Identitätsdiebstahl Richtiger Schutz muss her
Das Bundesinnenministerium veröffentlicht eine Studie über Identitätsdiebstahl. Endlich rückt die Straftat in den Blick von Rechtsprechung und Behörden. Von Tina Groll
Endlich gibt es eine Studie, 415 Seiten schwarz auf weiß , die das Problem des Identitätsdiebstahls und Identitätsmissbrauchs im Internet grundlegend beschreibt. Heute wurde die Studie im Auftrag des Bundesinnenministeriums vorgestellt.
Das Delikt ist eine der am stärksten steigenden Straftaten, digitale Identitäten sind für Internetkriminelle von großem Interesse: Name, Geburtsdatum, Kontodaten, Kreditwürdigkeit. Der Diebstahl und anschließende Missbrauch von personenbezogenen Daten ist ein noch relativ neues Phänomen. Dafür ein vielfältiges: Kreditkartenbetrug durch abgefischte Kartennummern, Missbrauch von Kontodaten, von Accounts in sozialen Netzwerken oder bei Handelsplattformen, Bestellungen in Onlineshops – viele Delikte gibt es, die sich mit Daten begehen lassen.
Anzeige
Die Kriminellen haben es oft leicht, treffen sie doch auf viele weitgehend ungeschützte Nutzer. Die nun vorgestellte Studie des Innenministeriums und des Bundesamtes für Sicherheit in der Informationstechnik benennt klar die Defizite in der Bekämpfung, rechtlichen Regulierung sowie strafrechtlichen Verfolgung von Internetkriminellen – doch unzählige Fragen bleiben unbeantwortet. Vor allem, weil der Regulierungsbedarf so immens und das Problem so komplex ist. Wenigstens aber ist nun eine fundierte Bestandsaufnahme des Phänomens geschaffen, aus der politische Handlungsempfehlungen abgeleitet werden können. Damit rückt die Straftat endlich in den Blick von Politik, Behörden und Rechtsprechung.
- Die Studie
Die Studie Identitätsdiebstahl und Identitätsmissbrauch im Internet beschäftigt sich mit den technichen und rechtlichen Aspekten des Themas. Verfasst wurde sie von Georg Borges, Jörg Schwenk, Carl-Friedrich Stuckenberg und Christoph Wegener im Auftrag des Bundesinnenministeriums und des Bundesamtes für Sicherheit in der Informationstechnik.
- Ergebnisse
-
- Wesentliche Ergebnisse sind die krasse Zunahme von Identitätsdiebstahl und Identitätsmissbrauch im Internet durch Kriminelle. Dabei erfolgen die meisten Angriffe über Schadprogramme, welche die personenbezogenen Daten von Internetnutzern abfischen. Betroffen sind Online-Banking-Zugänge, Accounts von E-Mail, Packstationen, Auktions- und Handelsplattformen und Profile in sozialen Netzwerken. Am häufigsten werden die Identitäten für Betrugszwecke verwendet.
- Die Trojaner gelangen durch Schwachstellen in der Software auf den Rechner, aber auch durch den bloßen Besuch von Internetseiten. Auch präperierte PDF-Dokumente sind im Umlauf.
- Internetnutzern ist das Problem noch nicht ausreichend bewusst, viele haben ihre Computer noch nicht ausreichend gesichert.
- Problematisch ist der unzureichende Umgang mit gespeicherten Kundendaten
- Rechtlich gibt es noch keine klaren Regulierungen, wie mit dem Delikt "Identitätsdiebstahl" zu verfahren ist, weil der Begriff "Identität" im Strafrecht bislang weitgehend undefiniert ist.
- Für die Zukunft wird prognostiziert, dass Identitätsdiebstahl und -missbrauch noch stärker zunehmen wird und "noch nicht absehbare Folgen annehmen werden, da neue Techniken und Plattformen immer neue Angriffsszenarien ermöglichen."
