Förderung der Kriminalistik in Wissenschaft, Praxis, Aus- und Weiterbildung Deutsche Gesellschaft für Kriminalistik
Förderung der Kriminalistik in Wissenschaft, Praxis, Aus- und WeiterbildungDeutsche Gesellschaft für Kriminalistik

Identitätsdiebstahl und Identitätsmissbrauch

Die Identität kennzeichnet den Menschen als Individuum. Er wird durch die Eigentümlichkeit seines Wesens von anderen unterschieden. Allerdings wird der Begriff der Identität (lat. idem "derselbe", "dasselbe", "der Gleiche") in deutschen Gesetzeswerken nicht legal definiert. Im Leitfaden der BITKOM zu Webidentitäten (1) wird die Identität als "eine in ihrem Verwendungskontext eindeutige, wiedererkennbare Beschreibung einer natürlichen oder juristischen Person oder eines Objektes, die sich aus Attributen und einem Identitätsbezeichner zusammensetzt" begriffen. So können zur Identifizierung eines Individuums Name, Geburtsdatum, Adressen, Individuelle biometrische Daten, wie beispielsweise Fingerabdrücke, Stimmprofile, Augen-Retina- oder Iris-Merkmale beitragen. Darüber hinaus können als Identitätsbezeichner (behördlich) erteilte Identifizierungsnummern, wie beispielsweise Personal-, Sozialversicherungs- oder Führerscheinnummern, bestimmt werden.

In den meisten Fällen sind für eine klare Bestimmung einer natürlichen Person folgende Datensätze ausreichend: Name, Vorname, Geburtsdatum mit Geburtsort, Anschrift.

Zur Bestimmung digitaler Identitäten können aber auch ein Benutzername sowie ein Passwort ausreichend sein. Diese beiden Teile der Zugangsdaten bestimmen wiederum eine natürliche Person, die beim jeweiligen Registranten eindeutig durch Hinterlegung von Name, Vorname usw. in Form von Bestandsdaten hinreichend bestimmt ist.

In der Literatur wird oftmals zwischen dem Identitätsdiebstahl (engl. Identity Theft) und Identitäts-missbrauch unterschieden. Dabei wird aber selten zwischen den beiden Begriffen sinngehaltlich getrennt.

Identitätsdiebstahl setzt sich nach der grammatikalischen Auslegung aus den Begriffen "Diebstahl" sowie "Identität" zusammen. Eine Identität besteht z. B. aus dem Namen, Vornamen etc. bei einem bestimmten Identitätsbezeichner. Dieser Identitätsbezeichner kann beispielsweise ein Onlineshop (beispielsweise „Amazon.de“) sein. Bei einer digitalen Identität könnten dies, wie oben erwähnt, auch nur ein Benutzername und das dazugehörige Passwort sein. Werden diese Daten "gestohlen", etwa durch Phishing, Accounthacking o. ä., liegt begrifflicher Weise ein ID-Diebstahl vor, also der Vorgang zur Erlangung der Daten.

Identitätsmissbrauch ist die missbräuchliche Nutzung personenbezogener Daten einer natürlichen Person durch unbefugte Dritte. Der Missbrauch der Identität liegt konsequentermaßen dann vor, wenn man mit reell existierenden Personalien einer fremden natürlichen Person bei einem bestimmten Identitätsbezeichner in Erscheinung tritt. Mithin dann, wenn die illegal erlangten Daten zum Einsatz gelangen, beispielsweise wenn unter fremden Namen ein neuer Benutzer-Account eingerichtet wird. Eingesetzt werden die Daten aber auch zu Erstellung eines Fake-Accounts bei sozialen Netzwerken. Unter einer falschen Identität werden andere Menschen beleidigt, verleumdet oder gemobbt.

Benutzerverhalten
Die Frage ist zunächst, wie die Täter an die notwendigen Daten gelangen. Im einfachsten Fall durch-stöbert der Täter den Papiermüll beispielsweise in einer Bankfiliale. Dort sind regelmäßig weggeworfene Kontoauszüge vorzufinden, auf denen sich Name, Vorname und insbesondere die Kontonummer des potentiellen Opfers befinden. Durch eine weitere Suche im Telefonbuch lässt sich sogar noch die Wohnanschrift feststellen, so dass der Täter nunmehr im Besitz aller erforderlichen Daten ist. Ein notwendiges Geburtsdatum kann ausgedacht werden, da bei einer etwaigen späteren missbräuchlichen Registrierung der Registrant diese Daten nicht auf Echtheit hin überprüfen kann. Lediglich die Bankverbindung ist im Onlineverfahren auf Gültigkeit und Schlüssigkeit verifizierbar.

