Artikel-Serie “Sichere Iden­ti­täten sind erreichbar” — Teil 4

Iden­ti­täts­dieb­stahl im Internet: Was dann zu tun ist

Bereits ein Viertel der deut­schen Internet-Nutzer wurden Opfer von Iden­ti­täts­dieb­stahl und Daten­miss­brauch. Dabei ent­wenden Unbe­fugte per­so­nen­be­zogene Daten und nehmen die Iden­tität der Bestoh­lenen an, um finan­zi­ellen Profit daraus zu schlagen oder den Ruf des Opfers zu schä­digen. Welche Typen von Iden­ti­täts­dieb­stahl es gibt, wie Daten­miss­brauch schnell erkennt werden kann und welche Maß­nahmen man dagegen ergreifen sollte – darum geht es im vierten Teil der SIDBB-Arti­­kel­­serie „Sichere Iden­ti­täten sind erreichbar“.

Die Geld­börse ist weg. Auch die Kre­dit­karte. Und der Pass. Erika M. ist in London aus­ge­raubt worden. Per Mail bittet sie ihre Freundin um Hilfe. 1.000 Euro wären nötig, um wieder nach Hause zu kommen. Weiter unten im Text steht die Adresse eines Anbieters welt­weiter Bargeld-Transfers. Dorthin soll das Geld schnell geschickt werden – am besten noch heute. Das Seltsame ist nur: Erika M. sitzt bei ihrer Freundin in der Küche.

Unter fal­schem Namen
Dieses Sze­nario von Iden­ti­täts­miss­brauch ist bei­leibe kein Ein­zelfall, sondern schon oft vor­ge­kommen. Kri­mi­nelle hacken den Account eines sozialen Netz­werks und bitten bei allen Kon­takt­per­sonen um Geld. Typisch ist auch der Waren­kre­dit­betrug. Vorname und Fami­li­enname sowie das Geburts­datum reichen dafür oft aus. Unter der vor­ge­täuschten Iden­tität der Opfer bestellen die Betrüger dann Waren auf Rechnung und geben abwei­chende Lie­fer­adressen an. Werden die Rech­nungen nicht bezahlt, erhalten die angeb­lichen Käufer Mah­nungen und Schreiben von Inkassofirmen.

Ein wei­terer klas­si­scher Fall ist die unbe­fugte Ver­wendung von Daten und Fotos in sozialen Netz­werken mit der Absicht, den Ruf des Opfers zu schä­digen oder sie zu mobben. Dazu hacken oder fäl­schen die Täter Nut­zer­profile und posten kom­pro­mit­tie­rende Inhalte.

In vielen Fällen bemerken die Betrof­fenen den Miss­brauch der eigenen Iden­tität erst dann, wenn es schon zu spät ist und die Betrüger bereits an ver­schie­denen Stellen zuge­schlagen haben.

Indizien für den Identitätsdiebstahl
Deshalb ist eine Früh­erkennung so wichtig. Fol­gende Fragen können erste Indizien für einen Miss­brauch der eigenen Iden­tität liefern: Kann man sich an eine Bestellung in einem Online-Shop erinnern? Zeigt das Online-Banking Über­wei­sungen an, die nicht nach­voll­ziehbar sind? Sind Ände­rungen am eigenen Account vor­ge­nommen worden, die man nicht selbst vor­ge­nommen hat.

Einige Online- und Handy-Anbieter infor­mieren zudem darüber, welches Gerät sich, zu welcher Zeit und von welchem Ort aus in den eigenen Account ein­ge­loggt hat. Wurde das beschriebene Gerät nicht benutzt, könnten sich fremde Per­sonen unbe­rech­tigten Zugang ver­schafft haben. Viele Online-Dienste klären zudem über eine unge­wöhn­liche Nutzung des eigenen Accounts auf. Diese Hin­weise sollten immer ernst genommen und sorg­fältig geprüft werden.

