Vorsicht geboten: Was tun bei Identitätsdiebstahl?

Internetkriminalität lässt sich oft nur schwer verfolgen
Bild: dpa Ein gutes Beispiel für klas­si­schen Iden­ti­täts­dieb­stahl gibt es in der Lite­ratur: Im Roman von Patricia High­smith und dem gleich­na­migen Film "Der talen­tierte Mr. Ripley" ist Tom Ripley so von seinem Freund Dickie faszi­niert, dass er heim­lich Dickies Klei­dung trägt und ihn immer reali­täts­ge­treuer imitiert. Er ermordet Dickie schließ­lich und gibt sich selbst für ihn aus. Toms Exis­tenz wird zum Katz-und-Maus-Spiel mit der italie­ni­schen Polizei.

Das Klauen von vertrau­li­chen Daten kann mit verschie­denen Absichten geschehen, zum Beispiel mit einer Berei­che­rungs­ab­sicht (wenn der Täter etwas bestellt und die Rech­nung für die Ware an eine abwei­chende Adresse schi­cken lässt) oder mit einer Schä­di­gungs­ab­sicht - der Täter eröffnet zum Beispiel ein Face­book-Profil im Namen einer fremden Person.

Gefühl wie nach einem Einbruch

Internetkriminalität lässt sich oft nur schwer verfolgen
Bild: dpa "Wenn sich jemand unserer Iden­tität bemäch­tigt, verletzt uns das meis­tens tief", erläu­tert Bern­hard Witt, Daten­schutz­ex­perte bei der it.sec GmbH. "Das Gefühl ist mit dem Gefühl nach einem Einbruch zu verglei­chen, wenn man weiß, dass jemand in unseren Dingen herum­ge­wühlt hat. Jemand ist in unseren persön­li­chen Bezugs­rahmen einge­drungen."

Der Dieb­stahl bezie­hungs­weise die Imita­tion der Iden­tität ist im genannten Film ebenso wie in der digi­talen Welt die entschei­dende Vorbe­rei­tung für den Betrug. Bei Iden­ti­täts­dieb­stahl, aber auch bei Skim­ming, Phis­hing oder Nick­nap­ping handelt es sich um soge­nannte Man-in-the-Middle-Angriffe (MITM-Angriffe): Zwischen den beiden eigent­lich kommu­ni­zie­renden Personen oder Vertrags­part­nern steht eine dritte Partei, die Daten abfängt und diese verwendet, um damit einen Betrug zu begehen.

Fach­leute raten zur Straf­an­zeige

Geklaut werden bei einem Iden­ti­täts­dieb­stahl immer Daten und Kombi­na­tionen von Daten, die zur Iden­ti­fi­ka­tion einer Person dienen, zum Beispiel das Geburts­datum und die Anschrift, die Kredit­karten-, Perso­nal­aus­weis-, Sozi­al­ver­si­che­rungs- oder Führer­schein­nummer.

"Wenn ein solcher Betrug vorliegt, würden wir immer empfehlen, eine Straf­an­zeige zu erstatten", sagt Katha­rina Wiatr, Refe­rentin bei der Berliner Daten­schutz­be­auf­tragten. Der Polizei sollte man so viele Infor­ma­tionen wie möglich etwa von einer unter falschen Angaben getä­tigten Waren­be­stel­lung über­geben.

Wider­spruch einlegen

"Die Kopie der Straf­an­zeige sollte man unbe­dingt an das Unter­nehmen, von dem die Rech­nung bezie­hungs­weise die Mahnung kam sowie an das Inkas­so­un­ter­nehmen und an die Auskunf­teien schi­cken", rät Wiatr. Wichtig sei es auch, gegen jegliche Forde­rung Wider­spruch einzu­legen. Oft bemerke man den Betrug zwar erst mit zeit­li­chem Verzug, aber auch wenn der Betrug nicht mehr rück­gängig gemacht werde könne und man gegen unbe­kannt vorgehe, lohne sich der Aufwand.

"Meist muss man unter zeit- und kosten­in­ten­siven Umständen viel aufrollen", bedauert Wiatr, "aber unsere Erfah­rung zeigt, dass man dann zum Beispiel die Ware, die man nicht bestellt hat, auch nicht wird bezahlen müssen." Einige Auskunf­teien bieten ein Formular zur Meldung von Iden­ti­täts­be­trug durch Betrof­fene an.

Verfahren werden oft einge­stellt

"Wenn Anzeige erstellt wurde, ist die Polizei verpflichtet, ein Ermitt­lungs­ver­fahren einzu­leiten", erklärt Ulrich Dost-Roxin, Fach­an­walt für Straf­recht. "Oft vergehen aber leider Monate oder sogar Jahre, bis man eine Nach­richt erhält. Und die laute dann oft, dass das Verfahren einge­stellt wurde. Denn das Straf­recht sei ein stumpfes Schwert im Kampf gegen die Inter­net­kri­mi­na­lität.

