Sicherheitstests nahtlos gestalten
PSW Group warnt vor den Folgen von Identitätsdiebstahl: Finanzielle Schäden, Fake Shops, Cybermobbing
Wer den Verdacht hegt, Opfer eines Identitätsdiebstahls im Internet geworden zu sein, sollte zügig handeln
Menschen besitzen heute nicht nur eine analoge, sondern auch eine digitale Identität: In sozialen Netzwerken trifft man sich mit Freunden, die Arbeit verläuft in Pandemie-Zeiten deutlich digitaler und abends geht es zur gemeinsamen Watch-Party aufs heimische Sofa – verbunden mit Freunden übers World Wide Web. Doch: Jeder dieser Schritte hinterlässt Spuren und sie alle würden es erlauben, Digitalprofile zu erstellen. "Genau das ist auch das Ansinnen von Cyberkriminellen. Meist sammeln sie zuerst Daten, um sie später für ihre kriminellen "Geschäftsmodelle" zu nutzen. Das Bestellen von Waren dürfte gemeinhin bekannt sein, jedoch erlaubt der Besitz von personenbezogenen Daten sogar Manipulationen von Aktienkursen. Die Auswirkungen sind also gigantisch", warnt Patrycja Schrenk, Geschäftsführerin der PSW Group.
Es gibt verschiedene Wege, wie Cyberkriminelle an digitale Daten gelangen können: Über Hacking können sie sich Zugang zu Online-Accounts direkt verschaffen, aber auch Zugang zu Datenbanken, in denen personenbezogene Nutzerdaten gespeichert sind. Mittels Phishing können Cyberkriminelle betrügerische Inhalte veröffentlichen und Nutzende dazu verführen, persönliche Daten wie Login-Daten selbst preiszugeben. Beim Social Engineering werden Opfer mit persönlichen Informationen dazu gebracht, Vertrauen in den Angreifer zu entwickeln und durch den persönlichen Kontakt verleitet, Informationen wie Login-Daten oder andere private Informationen weiter zu geben. Auch mithilfe von Trojanern, die sich Opfer unbemerkt beim Download von Dateien einfangen, können Kriminelle sensible Daten abgefangen.
"Anwender können sich aber vor Identitätsdiebstahl im Internet bereits gut schützen, wenn sie sechs Regeln immer beherzigen", ist Patrycja Schrenk überzeugt. Die IT-Sicherheitsexpertin zählt auf: "Die Verwendung sicherer Passwörter aus einer Buchstaben-Zahlen-Sonderzeichen-Kombination ist das A und O – und zwar für jeden Dienst ein anderes. Zweitens dient die Verwendung eines weiteren Faktors für den Login als zusätzliche Sicherheitsschranke. Viele Dienste-Anbieter erlauben dies inzwischen und versenden beispielsweise einmalige Codes aufs Handy. Drittens müssen Updates, die Anbieter zur Verfügung stellen, so zeitnah wie möglich eingespielt werden. Diese enthalten nämlich meist nicht nur neue Funktionen, sondern schließen bekannt gewordene Sicherheitslücken. Weiterhin rate ich sowohl in öffentlichen WLANs als auch bei Verwendung öffentlich verfügbarer Geräte auf Logins zu verzichten. Die Nutzung sollte sich auf allgemeine Recherchen und Informationen beschränken. Fünftens sind Sicherheitssoftware und VPN unabdingbar, um Geräte, auch Mobilgeräte, vor Gefahren wie Malware zu schützen und sicher zu surfen. Und last but not least sollten E-Mails immer mit Bedacht geöffnet werden – auch wenn die E-Mail von einem bekannten Absender zu stammen scheint. Dasselbe gilt für darin enthaltene Links oder Links, die über Messenger kommen."
Die Folgen von Identitätsdiebstahl: Finanzielle Schäden, Fake Shops, Cybermobbing
Dass die IT-Sicherheitsexpertin Anwender zur Einhaltung dieser Regeln nachdrücklich anhält, hat gute Gründe. Denn die Folgen von Identitätsdiebstahl im Internet sind vielfältig. Entweder verschaffen sich Cyberkriminelle Zugang zum Online-Banking und können das Konto ihres Opfers direkt leerräumen. Oder sie haben Zugang zum Online-Shop, wo sie auf den Namen ihres Opfers Bestellungen tätigen. Doch nicht immer sind die Kriminellen hinter Zahlungsinformationen her, zuweilen begnügen sie sich auch mit Zugang zu E-Mail-Accounts oder anderen Kommunikationskanälen. Im Hintergrund bauen sie sogenannte Botnetze auf und versenden, vom Opfer unbemerkt, über solche Bots massenhaft Spam. "Es ist außerdem möglich, dass die Daten anderer für Cybermobbing genutzt werden", mahnt Schrenk und erklärt: "Bei einem Identitätsdiebstahl in den sozialen Netzwerken beispielsweise könnten über einen gekaperten Account gefälschte Tatsachen, so genannte Fake-News, publiziert werden. Da Hetz-Postings mittlerweile strafrechtlich verfolgt werden, kann das üble Folgen haben: Aus dem eigentlichen Opfer wird der Täter und dieser muss erst mal beweisen, tatsächlich Opfer krimineller Machenschaften zu sein."
