Facebook-Profil geknackt? Unerklärliche Mahnungen erhalten? Missbrauchen Kriminelle persönliche Daten, kann das schwere Folgen haben. Die Rechts-Experten der Stiftung Warentest erklären, wie die Datendiebe vorgehen und welche Delikte sie begehen. Wir sagen, was Betroffene tun können – und wie sich Internetnutzer am besten gegen Identitätsdiebstahl schützen.
Böses Erwachen nach dem Urlaub
Als Kathrin Schultz aus einem vierwöchigen Urlaub zurückkommt und den Briefkasten öffnet, fallen ihr Zahlungserinnerungen und Mahnungen von den Online-Versandhäusern Zalando, Otto und Galeria Kaufhof in die Hände. Mehrere Tausend Euro müsse sie noch für Waren bezahlen. Schultz ist schockiert. Sie hatte doch nichts bestellt.
Fremde hatten ihren Namen missbraucht
Ihren tatsächlichen Namen möchte Kathrin Schultz nicht in der Zeitung lesen, denn wie wichtig der Schutz der eigenen Identität ist, wird ihr durch die unberechtigten Zahlungsaufforderungen klar: Fremde hatten ihren Namen, ihre E-Mail-Adresse und ihre Anschrift missbraucht, um online zu shoppen. Die Ware landete mit den dazugehörigen Rechnungen bei abweichenden Lieferadressen oder bei den Nachbarn. Um die Pakete abzuholen, fischten die Betrüger die Abholscheine aus Schultz Briefkasten oder gaben sich bei Nachbarn als Kinder der Betrogenen aus.
Wann spricht man von Identitätsdiebstahl?
Schultz gibt bei der Polizei eine Anzeige auf. Die Beamten nennen ihren Fall einen „Identitätsdiebstahl“: Dabei greifen Unbefugte personenbezogene Daten ab und nehmen die Identität der Bestohlenen an, um Profit daraus zu schlagen oder dem Opfer zu schaden. Der Identitätsdiebstahl wird zu einem Delikt, wenn Diebe personenbezogene Daten für Betrügereien und andere Straftaten missbrauchen.
Häufige Ziele der Täter
Bereits 23 Prozent der Bevölkerung wurden einmal Opfer von Internetkriminalität oder Datenmissbrauch, zeigte eine repräsentative Studie von TNS Infratest. 9 Prozent von ihnen erlitten dadurch einen finanziellen Schaden. Meist verfolgen Datendiebe einen dieser vier Zwecke:
- Finanziellen Vorteil erzielen. Typisch ist der Warenkreditbetrug wie im Fall von Schultz. Vor- und Zuname sowie Geburtsdatum reichen Dieben, um die Kreditwürdigkeit ihrer Opfer zu prüfen. Ist die einwandfrei, bestellen sie Waren auf Rechnung und geben abweichende Lieferadressen an. Werden die Rechnungen nicht bezahlt, erhalten die angeblichen Käufer Mahnungen und Schreiben von Inkassofirmen. Häufig erfahren sie dann erst von den Bestellungen. Finanzielle Vorteile verschaffen sich Betrüger auch, wenn sie unter falschem Namen einen Vertrag schließen, etwa über einen Handytarif. Oder sie eröffnen Konten und überziehen sie, bestellen Kreditkarten in fremdem Namen und zahlen damit.
- Ruf der Opfer schädigen. Ein weiterer klassischer Fall ist der Missbrauch von Daten und Fotos mit der Absicht, den Ruf der Opfer zu schädigen oder sie zu mobben. Dazu hacken oder fälschen Täter Nutzerprofile in sozialen Netzwerken. Die Täter posten in diesen Fällen etwa kompromittierende Inhalte oder bitten in fremdem Namen andere Nutzer um Geld.
