Digitale Identitäten als wahrer Datenschatz für Cyber-Kriminelle

PSW GROUP warnt vor Folgen des Daten- und Identitätsdiebstahls

[datensicherheit.de, 17.05.2021] Menschen besäßen heute nicht nur eine analoge, sondern auch eine digitale Identität: In Sozialen Netzwerken treffe man sich mit Freunden, die Arbeit verlaufe in „Pandemie“-Zeiten deutlich digitaler und abends gehe es zur gemeinsamen „Watch-Party“ aufs heimische Sofa – verbunden mit Freunden über das World Wide Web. Doch jede dieser Aktivitäten hinterlässt Daten-Spuren, welche es erlaubten, Digitalprofile von Opfern zu erstellen und zu missbrauchen.

Foto: PSW GROUP

Patrycja Schrenk: Cyber-Kriminelle sammeln Daten, um sie später für ihre kriminellen Vorhaben zu nutzen

Besitz personenbezogener Daten ermöglicht sogar Manipulationen von Aktienkursen

Doch, so warnt Patrycja Schrenk, Geschäftsführerin der PSW GROUP, jeder dieser Schritte hinterlasse Spuren und diese insgesamt würden es erlauben, Digitalprofile zu erstellen: „Genau das ist auch das Ansinnen von Cyber-Kriminellen. Meist sammeln sie zuerst Daten, um sie später für ihre kriminellen ,Geschäftsmodelle‘ zu nutzen. Das Bestellen von Waren dürfte gemeinhin bekannt sein, jedoch erlaubt der Besitz von personenbezogenen Daten sogar Manipulationen von Aktienkursen. Die Auswirkungen sind also gigantisch.“
Es gebe verschiedene Wege, wie Cyber-Kriminelle an digitale Daten gelangen könnten: „Über Hacking können sie sich Zugang zu Online-Accounts direkt verschaffen, aber auch Zugang zu Datenbanken, in denen personenbezogene Nutzerdaten gespeichert sind. Mittels Phishing können Cyber-Kriminelle betrügerische Inhalte veröffentlichen und Nutzende dazu verführen, persönliche Daten wie Login-Daten selbst preiszugeben.“
Beim „Social Engineering“ würden Opfer mit persönlichen Informationen dazu gebracht, Vertrauen in den Angreifer zu entwickeln und durch den persönlichen Kontakt verleitet, Informationen wie Login-Daten oder andere private Informationen weiterzugeben. Auch mithilfe von sogenannten Trojanern, welche sich Opfer unbemerkt beim Download von Dateien einfingen, könnten Kriminelle sensible Daten abfangen, ergänzt Schrenk.

6 Tipps zum Schutz vor Daten- und Identitätsdiebstahl im Internet

„Anwender können sich aber vor Identitätsdiebstahl im Internet bereits gut schützen, wenn sie sechs Regeln immer beherzigen“, betont die IT-Sicherheitsexpertin und zählt auf:

• Die Verwendung sicherer Passwörter aus einer Buchstaben-Zahlen-Sonderzeichen-Kombination sei das „A und O“ – und zwar für jeden Dienst ein anderes.
• Zweitens diene die Verwendung eines weiteren Faktors für den Login als zusätzliche Sicherheitsschranke. Viele Dienste-Anbieter erlaubten dies inzwischen und versendeten beispielsweise einmalige Codes aufs Handy.
• Drittens müssten Updates, die Anbieter zur Verfügung stellen, so zeitnah wie möglich eingespielt werden. Diese enthielten nämlich meist nicht nur neue Funktionen, sondern schlössen bekanntgewordene Sicherheitslücken.
• „Weiterhin rate ich sowohl in öffentlichen WLANs als auch bei Verwendung öffentlich verfügbarer Geräte auf Logins zu verzichten. Die Nutzung sollte sich auf allgemeine Recherchen und Informationen beschränken.“
• Fünftens seien Sicherheitssoftware und VPN unabdingbar, um Geräte, auch Mobilgeräte, vor Gefahren wie Malware zu schützen und sicher zu surfen.
• „Und last but not least sollten E-Mails immer mit Bedacht geöffnet werden – auch wenn die E-Mail von einem bekannten Absender zu stammen scheint. Dasselbe gilt für darin enthaltene Links oder Links, die über Messenger kommen.“

Folgen von Daten- und Identitätsdiebstahl: Finanzielle Schäden, Fake Shops, Cyber-Mobbing

Dass sie Anwender zur Einhaltung dieser Regeln nachdrücklich anhält, habe gute Gründe. Denn die Folgen von Identitätsdiebstahl im Internet seien vielfältig. Entweder verschafften sich Cyber-Kriminelle Zugang zum Online-Banking und könnten das Konto ihres Opfers direkt leerräumen. Oder sie hätten Zugang zum Online-Shop, wo sie auf den Namen ihres Opfers Bestellungen tätigten. Schrenk: „Doch nicht immer sind die Kriminellen hinter Zahlungsinformationen her, zuweilen begnügen sie sich auch mit Zugang zu E-Mail-Accounts oder anderen Kommunikationskanälen.“ Im Hintergrund bauten sie sogenannte Botnetze auf und versendeten, vom Opfer unbemerkt, über solche Bots massenhaft Spam.
Es sei außerdem möglich, dass die Daten anderer für Cyber-Mobbing genutzt würden, mahnt Schrenk und erklärt, dass bei einem Identitätsdiebstahl in den Sozialen Netzwerken beispielsweise über ein gekapertes Konto gefälschte Tatsachen, sogenannte Fake-News, publiziert werden könnten. „Da Hetz-Postings mittlerweile strafrechtlich verfolgt werden, kann das üble Folgen haben: Aus dem eigentlichen Opfer wird der Täter – und dieser muss erst mal beweisen, tatsächlich Opfer krimineller Machenschaften zu sein.“

