Identitätsdiebstahl: So verhalten Sie sich richtig
Daten-Lecks bei Internet-Diensten: Selbst Jahrzehnte nach der Erfindung des Internets gibt es keine hundertprozentige Sicherheit im Internet. In regelmäßigen Abständen gibt es Berichte über unsichere Webdienste. Oft stehen sensible Daten von Nutzern tage- oder wochenlang ungeschützt im Netz und können von jedermann eingesehen und abgegriffen werden, bis der Betreiber endlich reagiert. Wie man herausfindet, ob man selbst bereits Opfer eines Daten-Lecks, war erläutern wir im weiteren Verlauf dieses Ratgebers.
Unsichere und mehrfach verwendete Passwörter: Ein einziges Daten-Leck ist möglicherweise noch kein Weltuntergang. Gefährlich wird es aber dann, wenn der Betroffene unsichere und leicht zu erratende Passwörter wie 123456 verwendet hat. Noch einfacher macht man es den Kriminellen, wenn man dieselbe Kombination aus E-Mail-Adresse und Passwort bei mehreren Diensten verwendet. Die größte Gefahr besteht, wenn die Kombination aus E-Mail-Adresse und Passwort, die man bei der Haupt-E-Mail-Adresse und beim eigenen Hausbank-Konto verwendet, auch noch bei anderen Diensten benutzt.
Passwort-Datenbanken für Hacker: Dass Hacker wie "einsame Wölfe" in einer dunklen Bude sitzen und ganz alleine handeln, ist ein Märchen. Oft sind sie gut vernetzt und betreiben im Darknet große Datenbanken, wo sie die erbeuteten Daten für viel Geld verkaufen. Besonders wertvoll sind verifizierte Kombinationen aus E-Mail-Adresse und Passwort, Daten für eine Zweifaktor-Authentifizierung, Geburtsdatum, Scans von echten Personalausweisen und Reisepässen und natürlich alle gültigen Zahlungsdaten.
Phishing und "Support-Anrufe": Hat ein Hacker zunächst nur die E-Mail-Adresse "erbeutet", was heutzutage kinderleicht ist, sendet er möglicherweise Spam-Mails oder Phishing-Nachrichten an diese Adresse, um weitere Daten herauszufinden. Oft erwecken Phishing-Mails den Eindruck, der Mail-Inhaber müsse bei seiner Bank oder einem Internet-Account "eine Verifizierung" durchführen, die "Echtheit bestätigen" oder seine "Identität beweisen". Andernfalls wird mit einer Account-Sperre gedroht. Fällt der Mail-Inhaber darauf herein und gibt seine Daten auf einer speziell von den Verbrechern präparierten Seite ein, die der Bank oder dem Dienst täuschend ähnlich sieht, haben die Verbrecher weitere gültige Account-Daten erbeutet. Auch das Erbeuten von Nutzerdaten per Phishing-SMS an Handy-Nummern ist nach wie vor ein verbreitetes Phänomen.
Schadsoftware auf Handy oder Computer: Wer noch gar keine Daten erbeutet hat, lockt unbedarfte Nutzer möglicherweise im Browser oder in Smartphone-Apps auf unseriöse Seiten, um dort Daten abzugreifen. Noch perfider ist es, wenn den Opfern Software oder Apps untergejubelt werden, die den Computer oder das Smartphone ausspähen oder im Browser Login-Vorgänge mitverfolgen. Wer sich nicht sicher ist, sollte bei Computer oder Smartphone lieber die Internet-Verbindung trennen und das Gerät mit einem Antivirus-Programm durchsuchen.
Fake-Shops: Kriminelle, die ebenfalls noch keine Daten haben, locken ihre Opfer mitunter auch auf Fake-Shops. Das sind täuschend echt aussehende Online-Shops, in denen reale Produkte meist zu einem sagenhaft günstigen Preis angepriesen werden. Legt man dort aber einen Account mit Name, Adresse und womöglich Zahlungsdaten an und gibt eine Bestellung auf, erfolgt nie eine Lieferung. Stattdessen verwenden die Verbrecher die eingegebenen Nutzerdaten.
