gegen Trickdiebe und Trickbetrüger

Identitätsklau

Identitätsklau, was ist das?

Identitätsklau bedeutet, jemand benutzt widerrechtlich Ihre persönlichen Daten. Um in den Besitz dieser Informationen zu gelangen, setzen die Täter häufig neben „Trojanischen Pferden“ auch andere Methoden ein, wie z. Installation von Schadprogrammen über Drive-By-Exploits, Phishing, Einbruch auf Server und Kopieren der Anmeldeinformationen, Einsatz von Keyloggern, oder Spyware.

Die gestohlenen Identitäten werden mittels der eingesetzten Schadsoftware meist automatisch an speziellen Speicherorten im Internet (sogenannte Dropzones) gesammelt, auf welche die Täter bzw. deren Auftraggeber zugreifen können. Die E-Mail Adresse muss man nicht unbedingt stehlen, es genügt manchmal schon, wenn man sich mit dem Namen des Bestohlenen eine E-Mail Adresse anlegt.

Für das Jahr 2016 registrierte die Polizeiliche Kriminalstatistik insgesamt 82.649 Straftaten im Bereich Cybercrime.

Bundeslagebild cybercrime 2016 des BKA Interessante Einzelheiten finden Sie im Bundeslagebericht Cybercrime 2016 (PDF Datei) des BKA

Immer mehr Daten werden ausgespäht und missbraucht. Die digitale Identität als Ganzes oder zumindest Teile der digitalen Identität sind begehrtes Diebesgut von Cyberkriminellen, sei es, um die erlangten Informationen für die eigenen kriminellen Zwecke einzusetzen oder um die gestohlenen Daten meist über illegale Verkaufsplattformen der Underground Economy zu veräußern.

Identitätsdiebstahl betrifft nicht nur das Online-Banking, alles was über Sie im Internet zu finden ist, wie E-Mail- und Paypalkonten, Cloud Computing, Messsenger,elektronische Steuererklärung, Kommunikation wird ausgespäht. Schadprogramme mit Viren und Trojanern spähen Computer aus, Millionen von PCs werden fremdgesteuert, ohne dass der Besitzer das überhaupt merkt.

Einige Beispiele der Verbraucherzentrale, wie mit der gestohlenen Identät betrogen wird:

Mit der gestohlenen Identität werden kostenpflichtige Streaming-Dienste gebucht, Bei Online-Händlern werden Waren bestellt. Es werden Abos für teure Online-Dating-Portale oder Premium-Mail-Konten abgeschlossen.

Abbuchungen über die Handyrechnung, weil Verbraucher erst ihre Handynummer an einen angeblichen Facebook-Freund weitergegeben haben, dann eine PIN auf ihr Handy erhielten und diese ebenfalls ihrem angeblichen Facebook-Freund mitteilten.

Payback-Punkte wurden eingelöst oder die Kundenkonten auf Marktplätzen gehackt und über deren Profil eingekauft.

Vertragsabschlüsse für Mobilfunkverträge zählen ebenfalls zum Identitätsdiebstahl.

Link zur Grafik Tatmittel Internet 2016 Tatmittel Internet 2016, Infografik der Polizei

Bei den Straftaten, die mit dem Tatmittel Internet begangen wurden wurden 2016 253.290 Fälle erfasst. ( Vorjahr 244.528 Fälle) Dazu gehören Delikte wie Waren- und Warenkreditbetrug, Computerbetrug, Leistungs- und Leistungskreditbetrug, die Verbreitung pornografischer Schriften und Straftaten gegen die Urheberrechtsbestimmungen. Beim Waren- und Leistungsbetrug liefern die Betrüger trotz Bezahlung die versprochene Ware nicht bzw. erbringen die Leistung nicht. Beim Waren- und Leistungskreditbetrug versuchen sie, Waren oder Leistungen zu erlangen - ohne diese zu bezahlen. Beim Computerbetrug wird kein Mensch getäuscht, sondern ein Datenverarbeitungssystem manipuliert und dadurch ein Vermögensschaden verursacht.

