Identität gekapert

Identitätsdiebstahl: So verhalten Sie sich richtig

Wenn plötzlich unbekannte Rechnungen und Inkassoschreiben ins Haus flattern oder die Polizei zur Hausdurchsuchung anrückt, ist der Schreck groß. Oft steckt ein Identitätsdiebstahl dahinter. Wir erläutern, wie man sich richtig verhält.

Von Alexander Kuch

Plötzlich flattern Rechnungen und Mahnungen für niemals bestellte Produkte und Dienstleistungen ins Haus - oder noch schlimmer: Die Polizei rückt für eine Hausdurchsuchung an, obwohl man nichts verbrochen hat: Der Grund für derartige Vorkommnisse ist meist ein Identitätsdiebstahl.

In diesem Ratgeber gehen wir daher einmal darauf ein, was Identitätsdiebstahl überhaupt ist, wie Kriminelle an unsere Daten kommen und was sie damit machen. Außerdem geben wir Tipps, wie man sich vor einem Identitätsdiebstahl schützt und wie man am besten vorgeht, wenn die eigenen Daten bereits missbraucht wurden. Das richtige Verhalten bei einem Identitätsdiebstahl
Foto: Image licensed by Ingram Image/onniechua-fotolia.com, Montage: teltarif.de

Was ist Identitätsdiebstahl überhaupt?

Identitätsdiebstahl bezeichnet die missbräuchliche Nutzung personenbezogener Daten einer Person durch eine dritte Person. Der Begriff hat sich zwar in den vergangenen Jahren dafür eingebürgert, ist aus der Sicht von Juristen strenggenommen aber nicht ganz korrekt. Denn der ursprünglichen Person ist die Identität nicht abhanden gekommen - sie hat ihre Identität ja schließlich noch. Korrekter wäre es also, von Identitätsmissbrauch zu sprechen.

Bei einem Identitätsdiebstahl geht es in der Regel darum, dass der Kriminelle der ursprünglichen Person finanziell Schaden zufügen oder diese in Misskredit bringen will. Persönliche Daten, die oft erbeutet werden, sind außer Name und Postadresse das Geburtsdatum, Personalausweis- und Reisepass-Nummer, Fotos, die Bankverbindung, Kreditkartendaten, Login-Daten von Zahlungsdienstleistern, Online-Shops, sozialen Netzwerken und anderen Webdiensten sowie Telefonnummern und persönliche Vorlieben.

Problematisch wird es dann, wenn der Kriminelle zunächst nur einen Teil der Daten erbeutet und mit diesen Daten dann an weitere Datensätze gelangen kann. Die Folge ist, dass der Kriminelle sich nicht nur im Internet, sondern auch außerhalb als eine andere Person ausgeben kann und über diesen Weg Einkäufe tätigen, Straftaten begehen und beispielsweise in sozialen Netzwerken wie die ursprüngliche Person auftreten und im Namen dieser Person Hass-Propaganda oder Fake-News verbreiten kann. In der Regel geht es den Verbrechern aber um konkrete finanzielle Vorteile.

Wie kommen Kriminelle an meine Daten?

Daten-Lecks bei Internet-Diensten: Selbst Jahrzehnte nach der Erfindung des Internets gibt es keine hundertprozentige Sicherheit im Internet. In regelmäßigen Abständen gibt es Berichte über unsichere Webdienste. Oft stehen sensible Daten von Nutzern tage- oder wochenlang ungeschützt im Netz und können von jedermann eingesehen und abgegriffen werden, bis der Betreiber endlich reagiert. Wie man herausfindet, ob man selbst bereits Opfer eines Daten-Lecks, war erläutern wir im weiteren Verlauf dieses Ratgebers.

