht. Sie war Rednerin bei den FRAUDtalks.
Identitätsbetrug funktioniert so: Betrüger hacken sich in private Computer ein und sammeln Daten des Besitzers, um damit verschiedenste Arten von Unternehmen zu betrügen, zum Beispiel auch Versicherungsgesellschaften. Mit anderen Worten: Bei dieser Form des Betrugs werden die Daten ehrlicher Bürger missbraucht.
Als ich mit der Arbeit an meinem Buch begann, war ich wie so viele andere auch einfach eine gesetzestreue Bürgerin, die dachte: "Ich bin für Hacker überhaupt nicht interessant, ich habe nichts zu verbergen." Aber für Hacker ist jeder von Interesse. Warum? Im Allgemeinen verschaffen sie sich Zugang zu einem Computer und schauen, welche Daten sie dort finden. Machen wir uns nichts vor: Wir alle speichern interessante Daten mit großen Mengen an persönlichen Angaben auf unseren Computern, zum Beispiel Versicherungspolicen, Ausweiskopien oder Steuererklärungen. Nimmt man diese Informationen zusammen, ermöglichen sie den vollständigen Diebstahl der Identität des Betroffenen. Auch bei zahlreichen Unternehmen sind persönliche Daten über uns gespeichert und können von Hackern gestohlen werden.
Daten sind das neue Gold
Wie verschaffen sich Hacker Zugang zu unseren Computern? Früher waren dazu umfangreiche technische Kenntnisse erforderlich, aber heutzutage kann das eigentlich fast jeder. Kleinkriminelle können sich im Internet eines der zahllosen frei erhältlichen Tools samt zugehöriger Schritt-für-Schritt-Anleitung herunterladen. Die meisten Hacker sind ganz einfach faule Tagediebe, die vor dem heimischen Computer sitzen und das Hacken automatischen Programmen überlassen. Die räumliche Distanz ist dabei kein Problem. So sind unsere Daten zum Beispiel für Russen bares Geld wert. Daten sind das neue Gold.
Einfacher Zugriff auf personenbezogene Daten
Häufig ist es ein Link in einer E-Mail, der Hackern hilft, sich Zugang zu fremden Computern zu verschaffen. Diese sogenannten Phishing-E-Mails werden immer besser. Immer mehr Versionen ohne Rechtschreibfehler, erwecken den Eindruck von bekannten Unternehmen oder Organisationen zu stammen. Sobald man den Link einer solchen E-Mail klickt, hat der Hacker Zugriff. Vor Kurzem berichtete ein Zuhörer, er habe eine solche E-Mail erhalten, aber da er ihr nicht recht traute, öffnete er sie erst am nächsten Tag an seinem Arbeitsplatz: Bingo. So werden ganze Unternehmen gehackt – auch Versicherungsgesellschaften.
Über diesen Umweg verschaffen sich die Hacker zu allem Überfluss auch Zugriff auf Kundendaten. Aus diesem Grunde ist es heutzutage unerlässlich, die eigenen Mitarbeiter über die immer größer werdenden digitalen Risiken aufzuklären und ihnen bewusst zu machen, worauf sie achten müssen. Dies verhindert nicht nur Imageschäden, sondern auch eine Menge Ärger für die Betroffenen. Es kann Geld sparen, denn häufig verschlüsseln Hacker die Daten und verlangen von den betroffenen Unternehmen mehrere Hunderttausend Euro Lösegeld. Und das alles nur, weil ein Mitarbeiter ein einziges Mal auf einen Link geklickt hat.
Sendungsverfolgung
Heutzutage kaufen wir fast alle online ein und das macht uns unmittelbar zu potentziellen Opfern. Häufig bekommt man nach einer Onlinebestellung eine E-Mail mit einer Sendungsnummer eines Paketdienstes. Wer den Link anklickt, ist gehackt! Für die Hacker ist es völlig irrelevant, ob Sie tatsächlich gerade etwas bestellt haben! Es wird einfach eine riesige Anzahl von E-Mail zur selben Zeit verschickt. Somit steigt die Wahrscheinlichkeit, dass einige der Empfänger tatsächlich gerade eine Bestellung getätigt haben und eine solche E-Mail erwarten. Dasselbe gilt für E-Mails, die Sie gleich nach Ihrer Rückkehr aus dem Urlaub – vermeintlich – von Ihrem Telefonanbieter erhalten. Sie werden darüber informiert, dass Ihre Handyrechnung ungewöhnlich hoch ist. Sie ärgern sich, Sie möchten sich informieren, Sie klicken den Link an – und schon haben die Hacker Zugriff.