- Straftaten begehen. Datendiebe geben zum Beispiel nach einer Verhaftung eine fremde Identität bei der Polizei an. Die Ermittlungen laufen dann gegen das Opfer des Datendiebstahls statt gegen den Täter. Das Netz ermöglicht Datendieben zudem, online unter falschem Namen Straftaten wie den Kauf von Drogen oder illegalen Waffen oder die Unterstützung terroristischer Netzwerke zu begehen.
- Medizinische Leistung erschleichen. Datenmissbrauch geschieht auch in der analogen Welt, berichtet Ann Marini vom Spitzenverband der gesetzlichen Kranken- und Pflegekassen: „Beim medizinischen Identitätsdiebstahl lassen sich die Täter mithilfe gestohlener oder gefälschter elektronischer Gesundheitskarten von Ärzten behandeln oder teure Medikamente verschreiben. Seit 2015 haben alle neu ausgestellten Karten das Foto des Karteninhabers aufgedruckt. Das ist eine Maßnahme gegen Missbrauch, aber leider nicht immer ausreichend.“
Persönliche Daten frei zugänglich
Um an die Daten zu gelangen, schöpfen die Datendiebe jegliche Möglichkeiten aus: Gesundheitskarte oder Ausweisdokumente kommen schnell beim Diebstahl einer Brieftasche abhanden. Einige Täter scheuen auch nicht davor zurück, Papiermülltonnen nach verwertbaren Daten zu durchwühlen. Doch vor allem online werden Daten gestohlen: Beim Surfen im Internet hinterlassen Nutzer etliche persönliche Informationen. Dadurch können Diebe Namen, Geburtstag und häufig auch Adressen und Beruf durch wenige Klicks herausfinden.
Facebook & Co sind für Kriminelle wahre Daten-Fundgruben
Gerade in sozialen Netzwerken wie Facebook gehen Nutzer freizügig mit ihren Informationen um. Sie wollen Facebook-Freunde an ihrem Leben teilhaben lassen und vergessen, dass eventuell auch Kriminelle mitlesen.
Die Furcht ist groß, die Unwissenheit auch
Digitales Abgreifen von Daten ist für viele Bürger wenig fassbar und die Verunsicherung groß. 60 Prozent der Deutschen fürchten sich vor einem Identitätsdiebstahl online, ergab das Eurobarometer Cyber Security, eine Studie der Europäischen Kommission zur Sicherheit im Internet.
Täter spähen Opfer im Internet aus
Kriminelle gehen geschickt vor: Um große Mengen an Daten abzugreifen, nutzen sie auch illegale Methoden. Nutzer merken gar nicht, wenn ihr PC mit Schadsoftware infiziert ist und das Hintergrundprogramm Online-Eingaben mitliest, speichert und an die Täter übermittelt. Der Versand von Phishing-Mails ist ebenfalls gängige Praxis. Bei diesen E-Mails werden die Empfänger auf gefälschte Internetseiten gelockt, die den echten Diensten zum Verwechseln ähnlich sehen, und werden gebeten, ihre persönlichen Daten einzugeben. Solche Methoden sind erfolgreich, weil sich viele Nutzer leicht täuschen lassen.
Betroffene müssen jedes Unternehmen einzeln informieren
Betroffene bemerken den Datendiebstahl in der Regel zunächst nicht. Wenn sie davon erfahren, haben die Betrüger meist schon an verschiedenen Stellen zugeschlagen. Bestohlene haben also gleich mit mehreren Anspruchstellern zu kämpfen und müssen das auch tun: Sie müssen jedes Unternehmen, jede Bank und Auskunftei einzeln über den Diebstahl informieren. Es folgen zahlreiche Behördengänge, denn nach der ersten Anzeige müssen sie auch jede neue Forderung bei der Polizei anzeigen. Nur unter Vorlage dieser Anzeigen können Opfer unberechtigte Ansprüche wirksam zurückweisen.