Das Internet deswegen zu verteufeln, wäre ein falscher Schluss. Kriminalität gibt es in der Online- wie in der Offlinewelt. Doch da, wo in der realen Welt Polizei, Behörden und Juristen vorhanden sind, um Bürger zu schützen, herrscht im Internet bislang Verwirrung. Das Netz ist ein öffentlicher Raum, in dem die gleichen Gesetze gelten und in dem Bürger vor Übergriffen durch Kriminelle geschützt werden müssen. Doch während Kriminelle technisch aufrüsten und die Angriffe auf persönliche Daten immer ausgefeilter werden, haben die Behörden das Problem kaum erkannt. Die Bürger sind im Netz nicht ausreichend geschützt und es ist falsch, hier allein Eigenverantwortung zu fordern. Es stimmt. Viele Nutzer erkennen nicht, wenn ihre Computer mit Schadprogrammen ferngesteuert werden . Viele gehen unvorsichtig mit ihren Daten um, wissen nicht einmal, dass die Angabe des realen Geburtsdatums auf einer Plattform schon reicht, um Kriminellen den Missbrauch der eigenen Identität zu ermöglichen.
Doch deswegen sagen, wer sich nicht ausreichend schützt, der habe eben Pech gehabt? Man könne sowieso nichts tun, weil das Internet nun mal keine nationale, sondern eine globale Sache sei? So geht es nicht.
Um eigenverantwortlich handeln zu können, müssen die Rahmenbedingungen stimmen. Und innerhalb nationalstaatlicher Grenzen kann sehr wohl reguliert werden und wurde bereits reguliert. Das Datenschutzrecht umfasst ein uneingeschränktes Verbot von Identitätsdiebstahl und -missbrauch; das Gesetz sieht auch strafrechtliche Sanktionen vor. Formal ist dies gut und schön, aber die Täter werden so gut wie nie gefasst, weil die Ermittlungsbehörden das Problem kaum auf der Agenda haben. Die zuständigen Abteilungen sind personell unterbesetzt, die Jagd nach den Tätern – meist organisierte Banden, die im Netz nahezu unbehelligt geklaute Identitäten teilen – ähnelt einer Verfolgung eines Porsche mit dem Dreirad. Hier muss mehr geschultes Personal her. Wie wäre es mit dieser Aufgabe anzufangen, statt Netzsperren zu verhängen?
Mitverantwortung tragen auch die Anbieter von Portalen, Online-Shops, Aktions- und Handelsplattformen. Viele von ihnen gehen unverantwortlich mit den Daten ihrer Nutzer um und setzen sie damit erheblichen Risiken aus. Und dann sind da noch all die Unternehmen, die mit Unmengen personenbezogener Daten handeln. Sie müssen beispielsweise mit einem Datenbrief gezwungen werden , den Bürgern mitzuteilen, welche Informationen sie gespeichert und munter weiter verteilt haben. Auch hier gilt: Falsche Daten dürfen gar nicht in Umlauf kommen. Noch besser wäre es natürlich, wenn die Bürger Schadensersatzansprüche geltend machen könnten, wenn ihnen durch den Handel mit falschen persönlichen Daten Schaden erwuchs. Das Datenschutzgesetz ist in dem Punkt ein harmloser Papiertiger.
Bislang werden ermittelnde Behörden eher gegen die Opfer tätig als gegen die Täter. Immerhin sind erstere ja auf den ersten Blick die "vermeintlichen" Bösen. Da verstreichen Monate, in denen Amtsgerichte Titel gegen vermeintliche Schuldner bei Onlineshops erlassen, ohne zu prüfen, ob die Person überhaupt existiert. Da steht auf einmal die Kriminalpolizei beim Arbeitgeber, um den vermeintlich Pädophilen zu verhaften. Die Opfer müssen dann mit viel Aufwand beweisen, dass sie unschuldig sind. Die Täter dagegen bleiben unbehelligt.