Opfer von Identitätsbetrug
Was bedeutet es nun ganz praktisch, wenn Sie gehackt wurden und Ihre persönlichen Daten für Identitätsbetrug genutzt werden? Für mein Buch "Komt een vrouw bij de h@cker" ("Kommt eine Frau zum H@cker") habe ich mit vielen Betroffenen gesprochen und war überrascht, wie sehr diese unter dem Angriff gelitten haben und wie schwierig es für sie war, alles wieder ins rechte Lot zu bringen. Um eine vollständige Identität zu stehlen wird nicht einmal ein Originalausweis benötigt, es reicht schon eine Kopie, die ein Hacker zum Beispiel von Ihrem Computer oder etwa einer Autovermietung an Ihrem spanischen Urlaubsort gestohlen hat. Und schon nimmt das Unheil seinen Lauf.
Ein Beispiel: Herr Müller erhält einen Anruf von der Polizei, die ihn auf das Revier bittet. Jemand habe in seinem Namen Häuser angemietet, in denen die Polizei Cannabisplantagen gefunden habe. Die Beamten zeigten Herrn Müller die Mietverträge mit seiner gefälschten Unterschrift und einer Kopie seines Personalausweises. Herr Müller bestand darauf, nichts mit der Anmietung zu tun zu haben, doch die Polizei glaubte ihm nicht. Er verlor seine Arbeitsstelle. Selbst als der Fall nach zweieinhalb Jahren aufgrund von Mangel an Beweisen eingestellt wurde, war die Geschichte für Herrn Müller noch nicht zu Ende: Der unrichtige Eintrag in seiner Polizeiakte bedeutete, dass er das für seinen Beruf nötige Führungszeugnis nicht mehr bekommen konnte.
Ein anderes Beispiel von Identitätsbetrug
Mithilfe eines gestohlenen Führerscheins meldeten Betrüger 1.700 Autos auf den Namen des Bestohlenen an. Daraufhin wurden dessen Sozialleistungen gestrichen, weil das Amt entschied, dass sie dem Besitzer so vieler Fahrzeuge nicht zustanden. Der Betroffene konnte in der Folge seine Miete nicht zahlen und wurde obdachlos. Er ging vor Gericht und stritt bis hoch zum Europäischen Gerichtshof für Menschenrechte. Dort endlich wurde – nach 17 Jahren! – zu seinen Gunsten entschieden, und man sprach ihm eine Entschädigung in Höhe von 9.000 € zu.
Social hacking
Hacking kann auch genau anders herum funktionieren – über soziale Medien. Es ist kein Problem, mit einem Namen und den zugehörigen öffentlich verfügbaren Informationen ein LinkedIn-Konto zu erstellen und Kollegen der Person dazu einzuladen. Einem Kollegen kann man doch ruhig trauen? Einige Wochen später schickt der Hacker allen "Kollegen" eine E-Mail mit einem Anhang, der einen Virus enthält. Konten in den sozialen Medien sind häufig sehr leicht zu hacken, ganz einfach weil die Passwörter zu simpel sind. Ein Passwort wie etwa "Endlich18!" ist nicht schwer zu knacken.
Über die sozialen Medien geben wir sehr viele Informationen über uns Preis, wie zum Beispiel im folgenden Video zu sehen ist.
