Datenschutzerklärung
Mit Passwort und E-Mail-Adresse übernehmen Kriminelle eine andere Identität. Sie verschicken Spam oder kaufen online ein. Finanztest erklärt, was geschehen kann, wie der Identitätsdiebstahl funktioniert – und wie man sich dagegen schützt.
Anne Westermann – hilflos in Amsterdam
Völlig mittellos saß Anne Westermann* in Amsterdam fest. Sie hatte ihre Handtasche mit Pass und all ihrem Geld verloren. Verzweifelt schrieb sie E-Mails an Freunde und Bekannte: Sie müsste noch das Hotel bezahlen und dringend den nächsten Flug zurück nehmen. Ob ihre Freunde ihr vielleicht Geld leihen könnten? In Wirklichkeit war Westermann gar nicht in Amsterdam, sondern zuhause, wo sie ihrer Arbeit nachging. Datendiebe hatten ihr E-Mail-Konto gekapert und verschickten die Bitte um Geld in ihrem Namen. Sämtlichen E-Mail-Verkehr leiteten sie auf sich um, so dass Westermann aus allen Wolken fiel, als besorgte Freunde bei ihr anriefen. In Deutschland wurden allein im vergangenen Jahr bei zwei großen Datendiebstählen insgesamt 34 Millionen E-Mail-Adressen plus Zugangsdaten gestohlen. Bei einer Umfrage des Bundesverbands für Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) im Jahr 2014 gaben 55 Prozent der Befragten an, in den vergangenen zwölf Monaten Opfer von Internetkriminalität geworden zu sein.
Die Stiftung Warentest testet regelmäßig Antivirenprogramme zum Test von Sicherheitssoftware.
Cybercrime in Zahlen
Grafik: Cybercrime in Zahlen.
Datendiebe spähen Rechner aus
Kriminelle haben verschiedene Tricks, mit denen sie an die Zugangsdaten der Nutzer kommen: Oft übernehmen die Datendiebe nicht ein einzelnes Konto, sondern gleich hunderte. Sie stehlen komplette Datenbanken von Onlineshops oder sonstigen Anbietern. Im vergangenen Jahr etwa erbeuteten Diebe vom Internetauktionshaus Ebay 145 Millionen Datensätze. Auch Einzelpersonen sind vor Datendieben nicht sicher. Mit Schadprogrammen spähen die Kriminellen den privaten Rechner aus. Die Schadprogramme kann sich der Nutzer auf verschiedene Arten einhandeln, etwa über Spam-Mails: Klickt der Empfänger auf den in der E-Mail angegebenen Link, gelangt er auf die manipulierte Webseite und der Rechner infiziert sich automatisch. Manche Schadprogramme installieren sich, wenn der Nutzer den Dateianhang einer unerwünschten E-Mail öffnet. Ist der eigene Rechner infiziert, werden die Passwörter, die der Nutzer eingibt, unter Umständen einfach mitgelesen.
Passwörter in Sekunden geknackt
Wenn die Datendiebe ihre Schadsoftware nicht platzieren können, bleibt ihnen die Möglichkeit, das Passwort zu knacken. Dazu gibt es eigene Programme, die vollautomatisch ganze Wörterbücher, Namen und unzählige Zahlenfolgen einschließlich gängiger Kombinationen aus Wörtern und Zeichen durchgehen. Ein einfaches Passwort ist innerhalb von Sekunden geknackt.