Unsichere und mehrfach verwendete Passwörter: Ein einziges Daten-Leck ist möglicherweise noch kein Weltuntergang. Gefährlich wird es aber dann, wenn der Betroffene unsichere und leicht zu erratende Passwörter wie 123456 verwendet hat. Noch einfacher macht man es den Kriminellen, wenn man dieselbe Kombination aus E-Mail-Adresse und Passwort bei mehreren Diensten verwendet. Die größte Gefahr besteht, wenn die Kombination aus E-Mail-Adresse und Passwort, die man bei der Haupt-E-Mail-Adresse und beim eigenen Hausbank-Konto verwendet, auch noch bei anderen Diensten benutzt.

Passwort-Datenbanken für Hacker: Dass Hacker wie "einsame Wölfe" in einer dunklen Bude sitzen und ganz alleine handeln, ist ein Märchen. Oft sind sie gut vernetzt und betreiben im Darknet große Datenbanken, wo sie die erbeuteten Daten für viel Geld verkaufen. Besonders wertvoll sind verifizierte Kombinationen aus E-Mail-Adresse und Passwort, Daten für eine Zweifaktor-Authentifizierung, Geburtsdatum, Scans von echten Personalausweisen und Reisepässen und natürlich alle gültigen Zahlungsdaten.

Phishing und "Support-Anrufe": Hat ein Hacker zunächst nur die E-Mail-Adresse "erbeutet", was heutzutage kinderleicht ist, sendet er möglicherweise Spam-Mails oder Phishing-Nachrichten an diese Adresse, um weitere Daten herauszufinden. Oft erwecken Phishing-Mails den Eindruck, der Mail-Inhaber müsse bei seiner Bank oder einem Internet-Account "eine Verifizierung" durchführen, die "Echtheit bestätigen" oder seine "Identität beweisen". Andernfalls wird mit einer Account-Sperre gedroht. Fällt der Mail-Inhaber darauf herein und gibt seine Daten auf einer speziell von den Verbrechern präparierten Seite ein, die der Bank oder dem Dienst täuschend ähnlich sieht, haben die Verbrecher weitere gültige Account-Daten erbeutet. Auch das Erbeuten von Nutzerdaten per Phishing-SMS an Handy-Nummern ist nach wie vor ein verbreitetes Phänomen.

Schadsoftware auf Handy oder Computer: Wer noch gar keine Daten erbeutet hat, lockt unbedarfte Nutzer möglicherweise im Browser oder in Smartphone-Apps auf unseriöse Seiten, um dort Daten abzugreifen. Noch perfider ist es, wenn den Opfern Software oder Apps untergejubelt werden, die den Computer oder das Smartphone ausspähen oder im Browser Login-Vorgänge mitverfolgen. Wer sich nicht sicher ist, sollte bei Computer oder Smartphone lieber die Internet-Verbindung trennen und das Gerät mit einem Antivirus-Programm durchsuchen.

Fake-Shops: Kriminelle, die ebenfalls noch keine Daten haben, locken ihre Opfer mitunter auch auf Fake-Shops. Das sind täuschend echt aussehende Online-Shops, in denen reale Produkte meist zu einem sagenhaft günstigen Preis angepriesen werden. Legt man dort aber einen Account mit Name, Adresse und womöglich Zahlungsdaten an und gibt eine Bestellung auf, erfolgt nie eine Lieferung. Stattdessen verwenden die Verbrecher die eingegebenen Nutzerdaten.

Persönlicher Kontakt: Man mag es nicht glauben, aber nicht nur das Internet birgt Sicherheitsrisiken, sondern auch der zwischenmenschliche Kontakt. Es gab tatsächlich Fälle, wo anonyme Anrufer bei der offenherzigen Sekretärin unter einem Vorwand private Daten des Chefs wie Geburtsdatum, Name der Ehefrau oder Name des Haustiers erfragen konnten. Das Phänomen wird als "Social Hacking" bezeichnet. War der Chef dann so unvorsichtig, diese Daten als Passwort zu benutzen, musste er sich nicht wundern, dass seine Accounts gekapert wurden. Beim Phishing haben es Kriminelle oft auf Zahlungsdaten abgesehen
Schweizerische Kriminalprävention SKPPSC

Was machen Kriminelle mit meinen geklauten Daten?