Eine noch recht junge Masche, die in den vergangenen Monaten jedoch immer wieder auftauchte, ist die der Fake-Shops: Kriminelle gründen Online-Shops auf den Namen derer, von denen sie vorher persönliche Daten entwendet haben, um dort beispielsweise falsche Markenartikel zu vertreiben. "Auch hier können ernste juristische Folgen drohen. Denn das ahnungslose Opfer, auf den der Online-Shop läuft, kann nicht nur mit Klagen von Herstellern der gefälschten Artikel überhäuft werden, sondern auch von denen, die in dem Shop womöglich bereits bestellt haben, aber nie Ware erhielten", warnt Patrycja Schrenk und rät: "In solch einem schwerwiegenden Fall müssen Opfer sofort Strafanzeige stellen und verdeutlichen, dass sie mit dem Fake-Shop nichts zu tun haben."
Schnell handeln bei ersten Anzeichen von Identitätsdiebstahl
Wer den Verdacht hegt, Opfer eines Identitätsdiebstahls im Internet geworden zu sein, sollte zügig handeln. "Das eigene Bankkonto sollte jeder stets im Blick haben – einschließlich der genutzten Zahlungsdienstleister. Wer online vorrangig mit PayPal zahlt, sollte, wie auf dem Girokonto, regelmäßig die Kontobewegungen kontrollieren. Bei unbefugten finanziellen Transaktionen müssen zum einen die jeweiligen Fristen der Geldinstitute beachtet werden, um eine Chance zu haben, das Geld wieder zurückbuchen zu lassen. Zum anderen, und das ist obligatorisch, sollten Konten sowie EC- und Kreditkarten sofort gesperrt werden. Hierfür gibt es Geldinstitut-unabhängig die allgemeine Sperr-Notruf-Nummer 116116, aber auch die Banken unterstützen. Zudem verfügt die Polizei über ein System zum Sperren", informiert Patrycja Schrenk. Apropos Polizei: Dort sollte Strafanzeige gestellt werden. Denn auch wenn die Aufklärungsquote bei derartigen Verbrechen noch gering ist: Wenn niemand Strafanzeige stellt, wird es auch keine Ermittlungen geben. "Wichtig ist auch, sofort sämtliche Passwörter zurückzusetzen – auch jene von nicht betroffenen Anbietern. Zudem sollten die betroffenen Anbieter über den Missbrauch des Accounts informiert werden. In aller Regel gibt es dafür Meldeformulare der Anbieter", rät Schrenk.
Im nächsten Schritt empfiehlt die IT-Sicherheitsexpertin alle Geräte auf Malware, wie Viren und Trojaner, zu prüfen. Das schließt nicht nur den PC, sondern auch Smartphone und Tablet, den TV-Stick und die IoT-Geräte ein. Eine gute Sicherheitssoftware nimmt diese Arbeit für gewöhnlich zwar ab, im Falle eines Verdachts auf Identitätsdiebstahl sollte aber genau überprüft werden. Es könnte außerdem sein, dass Cyberkriminelle auf ihren Streifzügen durch das Online-Profil ihres Opfers auch auf dessen Freunde gestoßen sind und mit ihnen schon ihre nächsten Opfer auswählen. Deshalb sollten auch Freunde und Bekannte informiert werden. Hat der Identitätsdiebstahl auch berufliche Folgen, ist ein Gespräch mit dem Arbeitgeber und dem Kollegium unabdingbar. "Es kann manchmal sinnvoll sein, auch eine SCHUFA-Auskunft anzufordern. Denn hier ist nachvollziehbar, ob es Händler-Bonitätsanfragen gab, die nicht vom Opfer stammen. Nach Artikel 15 DSGVO steht jedem eine kostenfreie Datenkopie zu, sodass für die eigene SCHUFA-Auskunft nichts gezahlt werden muss", gibt Patrycja Schrenk noch einen Tipp. (PSW Group: ra)
eingetragen: 04.06.21
Newsletterlauf: 30.08.21
PSW Group: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