Sie wollen auf dem Laufenden bleiben in Sachen Internetsicherheit? Abonnieren Sie hier den kostenlosen Newsletter
Mit Phishing auf Datenfang
Häufig versenden Kriminelle sogenannte Phishing-Mails. Das sind E-Mails, die Nutzern private Daten wie Passwörter entlocken sollen. Sie sehen aus wie offizielle Nachrichten, zum Beispiel vom E-Mail-Dienst oder der Bank. Während die Schreiben früher diverse Rechtschreibfehler enthielten und einen eher unseriösen Eindruck machten, sind sie jetzt derart professionell gestaltet, dass arglose Nutzer schnell darauf hereinfallen – und das oft, obwohl sie das Phishing-Phänomen kennen. Auch Anne Westermann hatte solch eine E-Mail bekommen, die angeblich von ihrem E-Mail-Dienst stammte. Sie loggte sich über die manipulierte Webseite ein und ihre Daten gelangten in die Hände der Kriminellen. Um die Diebe wieder von ihrem Postfach auszuschließen, versuchte Westermann sofort, ihr Passwort zu ändern. Doch als sie sich bei ihrem E-Mail-Anbieter einloggte, fand sie die Kontoeinstellungen in arabischer Sprache vor. So konnte sie noch nicht einmal mehr das Wort Passwort finden. Mithilfe eines Computerfachmanns und eines Übersetzers eroberte sie schließlich ihr E-Mail-Konto zurück.
Zum FAQ Internetsicherheit Antworten auf Ihre Fragen.
Sofort Zugangsdaten ändern
Westermann hatte den richtigen Impuls. Betroffene sollten sofort ihr Passwort ändern, wenn sie von dem Datendiebstahl erfahren – ob von Freunden, dem Anbieter oder aus den Medien. „Wer dasselbe Passwort für mehrere Internetdienste verwendet, muss es überall ändern“, sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Zu groß ist die Gefahr, dass die Diebe die ihnen bekannte Kombination aus E-Mail-Adresse und Passwort auf gut Glück bei beliebten Onlineshops oder sozialen Netzwerken eingeben. Dann können sie unter dem fremden Namen nicht nur Spam verschicken, also unerwünschte E-Mails mit eindeutig zweideutigen Angeboten oder mit Viren und Trojanern, die Daten auf dem befallenen PC auslesen. Sondern sie können auch im Namen des anderen einkaufen oder mit dessen Freunden in Kontakt treten. Ratsam ist es, die Adressbuchkontakte zu informieren. Links oder Anhänge, die der Betroffene vermeintlich verschickt, sollte der Empfänger nicht öffnen, um nicht selbst das nächste Opfer der Datendiebe zu werden. Die beste Reaktion: die E-Mails löschen. „Kommt es zu strafbaren Handlungen, sollte der Betroffene Anzeige bei der Polizei erstatten“, rät Tim Griese.
Für bestellte Ware haftet Nutzer nicht
Mit den gestohlenen Zugangsdaten können die Datendiebe möglicherweise über das fremde Nutzerkonto bei einem Onlineshop einkaufen oder Ware bei Ebay versteigern. Der Inhaber des Kontos haftet für die Ansprüche aus dem Kaufvertrag normalerweise nicht: Er muss weder den Kaufpreis bezahlen noch schuldet er die Übergabe einer Sache, die er nicht verkaufen wollte. Ebenso wenig muss er Schadenersatz zahlen. Denn der wahre Inhaber des Nutzerkontos und die Gegenseite haben keinen Vertrag geschlossen (Bundesgerichtshof, Az. VIII ZR 289/09). Eine Ausnahme besteht, wenn der Nutzer weiß, dass jemand anderes in seinem Namen handelt oder wenn er das hätte wissen und verhindern können. Unter Umständen haftet der Nutzer für Rechtsverletzungen, die von seinem Nutzerkonto aus begangen werden, etwa für Urheber- und Markenrechtsverletzungen (Bundesgerichtshof, Az. I ZR 114/06).
Software und Argwohn schützen
Um nicht selbst Opfer eines Datendiebstahls zu werden, rät Tim Griese vom BSI: „Internetnutzer sollten immer auf dem neuesten Stand der Sicherheitstechnik sein, um Schadprogrammen keine Chance zu geben. Antivirensoftware und eine Firewall sind ein Muss“ zum Test von Sicherheitssoftware. Gegen Phishing und andere Betrügereien hilft hingegen nur ein gesundes Maß an Argwohn. Im Fall von Anne Westermann hatte das ein Angestellter der Postbank. Er riet ihrer Freundin, bei Westermann anzurufen, bevor sie 800 Euro an die Western Union Bank überweist. Es könnte sich um einen Betrugsversuch handeln.
*Name von der Redaktion geändert.