Weitere Daten herausfinden: Haben Verbrecher Mail-Adresse und Passwort des Haupt-E-Mail-Postfachs erbeutet, nutzt es möglicherweise auch nichts, dass diese Kombination woanders nicht verwendet wurde. Denn dann können die Kriminellen bei Web-Diensten, Online-Shops und sozialen Netzwerken die "Passwort-Zurücksetzen"-Funktion verwenden. Das ist für das Opfer doppelt bitter: Erstens kommen die Verbrecher damit an weitere Accounts und zweitens können sie durch eine Änderung der Passwörter den Account-Inhaber überall aussperren.

Daten testen, verifizieren, verändern, weiterverkaufen: So wie man selbst seine Daten pflegen und sichern sollte, pflegen auch die Hacker ihre Datenbanken und entwickeln diese weiter. In der Regel werden alle Kombinationen aus E-Mail und Passwort getestet - und wenn sie noch stimmen, sind sie gleich viel mehr wert. Wer einen gekaperten Account für Bestellungen oder Straftaten missbrauchen möchte, ändert dort dann oft die Lieferadresse. Manchmal mischen die Hacker auch Daten aus verschiedenen Accounts. Und mit dem Weiterverkauf aller dieser Daten im Darknet lässt sich wie beschrieben viel Geld verdienen.

Einkaufen auf fremde Rechnung: Waren- und Leistungskreditbetrug beziehungsweise Versandbetrug nennt man es, wenn Kriminelle online, per Telefon oder persönlich in Ladengeschäften unter Angabe geklauter Personen- und oder Zahlungsdaten Bestellungen aufgegeben, mit dem Ziel, die Ware oder Leistung für sich oder Dritte zu erlangen, ohne selbst dafür zu bezahlen.

Straftaten begehen: Nicht immer belassen es die Hacker dabei, über erbeutete Amazon- oder eBay-Zugangsdaten Smartphones oder Fernseher zu bestellen, die sie dann woandershin liefern lassen und ggf. weiterverkaufen. Geklaute Kreditkarten- und Zahlungsdaten werden im Darknet oft für Waffen- oder Drogenkäufe verwendet. Hat man ohnehin schon eine Schadsoftware auf das Gerät des Opfers geschleust, wird dieses über das Programm oft in ein Botnetz eingebunden, mit dem dann weitere Hacker-Angriffe oder Spam-Aussendungen vorgenommen werden.

Rufschädigung: Schlimm für den Betroffenen sind auch erbeutete Zugangsdaten für Twitter, Facebook, Instagram oder gar übernommene Messenger-Accounts. Dann kann der Hacker im Namen und mit dem Foto des Betroffenen Beleidigungen, Hetze, Hass-Propaganda oder andere Dinge verbreiten, die ein schlechtes Licht auf den Account-Inhaber werfen und seinen Ruf nachhaltig schädigen können. Rufschädigend kann auch das Anlegen und Benutzen eines Dating-Profils mit den Daten des Opfers sein.

Vorbeugung: Wie schütze ich mich?

Datensparsamkeit: Grundsätzlich sollte man im Internet und auch außerhalb des Internets nur so viele Daten von sich preisgeben, wie unbedingt nötig. Auf gar keinen Fall sollten irgendwo im Internet Daten wie die Postadresse, das Geburtsdatum, Bankdaten oder gar ein Scan des Personalausweises oder Reisepasses kursieren. Ist das bereits der Fall, sollte man diese Daten schnellstmöglich löschen (lassen).

Sichere Passwörter verwenden: Als unsicher gelten alle Passwörter, die sehr kurz sind oder konkrete im Wörterbuch auffindbare Begriffe, Namen oder Datumsangaben enthalten. Inzwischen machen glücklicherweise viele Banken und Web-Dienste Mindestvorgaben wie eine Kombination aus Groß- und Kleinschreibung sowie Ziffern und Sonderzeichen oder eine Mindestlänge von beispielsweise acht Zeichen. Am besten sind sinnlose Folgen aus Buchstaben, Ziffern und Sonderzeichen. In einem separaten Ratgeber geben wir Ihnen Tipps für ein sicheres Passwort.

