Identitätsdiebstahl im Internet: Wie man richtig vorbeugt und reagiert

Wiesbaden. Daten sind bekanntlich die Währung unserer Zeit, nicht nur bei den großen Unternehmen, sondern auch bei Kriminellen. Gefragt sind alle Infos, mit denen sich der Mensch in der digitalen Welt identifiziert, also Namen, Geburtsdaten, Adressen, Kreditkarteninformationen. Besonders begehrt sind Zugangsdaten, etwa für den E-Mail-Account, zu sozialen Netzwerken oder Online-Shops und am allerliebsten natürlich für das Bankkonto. Dabei entwickeln die Kriminellen immer neue Ideen, wie sie andere Leute abzocken können.

Immer neue Tricks

Eine relativ neue Masche sind derzeit betrügerische Webshops, die auf den Namen der nichts ahnenden Opfer laufen. Doch auch die „klassischen“ Delikte haben keineswegs an Bedeutung verloren, beispielsweise das Abfangen von Zugangsdaten (Phishing) über gefälschte Unternehmensseiten. „Allein beim Phishing für das Online-Banking hatten wir von 2013 auf 2014 eine Zunahme der Fallzahlen um über 70 Prozent“, erklärt Marianne Falasch vom Bundeskriminalamt (BKA).

Und das ist noch lange nicht alles, denn je nach Delikt gehen die Ermittler von extrem hohen Dunkelziffern aus, die teilweise über 90 Prozent liegen. In einer aktuellen Befragung des Branchenverbands Bitkom berichteten 15 Prozent der Befragten von ausgespähten Zugangsdaten, ebenfalls 15 Prozent von gefälschten E-Mails, die im eigenen Namen versandt wurden, und 8 Prozent von illegal genutzten persönlichen Daten.

Richtig reagieren

Haben die Kriminellen ihr Ziel erreicht, kann das für die Opfer unendlich nervig werden. Selbstverständlich haftet man nicht für die illegalen Taten anderer, aber man muss natürlich in jedem Einzelfall nachweisen, dass man mit der Sache nichts zu tun hat. Um den Schaden so gering wie möglich zu halten, sollten Betroffene deshalb umgehend aktiv werden.

„In jedem Fall ist eine Anzeige bei der Polizei notwendig“, sagt Falasch. Selbstverständlich sollte man den Identitätsdiebstahl auch umgehend bei allen Online-Diensten oder Webshops melden, bei denen die Kriminellen mit den eigenen Daten aktiv waren. Gegebenenfalls sollte man einen Anwalt hinzuziehen.

Um zusätzliche Probleme zu vermeiden, sollte man außerdem die Zugangsdaten sämtlicher, auch nicht gekaperter Accounts ändern und alle Freunde und Bekannte über den Identitätsdiebstahl informieren. Außerdem ist auf sämtlichen Geräten (Rechner, Laptop, Tablet, Smartphone) eine Virenprüfung fällig.

Kontoauszüge und Kreditkartenabrechnung sollten Opfer besonders sorgfältig kontrollieren, um unberechtigte Abbuchungen schnellstmöglich zu entdecken. Sinnvoll ist es, eine Selbstauskunft der Schufa anzufordern, um die Eintragungen zu überprüfen. Und nicht zuletzt sollten Betroffene die Post intensiver im Blick behalten als sonst, damit wichtige Schreiben von Anwälten und Co. nicht untergehen.

Bin ich betroffen?

Ob die eigene Identität im Netz missbraucht wird, ist schwierig herauszufinden. Oft merken die Opfer erst was Sache ist, wenn plötzlich massenhaft irgendwelche erstaunten Rückfragen kommen oder im schlimmsten Fall sogar Anzeigen ins Haus flattern.

Erste Hinweise findet man manchmal, wenn man den eigenen Namen googelt oder auf den Mail-Konten oder Social-Media-Accounts plötzlich seltsame Aktivitäten entdeckt. Vorsichtige können unter google.com/alerts ihre Mailadresse angeben – dann kommt eine Benachrichtigung per Mail, wenn der eigene Name im Internet auftaucht. Fotos findet man mit der Google-Bildersuche.

Hat man den Verdacht, dass im eigenen Namen ein ganz bestimmter Online-Shop eröffnet wurde, kann man dies mit einer sogenannten „Whois“-Abfrage bei verschiedenen Diensten überprüfen, beispielsweise unter denic.de oder whois.domaintools.com. Hat man keine Idee, wie der Online-Shop heißen könnte, hilft eine allerdings teilweise kostenpflichtige Recherche mit den folgenden Suchbegriffen „site:whois.domaintools.com + Ihr Name“.

