Stellen Sie sich vor, jemand verbreitet in den sozialen Medien unter Ihrer Identität Hassbotschaften …

… und niemand glaubt Ihnen, dass nicht Sie das sind.
Der Twitter Hack von Mitte Juli 2020 hat das Thema des Identitätsmissbrauchs wieder öffentlich bewusst gemacht.

Zur Erinnerung: Mitte Juli 2020 erschien auf Twitter die folgende Nachricht von Barack Obama und anderen prominenten Personen:

Betrüger hatten es also geschafft, sich die Identität von Barack Obama und anderen prominenten Personen anzueignen. Sie schafften es, sich mit vielen kleinen Schritten an die Identitäten heranzutasten. Im Folgenden stelle ich mögliche Puzzlesteine zu einem Identitätsdiebstahl vor.

Bei einem Identitätsdiebstahl versucht ein Betrüger, sich als jemand anderes auszugeben. Dazu verwendet er gestohlene Informationen zur Identität. Diese Daten nutzt er, um im Namen des Opfers einzukaufen oder Botschaften zu verbreiten. Dadurch besteht nicht nur die Gefahr einer Verschuldung des Opfers, Betrüger verwenden gestohlene Daten auch, um die betroffene Person zu diskreditieren. Das Ergebnis können Betreibungen, Einträge im Strafregister oder Haftbefehle für die Opfer sein. Die Journalistin Tina Groll wurde 2009 Opfer eines Identitätsdiebstahls und hat ihre Geschichte in einem Buch dokumentiert.

Wie kann es zu einem Identitätsdiebstahl kommen und wie kann ich ihn vermeiden? Hier ein paar Beispiele:

Social Engineering

Viele Personen geben in den sozialen Medien Persönliches preis, sodass die Antworten auf Standardfragen für die Rücksetzung von Passwörtern durch einfache Recherchen eruiert werden können. Beispiele für solche Standardfragen: „Wo wurde meine Mutter geboren?“ „Welches ist mein Lieblingsort?“ „Wie lautet der zweite Name meines Vaters?“ Falls es ein Betrüger schafft, diese Fragen korrekt zu beantworten, kann er das Passwort neu definieren und hat damit Zugriff auf die E-Mails des Opfers. Mit dem Zugriff auf den E-Mail-Account ist es nur noch ein kleiner Schritt bis zum Zugriff auf die Konten bei sozialen Medien, Versandhäusern etc.

Massnahme: In den sozialen Netzen sollten persönliche Informationen nur sehr zurückhaltend verbreitet werden. Um ganz sicher zu gehen, sollten E-Mail-Kontos, insbesondere wenn darüber wichtige Informationen versandt werden, mit einer Zwei-Faktoren-Authentifikation gesichert werden. Falls dann ein Passwort in falsche Hände gerät, ist das Konto damit noch nicht nutzbar. Nachteil: Es ist nicht mehr möglich, dass mehrere Personen auf das gleiche Konto zugreifen.

Phishing

Mit gefälschten E-Mails oder Internetseiten werden die Opfer aufgefordert, Angaben wie Benutzernamen und Passwörter preiszugeben. Auch hier ist das Ziel in der Regel, Zugriff auf das E-Mail-Konto des Opfers zu bekommen.

Massnahme: Es lässt sich kaum vermeiden, dass man irgendwann einmal reinfällt. In einem solchen Fall müssen sofort alle betroffenen Passwörter angepasst werden. Auch hier ist die Zwei-Faktoren-Authentifikation hilfreich.

Datenabfluss

Es passiert immer wieder, dass bei Hackerangriffen auf Internetdienstanbieter Benutzernamen und Passwörter von Kunden im grossen Umfang gestohlen werden. Oft werden solche Diebstähle von den Firmen erst relativ spät erkannt und bekanntgegeben.

Massnahme: Testen Sie ca. zwei Mal im Jahr, ob Ihre E-Mail-Adresse irgendwo im Diebesgut gelandet ist. Dieser Link hilft dabei. Falls Sie einen Ihrer Benutzernamen auf der Liste finden, sollten Sie alle betroffenen Passwörter wechseln.

Aneignen von Identitäten von Personen, welche im Internet nicht präsent sind

Es passiert immer häufiger, dass sich Betrüger Identitäten von Personen zulegen, welche im Internet nicht aktiv sind. Solche Identitätsdiebstähle werden oft sehr spät erkannt. Wie funktioniert das konkret? Zuerst erstellt der Betrüger ein E-Mail-Konto mit dem Namen des Opfers. Über dieses E-Mail-Konto versucht er, sich bei Internetdiensten anzumelden. Dies ist relativ einfach, solange der Anbieter des Internetdienstes die Identität nicht auf einem zweiten Weg (Telefon, Zustellung eines Codes per Post) überprüft.

Massnahme: Es lohnt sich auch für Personen, die nicht im Internet aktiv sind, bei den wichtigsten Behörden und Firmen Konten anzulegen, auch wenn diese dann nicht genutzt werden. Ein Betrüger hat es schwerer, eine solche Identität anzunehmen, weil relativ einfach feststellbar ist, wenn eine Identität ein zweites Mal verwendet wird.

Mein Fazit:

Seien Sie vorsichtig mit der Weitergabe von Informationen. Das Geburtsdatum einer Person reicht oft schon aus, um deren Identität zu übernehmen. Seien Sie insbesondere sehr vorsichtig mit Gratisdiensten. Hier ist die Weitergabe Ihrer Informationen Teil des Geschäftsmodells.

Achten Sie auf Ihren E-Mail-Account; er ist einer der wichtigsten Schlüssel für die Übernahme der Identität: Passen Sie mindestens Ihr Passwort regelmässig an, noch besser ist es, wenn Sie eine Zwei-Faktoren-Authentifikation einrichten.

Fragen, Anmerkungen, Korrekturen und Widerspruch sind erwünscht. Bitte verwenden Sie dazu entweder das E-Mail oder Twitter (siehe Fusszeile).