Identitätsdiebstahl Teil 5 - Was muss man tun, wenn man zum Opfer wird?
Dass der "Identitätsdiebstahl" ja eigentlich gar keine Diebstahl ist habe ich im ersten Teil erklärt. Im zweiten und dritten Teil ging es um verschiedene Möglichkeiten, Identität zu "stehlen". Und im vierten Teil habe ich dann einige echte Fälle von Identitätsdiebstahl vorgestellt. Jetzt geht es um die Frage, was die Opfer eines Identitätsdiebstahls tun müssen.
Opfer eines Identitätsmissbrauchs - was nun?
Wenn Sie Opfer eines Identitätsmissbrauchs geworden sind oder es vermuten müssen Sie so schnell und umfassend wie möglich reagieren, um den Schaden so gering wie möglich zu halten. Zunächst gilt es, die direkten Folgen zu bekämpfen. Da Sie Opfer einer Straftat geworden sind sollten sie sofort Anzeige erstatten. Die brauchen Sie z.B. auch wenn in Ihrem Namen Bestellungen aufgegeben wurden.
Wenn rechtliche Fragen auftauchen, der Kriminelle finanzielle Schäden angerichtet oder sogar Straftaten in Ihrem Namen begangen hat, gehen Sie sofort zu einem Anwalt.
Wurden in Ihrem Namen Bestellungen aufgegeben und an Dritte geliefert erfahren Sie von dem Missbrauch erst, wenn der Verkäufer bereits ein Mahnverfahren in die Wege geleitet oder ein Inkassounternehmen beauftragt hat und dabei ihre richtige Adresse herausgefunden wurde. Denn alle Erinnerungsschreiben etc. gehen ja an die Lieferadresse.
Die rechtliche Lage ist klar: Sie haben nichts bestellt, also müssen Sie auch nichts zahlen. Aber das müssen Sie dem Verkäufer, Inkassounternehmen etc. erst mal klar machen. Und sich dann meist auch mit falschen Einträgen bei Auskunfteien wie der Schufa herum schlagen, siehe das Beispiel von Tina Groll im vierten Teil.
Wurde Ihre Identität in Social Networks, Blogs, Foren etc. missbraucht, informieren Sie den betreffenden Anbieter und bitten ihn, alle verfügbaren Daten wie Mailadresse bei der Anmeldung, IP-Adressen etc. sowie die gefälschten Einträge als Beweise zu sichern und die Einträge danach zu löschen oder zumindest zu sperren.
Ändern Sie die Passworte aller Dienste, zu denen der Kriminelle sich Zugang verschafft haben könnte.
Können Sie sich irgendwo nicht mehr einloggen, weil der Kriminelle das Benutzerkonto übernommen und dabei das Passwort geändert hat, können Sie versuchen, es über die "Passwort vergessen"-Funktion neu zu setzen. Wenn der Kriminelle nicht völlig verblödet ist hat er aber die dafür meist verwendete E-Mail-Adresse längst geändert, sofern das möglich ist. Die Mail mit den Passwort-Reset-Link landet dann bei ihm und nicht bei Ihnen. In dem Fall hilft es nur, den Support zu kontaktieren (und zu hoffen, dass da jemand das Problem erkennt und nicht nur mit unbrauchbaren Textbausteinen antwortet).
Prüfen Sie, ob es unbefugte Manipulationen bei diesen Diensten gab, zum Beispiel eingerichtete Weiterleitungen bei E-Mail-Konten, geänderte Kontaktadressen in Social Networks, manipulierte Daueraufträge beim Online-Banking und dergleichen mehr
Informieren Sie Freunde und Bekannte, gegebenenfalls auch Nachbarn, Geschäftspartner, Arbeitgeber, Arbeitskollegen, ... über den Missbrauch Ihrer Identität und warnen Sie sie vor möglichen Angriffen auf sie.
Wenn Sie eine eigene Website oder ein Blog betreiben, können Sie dort über den Missbrauch informieren.
Überlegen Sie, wie die Kriminellen an die missbrauchten Daten gelangt sein können. Geben Sie vielleicht in Social Networks zu viele persönliche Daten preis? Prüfen Sie auf jeden Fall deren Privatsphäre-Einstellungen, vor allem Facebook ändert die ja gerne mal von Zeit zu Zeit.