Der Haken daran: Solche Recherchen sind zeitaufwendig und ändern am Ende nicht wirklich etwas. „Alle diese Maßnahmen greifen erst, wenn das Kind schon in den Brunnen gefallen ist und die eigene Identität gekapert wurde“, sagt IT-Sicherheitsexperte Marc Fliehe vom Branchenverband Bitkom. Es bringt also nicht viel, wenn man ständig panisch nach Hinweisen auf den Diebstahl der eigenen Daten fahndet. „Wichtiger ist es, sich im digitalen Alltag sicherheitsbewusst zu verhalten“, sagt Fliehe.

Besser vorbeugen

Wie immer ist auch beim Identitätsdiebstahl vorbeugen besser als heilen. Um an die digitale Identität heranzukommen, wird in vielen Fällen der Computer oder das Smartphone des Opfers mit gefährlicher Software infiziert. „Nach wie vor sind Spam-E-Mails ein sehr wichtiges Einfallstor, um diese Schadsoftware zu installieren“, so BKA-Expertin Falasch.

Häufig geben Internetnutzer sensible Daten aber auch freiwillig preis, entweder durch allzu offenherzige Äußerungen in sozialen Netzwerken oder durch Einkäufe bei betrügerischen Online-Shops, die inzwischen immer professioneller aussehen. Und nicht zuletzt werden immer wieder massenhaft Zugangsdaten geklaut, weil sich Kriminelle in die Netzwerke von Unternehmen hacken. „Niemand ist hundertprozentig vor dem Diebstahl seiner Daten sicher, aber man kann das Risiko durch das richtige Verhalten deutlich reduzieren“, sagt Falasch. Und das geht so:

• Alle Updates für das Betriebssystem, die Software bzw. Apps umgehend installieren, weil dadurch in vielen Fällen Sicherheitslücken geschlossen werden.
• Auf Computern, Tablets und Smartphones eine Firewall und Antivirenprogramme installieren, die bei Angriffen Alarm schlagen. Regelmäßig Virenprüfungen durchlaufen lassen.
• Niemals, wirklich niemals über E-Mails oder andere Quellen verschickte Links, Dokumente, Fotos oder Videos öffnen, wenn auch nur der geringste Zweifel über die Seriosität des Absenders besteht.
• Vor der Eingabe von Zugangsdaten (Online-Banking, -Shopping usw.) immer einen Blick in die Browserzeile werfen: Nur wenn die Adresse mit https beginnt, werden die Daten verschlüsselt verschickt. Immer kontrollieren, ob es sich wirklich um die richtige Adresse des Anbieters handelt oder um eine ähnlich klingende Fälschung.
• Für jeden Account ein anderes Passwort wählen, sonst kommt man im Ernstfall nirgendwo mehr hinein. Selbstverständlich müssen Passwörter sicher sein. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt eine Länge von mindestens zwölf Zeichen sowie eine sinnfreie Kombination aus Buchstaben (Groß- und Kleinschreibung gemischt), Zahlen und Sonderzeichen, beispielsweise Xo4+fK5Ud!pS.
• Sparsam mit persönlichen Daten umgehen: Möglichst keine Klarnamen, sondern Pseudonyme verwenden und verschiedene E-Mail-Adressen nutzen. Sensible Daten wie Geburtstag, Adresse, Bankdaten und Ähnliches nur angeben, wenn es unbedingt notwendig ist.
• In sozialen Netzwerken möglichst wenig persönliche Informationen öffentlich machen. Freundschaftsanfragen nicht wahllos akzeptieren. Vorsicht auch bei erneuten Kontaktanfragen von Facebook-Freunden, die angeblich ihre Zugangsdaten verloren haben – ein Telefonat schafft hier Klarheit, ob das wirklich stimmt.
• Als Sicherheitsabfrage keine Informationen hinterlegen, die leicht im Internet recherchierbar sind, beispielsweise den Namen des Haustieres, des Ehepartners oder den letzten Job.
• Vorsicht bei der Nutzung von WLAN. Das heimische Netzwerk sollte mit wirklich sicheren Passwörtern und dem Verschlüsselungsstandard WPA2 geschützt sein. In öffentlichen WLAN-Netzen (Cafés, Bibliotheken etc.) lesen mit Pech Kriminelle den eigenen Datenverkehr mit. Deshalb Zugangsdaten zu den eigenen Accounts unbedingt ausschließlich über verschlüsselte Verbindungen eingeben (Adresse im Browser beginnt mit https). Alternativ kann man sogenannte VPN-Dienste („Virtual Private Networks“) nutzen. Auf hochsensible Aktionen wie Online-Banking in öffentlichen Netzen möglichst verzichten.
• Beim Verkauf oder Verschenken von Geräten sicherstellen, dass wirklich alle Daten richtig gelöscht sind.