Persönlicher Kontakt: Man mag es nicht glauben, aber nicht nur das Internet birgt Sicherheitsrisiken, sondern auch der zwischenmenschliche Kontakt. Es gab tatsächlich Fälle, wo anonyme Anrufer bei der offenherzigen Sekretärin unter einem Vorwand private Daten des Chefs wie Geburtsdatum, Name der Ehefrau oder Name des Haustiers erfragen konnten. Das Phänomen wird als "Social Hacking" bezeichnet. War der Chef dann so unvorsichtig, diese Daten als Passwort zu benutzen, musste er sich nicht wundern, dass seine Accounts gekapert wurden.
Beim Phishing haben es Kriminelle oft auf Zahlungsdaten abgesehen
Schweizerische Kriminalprävention SKPPSC
Was machen Kriminelle mit meinen geklauten Daten?
Weitere Daten herausfinden: Haben Verbrecher Mail-Adresse und Passwort des Haupt-E-Mail-Postfachs erbeutet, nutzt es möglicherweise auch nichts, dass diese Kombination woanders nicht verwendet wurde. Denn dann können die Kriminellen bei Web-Diensten, Online-Shops und sozialen Netzwerken die "Passwort-Zurücksetzen"-Funktion verwenden. Das ist für das Opfer doppelt bitter: Erstens kommen die Verbrecher damit an weitere Accounts und zweitens können sie durch eine Änderung der Passwörter den Account-Inhaber überall aussperren.
Daten testen, verifizieren, verändern, weiterverkaufen: So wie man selbst seine Daten pflegen und sichern sollte, pflegen auch die Hacker ihre Datenbanken und entwickeln diese weiter. In der Regel werden alle Kombinationen aus E-Mail und Passwort getestet - und wenn sie noch stimmen, sind sie gleich viel mehr wert. Wer einen gekaperten Account für Bestellungen oder Straftaten missbrauchen möchte, ändert dort dann oft die Lieferadresse. Manchmal mischen die Hacker auch Daten aus verschiedenen Accounts. Und mit dem Weiterverkauf aller dieser Daten im Darknet lässt sich wie beschrieben viel Geld verdienen.
Einkaufen auf fremde Rechnung: Waren- und Leistungskreditbetrug beziehungsweise Versandbetrug nennt man es, wenn Kriminelle online, per Telefon oder persönlich in Ladengeschäften unter Angabe geklauter Personen- und oder Zahlungsdaten Bestellungen aufgegeben, mit dem Ziel, die Ware oder Leistung für sich oder Dritte zu erlangen, ohne selbst dafür zu bezahlen.
Straftaten begehen: Nicht immer belassen es die Hacker dabei, über erbeutete Amazon- oder eBay-Zugangsdaten Smartphones oder Fernseher zu bestellen, die sie dann woandershin liefern lassen und ggf. weiterverkaufen. Geklaute Kreditkarten- und Zahlungsdaten werden im Darknet oft für Waffen- oder Drogenkäufe verwendet. Hat man ohnehin schon eine Schadsoftware auf das Gerät des Opfers geschleust, wird dieses über das Programm oft in ein Botnetz eingebunden, mit dem dann weitere Hacker-Angriffe oder Spam-Aussendungen vorgenommen werden.
Rufschädigung: Schlimm für den Betroffenen sind auch erbeutete Zugangsdaten für Twitter, Facebook, Instagram oder gar übernommene Messenger-Accounts. Dann kann der Hacker im Namen und mit dem Foto des Betroffenen Beleidigungen, Hetze, Hass-Propaganda oder andere Dinge verbreiten, die ein schlechtes Licht auf den Account-Inhaber werfen und seinen Ruf nachhaltig schädigen können. Rufschädigend kann auch das Anlegen und Benutzen eines Dating-Profils mit den Daten des Opfers sein.
Auf der dritten Seite beschäftigen wir uns nun damit, wie man sich vor Identitätsdiebstahl schützt und was meist die direkten Folgen eines Identitätsdiebstahls sind.