Passwörter nur einmal verwenden: Jedes Passwort sollte idealerweise nur einmal verwendet werden. Dann ist es ausgeschlossen, dass Hacker mit nur einer erbeuteten Kombination bei anderen Web-Diensten Erfolg haben.

Sichere Passwort-Datenbank anlegen: Natürlich kann sich niemand 50, 100 oder noch mehr verschiedene Passwörter merken. Man sollte also eine sichere Passwort-Datenbank anlegen, in der alle Passwörter verzeichnet sind. Dann muss man sich für diese Datenbank im Kopf nur ein Passwort merken - dieses sollte natürlich ganz besonders sicher sein. Mehr dazu lesen Sie in unserem Ratgeber Gratis Passwort-Safe auf deutschem Server - so gehts.

Zweifaktor-Authentifizierung verwenden: Die inzwischen für viele Dienste verpflichtende Zweifaktor-Authentifizierung (2FA) verhindert, dass Hacker einfach nur mit Durchprobieren von Account-Daten in Nutzerkonten einbrechen können. Wie man die 2FA einrichtet und wie sie funktioniert erläutern wir in unserem Ratgeber zur Zweifaktor-Authentifizierung.

Biometrische Sicherungsverfahren verwenden: Nicht nur Smartphones und Tablets, auch Laptops und andere Geräte bieten inzwischen Fingerabdruck-Scanner, Gesichts-Entsperrung oder andere biometrische Sicherungsverfahren. Einen hundertprozentigen Schutz gibt es damit zwar auch nicht, da Hacker zum Teil auch schon Fingerabdrücke erbeuten konnten und Gesichts-basierte Verfahren nicht immer zuverlässig funktionieren. Eine biometrische Sicherung kann aber die Hürden höher setzen, einen Account zu knacken.

Nicht auf Spam und Phishing hereinfallen: Sicherheit beginnt stets im Kopf: Wer im Internet nicht auf alles klickt, nicht sofort jede E-Mail öffnet, bei E-Mail-Anhängen skeptisch ist und lieber nochmals beim vermeintlichen Absender auf einem anderen Weg (Telefon, Gespräch) nachfragt, kann sich viele Scherereien ersparen. Wir geben Ihnen nicht nur Tipps für mehr Sicherheit bei E-Mails, sondern verraten Ihnen auch, wie Sie Wegwerf-E-Mail-Adressen verwenden können.

Alle Geräte mit Software-Updates aktuell halten: Gegen das Ausspähen von Daten mit Hilfe von Schadsoftware hilft es (außer aufmerksamem Verhalten im Netz) auch, Betriebssysteme, Software und Apps auf allen Geräten durch Updates stets aktuell zu halten. Beim Handy-Provider sollte man Premium-Dienste über eine Drittanbietersperre sperren lassen, wenn man sie nicht benötigt. Biometrische Sicherungsverfahren können für mehr Sicherheit sorgen
Bild: Image licensed by Ingram Image

Was sind die Folgen eines Identitätsdiebstahls?

Ein Identitätsdiebstahl kann schwerwiegende finanzielle und persönliche Folgen für die Betroffenen nach sich ziehen - bis hin zu psychischen Belastungen. Das Problem ist: Bevor Polizei und Ermittlungsbehörden von dem Identitätsdiebstahl wissen, behandeln sie das Opfer wie einen Verbrecher - möglicherweise inklusive Festnahmen, unangenehmen Befragungen oder gar Untersuchungshaft. Eine unangekündigte Hausdurchsuchung wegen des Verdachts auf Waffen- oder Drogenhandel kann für das unbedarfte Opfer und seine meist ahnungslose Familie eine traumatische Erfahrung sein, insbesondere dann, wenn die komplette Nachbarschaft dabei zusieht.