Sofortiges Handeln bei erstem Anzeichen von Daten- und Identitätsdiebstahl

Eine noch recht junge Masche, die in den vergangenen Monaten jedoch immer wieder auftauche, sei jene der Fake-Shops: „Kriminelle gründen Online-Shops auf den Namen derer, von denen sie vorher persönliche Daten entwendet haben, um dort beispielsweise falsche Markenartikel zu vertreiben.“ Schrenk betont: „Auch hier können ernste juristische Folgen drohen. Denn das ahnungslose Opfer, auf den der Online-Shop läuft, kann nicht nur mit Klagen von Herstellern der gefälschten Artikel überhäuft werden, sondern auch von denen, die in dem Shop womöglich bereits bestellt haben, aber nie Ware erhielten.“ Sie rät: „In solch einem schwerwiegenden Fall müssen Opfer sofort Strafanzeige stellen und verdeutlichen, dass sie mit dem Fake-Shop nichts zu tun haben.“
Wer den Verdacht hegt, Opfer eines Identitätsdiebstahls im Internet geworden zu sein, sollte zügig handeln. „Das eigene Bankkonto sollte jeder stets im Blick haben – einschließlich der genutzten Zahlungsdienstleistern. Wer online vorrangig mit ,PayPal‘ zahlt, sollte, wie auf dem Girokonto, regelmäßig die Kontobewegungen kontrollieren. Bei unbefugten finanziellen Transaktionen müssen zum einen die jeweiligen Fristen der Geldinstitute beachtet werden, um eine Chance zu haben, das Geld wieder zurückbuchen zu lassen. Zum anderen, und das ist obligatorisch, sollten Konten sowie EC- und Kreditkarten sofort gesperrt werden.“
Hierfür gebe es die allgemeine vom Geldinstitut unabhängige Sperr-Notruf-Nummer 116116, aber auch die Banken unterstützten. Zudem verfüge die Polizei über ein System zum Sperren. Apropos Polizei: „Dort sollte Strafanzeige gestellt werden. Denn auch wenn die Aufklärungsquote bei derartigen Verbrechen noch gering ist: Wenn niemand Strafanzeige stellt, wird es auch keine Ermittlungen geben.“ Wichtig sei auch, sofort sämtliche Passwörter zurückzusetzen – auch jene von nicht betroffenen Anbietern. Zudem sollten die betroffenen Anbieter über den Missbrauch des Accounts informiert werden. In aller Regel gebe es dafür Meldeformulare der Anbieter, so Schrenk.

Bei Verdacht auf Daten- und Identitätsdiebstahl sämtliche Geräte auf Malware-Befall prüfen

Im nächsten Schritt empfiehlt Schrenk, alle Geräte auf Malware, wie Viren und Trojaner, zu prüfen. Dies schließe nicht nur den PC, sondern auch Smartphone und Tablet, den TV-Stick und die IoT-Geräte ein. Eine gute Sicherheitssoftware nehme diese Arbeit für gewöhnlich zwar ab, im Falle eines Verdachts auf Identitätsdiebstahl sollte aber genau überprüft werden.
Es könnte außerdem sein, dass Cyber-Kriminelle „auf ihren Streifzügen durch das Online-Profil ihres Opfers auch auf dessen Freunde gestoßen sind und mit ihnen schon ihre nächsten Opfer auswählen“. Deshalb sollten auch Freunde und Bekannte informiert werden. Hat der Identitätsdiebstahl auch berufliche Folgen, sei ein Gespräch mit dem Arbeitgeber und dem Kollegium unabdingbar.
„Es kann manchmal sinnvoll sein, auch eine Schufa-Auskunft anzufordern. Denn hier ist nachvollziehbar, ob es Händler-Bonitätsanfragen gab, die nicht vom Opfer stammen. Nach Artikel 15 DSGVO steht jedem eine kostenfreie Datenkopie zu, sodass für die eigene Schufa-Auskunft nichts gezahlt werden muss“, so Schrenks abschließender Tipp.

Weitere Informationen unter zum Thema:

PSW GROUP, Bianca Wellbrock, 13.04.2021
IT-Security / Identitätsdiebstahl im Internet: Digitale Identität schützen

datensicherheit.de, 07.04.2021
Facebook-Datenleck: Maßnahmen gegen drohenden Identitätsdiebstahl / Persönliche Daten von 533 Millionen Facebook-Nutzern, einschließlich Telefonnummern, online geleakt

datensicherheit.de, 16.07.2020
Praxisbericht aus der IIoT-Security: Digitale Identitäten in der Industrie / Wie sich Maschinen, Geräte und Komponenten anmelden und sicher miteinander kommunizieren können

datensicherheit.de, 14.05.2020
Theiners SecurityTalk: Identitätsdiebstahl als unterschätzte Gefahr / Mittelstand unterschätzt noch zentrale Bedrohung für Datensicherheit