Förderung der Kriminalistik in Wissenschaft, Praxis, Aus- und Weiterbildung Deutsche Gesellschaft für Kriminalistik
Förderung der Kriminalistik in Wissenschaft, Praxis, Aus- und WeiterbildungDeutsche Gesellschaft für Kriminalistik

Identitätsdiebstahl und Identitätsmissbrauch

Auswirkung - Täterverhalten

Der Täter muss sich Zugang zum Rechner des Geschädigten verschaffen. Hierbei hat er meistens Erfolg, da der Konsument bedenkenlos Mails öffnet oder Links besucht, die ihm in Emails angeboten werden, ohne den Absender zu erkennen. In Folge installiert sich die Malware, die nicht immer von Virenscannern erkannt werden muss. Neuartige Viren sind polymorph. D. h., die Viren passen sich individuell dem jeweiligen Computersystem und dessen Hardware an. Zudem updaten sich moderne Viren selbstständig und werden daher von Virenscannern nicht mehr rechtzeitig erkannt.

Aber auch durch eine geschickte Fragestellung am Telefon können sensible Daten erlangt werden. Sicherheitstechnik, die auf dem Computer installiert ist, hilft hier leider nicht. Geschickte „social engineerer“ informieren sich vor dem Anruf, beispielsweise bei sozialen Netzwerken wie facebook oder xing, über die jeweilige Person und erschleichen sich mit diesen Informationen deren Vertrauen. Umso leichter fällt dann das weitere Gespräch zur Gewinnung der benötigten Daten.

Besonders einfach wurde und wird es den Tätern zum Teil auch von den Mailanbietern gemacht. Das Procedere bei vergessenem Passwort ist bei einigen Anbietern einfach zu durchschauen. Nach Eingabe der E-Mailadresse des Opfers aktiviert der Täter das Feature „Passwort vergessen“. Die dann notwendigen  „Sicherheitsfragen“ wie zum Beispiel nach dem Ort, an dem man seinen Partner kennengelernt hat, dem Namen des Hundes oder dem Geburtsort können sehr einfach bei sozialen Netzwerken recherchiert werden. Diese Angeben werden eingegeben und ein neues Passwort wird an die E-Mailadresse des Täters versandt, der damit den Zugang des ursprünglichen Inhabers blockiert und von nun an dessen Account für seine Zwecke nutzen kann. Prominentestes Opfer war die der ehemaligen Gouverneurin von Alaska und Anwärterin auf den US-Vizepräsidenten-Posten Sarah Palin.

Lücken im System

Für Shopbetreiber besteht keine Möglichkeit zu überprüfen, ob die von ihren Kunden eingegebenen Daten korrekt sind. Lediglich Schlüssigkeitsprüfungen bei Bankverbindungen können vollzogen werden. Dass die angegebene Bankverbindung jedoch missbräuchlich verwendet wird, kann durch diese Schlüssigkeitsprüfung nicht festgestellt werden.

Möglichkeiten einer Kontoüberprüfung beispielsweise werden jedoch von Shopbetreibern meistens nicht wahrgenommen. So bestünde generell die Möglichkeit, eine Testüberweisung auf das angegebene Bankkonto durchzuführen. Eine PIN im Verwendungszweck müsste dann auf der Registrierungsseite des jeweiligen Shops eingetragen werden. So ließe sich feststellen, ob die Registrierung tatsächlich vom Kontoinhaber durchgeführt worden ist. Die Methode gilt als umständlich und verursacht möglicherweise eine Lieferverzögerung. Eine hundertprozentige Sicherheit bietet diese Methode zudem ebenfalls nicht, denn wenn der Täter Zugriff auf das Onlinekonto des Geschädigten hat - eben weil er im Besitz der Zugangskennung und der PIN ist - kann er diese vom Shop zugesandten Daten einsehen.

Fallbeispiele


Links / Hilfen / Checklisten


Rechtsprechung:

 
Literatur:
(1) BITOKOM Leitfaden zu Webidentitäten, Oktober 2005. http://www.bitkom.org/files/documents/Bitkom_Leitfaden_WebID_final_31.10.2005.pdf, 08.03.2011
Autoren: Renate Schwarz, Michael Büchel, Peter Hirsch, Deutsche Gesellschaft für Kriminalistik (DGfK), AG „Internetkriminalität“

Kontakt:

Deutsche Gesellschaft für Kriminalistik e.V.
Telefon:
Fax: 089 45476328
E-Mail-Adresse:

Mitgliederforum

Druckversion Druckversion | Sitemap
© Deutsche Gesellschaft für Kriminalistik e.V.

Kontakt | Impressum