Loe raamatut: «Internetkriminalität», lehekülg 3

II. Identitätsdiebstahl

II. Identitätsdiebstahl

Inhaltsverzeichnis

1. Phänomenbeschreibung

2. Strafrechtliche Relevanz

3. Zivilrechtliche Relevanz

4. Checkliste für die Ermittlungspraxis

5. Präventionsmaßnahmen

II. Identitätsdiebstahl › 1. Phänomenbeschreibung

1. Phänomenbeschreibung

Die Identität umfasst alle Attribute, die einem Menschen zweifelsfrei zuzuordnen sind und deshalb geeignet sind, immer wieder auf eine Person hinzuführen, diese unverwechselbar zu machen. Der Leitfaden der BITKOM zu Webidentitäten[1] definiert die Identität als „eine in ihrem Verwendungskontext eindeutige, wiedererkennbare Beschreibung einer natürlichen oder juristischen Person oder eines Objektes, die sich aus Attributen und einem Identitätsbezeichner zusammensetzt“. Dabei kann es sich beispielsweise um Name, Geburtsdatum, Adresse, Konto- oder Kreditkartennummern, Steuer- oder Sozialversicherungsnummern oder um biometrische Daten, Bilder sowie Handschriften handeln. Mit diesen Merkmalen ist eine natürliche oder juristische Person eindeutig bestimmbar. Gleichzeitig grenzt sie sich damit von anderen ab.

Die Identität kann jedoch nicht nur in der analogen Welt eingesetzt werden, sondern auch in der digitalen. Hierfür kann sich der Nutzer auch mehrere Identitäten generieren und sich damit im Netz bewegen. Ausreichend hierfür sind ein Benutzername und ein Passwort. Über die Registrierung einer natürlichen oder juristischen Person beispielsweise in einem Webshop oder einer Bank, für die Benutzername und Passwort erfasst sind, ist auch hier eine individuelle Zuordnung möglich. Die Nutzung dieser digitalen Identität reicht dabei vom Einsatz entsprechend des menschlichen Lebens (Banking, Einkaufen/Verkaufen) bis hin zum Aufbau einer Parallelwelt, in der nicht nur Onlinerollenspiele gespielt werden, sondern tatsächlich darin gelebt wird. Beiden gemein ist die Identifizierungsmöglichkeit über die Zuordnung eines Datensatzes zu einer natürlichen oder juristischen Person.

Der Begriff Identitätsdiebstahl wird uneinheitlich ausgelegt. Dem Wortsinn nach ist Diebstahl die Wegnahme einer (fremden beweglichen) Sache, der Identitätsdiebstahl demnach das Aneignen der oben beschriebenen persönlichen Merkmale, die den Schluss auf nur eine Person zulassen. In der Literatur wird aber die Wegnahme immer wieder mit dem Einsatz der gestohlenen Daten vermengt. D. Schneider versteht in seiner Seminararbeit unter Identitätsdiebstahl „die missbräuchliche Nutzung personenbezogener Daten durch Dritte“.[2] G. Borges u. a. hingegen sehen den „Identitätsdiebstahl“ als Vorgang zur Erlangung der Daten. Kommen die illegal erlangten Daten zum Einsatz, wird das von den Autoren als „Identitätsmissbrauch“ bezeichnet.[3] So steht der Begriff „Identitätsdiebstahl“ als Oberbegriff für unterschiedliche Begehungsformen. Der „Identitätsmissbrauch“ bezeichnet den unbefugten Einsatz der erlangten Daten. Für die polizeiliche Praxis macht es Sinn, die beiden Vorgänge ebenfalls zu trennen. Bestimmte Formen des Identitätsdiebstahls sind nicht strafbewehrt. Werden Identitäten erlangt, ist es von Bedeutung, wie sie erlangt wurden, um einen eindeutigen Schuldvorwurf erheben zu können. Dasselbe gilt für den Einsatz der Daten: Wie und wo wurden sie eingesetzt, was wurde damit erreicht und liegt ggf. ein neuer Tatentschluss für den Einsatz vor?

Die Motivation, die Identität einer anderen Person anzunehmen, ist vielschichtig. Hauptzielrichtungen sind die Schädigung des Vermögens des Opfers und die Diskreditierung der Person, deren Identität verwendet wird. So können auf den Namen eines anderen Waren im Onlinehandel bestellt oder bei Onlineauktionen ersteigert werden. Während die Rechnung an den Geschädigten geht, wird die Warensendung vom Täter entweder in einer Paketstation abgeholt, die zuvor mit den gestohlenen Personalien angemietet wurde. Oder sie wird an einen (gutgläubigen) Warenagenten gesandt, der sie entgegennimmt, umpackt und neu versendet.