"Das Ausmaß statistisch genau zu erfassen, ist nicht möglich", sagt Georg Borges, einer der Autoren der Studie. Das stimmt, leider. Denn viel zu viele Opfer bringen die Straftat gar nicht erst zur Anzeige, weil sie von überforderten Behörden weggeschickt werden, weil sie von Inkassobüros zu Unrecht bedroht und kriminalisiert werden, und weil sie merken, dass sie allein und hilflos sind. Die wenigsten Rechtsschutzversicherungen übernehmen die Kosten, die Opfern von Identitätsdiebstahl entstehen. Anwälte, die auf dieses Phänomen spezialisiert sind, gibt es nur wenige. Verbraucherschutzzentralen und Datenschützer können nicht in jedem Fall weiterhelfen. Und in jedem Fall ist zuerst einmal der Ruf ruiniert.
Die Freiheit des Netzes ist nur dann von Wert, wenn der Bürger dabei sicher sein kann, dass seine Daten und die Integrität seiner Informationstechnik geschützt sind. Dies aber ist nicht der Fall. Die Politik, die Rechtsprechung und die Behörden müssen endlich aufwachen.
Mehr zum Thema
Übersicht zu diesem Artikel
Anzeige
- Datum 09.06.2010 - 16:53 Uhr
- Seite 1 | 2 | Auf mehreren Seiten lesen
- Quelle ZEIT ONLINE
- Kommentare 9
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
Das Problem ist doch vor allem, dass wer im Internet einkaufen will, auf die https-Verschlüsselung des Händlers vertrauen muss - wir keine Chance haben zu überprüfen, ob - selbst bei den ganz Großen der Branche - deren interne "Sicherheitsfeatures" gut und ausgereift sind.
Zwar war und ist das Netz niemals rechtsfrei, aber sich blind auf das Netz zu verlassen ist eben dumm - und dass muss man lernen! Intelligent und tragfähig werden, wie im normalen Leben auch, Strukturen erst dann, wenn man die Informationen über mehrere, möglichst unabhängige Kanäle, absichern kann.
Der Nationalstaat sichert hier vieles ab, was er auf seinem Boden an rechtliche Normierung und Standardisierung erzwingen kann, im Internet geht das aber zwangsläufig nicht mehr, ohne dass man die Freiheit der Nutzer massiv beschneidet und Entwicklungspotenzial begrenzt.
Nicht, dass ich dem Internet-Betrug bei ebay & Co. nun das Wort reden wollte. Aber es ist absehbar, dass nach der Studie die Polit-Dinosaurier wieder auf die Bühne kommen und lauthals Internet-Zensur, Kontrolle und Begrenzung fordern werden.
Dabei würde es schon unglaublich viel bringen, wenn Menschen lernen würden, Verantwortung für Ihren Computer und ihre Daten im Netz zu übernehmen. Niemand muss Windows oder MacOS nutzen oder auf Facebook authentische Daten hinterlegen. Es ist nur Übung und Gewohnheit, jemanden persönlich und real unter einer anderen Identität kennen zu lernen.
Sehen wir uns doch an, wie es Unternehmen machen: Immer mehr werden Kontaktpartner durch Rollen ersetzt und erst im konkreten Detail werden konkrete Ansprechpartner vermittelt.
Eben das sollte der Bürger genau so machen und der Staat sollte Gesetze schaffen, die die Kommunikation über Avatare zum Normalfall machen.
Y.S.
Was Sie schreiben, klingt interessant. Es hat mich an das kluge Vorgehen erinnert, statt seine Mitarbeiter illegal auszuforschen und sich damit selbst rechtlich ins Abseits zu stellen, lieber Daten individuell zu markieren, um so dann ganz legal den Maulwurf anhand der Signatur der von ihm nach außen getragenen Daten zu identifizieren.
Die modernen Kommunikationsmöglichkeiten von heute erlauben nicht nur, sie erfordern sogar, dass wir uns weiterentwickeln und entweder bewährte Methoden auf die neuen Kanäle übertragen, neue Ansätze entwickenn oder einfach mal wieder regelmäßig den gesunden Menschenverstand einschalten. Vielleicht wird manchen auch im scheinbar unbeobachteten Heim nicht richtig klar, dass ihr Monitor kein Fenster mehr zu einem lokalen, privaten Bereich darstellt. Vielleicht müssen hier auch Entwickler von Benutzerschnittstellen und Software mit daran arbeiten, den Nutzer auf sein immer häufiger potenziell öffentliches Auftreten zu erinnern.