Erste Hilfe bei Identitätsmissbrauch
Nach der Fest­stellung des Iden­ti­täts­dieb­stahls gilt es schnell zu handeln. Banken, Online-Ver­­­kauf­s­­plat­t­­formen oder die sozialen Netz­werke müssen sofort über Unstim­mig­keiten infor­miert werden. Das kann per Mail oder noch besser über eine bestehende Hotline erfolgen.

Falls möglich, sollte man ent­spre­chende Zugänge und Benut­zer­konten sperren und zur Sicherheit sämt­liche Pass­wörter auch von nicht betrof­fenen Diensten ändern. Ist der eigene E‑Mail-Account oder das Profil in einem sozialen Netzwerk kompromittiert,
emp­fiehlt es sich, das Passwort sofort zurück­zu­setzen und Freunde und Bekannte über den Betrugs­versuch im eigenen Namen aufzuklären.

Recht­liche Schritte
Werden per­so­nen­be­zogene Daten für Betrü­ge­reien und andere Straf­taten miss­braucht, ist das ein Delikt. Betroffene sollten deshalb immer bei der Polizei eine Straf­an­zeige wegen Betrugs und Iden­ti­täts­dieb­stahls stellen. Mit einer Anzeige ist es in der Regel nicht getan. Denn nach der ersten Anzeige ist jede neue For­derung separat anzu­zeigen. Nur unter Vorlage der erfolgten Anzeigen können Opfer unbe­rech­tigte Ansprüche wirksam zurückweisen.

Zusätzlich muss jedes Unter­nehmen, jede Bank und jede Aus­kunftei einzeln über den Dieb­stahl infor­miert werden. Gestellte Mah­nungen und Zah­lungs­auf­for­de­rungen sind schriftlich zu wider­sprechen. Wer die Schreiben igno­riert, ris­kiert, dass falsche Daten bei Aus­kunfteien ein­ge­tragen werden und damit die eigene Kre­dit­wür­digkeit auf lange Sicht belastet wird. Am besten nennt man immer das Akten­zeichen und legt dem Schreiben eine Kopie der jewei­ligen Straf­an­zeige bei. Um Kosten und Zeit zu sparen, ist zu über­legen, mit Hilfe eines Anwalts Stan­dard­schreiben auf­zu­setzen, mit denen sich auf alle wei­teren For­de­rungen reagieren lässt.

EU-Daten­­schut­z­­grun­d­­ver­­­ordnung stärkt Rechte
Damit weitere unan­ge­nehme Folgen ver­mieden werden, sollten Betroffene sich bemühen, falsche Daten an allen Stellen kon­se­quent löschen zu lassen. Vor­aus­setzung dafür ist, dass von den Unter­nehmen und Inkas­so­büros alle not­wen­digen Infor­ma­tionen vor­liegen. Die neue Daten­schutz­grund­ver­ordnung, die ab Mai 2018 EU-weit Anwendung findet, leistet bei diesen Auf­gaben wert­volle Hil­fe­stellung. So stärkt sie die im Bun­des­da­ten­schutz­gesetz ver­an­kerten Rechte der Betrof­fenen und weitet diese sogar noch weiter aus. Das betrifft vor allem die neuen Tran­s­­parenz- und Infor­ma­ti­ons­pflichten für Unternehmen.

Demnach müssen diese eine detail­lierte Aus­kunft über die zu einer Person gesam­melten und ver­ar­bei­teten Daten geben. Dies muss vom Unter­nehmen künftig innerhalb eines Monats abschließend bear­beitet und beant­wortet werden. Die Kun­den­daten sind in einem elek­tro­ni­schen Format vorzulegen.

Zudem besitzen Internet-Nutzer das „Recht auf Ver­ges­sen­werden“. Ist die Ein­wil­ligung zur Daten­ver­ar­beitung wider­rufen oder sind die per­so­nen­be­zo­genen Daten nicht mehr erfor­derlich, müssen diese unver­züglich gelöscht werden.