Identitätsprüfung leicht zu manipulieren
Niederländische Unternehmen nutzen häufig das Geburtsdatum, den Namen und die Anschrift, um die Identität einer Person zu überprüfen. Name, Adresse und Geburtsdatum (Facebook!) sind jedoch sehr leicht online festzustellen, und mithilfe dieser Daten lassen sich dann weitere Informationen wie Finanz- oder Gesundheitsdaten finden. Eine andere Möglichkeit ist es, die bei einem Unternehmen gespeicherte E-Mail-Adresse per Telefon zu ändern: "Seit letzter Woche habe ich eine neue E-Mail-Adresse." "Vielen Dank für die Information, ich aktualisiere das sofort in unserer Datenbank." Eine Woche später schickt das Unternehmen dann auf Anfrage Ihren Kaufvertrag an die inzwischen in das System eingepflegte falsche E-Mail-Adresse: Ein idealer Datensatz für Identitätsbetrug.
Informationen aus den sozialen Medien lassen sich auch hervorragend nutzen, um maßgeschneiderte Phishing-E-Mails zu erstellen. Weiß der Betrüger, dass Sie Tennis spielen, kann er Ihnen im Namen Ihres Vereins eine Einladungs-E-Mail zu einem Tennisworkshop mit einem Profispieler schicken: "Bitte klicken Sie hier, um sich anzumelden." Oder der Betrüger findet auf LinkedIn heraus, wo Sie zur Schule gegangen sind, und im Handumdrehen folgt die Einladung zum Klassentreffen. Der Anhang enthält dann einen Virus, der von den meisten Virenscannern (denen die Hacker fast immer eine Nasenlänge voraus sind) nicht rechtzeitig erkannt wird.
Passwörter: zwei Tipps und ein Bonustipp
Was kann man als gesetzestreuer Bürger tun, um den Hackern das Leben nicht zu leicht zu machen? Achten Sie auf Phishing-E-Mails: Klicken Sie zunächst auf die E-Mail-Adresse des Absenders. Wenn dann eine ganz andere Adresse erscheint, ist Vorsicht geboten. Wenn Sie unsicher sind, gehen Sie mit dem Mauszeiger über den Link in der E-Mail – natürlich ohne ihn anzuklicken. Dann sehen Sie, auf welche Seite der Link verweist.
Die meisten von uns denken sich ein einziges starkes Passwort aus und verwenden es für mehrere oder sogar alle Websites. Das ist jedoch keine gute Idee, denn wenn eine Website gehackt wird und den Betrügern Ihr Passwort in die Hände fällt, können diese es nutzen, um zum Beispiel auf eBay in Ihrem Namen Waren zu verkaufen. Natürlich wird der Verkauf dabei nur vorgetäuscht: Die bezahlten Waren werden nicht geliefert, und Sie als Kontoinhaber stehen als Schwindler da. Aber es gibt doch so viele Websites, wie kann man sich da für jede ein anderes Passwort ausdenken und merken? Hierzu zwei Tipps:
Verwenden Sie einen Passwortmanager. Das ist ein Softwareprogramm, das für jede Website ein eigenes, sehr starkes Passwort erzeugt. Sie selbst müssen sich dann nur noch ein einziges, sehr langes und damit starkes Passwort für den Passwortmanager merken, in dem die Passwörter für die einzelnen Websites verschlüsselt gespeichert werden, sodass sie einem erfolgreichen Hacker nichts nützen.
Wer sich die Passwörter lieber selber merken möchte, kann sich zum Beispiel ein starkes Passwort ausdenken und für jede einzelne Website einen Buchstaben variieren: Als Grundpasswort nehmen wir (nur als Beispiel) "TolleSeite1!". Einen bestimmten Buchstaben ersetzen Sie nun jeweils durch einen Buchstaben aus dem Namen der jeweiligen Website. So kann etwa der erste (oder zweite, letzte …) Buchstabe von LinkedIn den vierten Buchstaben Ihres Passworts ersetzen. Ergebnis: "TolLeSeite1!".
Zum Schluss ein Bonustipp: Wenn Sie Websites mit Bannern aufrufen, kann Ihr Computer infiziert werden, ohne dass Sie irgendetwas anklicken. Hier kann jedoch sehr gut vorgebeugt werden, denn Hacker nutzen Schwachstellen in der Software, die durch regelmäßige Updates behoben werden. Achten Sie also stets darauf, Updates so schnell wie möglich zu installieren, statt immer wieder auf "Ignorieren" zu klicken – so sind Sie optimal vor Hackerangriffen geschützt.