Möglich ist auch die Einrichtung eines Fake-Accounts. Über diesen können dann quasi im Namen des Opfers beispielsweise Beleidigungen, sexuelle Anspielungen oder Unwahrheiten – auch unterstellte strafrechtliche Begebenheiten – über dritte Personen verbreitet werden. Nicht unüblich ist neben der Einrichtung eines E-Mail-Accounts mit entwendeten Namen der gleichzeitige Diebstahl des elektronischen Adressbuches derselben Person. Im Anschluss wird über Mail an alle im Adressbuch verzeichneten ein Hilfeaufruf versandt. Inhalt der Nachricht kann beispielsweise der Diebstahl des Reisegepäcks zusammen mit Pass und Bargeld am Urlaubsort sein. Deshalb werden „die lieben Freunde“ gebeten, über ein elektronisches Zahlungsmittelsystem (z. B. Ukash) einen bestimmten Betrag anzuweisen, um die ersten Tage bis zur Ausstellung neuer Dokumente zu überbrücken.

Auch gebräuchlich ist die Einrichtung eines falschen Profils in sozialen Netzwerken. Hierüber läuft dann die vertrauliche Kommunikation unter dem Namen des Opfers. Zielrichtung ist die Erlangung von neuen Informationen über potentielle weitere Opfer oder auch die Diskreditierung des Geschädigten bei seinen Netzwerkfreunden. Erschwerend kommt insbesondere auch bei diesem Täterverhalten hinzu, dass gepostete Texte und Bilder eine schnelle, unkontrollierbare Verbreitung finden und eine Löschung im Netz so gut wie ausgeschlossen ist.

An die Identität seiner Opfer gelangt der Täter beispielsweise durch „dumpster diving“. So kann bei Banken der Papiermüll neben den Kontoauszugsdruckern oder Abfalleimer bei Großhandelsunternehmen durchsucht werden. Regelmäßig finden sie dort Kontoauszüge mit Namen und den entsprechenden Kontodaten. Während ein Blick ins Telefonbuch oder auf die Internetseite eines Telefonauskunftsanbieters oftmals die passende Adresse zum Namen bietet, ist die vollständige Anschrift ggf. mit Kundennummer auf der Kassenabrechnung schon aufgedruckt. Da bei der Registrierung zum Beispiel bei einem Einkaufsportal im Onlineverfahren nur die Bankverbindung auf Schlüssigkeit und Gültigkeit überprüfbar sind, kann sich der Täter ein ggf. bei der Anmeldung notwendiges Geburtsdatum ausdenken.

Eine technische Variante, Identitäten zu entwenden, ist die Verwendung von Malware. Nach deren Installation werden alle auf dem Rechner gespeicherten Benutzerdaten und Kennwörter in automatisierter Form an die Täterschaft weitergeleitet. Hierzu werden auf dem „Dark Market“ im Internet Toolkits angeboten. In diesen müssen je nach Zielrichtung nur noch Häkchen in vorbereitete Kästchen gesetzt werden, um ein individuelles Schadprogramm zu generieren. Die auf diesem Wege erhaltenen Daten können umgehend bei denselben Firmen eingesetzt werden, auf der auch der Geschädigte angemeldet ist.

Aber nicht nur beim Betroffenen selbst können Daten abgegriffen werden, sondern auch bei Unternehmen, welche die Daten ihrer Kunden gespeichert haben. Die Datendiebe nutzen bei diesen Firmen Schwachstellen im Serversystem aus. Mit Hilfe von Programmen wird die Datenbank des ausgewählten Unternehmens infiziert und die dort hinterlegten Kundendaten, welche das Unternehmen zur Abwicklung des Zahlungsverkehrs benötigt, gestohlen. Neben Kreditkartennummern oder Bankverbindungsdaten sind dies zum Beispiel auch (Rechnungs-)Anschriften. Im August 2019 fand ein solcher Einbruch bei Mastercard statt. Die Summe der entwendeten Kundendaten liegt bei ca. 90.000. Betroffen waren Nutzer des Bonusprogramms „Priceless Specials“. Was nach dem Diebstahl mit den Daten noch geschieht bzw. ob und wie sie zum Einsatz kamen, wurde bislang noch nicht publik.[4]