Wei­terhin sind Unter­nehmen in Zukunft ver­pflichtet, ihre Kunden innerhalb von 72 Stunden über Daten­lecks zu infor­mieren. Die Angaben müssen dabei Details über die Schwere des Lecks, die Art der kor­rum­pierten Daten sowie poten­zielle Gegen­maß­nahmen ent­halten, die die Betrof­fenen ergreifen können.

Schufa erfasst Identitätsdiebstahl
Iden­ti­täts­diebe sind oftmals Wie­der­ho­lungs­täter. Die gestoh­lenen Daten werden meist mehrfach miss­braucht. Solche Wie­der­ho­lungs­fälle will die Schufa mit einer Erwei­terung der Schufa-Aus­­­kunft unter­binden. Seit Sep­tember 2016 können Betroffene ihren Schufa-Eintrag um das Merkmal „Iden­ti­täts­be­trugs­opfer“ erweitern. Führt ein Online-Händler eine
Iden­­titäts- oder Boni­täts­prüfung über die Schufa durch, erhält er eine Warnung vor einem mög­lichen Betrugsfall. Er kann dann mit dem Kunden Kontakt auf­nehmen und klären, ob es sich tat­sächlich um die echte Person handelt oder ein wei­terer Betrugsfall vor­liegt. Gleich­zeitig wird diese Infor­mation in einer wei­teren Datenbank, dem Schufa-FraudPool, gespei­chert. Über diesen können teil­neh­mende Unter­nehmen, in der Regel Banken und Finanz­dienst­leister, Infor­ma­tionen zu kon­kreten Betrugs­ver­dachts­fällen und Betrugs­ver­suchen austauschen.

Die Meldung ist kos­tenlos. Vor­aus­setzung ist, dass man bei der Polizei Anzeige erstattet hat. Das ent­spre­chende For­mular lässt sich kos­tenlos auf den Internet-Seiten der Schufa herunterladen.

All­gemein Hilfe beim Iden­ti­täts­dieb­stahl geben die Lan­des­da­ten­schützer der Bun­des­länder und auch die Ver­brau­cher­zen­tralen beraten Betroffene. Außerdem haben Experten der Arbeits­gruppe Iden­ti­täts­schutz im Internet ein Sor­gen­te­lefon ein­ge­richtet, an das sich Opfer und Inter­es­sierte wenden können.

Kos­ten­pflichtige Zusatz-Services
Zusätz­lichen Schutz vor Iden­ti­täts­dieb­stahl bieten kos­ten­pflichtige Zusatz-Ser­­vices, die von ver­schie­denen Anbietern erhältlich sind. Diese ent­halten eine regel­mäßige Über­wa­chung des Internets nach Auf­fäl­lig­keiten im Umgang mit den eigenen Daten.
Taucht etwa der Name in Kom­bi­nation mit der Kre­dit­kar­ten­nummer im Internet auf, erhält der Kunde sofort eine Warnung per E‑Mail oder SMS.

Im Bera­tungs­ge­spräch mit einer Hotline wird dann nach pas­senden Gegen­maß­nahmen gesucht und bei Bedarf bei der Löschung und Sperrung von ver­öf­fent­lichten per­sön­lichen Daten geholfen.

Vieles ist schon versichert
Hoffnung macht, dass die Schäden und die Anwalts­kosten durch Iden­ti­täts­dieb­stahl in vielen Fällen schon über vor­handene Policen abge­si­chert sind. So kommen aktuelle Haft­pflicht­ver­si­che­rungen auch für Internet-Schäden auf, die man bei Dritten ver­ur­sacht, bei­spiels­weise durch die ver­se­hent­liche Wei­ter­leitung eines Ausspäh-Virus. Die Haft­pflicht­ver­si­cherung wird aber nur bei einem sorg­fäl­tigen Umgang mit den Gefahren zahlen, bedeutet zum Bei­spiel einen aktu­ellen Viren­schutz auf seinem Rechner zu haben. Beim Online-Banking haften Kunden mit maximal 150 Euro, wenn Internet-Kri­­mi­­nelle das Konto leer­räumen. Aber auch hier gilt: Banken zahlen nur dann, wenn man nicht grob fahr­lässig gehandelt hat.