In Deutschland müssen Unternehmen und Behörden den Verlust von personenbezogenen Daten veröffentlichen. Generell ist in diesem Deliktsbereich von einem erheblichen Dunkelfeld auszugehen - zum einen bedingt durch die Tatsache, dass die Straftat (Eindringen in den Rechner) vom Geschädigten gar nicht erkannt wird; zum anderen dadurch, dass die erkannte Straftat vom Geschädigten (häufig ein Unternehmen) nicht angezeigt wird, weil eine Rufschädigung befürchtet wird. Die Banken halten fast alle Skimming-Angriffe unter der Decke. weiterlesen

SCHUFA-Umfrage zum Identitätsklau

Rund ein Fünftel der Deutschen (21 Prozent) ist bereits Opfer von Identitätsdiebstahl oder -missbrauch geworden. Weitere 27 Prozent können nicht ausschließen, dass ihre personenbezogenen Daten missbraucht wurden. Das ist das Ergebnis einer bevölkerungsrepräsentativen Online-Umfrage der SCHUFA Holding AG und des Marktforschungsinstituts Innofact AG im September 2013. Fast ein Fünftel der Befragten hat bereits festgestellt, dass Daten zur eigenen Person ohne ihr Wissen und Zutun im Internet zugänglich waren. Zwei Drittel der Betroffenen hat versucht dagegen vorzugehen und beispielsweise die Daten zu löschen oder Anzeige zu erstatten. Ob sensible und personenbezogene Daten tatsächlich im Umlauf sind, ist für Laien jedoch oftmals schwer festzustellen. Der Datenmissbrauch wird so erst bemerkt, wenn es zu spät ist . Weitere Informationen finden Sie unter www.schufa-identsafe.de.

Quelle: Schufa, news aktuell v. 13.09.13

Die Folge von Identitätsmissbrauch:

Sie bekommen Rechnungen und Mahnungen, obwohl Sie nichts bestellt haben, einen negativen Schfuaeintrag, Sogar die Polizei kann eines Tages wegen einer in Ihrem Namen begangenen Straftat vor Ihrer Tür stehen.
Die Süddeutschen Zeitung schildert eine krassen Fall von Identitätsdiebstahl. Der Fall eines Paketzustellers aus Bayern zeigt, was für verheerende Folgen es haben kann, wenn ein Fremder sich der Identität bemächtigt. Er zeigt vor allem aber auch, dass es so gut wie keine Schutzmechnismen dagegen gibt.
Zum Artikel in der Süddeutschen v. 21.07.14

Mit geklauten Kreditkartendaten werden Waren bestellt und Rechnungen bezahlt Die Waren werden an Packstationen von Mittelsmännern geschickt.

Ebay Opfer von Hackerangriffen: Nutzer haftet nicht für bestellte Ware

Wenn Kriminelle in Ihrem Namen Ware bestellt oder bei Ebay mitgeboten haben, muss weder der Kaufpreis bezahlt werden noch schuldet das Hackeropfer die Übergabe einer Sache, die es nicht verkaufen wollte. Ebenso wenig muss der Betrogene Schadensersatz zahlen. Denn der wahre Inhaber des Nutzerkontos und die Gegenseite haben keinen Vertrag geschlossen, das ergibt sich aus dem Urteil vom Bundesgerichtshof (Az. VIII ZR 289/09). Eine Ausnahme bestehe allerdings dann, wenn der Nutzer Kenntnis vom Hackerangriff habe, aber nichts unternehme, um den Missbrauch zu verhindern. (Quelle: www.test.de)

Die Behörden machen es den Tätern leicht: Seit Januar 2004 müssen Bürger, die ihren Wohnsitz anmelden, keinen Mietvertrag oder Vermieterbescheid mehr vorlegen. Jeder kann sich anmelden, unter welcher Anschrift er will. Kriminelle nutzen die Scheinadresse,

Letzlich können diese Betrügereien zum finanziellen und persönlichen Ruin führen.

