Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Artikel-Serie “Sichere Identitäten sind erreichbar” — Teil 4
Identitätsdiebstahl im Internet: Was dann zu tun ist
Bereits ein Viertel der deutschen Internet-Nutzer wurden Opfer von Identitätsdiebstahl und Datenmissbrauch. Dabei entwenden Unbefugte personenbezogene Daten und nehmen die Identität der Bestohlenen an, um finanziellen Profit daraus zu schlagen oder den Ruf des Opfers zu schädigen. Welche Typen von Identitätsdiebstahl es gibt, wie Datenmissbrauch schnell erkennt werden kann und welche Maßnahmen man dagegen ergreifen sollte – darum geht es im vierten Teil der SIDBB-Artikelserie „Sichere Identitäten sind erreichbar“.
Die Geldbörse ist weg. Auch die Kreditkarte. Und der Pass. Erika M. ist in London ausgeraubt worden. Per Mail bittet sie ihre Freundin um Hilfe. 1.000 Euro wären nötig, um wieder nach Hause zu kommen. Weiter unten im Text steht die Adresse eines Anbieters weltweiter Bargeld-Transfers. Dorthin soll das Geld schnell geschickt werden – am besten noch heute. Das Seltsame ist nur: Erika M. sitzt bei ihrer Freundin in der Küche.
Unter falschem Namen
Dieses Szenario von Identitätsmissbrauch ist beileibe kein Einzelfall, sondern schon oft vorgekommen. Kriminelle hacken den Account eines sozialen Netzwerks und bitten bei allen Kontaktpersonen um Geld. Typisch ist auch der Warenkreditbetrug. Vorname und Familienname sowie das Geburtsdatum reichen dafür oft aus. Unter der vorgetäuschten Identität der Opfer bestellen die Betrüger dann Waren auf Rechnung und geben abweichende Lieferadressen an. Werden die Rechnungen nicht bezahlt, erhalten die angeblichen Käufer Mahnungen und Schreiben von Inkassofirmen.
Ein weiterer klassischer Fall ist die unbefugte Verwendung von Daten und Fotos in sozialen Netzwerken mit der Absicht, den Ruf des Opfers zu schädigen oder sie zu mobben. Dazu hacken oder fälschen die Täter Nutzerprofile und posten kompromittierende Inhalte.
In vielen Fällen bemerken die Betroffenen den Missbrauch der eigenen Identität erst dann, wenn es schon zu spät ist und die Betrüger bereits an verschiedenen Stellen zugeschlagen haben.
Indizien für den Identitätsdiebstahl
Deshalb ist eine Früherkennung so wichtig. Folgende Fragen können erste Indizien für einen Missbrauch der eigenen Identität liefern: Kann man sich an eine Bestellung in einem Online-Shop erinnern? Zeigt das Online-Banking Überweisungen an, die nicht nachvollziehbar sind? Sind Änderungen am eigenen Account vorgenommen worden, die man nicht selbst vorgenommen hat.
Einige Online- und Handy-Anbieter informieren zudem darüber, welches Gerät sich, zu welcher Zeit und von welchem Ort aus in den eigenen Account eingeloggt hat. Wurde das beschriebene Gerät nicht benutzt, könnten sich fremde Personen unberechtigten Zugang verschafft haben. Viele Online-Dienste klären zudem über eine ungewöhnliche Nutzung des eigenen Accounts auf. Diese Hinweise sollten immer ernst genommen und sorgfältig geprüft werden.
Erste Hilfe bei Identitätsmissbrauch
Nach der Feststellung des Identitätsdiebstahls gilt es schnell zu handeln. Banken, Online-Verkaufsplattformen oder die sozialen Netzwerke müssen sofort über Unstimmigkeiten informiert werden. Das kann per Mail oder noch besser über eine bestehende Hotline erfolgen.
Falls möglich, sollte man entsprechende Zugänge und Benutzerkonten sperren und zur Sicherheit sämtliche Passwörter auch von nicht betroffenen Diensten ändern. Ist der eigene E-Mail-Account oder das Profil in einem sozialen Netzwerk kompromittiert,
empfiehlt es sich, das Passwort sofort zurückzusetzen und Freunde und Bekannte über den Betrugsversuch im eigenen Namen aufzuklären.
Rechtliche Schritte
Werden personenbezogene Daten für Betrügereien und andere Straftaten missbraucht, ist das ein Delikt. Betroffene sollten deshalb immer bei der Polizei eine Strafanzeige wegen Betrugs und Identitätsdiebstahls stellen. Mit einer Anzeige ist es in der Regel nicht getan. Denn nach der ersten Anzeige ist jede neue Forderung separat anzuzeigen. Nur unter Vorlage der erfolgten Anzeigen können Opfer unberechtigte Ansprüche wirksam zurückweisen.
Zusätzlich muss jedes Unternehmen, jede Bank und jede Auskunftei einzeln über den Diebstahl informiert werden. Gestellte Mahnungen und Zahlungsaufforderungen sind schriftlich zu widersprechen. Wer die Schreiben ignoriert, riskiert, dass falsche Daten bei Auskunfteien eingetragen werden und damit die eigene Kreditwürdigkeit auf lange Sicht belastet wird. Am besten nennt man immer das Aktenzeichen und legt dem Schreiben eine Kopie der jeweiligen Strafanzeige bei. Um Kosten und Zeit zu sparen, ist zu überlegen, mit Hilfe eines Anwalts Standardschreiben aufzusetzen, mit denen sich auf alle weiteren Forderungen reagieren lässt.