Allerdings ist der Einfluss des Kunden auf die Sicherheit seiner Daten bei dieser Art von Identitätsdiebstahl sehr begrenzt. Zwar kann er sich im Vorfeld über das Unternehmen erkundigen und zumindest beim Bezahlvorgang darauf achten, dass eine verschlüsselte Verbindung genutzt wird. Aber wie das Beispiel von Masterard zeigt, ist der Verbraucher auch bei seriösen Firmen nicht vor Datendieben sicher. Pohlmann nennt das größte Einfallstor für Datendiebe die große Anzahl von Schwachstellen in der genutzten Software der Anwender. Die Fehlerquote bei qualitativ hochwertiger Software liegt bei 0,3 pro 1000 Zeilen Code. Gängige Betriebssysteme haben 10 Millionen Codezeilen und somit im Schnitt 3000 Softwarefehler.[5]

Ohne Systemeinbrüche oder den Einsatz von Malware können Informationen auf dem Wege des „social engineering“ oder „social hacking“ erlangt werden. Mitnick und Simon beschreiben es mit „wie man Leute dazu bringt, Dinge für ihnen fremde Personen auszuführen, die sie normalerweise nicht tun würden“.[6] Anstatt der Technik wird die „Schwachstelle“ Mensch genutzt. Durch gezieltes Nachfragen, beispielsweise durch einen Anruf bei einem Mitarbeiter in einem Unternehmen, dessen System der Täter infiltrieren will, erlangt der social engineer Zugangsdaten. Diese verwendet er, um in Computersysteme einzudringen und dort Identitäten zu stehlen.

Was die Täter in Zukunft intensivieren werden, ist der Diebstahl von Kartendaten (Nummer und Gültigkeit der Karte) von Karten mit Bezahlfunktion (z. B. girogo der Sparkassen, Mastercard PayPass oder Visa payWave) sowie Mobiltelefonen bzw. Smartphones mit der so genannten Near-Field-Communication-Technology – NFC. Die NFC besteht aus einer Kombination aus drahtloser Verbindungs- und Identifizierungstechnologie (RFID – Radio Frequency Identification). Berührungslos können Busticket oder im Restaurant mit der Kreditkarte oder dem Smartphone bezahlt werden. Es muss mit dem Medium im Abstand bis maximal fünf Zentimetern über eine Leseeinrichtung gezogen werden. Der in Karte bzw. im Gerät eingebaute Chip kommuniziert mit dem Terminal.

Den bequemen Einsatz von Karte bzw. Telefon nutzt der Täter aus, in dem er versucht, mit einer auf seinem Mobiltelefon gespeicherten Applikation die Daten der Debit- bzw. Kreditkarte auszulesen. Hierzu muss er ebenfalls in einem Abstand von ca. fünf cm an sein Opfer herankommen. Gelingen kann das Auslesen, wenn Geldbörse oder Mobiltelefon beispielsweise in der Gesäßtasche getragen werden oder unbeaufsichtigt abgelegt werden. Zum Bezahlen mit diesen Daten ist zwar immer die Verknüpfung von Kartendaten und Inhabernamen notwendig, trotzdem werden diese Daten bislang von Händlern, die nicht sorgfältig prüfen, akzeptiert.

Schützen kann sich der Anwender vor dieser Art des Identitätsdiebstahles, in dem er die Buchungsfunktion nur einschaltet, wenn er sie aktuell benötigt. Fachleute der Kreditwirtschaft gehen davon aus, dass eine spezielle Hülle für die Karte nicht notwendig ist.

II. Identitätsdiebstahl › 2. Strafrechtliche Relevanz

2. Strafrechtliche Relevanz

Einen eigenen Tatbestand des Identitätsdiebstahles gibt es nicht. Das „einfache“ Verschaffen von Identitäten, beispielsweise durch das Durchwühlen von Abfalleimern, ist nicht strafbewehrt. Hingegen die Datenschutzgrundverordnung (DSGVO) sowie das Datenschutzgesetz-neu zum Tragen, wenn personenbezogene Daten elektronisch verarbeitet werden.

Bei der DSGVO handelt es sich um EU-Recht (Verordnung (EU) 2016/679), das eine unmittelbare Entfaltung erlangt und keinerlei Umsetzung in nationales Recht bedarf (vgl. Art. 288 Abs. 2 und Abs. 3 Vertrag über die Arbeitsweise der Europäischen Union – AEUV). Beim BDSG-neu handelt es sich um nationales Recht. Damit hat der (deutsche) Gesetzgeber von seinem Recht Gebrauch gemacht, seinen gesetzgeberischen Spielraum in datenschutzrelevanten Bereichen, die nicht in der DSGVO geregelt sind, auszuschöpfen. Allerdings tritt das BDSG-neu dann hinter die DSGVO zurück, wenn dort Sachverhalte bereits geregelt sind.

Relevant sind hierbei sowohl für öffentliche wie auch für nicht öffentliche Stellen (vgl. §§ 1 Abs. 1 S. 2, Abs. 4 S. 2, 2, 22 Abs. 1 BDSG) die Vorschriften aus §§ 2, 3, 46 i. V. m. §§ 41, 42 BDSG bzw. Art. 4, 5, 6, 7 i. V. m. Art. 83 DSGVO. Ohne gesetzliche Grundlage bzw. ohne Einwilligung des Betroffenen dürfen elektronisch Daten erhoben bzw. verarbeitet werden (§ 3 BDSG bzw. Art. 6 DSGVO Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung).

Erlangt der Täter die Identitäten mit Hilfe gefälschter Mails oder Internetseiten oder setzt er Schadsoftware ein, sind grundsätzlich dieselben Strafvorschriften wie im Abschnitt „Phishing“ einschlägig. Für Vorbereitungshandlungen (das sich Verschaffen oder selbst Programmieren von Schadsoftware, um es zum Identitätsdiebstahl einzusetzen) ist § 202c StGB (Vorbereiten des Ausspähens und Abfangen von Daten) zu prüfen. Ebenfalls in Betracht kann § 303a StGB (Datenveränderung) kommen.

Werden zur Erlangung der Daten Gegenstände, wie zum Beispiel Festplatten, externe Laufwerke o. ä. entwendet, können auch Delikte nach §§ 242, 246, 253, 263 u. a. StGB vorliegen.

II. Identitätsdiebstahl › 3. Zivilrechtliche Relevanz

3. Zivilrechtliche Relevanz

Neben den genannten Strafvorschriften eröffnet das BGB zivilrechtliche Möglichkeiten gegen den Täter. Tangiert sein können insbesondere die Vorschriften des § 823 Abs. 1 BGB (Schadenersatzpflicht – allgemeine Haftungsgrundlagen) wie zum Beispiel der Nutzungsbeeinträchtigung bei Passwortänderung durch den Täter, und des § 823 Abs. 2 BGB (Schadenersatzpflicht – Verletzung von Schutzgesetzen; unter Schutzgesetz fällt beispielsweise ein vorsätzlicher Verstoß gegen das BDSG) sowie 1004 BGB (Beseitigungs- und Unterlassungsanspruch; soweit nicht speziellere gesetzliche Ansprüche greifen). In Haftung ist immer der so genannte Störer zu nehmen. Dies muss nicht unbedingt die Person sein, welche Identitäten gestohlen hat. So kann auch der Betreiber beispielsweise eines sozialen Netzwerkes verpflichtet werden, ein gefaktes Profil zu löschen oder diskreditierende Fotos aus einem regulären Profil zu nehmen.

II. Identitätsdiebstahl › 4. Checkliste für die Ermittlungspraxis

4. Checkliste für die Ermittlungspraxis

II. Identitätsdiebstahl › 5. Präventionsmaßnahmen

5. Präventionsmaßnahmen

Wie in anderen Kapiteln ebenfalls beschrieben, ist es notwendig, dass sowohl PC, Tablet und Notebook als auch das Smartphone mit einer aktuellen Virensoftware ausgestattet sind. Allerdings sollte nicht allein auf den Echtzeitscan vertraut werden. Vielmehr sollte der Nutzer seine elektronischen Geräte selbst in regelmäßigen Zeitabständen von der Software nach Malware überprüfen lassen und den Vorgang manuell starten. Daneben sollten alle Geräte auch mit einer Firewall versehen sein.

Nicht extra erwähnt werden muss, dass ein WLAN-Router eine aktuelle Verschlüsselung benötigt. Für mobile Geräte gilt, sich nicht ohne weiteres in öffentliche WLAN-Netze oder Hotspots einzuwählen.

Zeitnahe Installation von Sicherheitsupdates für Betriebssysteme und Programme, welche von den Herstellern bereitgestellt werden. Zusätzlich regelmäßige Sicherung der Daten auf externen Speichermedien.