Straftaten im Internet, EU Abwehrzentrum gegen Internet-Kriminalität

Das Abwehrzentrum für Cyberkriminalität der EU hat im Januar 2013 seine Arbeit aufgenommen. Das Zentrum soll gegen illegale Aktivitäten organisierter krimineller Vereinigungen vorgehen, darunter Online-Betrug mit gefälschten Kreditkarten und Bankkontendaten.

nach oben

Diebstahl digitaler Identitäten

Hier handelt es sich um alle Arten von Nutzer- Accounts, also zum Beispiel Zugangsdaten in den Bereichen:
E-Mail- und Messengerdienste wie z. B. ICQ und Skype, soziale Netzwerke wie Stayfriends, Cloud-Computing, Facebook usw., Onlinebanking, Onlinebrokerage, internetgestützte Vertriebsportale aller Art wie z. B. eBay oder Buchungssysteme für Flüge, Hotels, Mietwagen usw., berufsspezifische Informationen (z. B. Nutzung eines Homeoffice für den Zugriff auf firmeninterne technische Ressourcen), elektronische Steuererklärung, Cloud Comuting.

Es empfiehlt sich, nicht überall denselben Benutzernamen zu verwenden. Mit Suchmaschinen wie http://namechk.com können Angreifer leicht recherchieren, bei welchen Diensten ein Name noch verwendet wird. Legen Sie für jeden Dienst ein anderes Passwort an.

Die gestohlenen Identitäten werden mittels der eingesetzten Schadsoftware meist automatisch an speziellen Speicherorten im Internet (sogenannte Dropzones) gesammelt, auf welche die Täter bzw. deren Auftraggeber zugreifen können.

Der NDR berichtete am 12.10.15 dass viele Onlineshops auf ahnungslose Nutzer registriert sind. NDR Info und das Verbrauchermagazin Markt fanden in einer gemeinsamen Recherche die Daten von 250 Betroffenen aus Deutschland und Europa, die größtenteils noch gar nichts vom Diebstahl ihrer Identität wussten.

Bundeslagebild cybercrime 2016 des BKA Interessante Einzelheiten finden Sie im Bundeslagebericht Cybercrime 2016 (PDF Datei) des BKA

Gesetz gegen Datenhehlerei

Der Das Gesetz zur zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten vom 27.05.15 sieht zur Vermeidung von Datenmissbrauch außerdem die Schaffung eines neuen Straftatbestands der "Datenhehlerei" vor, der den Handel mit gestohlenen Daten unter Strafe stellt.

nach oben

Bezahldienste: Konten durch Identitätsklau leergeräumt

Das Thema Identitätsdiebstahl, kurz auch ID-Theft, ist im Internet bereits seit langer Zeit ein Thema, welches in Zusammenhang mit Betrugsstraftaten immer wieder für Aufsehen sorgt. Nun hat sich jedoch eine neue Begehungsform etabliert, die von Straftätern bereits eingesetzt wird. Hierbei kann jeder Opfer werden, der über ein Geldkonto verfügt, unabhängig davon, ob das Konto persönlich oder per online-Banking geführt wird. Aufgrund einer Sicherheitslücke bei institutsunabhängigen Internet-Bezahldiensten ist Betrügern der missbräuchliche Zugriff auf Konten deutscher Bankkunden gelungen.

Der Trick: Die Täter stehlen die Identitäten ihrer Opfer, eröffnen unter fremden Namen Konten bei Internet-Bezahldiensten und räumen die Konten ihrer völlig überraschten Opfer ab.

