Identitätsmissbrauch
Inhalt: Das erwartet Sie in diesem Artikel
Diesen Anruf wird Claudia Pfister wohl nie vergessen. Es war am 3. Dezember 2019, gegen 11 Uhr. Die Unternehmenscoachin aus München arbeitete gerade in ihrem Büro, als das Telefon klingelte. Es meldete sich ein Polizist aus dem niedersächsischen Uelzen. Ihm liege eine Anzeige vor, die auch sie beträfe.
Irritiert hörte die damals 50-jährige Pfister dem Beamten zu. Eine Frau hatte eine Kaffeemaschine über die Website coffelo.net bestellt, bezahlt, aber nie erhalten. Nun ermittle er gegen die Betreiberin. Und laut Impressum des Webshops sei das sie, Claudia Pfister.
„Nein!“, entgegnete Pfister aufgeregt. Die Website kenne sie gar nicht, und sie verkaufe auch keine Kaffeemaschinen. Das energische Dementi überraschte den Polizisten nicht. Er hatte wohl damit gerechnet – und er glaubte Pfister. Solche Fake-Shops, über die Ware verkauft, aber nicht geliefert wird, liefen nur sehr selten unter dem echten Namen der Betreiber.
So bedrohlich ist Identitätsklau für Unternehmen
Pfister war Opfer eines Identitätsklaus geworden, wie der Polizist es nannte. Nach und nach wurde der Coachin das ganze Ausmaß bekannt. Bereits einige Tage vor dem Anruf aus Uelzen hatte sie bemerkt, dass ihre Kreditkarte belastet worden war – zum Bezahlen von Google-Anzeigen für die Seite coffelo.net, wie sich später ergab. Und es gab zwei weitere Fake-Shops in ihrem Namen, für Parfüm und Handys. Mehr als 200 Anzeigen gingen gegen sie ein. Auch ihr Girokonto war bereits im Griff von Betrügern.
Was Claudia Pfister passiert ist, geschieht „sehr oft“, sagt Cem Karakayan, Cybercrime-Spezialist und ehemaliger Interpol-Polizist. Betrüger missbrauchen die Identitäten anderer Menschen, um illegale Geschäfte zu machen. Die Identitätsdiebe zocken mit Fake-Shops Konsumenten ab, plündern Konten, kaufen unter falschem Namen ein oder leiten Zahlungen ins Ausland um.
Opfer sind – oft, ohne es zu bemerken – Privatpersonen, aber auch Firmen. Der Verband der Digitalwirtschaft Bitkom hat 1066 deutsche Unternehmen im Sommer 2022 zu Cyber-Risiken befragt. 36 Prozent der Befragten gaben an, in den zwölf Monaten zuvor Opfer von Datendiebstahl geworden zu sein. Weitere 27 Prozent vermuteten, betroffen zu sein. Oft geht es um Identitätsdaten: Namen, Geburtsdaten, Adressen, Passwörter, Kreditkarten- oder Kontonummern.
„Der Datenklau ist nur die Vorstufe für weitere illegale Aktivitäten“, sagt Sachar Paulus, Professor für IT-Sicherheit an der Hochschule Mannheim. Meist nutzen die Hacker die gestohlenen Daten gar nicht selbst. „Die Cybercrime-Szene operiert inzwischen arbeitsteilig“, sagt Simran Mann, Referentin für Sicherheitspolitik beim Bitkom. Die Datendiebe verkaufen ihre Beute im Darknet, dem undurchsichtigen, von Kriminellen bevorzugten Teil des Internets, für die sprichwörtliche Handvoll Dollar.
Opfer bleiben auf Schäden oft sitzen
Die Täter wissen, dass ihnen schwer beizukommen ist. Wer zum Opfer eines Identitätsmissbrauchs wurde, sollte nicht darauf hoffen, die Polizei könne die Täter und ergaunertes Geld dingfest machen. Als „so lala“ umschreibt der auf Cybercrime spezialisierte Münchener Anwalt Marc Maisch die Arbeit der Kriminalpolizei in diesem Bereich. Ermittlungen in Fällen mit Schäden unterhalb der Millionengrenze würden die Staatsanwaltschaften meist schnell einstellen, ergebnislos.
Maisch nennt die Gründe: mangelnde technische Ausstattung und zu wenig spezialisiertes Personal. Auch der Fall von Claudia Pfister wurde recht schnell zu den Akten gelegt – ohne Ermittlung der Täter. Auf den gut 5000 Euro Schaden blieb Pfister sitzen.