Gibt es weitere Informationen zu der von Ihnen angesprochenen Vorgehensweise, bestimmten Rollen erst spät konkrete Ansprechpartner zuzuweisen? Darüber würde ich gern mehr erfahren. Gerne auch per email: klickensiehier@yahoo.de
Vielen Dank und schöne Grüße,
Martin Klicken
Was Sie schreiben, klingt interessant. Es hat mich an das kluge Vorgehen erinnert, statt seine Mitarbeiter illegal auszuforschen und sich damit selbst rechtlich ins Abseits zu stellen, lieber Daten individuell zu markieren, um so dann ganz legal den Maulwurf anhand der Signatur der von ihm nach außen getragenen Daten zu identifizieren.
Die modernen Kommunikationsmöglichkeiten von heute erlauben nicht nur, sie erfordern sogar, dass wir uns weiterentwickeln und entweder bewährte Methoden auf die neuen Kanäle übertragen, neue Ansätze entwickenn oder einfach mal wieder regelmäßig den gesunden Menschenverstand einschalten. Vielleicht wird manchen auch im scheinbar unbeobachteten Heim nicht richtig klar, dass ihr Monitor kein Fenster mehr zu einem lokalen, privaten Bereich darstellt. Vielleicht müssen hier auch Entwickler von Benutzerschnittstellen und Software mit daran arbeiten, den Nutzer auf sein immer häufiger potenziell öffentliches Auftreten zu erinnern.
Gibt es weitere Informationen zu der von Ihnen angesprochenen Vorgehensweise, bestimmten Rollen erst spät konkrete Ansprechpartner zuzuweisen? Darüber würde ich gern mehr erfahren. Gerne auch per email: klickensiehier@yahoo.de
Vielen Dank und schöne Grüße,
Martin Klicken
Was Sie schreiben, klingt interessant. Es hat mich an das kluge Vorgehen erinnert, statt seine Mitarbeiter illegal auszuforschen und sich damit selbst rechtlich ins Abseits zu stellen, lieber Daten individuell zu markieren, um so dann ganz legal den Maulwurf anhand der Signatur der von ihm nach außen getragenen Daten zu identifizieren.
Die modernen Kommunikationsmöglichkeiten von heute erlauben nicht nur, sie erfordern sogar, dass wir uns weiterentwickeln und entweder bewährte Methoden auf die neuen Kanäle übertragen, neue Ansätze entwickenn oder einfach mal wieder regelmäßig den gesunden Menschenverstand einschalten. Vielleicht wird manchen auch im scheinbar unbeobachteten Heim nicht richtig klar, dass ihr Monitor kein Fenster mehr zu einem lokalen, privaten Bereich darstellt. Vielleicht müssen hier auch Entwickler von Benutzerschnittstellen und Software mit daran arbeiten, den Nutzer auf sein immer häufiger potenziell öffentliches Auftreten zu erinnern.
Gibt es weitere Informationen zu der von Ihnen angesprochenen Vorgehensweise, bestimmten Rollen erst spät konkrete Ansprechpartner zuzuweisen? Darüber würde ich gern mehr erfahren. Gerne auch per email: klickensiehier@yahoo.de
Vielen Dank und schöne Grüße,
Martin Klicken
Sie schreiben: "Sehen wir uns doch an, wie es Unternehmen machen: Immer mehr werden Kontaktpartner durch Rollen ersetzt und erst im konkreten Detail werden konkrete Ansprechpartner vermittelt."
Ein interessantes und sehr wohl bekanntes Vorgehen.
Doch wie das "normale Nutzer" machen sollen erläutern Sie nun bitte hunderten Millionen Internet-Kunden von - sagen wir: ebay oder Amazon - oder gleichsam hunderttausenden von Air Berlin, Expedia, Swoodoo oder Neckermann.
Guten Tag,
wundert sich denn niemand, daß diese Studie JETZT veröffentlicht wird?
JETZT, wo der Bund uns auf die Einführung eines eBPA vorbereitet?