Eine weitere Möglichkeit zur Datenausspähung ist die Verwendung von "Malware". Nach Installation dieser Malware werden alle gespeicherten Kennwörter und Benutzerdaten automatisiert an den Täter weiter geleitet. Durch die Kenntnis von Passwörtern ist dieser nun in der Lage bei entsprechenden Firmen betrügerische Handlungen durchzuführen. Technisch etwas anspruchsvoller ist das so genannte „Pharming“. Dabei wird eine technische Routine des Betriebssystems eines Computers ausgenutzt. Nach der Eingabe einer alphanumerischen Internetadresse wird diese in eine IP-Adresse umgewandelt, die auf einem DNS-Server (Domain Name System) abgelegt ist. Bevor der DNS-Server kontaktiert wird, durchsucht das Betriebssystem zunächst eigene Dateien (z. B. hosts-Dateien), ob hier die angefragte IP-Adresse nach einem früheren Aufruf bereits gelistet ist. Diese IP-Adresse, die auf dem lokalen Rechner abgelegt ist, wird durch den Täter unter Zuhilfenahme eines Trojaners oder eines Virus´ manipuliert und der Nutzer wird auf eine täuschend echt nachgemachte Seite geleitet. Auf dieser Seite gibt er im Glauben, dass es sich hierbei beispielsweise um die Homepage seiner Hausbank handelt, alle zur Abwicklung eines Bankgeschäftes notwendigen Daten ein. Tatsächlich übermittelt er die Angaben jedoch direkt an den Täter.

Eine weitere Beschaffungsmöglichkeit stellt der Einbruch in Serversysteme dar. Durch Schwachstellen in einem Onlineshop beispielsweise gelangt der Täter an Datenbanken, auf denen Benutzerdaten inklusive Konto- oder Kreditkartennummern, die üblicherweise zur Zahlung verwendet werden, hinterlegt sind. Diese Daten können sodann "entwendet" und missbräuchlich verwendet werden. Auf diese Arbeitsweise hat der Endverbraucher letztlich keinen Einfluss. Aber durch die Wahl bzw. Nichtbenutzung entsprechender Plattformen kann im Vornherein sehr wohl ein solcher Missbrauch vermieden werden. Ob ein Shop erforderliche Mindeststandards in Bezug auf Datensicherheit einhält kann bereits daran erkannt werden, dass eine sichere https-Verbindung existiert, wenn es um die Bezahlung der Artikel geht.

Ein ebenfalls nicht zu unterschätzender Weg, an entsprechende Daten zu gelangen, ist das „social engineering“ (auch als „social hacking“ bezeichnet). Bei dieser Variante wird keine Technik verwen-det, sondern auf die „Schwachstelle“ Mensch abgestellt. In einem fingierten Telefonat werden durch den Täter bei Privatpersonen oder Mitarbeitern eines Unternehmens persönliche (Zugangs-)Daten abgefragt, um mit diesen seinen kriminellen Handlungen nachzugehen.

Die zurzeit aktuellste Form des Datendiebstahles ist das Abziehen von Kreditkartendaten mit Hilfe einer Applikation auf Handy oder Smartphone. Dabei machen sich die Täter die berührunsgslose Abbuchung von Geldbeträgen via „Near-Field-Communication-Technology“ zu nutze. Beim Bezahl-vorgang mit Kreditkarte muss die Karte nicht mehr umständlich und zeitraubend in ein Lesegerät eingesteckt werden. Der in der Karte verarbeitete Chip kommuniziert berührungslos mit dem Terminal. Dabei braucht die Karte nicht unbedingt auf dem Terminal abgelegt zu werden. Das Ziehen der Karte in wenigen Zentimetern Abstand über dem Erfassungsbereich ist ausreichend.

Geeignet zum Auslesen der Daten ist nicht nur das Lesegerät in Geschäften und Restaurants, sondern auch eine spezielle (noch) nicht frei zugängliche App. Auch bei dieser genügt es, das Mobiltelefon in ca. vier Zentimeter Abstand kurz an die Kreditkarte zu halten. Auf dem Gerätedisplay erscheinen dann die Nummer sowie das Gültigkeitsdatum der jeweiligen Karte. Angezeigt werden allerdings nicht der Name des Inhabers sowie die auf der Rückseite aufgedruckte Prüfziffer. Ohne diese Angaben sollte es nicht möglich sein, mit der Karte Zahlungsgeschäfte abzuwickeln. Trotzdem werden diese Daten bei Händlern eingesetzt, die es mit der Überprüfung der Daten nicht so genau nehmen. Allerdings bleiben diese auf ihrem Schaden sitzen.

Schützen kann sich der Karteninhaber vor dem Datendiebstahl durch eine Schutzhülle aus Metall, in die er seine Karte steckt bevor er sie in der Tasche oder im Portemonnaie verstaut.

Kontakt:

Deutsche Gesellschaft für Kriminalistik e.V.
Telefon:
Fax: 089 45476328
E-Mail-Adresse:

Mitgliederforum

Druckversion Druckversion | Sitemap
© Deutsche Gesellschaft für Kriminalistik e.V.

Kontakt | Impressum