Iden­ti­täts­miss­brauch ist kein Offi­zi­al­de­likt. Die Taten werden nur auf Antrag verfolgt und gering bestraft. "Im Zeit­alter des Inter­nets ist der Staat nicht mehr in der Lage, solche Taten annä­hernd effektiv zu verfolgen", sagt Dost-Roxin. Trotzdem solle man bei Iden­ti­täts­miss­brauch Anzeige erstatten.

Schnel­lig­keit ist geraten

Wichtig sei es, möglichst schnell zu reagieren, damit weitere Miss­bräuche des Iden­ti­täts­merk­mals vermieden und Folge­schäden begrenzt werden könnten, sagt auch Daten­schutz­be­rater Witt. So sei es am Ende viel­leicht doch befrie­di­gend, dass man andere Endver­brau­cher habe warnen können.

Man solle sich auch über­legen, zum Beispiel den Versand-Account aufzu­kün­digen oder mit dem Vertrags­partner ein anderes Iden­ti­fi­ka­ti­ons­merkmal zu verein­baren. "Es gibt verschie­dene Arten, iden­ti­täts­be­stim­mende Daten zu verwalten", erklärt der Experte. "Man muss nicht unhin­ter­fragt hinnehmen, was einem vom Vertrags­partner vorge­schlagen wird."

Unge­eig­nete Mittel der Authen­ti­fi­zie­rung

Oft liege das Problem bei den Unter­nehmen, die unge­eig­nete Mittel zur Iden­ti­fi­zie­rung bieten oder die Nutzer nicht ausrei­chend iden­ti­fi­zierten, weiß auch die Daten­schutz-Refe­rentin Wiatr. "Wenn zum Beispiel bei einer Erst­be­stel­lung auf Rech­nung eine abwei­chende Liefer­an­schrift ange­geben wird, wird das von den Anbie­tern oft nicht nach­ver­folgt." Gerade so wird bei einem Kauf auf Rech­nung Iden­ti­täts­dieb­stahl über­haupt erst möglich.

Bei so etwas sollten Unter­nehmen eigent­lich hell­hörig werden: Die Fälle träten dann aber doch zu verein­zelt auf, als dass die Wirt­schaft sie mit Inter­esse verfolgen würde, so Wiatr. Der elek­tro­ni­sche Perso­nal­aus­weis als Iden­ti­fi­ka­ti­ons­mittel sei bislang in der digi­talen Einkaufs­welt noch nicht richtig ange­kommen. Das genaue Hingu­cken bei abwei­chender Liefer­an­schrift und das Nach­fragen beim Kunden in einem solchen Fall sei natür­lich zeit- und kosten­auf­wendig.

AGBs oft zu kompli­ziert

Witt sieht bei der Vertrags­ge­stal­tung zweier Parteien Verbes­se­rungs­po­ten­zial. Kaum jemand habe Zeit, auch noch das in den AGBs verlinkte Doku­ment durch­zu­lesen. Außerdem fehlte den Verbrau­chern oft das Wissen, mit dem man Formu­lie­rungen und Infor­ma­tionen in den AGBs inter­pre­tieren und einordnen könne.

"Meines Erach­tens sollten die Hürden bei der Vertrags­ge­stal­tung nicht so hoch gestellt werden", sagt Witt. "Natür­lich müssen sich die Unter­nehmen absi­chern, aber gewisse Teile in der Text­wüste sollten hervor­ge­hoben werden und verständ­lich formu­liert sein." Sonst könne von gleich­be­rech­tigten Vertrags­part­nern keine Rede sein.

Wich­tige Vorsichts­maß­nahmen

Die Experten empfehlen, auch einmal zu über­prüfen, wie viele Infor­ma­tionen online über einen selbst abrufbar seien. Mit dem Iden­tity Leak Checker des Hasso-Plattner-Insti­tuts (HPI) kann zum Beispiel mithilfe der E-Mail-Adresse geprüft werden, ob persön­liche Daten bereits im Internet veröf­fent­licht wurden.

Gene­rell solle man mit den persön­li­chen Daten im Netz so sparsam wie möglich umgehen, raten die Experten. Damit schränke man einen Iden­ti­täts­miss­brauch erheb­lich ein oder halte die Scha­den­höhe gering. Wichtig sei es, ein sicheres Pass­wort zu den geschützten Berei­chen, zu erstellen. Solche und andere grund­le­genden Ratschläge, wie das nicht Öffnen unbe­kannter Anhänge oder die Einrich­tung eines Viren­schutzes auf dem Computer hätten, wie die Experten sagen, ihre Dring­lich­keit nicht verloren.

Ein sicheres und nicht zu erra­tendes Pass­wort ist heut­zu­tage uner­läss­lich. Doch wie sicher ist Ihres - und wurde es viel­leicht schon mal irgendwo geklaut, veröf­fent­licht und miss­braucht? Diverse Portale geben darüber Auskunft.