EU-Datenschutzgrundverordnung stärkt Rechte
Damit weitere unangenehme Folgen vermieden werden, sollten Betroffene sich bemühen, falsche Daten an allen Stellen konsequent löschen zu lassen. Voraussetzung dafür ist, dass von den Unternehmen und Inkassobüros alle notwendigen Informationen vorliegen. Die neue Datenschutzgrundverordnung, die ab Mai 2018 EU-weit Anwendung findet, leistet bei diesen Aufgaben wertvolle Hilfestellung. So stärkt sie die im Bundesdatenschutzgesetz verankerten Rechte der Betroffenen und weitet diese sogar noch weiter aus. Das betrifft vor allem die neuen Transparenz- und Informationspflichten für Unternehmen.
Demnach müssen diese eine detaillierte Auskunft über die zu einer Person gesammelten und verarbeiteten Daten geben. Dies muss vom Unternehmen künftig innerhalb eines Monats abschließend bearbeitet und beantwortet werden. Die Kundendaten sind in einem elektronischen Format vorzulegen.
Zudem besitzen Internet-Nutzer das „Recht auf Vergessenwerden“. Ist die Einwilligung zur Datenverarbeitung widerrufen oder sind die personenbezogenen Daten nicht mehr erforderlich, müssen diese unverzüglich gelöscht werden.
Weiterhin sind Unternehmen in Zukunft verpflichtet, ihre Kunden innerhalb von 72 Stunden über Datenlecks zu informieren. Die Angaben müssen dabei Details über die Schwere des Lecks, die Art der korrumpierten Daten sowie potenzielle Gegenmaßnahmen enthalten, die die Betroffenen ergreifen können.
Schufa erfasst Identitätsdiebstahl
Identitätsdiebe sind oftmals Wiederholungstäter. Die gestohlenen Daten werden meist mehrfach missbraucht. Solche Wiederholungsfälle will die Schufa mit einer Erweiterung der Schufa-Auskunft unterbinden. Seit September 2016 können Betroffene ihren Schufa-Eintrag um das Merkmal „Identitätsbetrugsopfer“ erweitern. Führt ein Online-Händler eine
Identitäts- oder Bonitätsprüfung über die Schufa durch, erhält er eine Warnung vor einem möglichen Betrugsfall. Er kann dann mit dem Kunden Kontakt aufnehmen und klären, ob es sich tatsächlich um die echte Person handelt oder ein weiterer Betrugsfall vorliegt. Gleichzeitig wird diese Information in einer weiteren Datenbank, dem Schufa-FraudPool, gespeichert. Über diesen können teilnehmende Unternehmen, in der Regel Banken und Finanzdienstleister, Informationen zu konkreten Betrugsverdachtsfällen und Betrugsversuchen austauschen.
Die Meldung ist kostenlos. Voraussetzung ist, dass man bei der Polizei Anzeige erstattet hat. Das entsprechende Formular lässt sich kostenlos auf den Internet-Seiten der Schufa herunterladen.
Allgemein Hilfe beim Identitätsdiebstahl geben die Landesdatenschützer der Bundesländer und auch die Verbraucherzentralen beraten Betroffene. Außerdem haben Experten der Arbeitsgruppe Identitätsschutz im Internet ein Sorgentelefon eingerichtet, an das sich Opfer und Interessierte wenden können.
Kostenpflichtige Zusatz-Services
Zusätzlichen Schutz vor Identitätsdiebstahl bieten kostenpflichtige Zusatz-Services, die von verschiedenen Anbietern erhältlich sind. Diese enthalten eine regelmäßige Überwachung des Internets nach Auffälligkeiten im Umgang mit den eigenen Daten.
Taucht etwa der Name in Kombination mit der Kreditkartennummer im Internet auf, erhält der Kunde sofort eine Warnung per E-Mail oder SMS.
Im Beratungsgespräch mit einer Hotline wird dann nach passenden Gegenmaßnahmen gesucht und bei Bedarf bei der Löschung und Sperrung von veröffentlichten persönlichen Daten geholfen.
Vieles ist schon versichert
Hoffnung macht, dass die Schäden und die Anwaltskosten durch Identitätsdiebstahl in vielen Fällen schon über vorhandene Policen abgesichert sind. So kommen aktuelle Haftpflichtversicherungen auch für Internet-Schäden auf, die man bei Dritten verursacht, beispielsweise durch die versehentliche Weiterleitung eines Ausspäh-Virus. Die Haftpflichtversicherung wird aber nur bei einem sorgfältigen Umgang mit den Gefahren zahlen, bedeutet zum Beispiel einen aktuellen Virenschutz auf seinem Rechner zu haben. Beim Online-Banking haften Kunden mit maximal 150 Euro, wenn Internet-Kriminelle das Konto leerräumen. Aber auch hier gilt: Banken zahlen nur dann, wenn man nicht grob fahrlässig gehandelt hat.
Anne-Sophie Braun ist seit Februar 2016 Geschäftsführerin des Vereins Sichere Identität Berlin-Brandenburg e.V. (SIDBB). Hauptberuflich ist sie seit 2014 bei der Bundesdruckerei GmbH tätig. Davor war sie mehrere Jahre bei Start-up-Unternehmen beschäftigt. Braun ist Diplom-Kauffrau mit den Schwerpunkten Internationales Management & Politik, BWL und Europarecht sowie zertifizierte Projektmanagement-Fachfrau.
Bild: ©SIDBB
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare