Internetkriminalität ist ein wachsendes Problem. Einer Studie der Unternehmensberatung PWC zum Thema Cybersecurity aus dem Jahr 2016 zufolge soll jeder dritte Deutsche schon von Datenmissbrauch betroffen sein. Deutschlands größte Auskunftei, die Schufa, geht sogar davon aus, dass mindestens jeder Fünfte bereits Opfer von Identitätsdiebstahl geworden ist.

Besonders häufig werden Politikerinnen und Politiker sowie Prominente Opfer von Internetkriminalität und Datenmissbrauch, sagt der Cybercrimeexperte Cem Karakaya. Der ehemalige Interpol-Agent arbeitet im Bereich Prävention bei der Polizei in Bayern und berät hier betroffene Bürgerinnen und Bürger. Außerdem sensibilisiert er in Vorträgen für die Gefahren im Netz. "Allein im Jahr 2016 wurden im Namen der Politiker des Berliner Abgeordnetenhauses mehr als 500 Einzelbestellungen bei Onlineversandhäusern getätigt, um nur ein Beispiel aus der Kommunal- und Landespolitik zu nennen", sagt Karakaya.

Wie kann ich mich schützen?

1. Geräte mit Antivirensoftware, Firewall und Updates aktuell halten: Das gilt für alle Geräte, die mit dem Internet verbunden sind. Malware nutzt häufig Sicherheitslücken aus, daher sollte man immer Updates installieren, sobald diese zur Verfügung stehen. Noch immer hält sich hartnäckig die These, dass Apple-Rechner sicherer seien als PCs. Doch das stimmt oft nicht mehr.

2. Niemals leichtfertig personenbezogene Daten veröffentlichen – dazu gehört auch das Geburtsdatum. Denn dieses in Verbindung mit dem Namen reicht schon für einen Warenkreditbetrug unter Identitätsdiebstahl.

3. Keine Anhänge von unbekannten Absendern öffnen, nicht Links in Mails anklicken, Software und Tools nur von vertrauenswürdigen Websites herunterladen und bei Links in der Browser-Adresszeile genau prüfen, ob dort wirklich die richtige Internetadresse steht, oder ob es sich um eine gefälschte Seite mit leicht veränderter Adresse handelt. Man sollte generell nie einem Link beim Onlinebanking ohne Gegencheck einfach so folgen. Am sichersten ist es daher, die URL selbst einzugeben.

4. Regelmäßig Passwörter wechseln und kryptische, die mit Zahlen, Zeichen, Groß- und Kleinschreibung benutzen und niemals dasselbe Passwort für alle Dienste verwenden.

5. Nicht wahllos Freundschaftsanfragen von Unbekannten in sozialen Netzwerken akzeptieren. Man sollte auch vorsichtig sein, wenn ein Kontakt einem erneut eine Freundschaftsanfrage stellt, weil seine Kontodaten angeblich verloren gegangen seien. Betrüger spiegeln Nutzerprofile und versuchen auf diesem Weg die Kontaktdaten der Freunde des gekaperten Nutzerprofils abzufischen.    

Gut ist es übrigens auch, wenn man Nutzerkonten durch sogenannte doppelte Authentifizierung mit einem Handycode schützen kann. Wichtig ist auch, Sicherheitsfragen für Nutzerkonten so zu wählen, dass sie nicht einfach über das Netz recherchierbar sind.

6. Ein Google-Alert für den eigenen Namen einrichten. Dann informiert Google einen darüber, wenn der Name an einer neuen Stelle im für die Suchmaschine zugänglichen Netz eingegeben wird. Davon ist das Darknet allerdings ausgenommen. Mit der umgekehrten Google-Bildersuche ist es möglich, festzustellen, ob die eigenen Bilder auf anderen Seiten verwendet werden. Dabei lädt man seine Fotos bei Google hoch und die Suchmaschine prüft, ob die Bilder auch an anderen Stellen im für sie zugänglichen Netz auftauchen. Oder man sucht mit einer Bilder-URL. 

7. Daten sind eine wichtige Währung. Daher sollte man genau darauf achten, bei welchem Dienst und für welchen Service man welche Daten hinterlässt. Man sollte auch die Allgemeinen Geschäftsbestimmungen (AGB) sorgfältig prüfen und checken, ob bereits vorgenommene Einstellungen etwa Daten weiterverbreiten oder zu Werbezwecken verwenden. Hilfreich für Bestellvorgänge im Internet ist es auch, sich eine sogenannte Wegwerfmailadresse einzurichten. Dann muss man bei einem Missbrauch nur eine neue kostenlose Mailadresse einrichten.

Nach oben Link zum Beitrag

Was tun, wenn man Verdacht hat, dass personenbezogene Daten in fremde Hände gekommen sind?

Man sollte bei den wichtigsten oder am häufigsten genutzten Diensten prüfen, ob die Nutzerdaten so noch stimmen – bisweilen tragen Betrüger hier manchmal eine weitere Mailadresse ein, mit der sie die Kommunikation eines gekaperten Mailkontos abfangen können.

Es lohnt sich auch, einen Blick in die Datenbank des Hasso-Plattner-Instituts (HPI) zu werfen, in der gehackte Mailadressen hinterlegt sind. Im sogenannten HPI Identity Leak Checker können Sie mithilfe Ihrer E-Mail-Adresse prüfen, ob Ihre persönlichen Identitätsdaten bereits im Internet veröffentlicht wurden. Per Datenabgleich wird kontrolliert, ob die angegebene E-Mailadresse in Verbindung mit anderen persönlichen Daten (etwa Telefonnummer, Geburtsdatum oder Adresse) im Internet offengelegt wurde und missbraucht werden könnte. Die Liste ist nicht vollständig, gibt aber Anhaltspunkte.

Wenn man aus den Medien von einem neuen Hack hört, bei dem die Zugangsdaten von Nutzern abhandengekommen sind, sollte man sein Passwort ändern. Zu guter Letzt sollte man vorsichtig in öffentlichen WLAN-Netzen sein und hier keine sensiblen Dienste wie Onlinebanking oder Onlineshopping nutzen. Sinnvoll ist es auch, den eigenen WLAN-Router unsichtbar zu machen. Das heißt, niemand sollte den Router anwählen können, der nicht den Namen des Gerätes kennt. Eine weitere Möglichkeit ist es, nur bestimmte Geräte für das Netzwerk oder den Netzwerkzugriff freizuschalten. Für sichere Kommunikation ist auch Verschlüsselung wichtig. Mehr Informationen gibt es beim Bundesamt für Sicherheit in der Informationstechnik (BSI), das für Fragen der IT-Sicherheit zuständig ist und Bürger über Cybersicherheit informiert. Es ist unter www.bsi-fuer-buerger.de erreichbar sowie auf der Seite www.klicksafe.de, die EU-Initiative für mehr Sicherheit im Internet.

Nach oben Link zum Beitrag

Wie gehen die Kriminellen vor?

Am häufigsten kämen persönliche Daten über Trojaner und Phishing abhanden, aber auch andere Methoden seien beliebt, sagt Karakaya. Social Engineering etwa, denn viele Menschen geben personenbezogene Daten einfach so preis, beispielsweise wenn sie von Kriminellen, die sich als Mitarbeiter der Bank oder eines Telekommunikationsanbieters ausgeben, nach ihren Logindaten oder Bankverbindungen am Telefon gefragt werden.

Nach oben Link zum Beitrag

Was tun, wenn unbefugte Dritte persönliche Daten missbrauchen?

"Einmal abhandengekommene Daten lassen sich kaum noch unter Kontrolle bringen. Zwar gibt es mit der Datenschutzgrundverordnung (DGSVO) und dem deutschen Datenschutzrecht hierzulande einen weitgehenden rechtlichen Rahmen, doch in der Regel werden geklaute Daten auf Servern im Ausland gespeichert – da, wo weder das deutsche noch das europäische Datenschutzrecht greift und wo auch die Ermittlungsbehörden nicht weiterhelfen können", sagt Karakaya. Den Betroffenen bliebe dann oft nur die Möglichkeit, in akribischer Recherchearbeit zumindest da Einträge löschen zu lassen, wo es rechtlich möglich ist.

Das Problem dabei ist jedoch: Das kostet sehr viel Zeit und in der Regel sehr viel Geld. Denn um falsche oder unberechtigte Einträge löschen zu lassen, ist in der Regel die Hilfe eines Juristen nötig. Und die meisten Rechtschutzversicherungen tragen diese Kosten nicht. Bei einem Identitätsdiebstahl für Warenkreditbetrug fallen Experten zufolge im Schnitt zwischen 400 bis 800 Arbeitsstunden an, um falsche Daten wieder löschen oder unerwünschte Google-Treffer beseitigen zu lassen. Bei Cybermobbing kann es oft noch viel mehr sein. Zwar bieten mittlerweile viele Versicherungskonzerne auch einen Schutz der digitalen Identität an – oft sind es aber nur teure Zusatzpolicen, die wenig über eine begrenzte Rechtsberatung hinausgehen. Eine Hilfe bei einem hartnäckigen Missbrauch können die Dienstleistungen von Agenturen sein, die dabei helfen, eine Suchmaschinenoptimierung vorzunehmen.

Nach oben Link zum Beitrag

Wie geht man mit dem Gefühl des Kontrollverlustes um?

