Identitäts­diebstahl Wenn Kriminelle persönliche Daten miss­brauchen

6

Facebook-Profil geknackt? Unerklärliche Mahnungen erhalten? Miss­brauchen Kriminelle persönliche Daten, kann das schwere Folgen haben. Die Rechts-Experten der Stiftung Warentest erklären, wie die Daten­diebe vorgehen und welche Delikte sie begehen. Wir sagen, was Betroffene tun können – und wie sich Internetnutzer am besten gegen Identitäts­diebstahl schützen.

Inhalt

Böses Erwachen nach dem Urlaub

Als Kathrin Schultz aus einem vierwöchigen Urlaub zurück­kommt und den Brief­kasten öffnet, fallen ihr Zahlungs­erinnerungen und Mahnungen von den Online-Versandhäusern Zalando, Otto und Galeria Kauf­hof in die Hände. Mehrere Tausend Euro müsse sie noch für Waren bezahlen. Schultz ist schockiert. Sie hatte doch nichts bestellt.

Fremde hatten ihren Namen miss­braucht

Ihren tatsäch­lichen Namen möchte Kathrin Schultz nicht in der Zeitung lesen, denn wie wichtig der Schutz der eigenen Identität ist, wird ihr durch die unbe­rechtigten Zahlungs­aufforderungen klar: Fremde hatten ihren Namen, ihre E-Mail-Adresse und ihre Anschrift miss­braucht, um online zu shoppen. Die Ware landete mit den dazu­gehörigen Rechnungen bei abweichenden Liefer­adressen oder bei den Nach­barn. Um die Pakete abzu­holen, fischten die Betrüger die Abhol­scheine aus Schultz Brief­kasten oder gaben sich bei Nach­barn als Kinder der Betrogenen aus.

Wann spricht man von Identitäts­diebstahl?

Schultz gibt bei der Polizei eine Anzeige auf. Die Beamten nennen ihren Fall einen „Identitäts­diebstahl“: Dabei greifen Unbe­fugte personenbezogene Daten ab und nehmen die Identität der Bestohlenen an, um Profit daraus zu schlagen oder dem Opfer zu schaden. Der Identitäts­diebstahl wird zu einem Delikt, wenn Diebe personenbezogene Daten für Betrügereien und andere Straftaten miss­brauchen.

Häufige Ziele der Täter

Bereits 23 Prozent der Bevölkerung wurden einmal Opfer von Internetkriminalität oder Daten­miss­brauch, zeigte eine repräsentative Studie von TNS Infratest. 9 Prozent von ihnen erlitten dadurch einen finanziellen Schaden. Meist verfolgen Daten­diebe einen dieser vier Zwecke:

  • Finanziellen Vorteil erzielen. Typisch ist der Waren­kredit­betrug wie im Fall von Schultz. Vor- und Zuname sowie Geburts­datum reichen Dieben, um die Kreditwürdig­keit ihrer Opfer zu prüfen. Ist die einwand­frei, bestellen sie Waren auf Rechnung und geben abweichende Liefer­adressen an. Werden die Rechnungen nicht bezahlt, erhalten die angeblichen Käufer Mahnungen und Schreiben von Inkassofirmen. Häufig erfahren sie dann erst von den Bestel­lungen. Finanzielle Vorteile verschaffen sich Betrüger auch, wenn sie unter falschem Namen einen Vertrag schließen, etwa über einen Hand­ytarif. Oder sie eröffnen Konten und über­ziehen sie, bestellen Kreditkarten in fremdem Namen und zahlen damit.
  • Ruf der Opfer schädigen. Ein weiterer klassischer Fall ist der Miss­brauch von Daten und Fotos mit der Absicht, den Ruf der Opfer zu schädigen oder sie zu mobben. Dazu hacken oder fälschen Täter Nutzer­profile in sozialen Netz­werken. Die Täter posten in diesen Fällen etwa kompromittierende Inhalte oder bitten in fremdem Namen andere Nutzer um Geld.
  • Straftaten begehen. Daten­diebe geben zum Beispiel nach einer Verhaftung eine fremde Identität bei der Polizei an. Die Ermitt­lungen laufen dann gegen das Opfer des Daten­diebstahls statt gegen den Täter. Das Netz ermöglicht Daten­dieben zudem, online unter falschem Namen Straftaten wie den Kauf von Drogen oder illegalen Waffen oder die Unterstüt­zung terroristischer Netz­werke zu begehen.
  • Medizi­nische Leistung erschleichen. Daten­miss­brauch geschieht auch in der analogen Welt, berichtet Ann Marini vom Spitzen­verband der gesetzlichen Kranken- und Pflegekassen: „Beim medizi­nischen Identitäts­diebstahl lassen sich die Täter mithilfe gestohlener oder gefälschter elektronischer Gesund­heits­karten von Ärzten behandeln oder teure Medikamente verschreiben. Seit 2015 haben alle neu ausgestellten Karten das Foto des Karten­inhabers aufgedruckt. Das ist eine Maßnahme gegen Miss­brauch, aber leider nicht immer ausreichend.“