Gezielt halten die Betrüger Ausschau nach ahnungslosen Personen, die zum Beispiel ein Auto über das Internet oder in eine Kleinanzeige zum Verkauf anbieten. Per Telefon meldet sich der Betrüger - angeblich aus dem Ausland - und gibt vor, an dem Auto interessiert zu sein. Um seinem Kaufinteresse Nachdruck zu verleihen, erfragt der Betrüger die Bankverbindungsdaten des Anbieters und überweist über einen der institutsunabhängigen Internet-Bezahldienste als vorgebliche Anzahlung kleinere Beträge auf dessen Konto.

Daraufhin meldet sich der angebliche Kaufinteressent erneut beim PKW-Anbieter und fragt, ob das Geld angekommen sei. Nachdem das Opfer jetzt bestätigt, dass leider nur Cent-Beträge eingegangen sind und die genaue Höhe angibt, verabschiedet sich der Betrüger - und meldet sich nie wieder. Nach einiger Zeit werden größere Beträge vom Konto des Opfers abgebucht, das sich verwundert an sein Kreditinstitut wendet. Die Antwort der Bank oder Sparkasse fällt wenig zufriedenstellend aus: Zurückbuchen könne man das Geld nicht, es sei ja auf das eigene Konto bei dem Internet-Bezahldienst gebucht worden.

Eingerichtet wurde dieses Internet-Bezahldienstkonto jedoch von dem angeblichen Autointeressenten - und zwar unter falschem Namen und mit den Identitätsangaben und Bankverbindungsdaten seines Opfers.

Möglich war dies nur, weil die institutsunabhängigen Internet-Bezahldienste- anders als bei deutschen Geldinstituten - bei der Kontoeröffnung die Identität ihrer Kunden nicht anhand des PostIdent-Verfahrens unter Vorlage eines Personalausweises, sondern lediglich über ein bestehendes Referenzkonto überprüfen. Auf dieses Referenzkonto überweisen institutsunabhängige Internet-Bezahldienste zwei Mal nach der Kontoeinrichtung Cent-Beträge. Deren genaue Höhe kann allein der Inhaber des Referenzkontos nennen. Zur Freischaltung des Kontos muss er die korrekte Höhe der Beträge auf der Seite des Internet- Bezahldienstes angeben.

Genau diese Aufgabe übernehmen die Betrüger und verschaffen sich so über einen Umweg Zugriff auf das Konto des ahnungslosen Kunden.

nach oben

Identitätsklau in sozialen Netzwerken

Auch Senioren tummeln sich in sozialen Netzwerken, z.B. in Twitter, Facebook. Auch bei Xing und in speziellen Seniorenforen sind sie vertreten.

In sozialen Netzwerken wie z.B. Facebook gelang Betrügern das Knacken des Profils. Freunden gaukelten sie eine Notlage im Ausland vor und sie ließen sich Geld per Western Union schicken.

Eine Frau wollte Konzertkarten über ihre Facebookseite kaufen. Der angebliche Verkäufer verlangte eine Kopie ihres Personalausweises die sie ihm elektronisch übersandte. Zum Kauf der Tickets kam es nicht mehr. Mit der Ausweiskopie, wurden jedoch bereits mehrfach Konzertkarten betrügerisch erworben. Auf eine Meldung bei Facebook von der Geschädigten, wurde von dem Betrüger die Sperrung des Facebook-Accounts der Soesterin beim Internetriesen beantragt und durchgesetzt. Es haben sich bereits mehrere Geschädigte bei der Frau gemeldet, die sich durch sie betrogen fühlen. Einen Zugriff auf ihren eigenen Facebook-Account hat die Frau zurzeit durch die Sperrung nicht mehr (Quelle Polizeipresse Soest v.27.04.17).

Eine Google-Suche nach dem Namen einer Person, zeigt zu deren Profil bei dem sozialen Netzwerk.

Wenn möglich, erlauben sie nur persönlichen Kontakten ihr Profil einzusehen. Auf freiwillige Angaben wie Postanschrift und Telefonnummer kann man verzichten.