Kein gültiger Vertrag
Diese Schritte unternimmt auch Schultz. Die Anzeige ihres Identitätsdiebstahls reicht sie umgehend an alle Unternehmen weiter, die ihr Zahlungsaufforderungen und Mahnungen geschickt hatten. Die Täter haben zwar in Schultz‘ Namen gehandelt, es kam aber nie ein gültiger Vertrag mit ihr selbst zustande.
Forderungen nicht ignorieren
Nachdrücklich wehrt Schultz sich gegen die Vorwürfe und kann sich behaupten: Die geschädigten Firmen versichern, auf die Forderungen verzichten zu wollen. „Eine Firma hat sich leider nicht an die Absprache gehalten und den Fall an ein Inkassounternehmen weitergeleitet. Das Inkassobüro vom Identitätsdiebstahl zu überzeugen, war anstrengend. Die halten wirklich hartnäckig an Ansprüchen fest“, erzählt Schultz.
Falsche Daten konsequent löschen lassen
Wer die Schreiben von geprellten Firmen einfach ignoriert, riskiert auch, dass falsche Daten bei Auskunfteien eingetragen werden, die die eigene Kreditwürdigkeit auf lange Zeit belasten. Betroffene sollten sich daher bemühen, falsche Daten an allen Stellen konsequent löschen zu lassen – auch wenn es mühsam ist.
Ungeklärtes Rätsel
Für Kathrin Schultz hat der Ärger mit den geklauten Daten ein Ende. Heute geht sie wieder unbesorgt zum Briefkasten. „Wie die Täter an meine Identität gekommen sind, ist mir aber bis heute ein Rätsel“, sagt Schultz. Verunsichern lassen will sie sich aber nicht. Sie shoppt weiterhin online.
Ratgeber „Mein Recht im Netz“
Hilfe für ein selbstbestimmtes digitales Leben bietet unser Ratgeber Mein Recht im Netz. Die Experten der Stiftung Warentest erklären, wie Sie sich gegen Virenangriffe und Phishing-Attacken wehren und dem Missbrauch Ihrer Daten zuvorkommen. Praktische Tipps zeigen, wie Sie Ihre persönlichen Daten vor Datenkraken schützen, die personenbezogene Informationen legal oder illegal auswerten und weiterverkaufen. Ein ausführlicher Leitfaden hilft, schrittweise das eigene Onlineleben zu dokumentieren und den digitalen Nachlass zu organisieren. Das Buch hat 224 Seiten und ist für 19,90 Euro im test.de-Shop erhältlich.
-
- Online-Shopping ist bequem. Hier lesen Sie, wie Sie sicher im Internet einkaufen und wo die Fallen lauern – auf Fakeseiten und im Bezahlprozess.
-
- Der Umgang mit Daten ist in der Europäische Datenschutz-Grundverordnung (DSGVO) geregelt. Wir erklären, welche Rechte sich daraus für Verbraucher ergeben.
-
- Der Bundesgerichtshof hat das soziale Netzwerk Facebook in seine Schranken verwiesen: Es darf in Deutschland vorerst nicht weiter uneingeschränkt Nutzerdaten...
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
Meines Erachtens spielt PayPal eine negative Rolle, weil es sich zu ignorant verhält bei Phishings, die in seinem Namen geschehen, z. B. mit der Mitteilung, der Account sei gesperrt wegen Unstimmigkeiten, oder man habe sich beigefügt einzuklicken, zwecks einer Nachprüfung usw. Schon mehrmals hatte ich mich dann an PayPal gewandt mit der Bitte, aktiv zu werden. Aber nichts geschieht oder man ist nicht dazu imstande. Und es ist auch nicht sachgerecht zu sagen, solche Phishings seien zu trivial, ein wachsamer Internetnutzer würde nicht auf sie hereinfallen. Niemand ist ohne Fehl und es gibt auch eine Vielzahl Neulinge im Netz. So habe ich denn meine Bankverbindung zu PayPal gelöscht und hoffe skeptisch, man hat dem entsprochen. Aber auch die Polizei lahmt, was leider meine Erfahrung. Dort wurde ich schon wiederholt abgewimmelt mit der Ausrede, ein Betrugsversuch ergebe noch keinen Straftatbestand.