Persönliche Daten frei zugäng­lich

Um an die Daten zu gelangen, schöpfen die Daten­diebe jegliche Möglich­keiten aus: Gesund­heits­karte oder Ausweisdokumente kommen schnell beim Diebstahl einer Brieftasche abhanden. Einige Täter scheuen auch nicht davor zurück, Papiermüll­tonnen nach verwert­baren Daten zu durch­wühlen. Doch vor allem online werden Daten gestohlen: Beim Surfen im Internet hinterlassen Nutzer etliche persönliche Informationen. Dadurch können Diebe Namen, Geburts­tag und häufig auch Adressen und Beruf durch wenige Klicks heraus­finden.

Facebook & Co sind für Kriminelle wahre Daten-Fund­gruben

Gerade in sozialen Netz­werken wie Facebook gehen Nutzer freizügig mit ihren Informationen um. Sie wollen Facebook-Freunde an ihrem Leben teilhaben lassen und vergessen, dass eventuell auch Kriminelle mitlesen.

Die Furcht ist groß, die Unwissenheit auch

Digitales Abgreifen von Daten ist für viele Bürger wenig fass­bar und die Verunsicherung groß. 60 Prozent der Deutschen fürchten sich vor einem Identitäts­diebstahl online, ergab das Eurobaro­meter Cyber Security, eine Studie der Europäischen Kommis­sion zur Sicherheit im Internet.

Täter spähen Opfer im Internet aus

Kriminelle gehen geschickt vor: Um große Mengen an Daten abzugreifen, nutzen sie auch illegale Methoden. Nutzer merken gar nicht, wenn ihr PC mit Schadsoftware infiziert ist und das Hintergrund­programm Online-Eingaben mitliest, speichert und an die Täter über­mittelt. Der Versand von Phishing-Mails ist ebenfalls gängige Praxis. Bei diesen E-Mails werden die Empfänger auf gefälschte Internet­seiten gelockt, die den echten Diensten zum Verwechseln ähnlich sehen, und werden gebeten, ihre persönlichen Daten einzugeben. Solche Methoden sind erfolg­reich, weil sich viele Nutzer leicht täuschen lassen.

Betroffene müssen jedes Unternehmen einzeln informieren

Betroffene bemerken den Daten­diebstahl in der Regel zunächst nicht. Wenn sie davon erfahren, haben die Betrüger meist schon an verschiedenen Stellen zuge­schlagen. Bestohlene haben also gleich mit mehreren Anspruch­stel­lern zu kämpfen und müssen das auch tun: Sie müssen jedes Unternehmen, jede Bank und Auskunftei einzeln über den Diebstahl informieren. Es folgen zahlreiche Behördengänge, denn nach der ersten Anzeige müssen sie auch jede neue Forderung bei der Polizei anzeigen. Nur unter Vorlage dieser Anzeigen können Opfer unbe­rechtigte Ansprüche wirk­sam zurück­weisen.

Kein gültiger Vertrag

Diese Schritte unternimmt auch Schultz. Die Anzeige ihres Identitäts­diebstahls reicht sie umge­hend an alle Unternehmen weiter, die ihr Zahlungs­aufforderungen und Mahnungen geschickt hatten. Die Täter haben zwar in Schultz‘ Namen gehandelt, es kam aber nie ein gültiger Vertrag mit ihr selbst zustande.