Bei Datenmissbrauch gibt es kein fixes Ende der Tat, weil abhandengekommene Daten möglicherweise für immer außer Kontrolle sind. Bei den Opfern kann ein psychischer Schaden entstehen. Hilfe finden Betroffene bei den Cyber-Crime-Dezernaten der Polizeibehörden sowie Opferberatungsstellen wie dem Weißen Ring, der sich seit März 2018 auch Geschädigten von Internetkriminalität widmet.

"Kriminalitätsopfer leiden häufig an psychosomatischen Folgen der Tat. Sie sind nicht nur seelisch belastet, sondern es können auch körperliche Beschwerden und Reaktionen auftreten. Bestimmte Dinge können an die Tat erinnern und lösen dann traumatische Erinnerungen aus. Das führt zu Stressreaktionen im Körper", sagt der Cybercrimeexperte Karakaya.

Generell durchlebten die meisten Kriminalitätsopfer drei Phasen: In der akuten Situation, in der sie die Tat (bewusst) erleben, löst das Ereignis erst einmal einen Schock aus. Die Opfer sind verwirrt, überrascht, traurig, verängstigt, aufgeregt. In der zweiten Phase wirkt sich das Trauma tiefer aus: In den ersten Wochen nach der Tat (oder deren Entdeckung) bestimmt kaum ein anderes Thema so dominant Gedanken und Gefühle wie der Datenmissbrauch, das Nacktsein im Netz. In dieser Phase litten viele Betroffene unter Angst und Zweifel, Wut, Schuldgefühlen und Scham, sagt Karakaya. Erst deutlich später und bei einem guten Verarbeiten der Tat könne eine Erholung eintreten. In vielen Fällen treten erst nach Monaten oder sogar Jahren wieder andere Themen in den Vordergrund. Die Zeit, die es braucht, um eine Tat zu verarbeiten, hänge daher oft nicht mit der Schwere der Tat zusammen, sondern damit, als wie schwerwiegend diese erlebt werde.

Nach oben Link zum Beitrag

Wie ist die Gesetzeslage?

Hilfe bekommen Opfer durch das Opferschutzgesetz, das 2015 zuletzt reformiert wurde. Seither können Opfer eine psychosoziale Prozessbegleitung bekommen – dafür müssen sie allerdings als besonders schutzbedürftig gelten. In der Praxis profitieren daher vor allem Kinder und Jugendliche von der Reform. Außerdem können Opfer Schmerzensgeld und Schadensersatz fordern. Diese könnten im Falle der prominenten Opfer oder der minderjährigen Mitbetroffenen wie etwa den Kindern von Robert Habeck hoch sein.

Und was hilft den Opfern noch? "Ein Perspektivenwechsel", sagt Karakaya. Problematisch sei nämlich, dass den Opfern oft unterstellt werde, selbst am Datenmissbrauch schuld zu sein, weil sie angeblich fahrlässig mit ihren Daten umgegangen sind. "Das führt zu einer Stigmatisierung der Opfer", kritisiert Karakaya. Viele Geschädigte hielten sich für dumm, sagt der Experte, dabei stimme das nicht. "Die Geschädigten waren nicht dumm, sondern die Täter sind einfach sehr professionell vorgegangen. Sie wissen ganz genau, wie man die Menschen unter Druck setzen kann, wie man Ängste schüren und Stress erzeugen kann." Auch wenn in diesem Fall die Frage nach dem Täter und seinen Motiven noch nicht abschließend geklärt ist, so deutet doch vieles daraufhin, dass hinter dem Leak ein hoch professioneller krimineller Hacker zu stecken scheint. Wichtig sei daher, dass Opfer sich nicht schämen, sagt Karakaya. Denn Scham habe zur Folge, dass viele Taten nicht angezeigt würden. So kam 2013 eine in Niedersachsen durchgeführte Dunkelfeldstudie zu dem Ergebnis, dass lediglich neun Prozent der Delikte von Cybercrime zur Anzeige gebracht werden[v]. Doch wenden sich die Opfer von Cybercrime nicht an die Ermittlungsbehörden, tauchen die Taten auch nicht in der offiziellen Kriminalstatistik auf – und daher sind viele Ermittlungsbehörden für Datenmissbrauch nicht so gut ausgestattet, wie sie es sein müssten. "Und natürlich hat das auch zur Folge, dass eine breite öffentliche Debatte ausbleibt und die Bekämpfung von Cybercrime auch auf der politischen Agenda nicht vorne steht", sagt Karakaya. Vielleicht ändert der aktuelle Leak, von dem ja unzählige Politikerinnen und Politiker betroffen sind, ja genau das.

Unsere Redakteurin Tina Groll hat zusammen mit Cem Karakaya das Buch "Die Cyber-Profis" über Internetkriminalität verfasst.

Nach oben Link zum Beitrag