Bei manchen Netzwerken ist die E-Mail-Adresse öffentlich einsehbar, also lieber eine extra Adresse für das soziale Netzwerk anlegen. Manche Anbieter speichern alle E-Mail Kontakte ab. Achten sie auf voreingestellte Häkchen, z.B. ist bei Facebook für das Profil ein öffentlicher Suchauftrag für die Suchmaschinen eingestellt. Man übersieht das leicht, sie können das Häkchen entfernen.

Gefälschte Einträge in sozialen Netzen können schlimme Folgen haben, z.B. Abmahnungen wegen beleidigender Äußerungen, strafrechtliche Ermittlungen wegen Urheberrechtsverletzungen.

nach oben

Identitätsklau per Handy

Wer sich im Supermarkt ein Handy oder einen Surfstick kauft, muss diese im Internet oder per Telefon freischalten. Niemand kann kontrollieren, ob der Käufer seine richtigen Daten eingibt. Der Betrüger kann auch Daten eines gestohlenen Personalausweises oder einer fremden Ausweiskopie angeben. Man braucht nicht viel Fantasie, um sich auszumalen, wie man andere damit schädigen kann.

nach oben

Hilfe durch SCHUFA

Identitätsbetrugsopfer können sich bei der SCHUFA einmelden lassen. Die Information, dass mit Ihren Daten bereits ein Betrugsversuch unternommen wurde, wird Unternehmen, die SCHUFA-Vertragspartner sind, anlassbezogen zur Verfügung gestellt, sofern diese zu Ihrer Person einen Antrag anfragen oder ein Vertrag besteht. So können Sie das Risiko verringern, dass Ihre persönlichen Daten weiter für Betrugsversuche verwendet werden.

Der SCHUFA-UpdateService, meineSCHUFAplus benachrichtigt Sie

Wenn Sie befürchten, dass ein Identitätsmissbrauch vorliegt, können sie so sehr schnell reagieren. Eventuell können Sie Geschäfte noch stornieren und größeren Schaden verhindern sowie im Betrugsfall einem weiteren Missbrauch Ihrer Identitöt entgegenwirken.

Neues Schufamerkmal "Identitätsbetrugsopfer"

Auf Wunsch des Verbrauchers kann dieses Merkmal in die Schufa-Auskunft aufgenommen werden. Unternehmen erhalten so eine Warnung, dass Betrüger die Identität des Kunden bereits missbraucht hben.

nach oben

Wie kann man sich noch vor Identitätsklau schützen?

Wie schützen?

Überweisungen auf ausländische Konten auf Null reduzieren lassen (durch die Bank)

Sind neue Kontakte entstanden (Verkauf o.ä.), sein Konto anschließend überprüfen, ob Beträge unter einem Euro eingegangen sind, weil das ein Indiz für die Eröffnung eines ausländischen Kontos darstellt.

Wenn unbekannte Klein-Beträge (1 Cent Überweisung) auf dem Konto eingegangen sind, die nicht erwartet wurden, sollte die Hausbank umgehend informiert werden und die überwiesenen Kleinbeträge rückgängig gemacht werden, damit die Freischaltung des ausländischen Bezahldienstes/ Kontos nicht erfolgt.

Ebenfalls die Höhe der eingegangenen Beträge nur der eigenen Bank melden, nicht deren Höhe an Dritte weitergeben (Auto-Käufer etc.)

Quelle: news aktuell gmbh v. 12.12.08

nach oben

Elektronischer Personalausweis

Ab 1. November 2010 wird der bisherige Personalausweis durch den Elektronischen Personalausweis abgelöst Er gilt als Identitätsnachweis. Der Inhaber kann sich im Internet an Online-Portalen ausweisen. Das Gegenbüber muss mit einem speziellen Zertifikat zum Auslesen berechtigt sein. Eine Chipabfrage ersetzt die Passworteingabe. Nur berechtigte Anbieter von Dienstleistungen dürfen die Daten des Ausweises abfragen

Doch was, wenn der elektronische Personalausweis zusammen mit der PIN abhanden kommt? Mehr dazu