Leider ist immer wieder zu sehen, dass Packedienste die Abholscheine außen in der Nähe der Eingangstüren anbringen.
Ich selber hatte schon den Fall, dass ein Abholschein an mich im Beet um die Ecke lag. Ich habe in dort zufällig gesehen.
Hier fehlt anscheinend vollkommen das Bewustsein für einen möglichen Misbrauch.
Dem Wunsch von @maurerhu nach Tests von Passwordmanagern schließe ich mich gerne an. @maurerhu: Ob Free- oder Payware ist irrelevant. Allenfalls bietet OpenSource die Möglichkeit, dass "Nerds" den Quellcode abprüfen können, was ein Plus ist. Die bekanntesten Programme wie KeyPass oder das cloudbasierte Lastpass gelten als sicher. Jedenfalls wurden bisher noch keine nennenswerten Schwachstellen entdeckt. Banken verbieten allenfalls das Speichern der iTan-Liste auf dem PC. Passwörter sind davon nicht betroffen. Hier gelten die einschlägigen Sorgfaltspflichten. Gerade bei Payware-Passwortmanagern würde es den Tod des Unternehmens bedeutet, würden Zweifel an der Vertrauenswürdigkeit laut. Diese Unternehmen haben also ein großes Interesse daran, solche Zweifel gar echt erst aufkommen zu lassen. Letztlich bedarf es für jede Interaktion mit PCs (und Menschen) einem gewissen Vertrauen. Wer sagt ihnen, dass nicht der Tastaturhersteller einen Keylogger eingebaut hat?
@maurerhu: Eine völlige Sicherheit vor Missbrauch gibt es nicht. In vielen Fällen funktioniert die Masche aber nur so lange wie der Betroffene keine Kenntnis davon hat und nicht einschreiten kann. Bei Frau Schultz endete der Spuk nach Information aller betroffenen Firmen. Inzwischen ist auch die Nachbarschaft doppelt aufmerksam. Im konkreten Fall müssen die Täter Frau Schultz entweder gekannt oder ausgespäht haben. Die Pakete wurden schließlich während Ihrer Urlaubszeit an ihre Adresse geliefert. Ein neuer Briefkasten verhindert jetzt das Herausfischen der Abholscheine. Dies und die aufmerksamen Nachbarn dürften zumindest für diese Masche zukünftigen Missbrauch verhindern. Über Passwort-Manager haben wir bislang nicht berichtet. Ohne einen Test können wir nichts zu deren Verhalten sagen. Wir leiten Ihren Vorschlag, dieses einmal zu vergleichen, unseren Testern und der Planung zu.(TK)
A) "Für Kathrin Schultz hat der Ärger mit den geklauten Daten ein Ende." Wie kann sie denn sicher sein, dass die einmal gestohlenen Daten von den Dieben nicht erneut verwendet / weiterverkauft werden?
B) "Dabei helfen Passwort-Generatoren." Bei Freeware-Programmen wäre ich misstrauisch, ob sie nicht selber die erzeugten Passwörter mitlesen und an Unbefugt senden. Lieber selber ausdenken und auf Papier schreiben, nicht im PC speichern.
C) In AGB's von Onlinebanken findet sich immer öfter ein Passus, der es verbietet, Passwörter in elektronischer Form zu speichern. Gilt das auch für verschlüsselte Passwordsafes? Sind Password-Manager gleichzeitig Password-Safes?
D) Selbst wenn niemals ein 100prozentiger Schutz gegeben ist: Könnte die Stiftung Warentest nicht einmal einen Vergleichstest oder wenigstens eine Übersicht der gängigsten Passwordsafes machen? pwsafe, Keepass, um nur einige zu nennen.