Forderungen nicht ignorieren

Nach­drück­lich wehrt Schultz sich gegen die Vorwürfe und kann sich behaupten: Die geschädigten Firmen versichern, auf die Forderungen verzichten zu wollen. „Eine Firma hat sich leider nicht an die Absprache gehalten und den Fall an ein Inkassounternehmen weitergeleitet. Das Inkassobüro vom Identitäts­diebstahl zu über­zeugen, war anstrengend. Die halten wirk­lich hartnä­ckig an Ansprüchen fest“, erzählt Schultz.

Falsche Daten konsequent löschen lassen

Wer die Schreiben von geprellten Firmen einfach ignoriert, riskiert auch, dass falsche Daten bei Auskunfteien einge­tragen werden, die die eigene Kreditwürdig­keit auf lange Zeit belasten. Betroffene sollten sich daher bemühen, falsche Daten an allen Stellen konsequent löschen zu lassen – auch wenn es mühsam ist.

Ungeklärtes Rätsel

Für Kathrin Schultz hat der Ärger mit den geklauten Daten ein Ende. Heute geht sie wieder unbe­sorgt zum Brief­kasten. „Wie die Täter an meine Identität gekommen sind, ist mir aber bis heute ein Rätsel“, sagt Schultz. Verunsichern lassen will sie sich aber nicht. Sie shoppt weiterhin online.

Ratgeber „Mein Recht im Netz“

Hilfe für ein selbst­bestimmtes digitales Leben bietet unser Ratgeber Mein Recht im Netz. Die Experten der Stiftung Warentest erklären, wie Sie sich gegen Viren­angriffe und Phishing-Atta­cken wehren und dem Miss­brauch Ihrer Daten zuvor­kommen. Praktische Tipps zeigen, wie Sie Ihre persönlichen Daten vor Daten­kraken schützen, die personenbezogene Informationen legal oder illegal auswerten und weiterverkaufen. Ein ausführ­licher Leitfaden hilft, schritt­weise das eigene Onlineleben zu dokumentieren und den digitalen Nach­lass zu organisieren. Das Buch hat 224 Seiten und ist für 19,90 Euro im test.de-Shop erhältlich.

6

Mehr zum Thema

  • Online-Shopping Sicher vor Betrug im Netz

    - Online-Shopping ist bequem. Hier lesen Sie, wie Sie sicher im Internet einkaufen und wo die Fallen lauern – auf Fake­seiten und im Bezahl­prozess.

  • Daten­schutz-Grund­ver­ordnung Regeln für persönliche Daten

    - Der Umgang mit Daten ist in der Europäische Daten­schutz-Grund­ver­ordnung (DSGVO) geregelt. Wir erklären, welche Rechte sich daraus für Verbraucher ergeben.

  • Soziale Netz­werke und Bewertungs­portale Wo die Meinungs­freiheit endet

    - Wer andere im Netz kritisiert, muss sich an Regeln halten. Unser Knigge für Onlinekritik klärt, wo das Recht auf freie Meinungs­äußerung endet.

6 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

Heideröslein am 31.12.2016 um 14:32 Uhr
Zu PayPal und die Polizei

Meines Erachtens spielt PayPal eine negative Rolle, weil es sich zu ignorant verhält bei Phishings, die in seinem Namen geschehen, z. B. mit der Mitteilung, der Account sei gesperrt wegen Unstimmigkeiten, oder man habe sich beigefügt einzuklicken, zwecks einer Nachprüfung usw. Schon mehrmals hatte ich mich dann an PayPal gewandt mit der Bitte, aktiv zu werden. Aber nichts geschieht oder man ist nicht dazu imstande. Und es ist auch nicht sachgerecht zu sagen, solche Phishings seien zu trivial, ein wachsamer Internetnutzer würde nicht auf sie hereinfallen. Niemand ist ohne Fehl und es gibt auch eine Vielzahl Neulinge im Netz. So habe ich denn meine Bankverbindung zu PayPal gelöscht und hoffe skeptisch, man hat dem entsprochen. Aber auch die Polizei lahmt, was leider meine Erfahrung. Dort wurde ich schon wiederholt abgewimmelt mit der Ausrede, ein Betrugsversuch ergebe noch keinen Straftatbestand.

jaroschi am 15.12.2016 um 07:24 Uhr
Die Paketdienste müssen auch mitmachen

Leider ist immer wieder zu sehen, dass Packedienste die Abholscheine außen in der Nähe der Eingangstüren anbringen.
Ich selber hatte schon den Fall, dass ein Abholschein an mich im Beet um die Ecke lag. Ich habe in dort zufällig gesehen.
Hier fehlt anscheinend vollkommen das Bewustsein für einen möglichen Misbrauch.