Zwar können sich Unternehmerinnen und Unternehmer gegen Cyber-Attacken versichern. Versicherungsmakler Achim Fischer-Erdsiek von der auf Cybercrime spezialisierten NW Assekuranzmakler Prorisk mahnt jedoch, jeder sei für seine Sicherheit grundsätzlich selbst verantwortlich. Die Versicherer forderten „ein Minimal-Level an IT-Sicherheit und können nicht jeden Schaden decken“.
Umso wichtiger ist es, zu verstehen, wie Betrüger an die Daten kommen und wie sie damit Geld verdienen. Nur dann können Sie wirksame Vorsichtsmaßnahmen ergreifen und einen Notfallplan aufstellen, was im Falle eines Angriffs zu tun ist. Einen 100-prozentigen Schutz vor Identitätsmissbrauch aber, so viel steht fest, gibt es nicht.
Sie wollen wissen, ob Ihre bisherigen Schutzmaßnahmen ausreichend sind oder ob Ihre Daten bereits gestohlen wurden? Mit dieser Checkliste zum Download erfahren Sie es: Identitätsmissbrauch: Mit dieser Checkliste schützen und wehren Sie sich
Gefahrenquelle I: Internet-Plattformen
Im Fall von Claudia Pfister begann der Missbrauch ihrer Identität bereits, bevor Fake-Shops in ihrem Namen im Internet auftauchten und ihr Konto geplündert wurde. Im Jahr 2018 waren Hacker in die Datenbank der australischen Plattform Canva eingebrochen. Sie erbeuteten Millionen Datensätze der Nutzer: Namen, Wohnorte, E-Mail-Adressen, Passwörter. Canva bietet Grafikdesign-Tools zur Gestaltung von Websites an. Auch Coachin Pfister hatte sich dort registriert, als sie 2010 ihre erste Internetseite aufbaute.
Ihre Daten boten die Hacker im Darknet an. Das ergab ein Gutachten, das eine IT-Forensikerin des Cybercrime-Experten-Netzwerks Blackstone432 für Pfister erstellt hat. Cem Karakaya hat das Netzwerk ins Leben gerufen; Blackstone heißt auf Türkisch Karakaya, 432 war seine Grundschulnummer. Zum Team gehören neben der Internetforensikerin auch Privatdetektive und der Fachanwalt für IT-Recht Maisch.
Das Gutachten zeigte: Die Fake-Shop-Betrüger kauften zunächst Pfisters Daten. Es gelang ihnen dann, ihren E-Mail-Account zu kapern. Aus gut 7000 Mails holten sich die Online-Gangster alles, was sie benötigten, um in Pfisters Namen ihre illegalen Geschäfte aufzuziehen: Kreditkarten- und Kontonummern, die Fotokopie ihres Reisepasses mit Geburtsdatum, Unterschrift, privater Anschrift. Das reicht.
„Es fühlte sich sehr unangenehm an, dass in meinem Namen andere Menschen übers Ohr gehauen werden. Schließlich hätten auch Kunden von mir dabei sein können“, sagt Pfister. Es dauerte fast vier Monate, bis es ihr mit der Hilfe von Rechtsanwalt Maisch gelang, alle drei Fake-Shops vom Netz nehmen zu lassen.
Die Lektion: Ändern Sie Ihre Passwörter regelmäßig! Nutzen Sie für Ihren E-Mail-Account eine 2-Faktor-Authentifizierung.
Gefahrenquelle II: Öffentliche Daten
Seit wann sie auf dem Marketplace von Amazon.de als Verkäufer gelistet waren, das wissen Renate und Stefan Welker nicht. Fest steht aber: Das Unternehmerpaar hat auf der Plattform selbst niemals Ware zum Kauf angeboten – aber jemand anderes, mit ihrem Namen.
Am 22. Januar 2022 rief eine Selbstständige in der Firma der Welkers an. Sie habe über Amazon eine Werkzeugtasche bei ihnen gekauft. Die mit der Ware verschickte Rechnung sei unvollständig; für die Steuer benötige sie eine neue. Die Welkers fragten erstaunt, wovon die Anruferin überhaupt spricht. „Wir hatten noch nicht einmal ein Kunden-Account bei Amazon, geschweige denn eines für Verkäufer“, sagt Renate Welker. Außerdem verkaufen sie mit ihrer Firma Tecmara Produkte für industrielle Pumpanlagen, keine Werkzeugtaschen.