Da wird es doch nicht lange dauern, bis diese Studie herangezogen wird, um auch dem letzten klar zu machen, daß der eBPA wirklich, wirklich wichtig ist - weil die bösen Buben (und natürlich auch die bösen Mädels) dann keine Identitäten mehr stehlen können?
Liebe Redaktion Zeit-Online - gerne stehe ich mit zur Verfügung für entsprechende Hintergrundinfos ... Sie kennen ja durch die Registrierung meine Kontaktdaten.
Gegen falsche Verdächtigung, weil jemand den heimischen Computer oder das WLan missbraucht hat, ist natürlich praktisch kein Kraut gewachen, schon gar keines für den "Normalanwender". Dazu müssten alle Computersysteme prinzipiell sicherer werden, als sie heute schon sind. Dass sich da in der Breite extrem viel bessern wird, ist nicht anzunehmen. Die Justiz muss da einfach lernen, sehr vorsichtig mit solchen "Beweisen" zu sein.
Gegen Betrugsdelikte mit gestohlenen Kredit- und Kontodaten lässt sich aber sehr wohl etwas machen: Man muss sichere Zahlsysteme verwenden. Dazu muss man an der Abwicklung des Zahlvorgangs gar nicht viel ändern, man muss lediglich Sicherstellen, dass ein Zahlvorgang der Bestätigung des Anwenders bedarf.
Kreditkartenzahlungen und Bankeinzüge dürfen eben nur abgewickelt werden, nachdem der Benutzer diese über sein Onlinebankingsystem frei gibt. Mit etwas Mühe kann man das sehr Anwenderfreundlich gestalten und z.B. auch gestatten, regelmäßige Abbuchungen für bestimmte Firmen freizugeben etc.
Die Onlinebankingsysteme sind ja vergleichsweise sicher, jedenfalls wenn man einmal Fishing außen vor lässt, das eben nur auf der Dummheit der Anwender basiert.
Jedem Bürger ein Zertifikat zur Authentifizierung auszustellen, halte ich davon abgesehen durchaus für praktisch. Auch wenn man das nicht unbedingt mit dem Ausweis koppeln muss. Für die Sicherheit von Zahlungssystemen benötigt man das aber nicht unbedingt.
"...haben die Behörden das Problem kaum erkannt"
Kann man wohl sagen. Wenn ich daran denke, dass noch vor ein paar Jahren die Polizei die Vernehmungen mit Schreibmachinen tippten. Es kam vor, dass - ganz progressiv (oder verzweifelt?) - die Sekretärin ihren PRIVATEN alten Mac mit Monitor & Drucker ins Polizeibüro mitbrachte, einfach damit sie ihre Tipparbeit, das Korrigieren und Ausdrucken schneller erledigen konnte. Selbst erlebt (und von der Sekretärin bestätigt bekommen), als ich eine Zeugenaussage machte, anno 2001 oder 2002, in einem Berliner Polizeibüro (beileibe keine Klitsche).
Wie Schüzt man sich vor diesen Diebstählen?
Es ist doch im Prinzip ganz einfach und simpel sich davor zu schützen.
Man gibt ganz einfach NIE mehr an als unbedingt nötig ist.
Für die Registration in Foren oder Sozialen Netzwerken benutzt man einfach eine zweite E-Mail Adresse die unter falschem Namen geführt wird. Man verzichtet Grundsätzlich auf Kreditkartenzahlung im Internet bzw. Zahlt per Vorkasse oder auf Rechnung (Analog versteht sich) oder per Paysafecard (gibts an jeder Tanke). Desweiteren registriert man sich nur in Shops mit diversen Gütesiegeln, die außerdem in ihren AGB's drin haben das eine Datenweitergabe nicht statt findet. Dazu noch ein gutes antivirus Programm und ne brauchbare Firewall und schon kann man sich zumindest ein wenig entspannen. Ich verstehe nicht wieso man jetzt deswegen so ein Drama daraus macht. Wenn jemand seinen Rechner nicht sicher macht ist er selber schuld, man prüft doch auch bevor man ins Auto steigt ob die Bremsen noch gehen. Dummerweise gibt es diese Mentalität bei Computer noch nicht.
Bitte melden Sie sich an, um zu kommentieren