Schlimm ist auch, wenn das Opfer - wie leider oft - erst durch Mahnungen, Schreiben von Inkassounternehmen oder gerichtliche Mahnbescheide davon erfährt, dass es auf den eigenen Namen möglicherweise massenhaft unbezahlte Rechnungen gibt. Mitunter haben die geprellten Firmen auch schon negative Einträge bei der Schufa oder anderen Bonitäts-Auskunfteien veranlasst.

Oft ist es für die Betroffenen dann eine langwierige Aufgabe, Polizei, Ermittlungsbehörden, Geschädigte und vor allem die eigene Familie, Freunde und Nachbarn zu überzeugen, dass man nicht selbst der Verbrecher, sondern das Opfer ist. Die Wiederherstellung der eigenen persönlichen und finanziellen Reputation kann mehrere Monate in Anspruch nehmen.

Daten missbraucht: Wie verhalte ich mich richtig?

Anzeige bei der Polizei: Wer plötzlich nicht mehr in seine Accounts kommt, von den Diensteanbietern merkwürdige Fragen gestellt bekommt und bei wem plötzlich Mahnungen und Inkassoschreiben für niemals bestellte Waren oder Dienstleistungen ins Haus flattern, sollte sofort Anzeige bei der örtlichen Polizei stellen und darauf hinweisen, dass ein Verdacht auf Identitätsdiebstahl besteht. Dabei hilft es nichts, das eigene Fehlverhalten wie schlecht gewählte Passwörter zu beschönigen. Besser ist es, gegenüber den Ermittlungsbehörden stets mit offenen Karten zu spielen und alle geforderten Details zu liefern.

Protokollierung aller Vorkommnisse, Anwalt informieren: Sicherheitshalber sollte man alle erforderlichen Daten nicht nur an die Polizei übergeben, sondern auch selbst akribisch sammeln. Wer eine Rechtschutzversicherung hat, sollte diese informieren und sich nach dem weiteren Vorgehen erkundigen. Ein Anwalt darf nur mit Zustimmung der Versicherungsgesellschaft eingeschaltet werden, sonst lehnt diese vielleicht die Kostenübernahme ab. In der Regel helfen die Versicherer bei der Suche nach einem kompetenten Anwalt. Eine Rechtsberatung bieten auch die örtlichen Verbraucherzentralen an, die man einschalten kann.

Information an alle Beteiligten: Stimmen Polizei, Staatsanwaltschaft und Rechtschutzversicherung zu, sollte man alle Beteiligten (Online-Shops, Banken, Zahlungsdienstleister, soziale Netzwerke...) über den Vorfall informieren und mitteilen, dass ein Verdacht auf Identitätsdiebstahl besteht (Musterbrief der Verbraucherzentralen). Legt man dabei eine Kopie der Anzeige bei der Polizei vor, werden Mahn- und Inkassoverfahren in der Regel erst einmal gestoppt. Arbeitet man bereits mit einem Anwalt zusammen, sollte dieser die betreffenden Schreiben verfassen.

Passwort-Datenbanken prüfen: Die Passwort-Datenbanken, die die Hacker untereinander tauschen und verkaufen, gelangen in der Regel auch in die Hände von seriösen Sicherheitsexperten. Diese haben damit Abfragemöglichkeiten geschaffen, über die man herausfinden kann, ob die eigene E-Mail oder das verwendete Passwort schon einmal in der Hacker-Szene aufgetaucht sind. Diverse Portale geben darüber Auskunft, ob Ihre Daten vielleicht schon mal irgendwo geklaut, veröffentlicht und missbraucht wurden - in einem separaten Ratgeber verraten wir, wo und wie Sie das herausfinden.

Passwörter überall ändern: Sofort nach einem Hack alle Passwörter der gehackten Accounts zu ändern, ist nicht immer der richtige Weg. Dies sollte mit den Ermittlungsbehörden abgesprochen werden. Möglicherweise kann der Account noch dazu dienen, die Verbrecher dingfest zu machen. Sollten die Ermittlungsbehörden vorerst keine Passwort-Änderung empfehlen, sollte man im Gegenzug die Haftung für alle weiteren Schäden ablehnen. Bei nicht gehackten Benutzerkonten, die möglicherweise dieselbe Kombination aus Passwort und Benutzername/E-Mail haben wie die gehackten Accounts, sollte man aber sofort die Passwörter ändern.