Sie erhielten Weblinks zum Amazon-Marketplace, wo die Ware in ihrem Namen angeboten wurde. „Wir waren erst einmal sprachlos“, erinnert sich Welker. Sämtliche Angaben zum Verkäufer der Werkzeugtasche auf Amazon.de stammten aus ihrem Impressum, das auf ihrer Homepage steht: Adresse, Handelsregisternummer, Umsatzsteuer-ID, Inhaber.
Die Welkers befürchteten, da könnte jemand in Ihrem Namen Umsatzsteuerbetrug begehen oder Einfuhrzölle für die Handwerker-Artikel made in China nicht bezahlen. Und was, wenn enttäuschte Kunden negative Bewertungen zu ihrer Firma bei Google einstellten?
Am 3. Februar schrieb Renate Welker Amazon per E-Mail an, mit der Aufforderung, dem Treiben der Betrüger ein Ende zu setzen. Sie erhielt eine Eingangsbestätigung, sonst gab es keine Rückmeldung. Sie informierte das Finanzamt und erstattete Anzeige bei der Polizei. Doch nach mehreren Telefonaten mit der zuständigen Dienststelle für Cybercrime erhielten sie keine Nachricht mehr.
Dennoch: Ihr Vorgehen war wichtig. „Sobald ein Plattformbetreiber wie Amazon darüber in Kenntnis ist, dass ein Nutzer-Account für Betrug genutzt wird, steht er in der Pflicht, tätig zu werden“, sagt Christian Wolff, Anwalt für IT-und Medienrecht in der Kieler Kanzlei Brock Müller Ziegenbein. Damit hätte Amazon selbst ein Interesse daran, die Betrüger zu sperren. Und mit der Anzeige könnten die Welkers Betrugsvorwürfe gegen sie selbst abwehren.
Die Sache ging, wie es scheint, glimpflich aus. Nachdem Amazon sich auf ihre Kontaktversuche über Monate nicht mehr zurückgemeldet hatte und der Fake-Verkäufer weiter aktiv war, registrierten sich die Welkers schließlich selbst als Verkäufer auf dem Marketplace. Damit stand ihnen ein weiterer Kanal offen, um mit Amazon zu kommunizieren.
Ob in Reaktion auf die Nachricht der Welkers oder aus anderen Gründen: Nun wurde der Online-Riese tätig. Anfang Juli sperrte Amazon den Fake-Verkäufer. Wer es war, bleibt unklar.
Amazon verweist auf Anfrage von impulse darauf, dass man „hochentwickelte Programme, unterstützt von maschinellem Lernen“ nutze, um „Akteure mit schlechten Absichten, die versuchen, unsere Systeme zu missbrauchen“, zu bekämpfen. Zudem arbeite der Konzern hierfür auch mit den Strafverfolgungsbehörden zusammen.
Die Lektion: Nutzen Sie die Google-Alert-Funktion und lassen Sie sich benachrichtigen, wenn Ihr Name oder der Ihrer Firma im Netz auftaucht.
Gefahrenquelle III: E-Mails
Experte Karakaya weiß, wie Cyber-Kriminelle an Daten kommen, ganz ohne zu hacken. „Ich habe in einer Datenbank im Darknet Zugriff auf mehr als 14 Milliarden E-Mail-Adressen mit Passwort“, sagt er. „Dafür zahlt man 170 Dollar im Monat.“ Nicht alle Daten in dieser Liste sind aktuell. Doch vielfach dürften sie den Zugang zu E-Mail-Konten ermöglichen.
Mehr ist gar nicht nötig für eine Methode des Identitätsmissbrauchs, die bei Kriminellen immer beliebter wird und gerade für Unternehmen sehr gefährlich ist: sogenannte Man-in-the-Middle-Attacken. Wie das funktioniert, zeigt der Fall eines Autohändlers, der sich hilfesuchend an den Anwalt Marc Maisch wendete.
Der Identitätsdieb, so berichtet es Maisch, hatte sich zunächst Zugang zum E-Mail-Postfach des Autoverkäufers verschafft. So konnte er die gesamte Geschäftskorrespondenz mitlesen. Als der Händler einem Kunden die Rechnung für ein Auto über 50 000 Euro schickte, setzte der Betrüger zum Angriff an.