Niemals Anhänge von E-Mails öffnen oder auf angebotene Links in den Mails selbst klicken. Vorsicht ist auch geboten, wenn die Anrede in der Mail allgemein gehalten ist („Sehr geehrter Kunde/Kundin, Sehr geehrter Nutzer/Nutzerin, Sehr geehrte Dame/Herr“), persönliche Daten abgefragt werden (Kreditkarten- oder Kontonummern) oder Druck aufgebaut wird („Ihr Konto wird gesperrt“). Ebenfalls ist Achtsamkeit notwendig, wenn die Mail vermeintlich von einem „Freund“ eines sozialen Netzwerkes oder von der Hausbank kommt. Bei Zweifel gibt es immer die Möglichkeit beim Absender nachzufragen.

Einstellungen an der Systemsteuerung so vornehmen, dass die Endungen von Dateien vollständig angezeigt werden. Besondere Vorsicht ist bei Programmdateien mit den Endungen .exe, .com, .bat oder .vbs im Anhang einer E-Mail geboten. Zudem sollten die Einstellungen des E-Mailprogramms so konfiguriert sein, dass ein Script nicht automatisch ausgeführt wird.

Beim Besuch von Internetseiten auf sichere Seiten (Buchstaben https in der Adresszeile, Schloss- oder Schlüsselsymbol im Browser) achten. Das gilt insbesondere dann, wenn sensible Daten, beispielsweise zum Bezahlen von Bestellungen oder Buchungen eingegeben werden oder bei der Eingabe persönlicher Daten bei Anmeldung zur Nutzung von Dienstleistungen.

Daneben ist es wichtig, Papiere mit persönlichen Daten nicht achtlos wegzuwerfen bzw. in den Haus- oder Papiermüll zu geben. Um die Papiere unbrauchbar zu machen, reißt man diese in kleine Schnipsel oder lässt sie durch einen Reißwolf.

Vor dem Verkauf oder sonstiger Weitergabe elektronischer Kommunikationsgeräte ist die Löschung aller Daten und ggf. die Formatierung der Festplatte obligatorisch.

Für jede Web-Anwendung ein eigenes Passwort vergeben. Zur Generierung eines sicheren Kenn- bzw. Passwortes siehe Kapitel XIII „Passwortsicherheit“.

Neben diesen Vorsorgemaßnahmen bedarf es auch einige Handlungsalternativen, um den Schaden als Opfer eines Identitätsmissbrauchs möglichst gering zu halten. Den rat- und hilfesuchenden Opfern können folgende Hinweise gegeben werden:

Kontoauszüge und Abrechnungen von Bank- und Kreditkartenkonten sowie Onlineshops sollten regelmäßig durchgesehen werden. Werden Diskrepanzen festgestellt, muss sofort das Kreditinstitut bzw. der Anbieter des Webshops kontaktiert werden. Ggf. sind Sperrungen von Debitkarten oder Rückbuchungen (soweit noch möglich) notwendig. Auch sollten die jeweiligen Ansprechpartner gebeten werden, vorhandene Daten zu sichern, damit eine Aufklärung und Strafverfolgung unterstützt werden kann. Im Anschluss sollte Strafanzeige erstattet werden.

Darüber hinaus sind alle Zugangsdaten zu allen Onlineanwendungen zu ändern, nicht nur die der betroffenen Seite. Zudem sollte eine Überprüfung des gesamten Computersystems durchgeführt werden. Dabei kann die von einem aktuellen Virenprogramm erkannte Schadsoftware ggf. in den Quarantäneordner verschoben werden und steht für eine Prüfung durch die Polizei sowie einer Zuordnung zu einem Tatkomplex zur Verfügung. Nicht vergessen werden sollte neben dem Einsatz der Virensoftware der Einsatz eines Anti-Spy-Programms.

Anmerkungen

[1]

Vgl. Schulz/Wolfenstetter 2005, S. 6.

[2]

Schneider 2006, S. 3.

[3]

Borges u. a. 2011, S. 9 u. 11.

[4]

Siehe www.manager-magazin.de, unter der Rubrik „Unternehmen, Banken, Mastercard: Bonussystem gehackt, 90000 Kundendaten gestohlen“ (zuletzt aufgerufen 22.4.2020).

[5]

Pohlmann 2019, S.3.

[6]

Mitnick/Simon 2011, S. 14.