Selbstauskunft bei der Schufa einholen: Wer den Verdacht hat, dass seine Kreditwürdigkeit sich durch einen Identitätsdiebstahl verschlechtert hat, sollte bei der Schufa eine Selbstauskunft einholen. Sind die Daten dort fehlerhaft oder unvollständig, sollte man die Schufa schriftlich zur Korrektur auffordern. Sichere Passwörter im Internet sind unerlässlich
Bild: teltarif.de

Fazit: Eigene Reputation wiederherstellen

Zusammenfassend lässt sich sagen: Wer seine Daten im Internet und auch außerhalb nur sparsam herausgibt, wer im Internet aufmerksam unterwegs ist und nicht alles anklickt, wer nicht auf vermeintliche Schnäppchen in Fake-Shops hereinfällt und seine Geräte mit Software-Updates stets aktuell hält, hat schon sehr viel getan, um einem Identitätsdiebstahl vorzubeugen. Eine hundertprozentige Sicherheit gibt es allerdings nicht.

Ist man Opfer eines Identitätsdiebstahls geworden, ist es wichtig, sich nicht verschämt zurückzuziehen und die Sache auszusitzen, sondern entschlossen dagegen vorzugehen. Zunächst sollte eine Anzeige bei der Polizei erfolgen, in der der betreffende Tatbestand klar genannt wird (Betrug, Unterschlagung, Verleumdung, üble Nachrede...). Liefert man den Ermittlungsbehörden möglichst viele Daten, besteht die Chance, dass das Verfahren nicht vorschnell eingestellt wird und dass man - selbst wenn die Betrüger nicht gefunden werden - nicht auf dem Schaden sitzen bleibt. Hierzu ist auch eine offene und klare Kommunikation mit den Gläubigern und Auskunfteien wie der Schufa erforderlich.

Die Wiederherstellung der eigenen Reputation mag zwar eine Menge Arbeit sein, in finanzieller und gesellschaftlicher Hinsicht (Nachbarschaft, Familie...) ist sie aber unerlässlich.

Wer bei Handy, Internet und Festnetz ungerecht behandelt wird, steht nicht alleine da. Wir erläutern nicht nur, wie man bei der BNetzA, der Verbraucherzentrale oder einem Anwalt Hilfe bekommt, sondern geben auch Tipps zur Selbsthilfe.

Identitätsdiebstahl: So verhalten Sie sich richtig

Was ist Identitätsdiebstahl überhaupt?

Mehr zum Thema Identitätsdiebstahl

Wie kommen Kriminelle an meine Daten?

Was machen Kriminelle mit meinen geklauten Daten?

Vorbeugung: Wie schütze ich mich?

Was sind die Folgen eines Identitätsdiebstahls?

Daten missbraucht: Wie verhalte ich mich richtig?

Fazit: Eigene Reputation wiederherstellen

Mehr zum Thema Identitätsdiebstahl

Was ist Iden­titäts­dieb­stahl über­haupt?

Mehr zum Thema Identitätsdiebstahl

Wie kommen Krimi­nelle an meine Daten?

Was machen Krimi­nelle mit meinen geklauten Daten?

Vorbeu­gung: Wie schütze ich mich?

Was sind die Folgen eines Iden­titäts­dieb­stahls?

Daten miss­braucht: Wie verhalte ich mich richtig?

Fazit: Eigene Repu­tation wieder­her­stellen

Mehr zum Thema Identitätsdiebstahl

Was ist Identitätsdiebstahl überhaupt?

Wie kommen Kriminelle an meine Daten?

Was machen Kriminelle mit meinen geklauten Daten?

Vorbeugung: Wie schütze ich mich?

Was sind die Folgen eines Identitätsdiebstahls?

Daten missbraucht: Wie verhalte ich mich richtig?

Fazit: Eigene Reputation wiederherstellen