Je nachdem, was vorgefallen ist, könnte der Täter auch in irgendeiner Beziehung zu Ihnen stehen. Überlegen Sie dann in aller Ruhe, wer in Frage kommen könnte. Aber gehen Sie dem Verdächtigen danach nicht gleich an die Gurgel, er könnte ja auch Unschuldig sein und Ihre Daten wirklich von einem Kriminellen missbraucht worden sein.
Datenquelle Facebook und Co.
Die Social Networks wie Facebook sind eine äußerst ergiebige Datenquelle für Kriminelle. Vor allem, wenn sie wie Facebook darauf bestehen, dass echte Daten wie zum Beispiel das Geburtsdatum angegeben werden müssen. Eine Information, die auf dem ersten Blick unwichtig erscheint, sehr oft aber zusammen mit dem Namen und der Anschrift für einen Identitätsmissbrauch ausreicht.
Welche Informationen Social Networks preis geben, wenn man weiß, wo und wie man suchen muss, haben zum Beispiel schon 2013 Keith Lee und Jonathan Werrett auf der "Hack in the Box" Malaysia ("Facebook OSINT: It’s Faster Than Speed Dating", Präsentation als PDF) oder Joaquim Espinhara und Ulisses Albuquerque auf der Black Hat USA 2013 ("Using Online Activity as Digital Fingerprints to Create a Better Spear Phisher") gezeigt: Sehr viel mehr, als wir alle wohl vermuten. Und seitdem ist es noch viel Schlimmer geworden, "Big Data" lässt grüßen! Darauf werde ich später mal in einigen Texten eingehen.
Darum: Seien Sie vorsichtig mit dem, was Sie über sich preisgeben. Sie kennen ja den Spruch aus den amerikanischen Krimis, wenn die Gangster am Ende verhaftet werden: "Alles, was Sie sagen, kann und wird vor Gericht gegen Sie verwendet werden". Das haben die Cyberkriminellen sich zu Herzen genommen. Alles was wir von uns preisgeben, verwenden sie gegen uns, bevor sie vor Gericht kommen. Wenn sie denn überhaupt erwischt werden.
Vorsicht ist die Mutter des Elefanten im Porzellanladen, oder so...
Passen Sie auf Ihre Daten auf. Der beste Schutz vor einem Missbrauch von Daten ist äußersten Datensparsamkeit.
Sie können nicht verhindern, dass jemand die Server eines von Ihnen genutzten Social Networks, Webshops, ... kompromittiert und die dort gefundenen Daten veröffentlicht.
Aber Sie können verhindern, dass die Kriminellen sich in Ihren Profilen, Blogposts, ... bedienen.
Nur was Sie nicht online stellen, kann auch nicht missbraucht werden. Unabhängig davon, ob die Informationen nun öffentlich oder nur einem begrenzten Benutzerkreis zugänglich sind (oder eher: sein sollten). Sie können nie sicher sein, dass wirklich nur diese Benutzer Zugriff auf die Informationen haben. Was ist, wenn der Account eines dieser ausgewählten Benutzer kompromittiert wird? Oder wenn er vielleicht gar nicht der ist, der er zu sein vor gibt?
Und was Spyware betrifft: Hüten Sie sich vor öffentlichen Rechnern wie zum Beispiel in Internet-Cafés oder Bibliotheken. Man weiß nie, was da alles drauf läuft. Oder dran hängt - es wurden auch schon USB-Keylogger zwischen Rechner und Tastatur gefunden.
Das ist ein Vorteil der Smartphones: Wenn jeder seinen privaten Mini-Rechner immer dabei hat, muss er unterwegs nicht auf öffentliche Rechner ausweichen, wenn mal schnell die Mail geprüft, ein Social-Network-Status aktualisiert oder etwas online gekauft werden soll.
Sie haben aber auch einen Nachteil: Sie enthalten einen Großteil der Identitätsinformationen. Wenn Sie in unbefugte Hände gelangen und nicht gesichert sind ist das für die Kriminellen wie ein 6er im Lotto.
Hiermit ist das Thema "Identitätsdiebstahl" beendet. Womit es nächste Woche weiter geht habe ich noch nicht endgültig entschieden.
Trackbacks