Identitätsdiebstahl im Internet

„Die Playstation 3 ist ohne PSN nutzlos“, sagt Julian S. (Name von der Redaktion geändert). Der 25-jährige Wirtschaftsinformatikstudent musste mehrere Wochen auf das beliebte Onlinespiele-Netzwerk „Playstation Network“ (PSN) des japanischen Sony-Konzerns verzichten. Der Grund: Kriminelle haben sich Zugang zur Kundendatenbank verschafft und mehr als 77 Millionen Datensätze gestohlen – darunter sensible Daten wie Name, Anschrift, Geburtsdatum, Passwort und Kreditkartendaten der PSN-Nutzer.

Damit sind dem Identitätsdiebstahl im Internet Tür und Tor geöffnet. Wurden früher vornehmlich Online-Banking-Zugangsdaten abgefischt, rückt mittlerweile die komplette digitale Identität eines Nutzers in den Fokus der Kriminellen. Laut dem IT-Sicherheitsunternehmen Symantec findet der Identitätsdiebstahl in zwei Schritten statt. „Zunächst stiehlt jemand Ihre persönlichen Daten. Danach nutzt jemand diese Informationen aus, um sich für Sie auszugeben und einen Betrug zu begehen.“ Die Betroffenen merken das erst, wenn es zu spät ist. Während die Betrüger die Ware erhalten, bekommen die Betroffenen Wochen später Mahnschreiben von Inkassounternehmen. Durchschnittlich 16.000 Euro erbeuten Identitätsdiebe laut einer britischen Studie aus dem Jahr 2008 so mit einem einzigen Datensatz.

Der gängigste Weg, um an Daten zu kommen, ist immer noch das sogenannte Phishing. Nutzer werden mit einer fingierten E-Mail auf eine gefälschte Webseite gelockt, auf der sie ihre Daten eingeben sollen. Aber auch Schadprogramme, sogenannte Trojaner, die sich unbemerkt über manipulierte Webseiten installieren und Tastatureingaben mitschneiden, sind eine beliebte Methode. In letzter Zeit werden jedoch Hackerangriffe auf die Kundendatenbanken großer Unternehmen – wie im Fall des PSN – immer beliebter. „Kleine Hacks habe ich früher auch gemacht“, sagt Julian. „Nur zum Spaß und ohne irgendwas kaputtzumachen oder Daten zu klauen“, versichert der Wirtschaftsinformatikstudent. „Sonys Schlamperei war aber grob fahrlässig. Wir lernen schon im ersten Semester, dass große Datenbanken verschlüsselt und vom Internet getrennt gespeichert werden sollen.“

Der Journalistin Tina Groll hingegen wurde nicht die Schlamperei eines Konzerns, sondern die deutsche Rechtsprechung zum Verhängnis. Da sie einen Weblog betreibt,  ist sie gesetzlich dazu verpflichtet, ihre komplette Anschrift im Impressum der Seite anzugeben. Zusammen mit ihrem Geburtsdatum, das Groll für alle sichtbar bei Facebook veröffentlich hat, kamen die Betrüger ohne große Anstrengung an alle relevanten Daten.

Sie kauften in ihrem Namen Waren für mehrere Tausend Euro ein und ließen sie an eine abweichende Lieferanschrift senden. Das klappt problemlos, da Onlinehändler zur Identifizierung ihrer Kunden nur eine gültige Anschrift und ihr Geburtsdatum verlangen. Der Betrug ging im Fall der Journalistin so weit, dass das Amtsgericht Bremen-Blumenthal einen Haftbefehl gegen die „Zeit“-Autorin erlassen hat.

In einer Studie aus dem Jahr 2010 prognostiziert das Bundesamt für Sicherheit in der Informationstechnik, dass „Identitätsdiebstahl und –missbrauch noch nicht absehbare Formen annehmen werden, da neue Techniken und Plattformen immer neue Angriffsszenarien ermöglichen.“ Laut Polizei müssen die Opfer eines Identitätsdiebstahls durchschnittlich 400 Arbeitsstunden aufbringen, um den entstandenen Schaden wiedergutzumachen. Konten müssen gesperrt, Widersprüche geschrieben und Anzeigen gemacht werden.

Dieses Schicksal droht auch Julian S. und den anderen PSN-Nutzern. Sony rät den Betroffenen, ihre Passwörter zu ändern und ihre Kontobewegungen gut im Auge zu halten. Der japanische Konzern möchte seinen Nutzern zudem weltweit eine kostenlose Identitätsdiebstahlpolice über eine Million US-Dollar anbieten. Das verlorene Vertrauen von Julian S. wird der Konzern nur schwer wiederherstellen können.

1. Geht so sparsam wie möglich mit personenbezogenen Daten um. Schreibt niemals eure echte Anschrift in Onlineforen und sperrt euer Profil in sozialen Netzwerken vor dem Zugriff Fremder.
2. Erst denken, dann klicken. Öffnet keine Links und Anhänge in dubiosen E-Mails mit dramatischer Überschrift. Das gilt übrigens auch für soziale Netzwerke. Kennt ihr den Absender nicht oder kommt euch eine E-Mail komisch vor, solltet  ihr sie schlicht löschen.
3. Sicherheitsupdates sind ein nötiges Übel. Haltet euer Betriebssystem, das Virenschutzprogramm und die Firewall immer auf dem neusten Stand. Auch wenn die ständigen Aktualisierungen nervtötend sind – schon kleine Sicherheitslücken können fatale Auswirkungen haben.