Binnen wenigen Minuten verschickte er die Mail ein zweites Mal, allerdings mit einer kleinen Änderung in der angehängten Rechnung: Die IBAN war eine andere, die des Kriminellen. Um seine Spuren zu verwischen, löschte der Man in the Middle die gefälschte Mail im Versendet-Ordner des Händler-Accounts sofort.
Zwar wunderte sich der Autokäufer, dass er die Rechnung zweimal erhielt, und fragte per Mail nach, welche er beachten solle. Darauf antwortete wiederum der Online-Gangster und löschte diesen Mailverkehr anschließend gleich wieder.
Zahlungsumleitungsbetrug heißt diese spezielle Masche, oder auf Englisch: Payment Diversion Fraud. „Bedroht sind davon vor allem Mittelständler, die unverschlüsselte Mails verschicken“, warnt Anwalt Maisch.
Die Lektion: Nutzen Sie für geschäftliche E-Mails eine Verschlüsselungstechnik.
Gefahrenquelle IV: Mitarbeiter
Leichtes Spiel haben Cyber-Kriminelle, wenn sie nicht E-Mail-Konten der Geschäftsleitung, sondern von Teammitgliedern missbrauchen. So kennt Maisch den Fall einer Firma, der diverse Zeitschriften-Abonnements in Rechnung gestellt wurden. Die Ware kam nie bei den vermeintlichen Bestellern an. „Die Bestellungen gingen vom E-Mail-Account einer Mitarbeiterin raus“, sagt Maisch. „Die hatte davon gar nichts mitbekommen.“
Mitarbeiter und Mitarbeiterinnen für die Finesse der Cyber-Kriminellen zu sensibilisieren sei daher eine ganz zentrale Maßnahme zur Schadenvermeidung, sagt Cem Karakaya. Regelmäßig macht er für Unternehmen Tests, um zu erfahren, ob allen im Team klar ist, wie die Betrüger vorgehen. Immer wieder muss Karakaya dabei feststellen, wie gutgläubig immer noch viele Menschen sind.
Als er mit der Mailadresse eines Unternehmers an das gesamte Team der Firma einen Weblink verschickte, der anzuklicken sei, um das Passwort für das E-Mail-System zu ändern, erhielt Karakaya von einem Mitarbeiter eine verblüffende Antwort: „Der Mann schrieb, er hätte immer wieder den Link angeklickt, es kämen aber immer nur bunte Bilder. Wie solle er nun sein Passwort ändern?“
Im Ernstfall hätte dieser Mitarbeiter durch den Klick auf den Link in dieser sogenannten Phishing-Mail vermutlich eine Schadsoftware heruntergeladen oder Betrügern auf andere Art Zugang verschafft. „Solche Mitarbeiter sind gefährlicher als die Cyber-Kriminellen selbst“, sagt Karakaya.
Das gilt umso mehr, weil Kriminelle inzwischen sogar am Telefon die Identität anderer Menschen übernehmen. Beim sogenannten Call-ID-Spoofing können Betrüger das Telefon so manipulieren, dass beim Empfänger eine falsche Nummer angezeigt wird.
Bleibt noch die Stimme, an der ein Betrüger zu erkennen wäre. Doch dafür gibt es mittlerweile Software, die Stimmen nahezu perfekt imitieren kann. Mit einer Verzögerung von wenigen Sekunden gibt das Programm mit täuschend echter Stimme Sätze wieder, die zuvor am Computer eingetippt wurden. In der Praxis wird diese Technik genutzt, um die Identität einer Person aus der Geschäftsführung anzunehmen.
Im Gespräch erhält dann etwa der Assistent oder die Buchhalterin den Auftrag, einen größeren Betrag sofort zu überweisen. „Die Kriminellen haben meist zuvor bereits das Unternehmen ausgespäht und wissen, dass der vermeintliche Anrufer an diesem Tag nicht in der Firma ist“, weiß Karakaya. Auch ein paar persönliche Details zum Gesprächspartner sind bekannt und fließen geschickt ins Gespräch mit ein, etwa dass der Assistent an diesem Tag im Homeoffice arbeitet. „Es wird eine perfekte Illusion geschaffen“, sagt Karakaya.
Die Lektion: Stellen Sie Regeln für Weisungen auf, die per E-Mail oder Telefon erteilt werden, einschließlich der Pflicht zur Rückversicherung. Aber dafür sollte niemals die Rückruftaste am Telefon oder die Antwortfunktion der E-Mail benutzt werden. Dann landet man wieder nur bei den Betrügern.