Gelöschter Nutzer am 13.12.2016 um 11:16 Uhr
@maurerhu und @SW

Dem Wunsch von @maurerhu nach Tests von Passwordmanagern schließe ich mich gerne an. @maurerhu: Ob Free- oder Payware ist irrelevant. Allenfalls bietet OpenSource die Möglichkeit, dass "Nerds" den Quellcode abprüfen können, was ein Plus ist. Die bekanntesten Programme wie KeyPass oder das cloudbasierte Lastpass gelten als sicher. Jedenfalls wurden bisher noch keine nennenswerten Schwachstellen entdeckt. Banken verbieten allenfalls das Speichern der iTan-Liste auf dem PC. Passwörter sind davon nicht betroffen. Hier gelten die einschlägigen Sorgfaltspflichten. Gerade bei Payware-Passwortmanagern würde es den Tod des Unternehmens bedeutet, würden Zweifel an der Vertrauenswürdigkeit laut. Diese Unternehmen haben also ein großes Interesse daran, solche Zweifel gar echt erst aufkommen zu lassen. Letztlich bedarf es für jede Interaktion mit PCs (und Menschen) einem gewissen Vertrauen. Wer sagt ihnen, dass nicht der Tastaturhersteller einen Keylogger eingebaut hat?

Profilbild Stiftung_Warentest am 13.12.2016 um 10:57 Uhr
Offene Fragen

@maurerhu: Eine völlige Sicherheit vor Missbrauch gibt es nicht. In vielen Fällen funktioniert die Masche aber nur so lange wie der Betroffene keine Kenntnis davon hat und nicht einschreiten kann. Bei Frau Schultz endete der Spuk nach Information aller betroffenen Firmen. Inzwischen ist auch die Nachbarschaft doppelt aufmerksam. Im konkreten Fall müssen die Täter Frau Schultz entweder gekannt oder ausgespäht haben. Die Pakete wurden schließlich während Ihrer Urlaubszeit an ihre Adresse geliefert. Ein neuer Briefkasten verhindert jetzt das Herausfischen der Abholscheine. Dies und die aufmerksamen Nachbarn dürften zumindest für diese Masche zukünftigen Missbrauch verhindern. Über Passwort-Manager haben wir bislang nicht berichtet. Ohne einen Test können wir nichts zu deren Verhalten sagen. Wir leiten Ihren Vorschlag, dieses einmal zu vergleichen, unseren Testern und der Planung zu.(TK)

maurerhu am 12.12.2016 um 23:54 Uhr
Offene Fragen

A) "Für Kathrin Schultz hat der Ärger mit den geklauten Daten ein Ende." Wie kann sie denn sicher sein, dass die einmal gestohlenen Daten von den Dieben nicht erneut verwendet / weiterverkauft werden?
B) "Dabei helfen Passwort-Generatoren." Bei Freeware-Programmen wäre ich misstrauisch, ob sie nicht selber die erzeugten Passwörter mitlesen und an Unbefugt senden. Lieber selber ausdenken und auf Papier schreiben, nicht im PC speichern.
C) In AGB's von Onlinebanken findet sich immer öfter ein Passus, der es verbietet, Passwörter in elektronischer Form zu speichern. Gilt das auch für verschlüsselte Passwordsafes? Sind Password-Manager gleichzeitig Password-Safes?
D) Selbst wenn niemals ein 100prozentiger Schutz gegeben ist: Könnte die Stiftung Warentest nicht einmal einen Vergleichstest oder wenigstens eine Übersicht der gängigsten Passwordsafes machen? pwsafe, Keepass, um nur einige zu nennen.