SECURITY Cyberdefense & ID Protection Conference 2020 Identitätsdiebstahl – auf den Spuren der Täter

Anbieter zum Thema

Vogel IT-Akademie

SonicWall Germany

Arvato Systems

Unbekannte Täter verschaffen sich über geleakte Zugangsdaten Zugriff auf einen Mailaccount und erstellen Fakeshops, um in kurzer Zeit möglichst viele Opfer zu betrügen. Anhand spannender Fälle aus seiner Anwaltspraxis erklärt Dr. Marc Maisch in seiner Keynote zur „SECURITY Cyberdefense & ID Protection Conference 2020“, wie Identitätsdiebe vorgehen.

Claudia Pfister hat aufgehört ihren Namen zu googlen. Zu schmerzhaft sind die Erinnerungen seiner Mandantin an die Vorweihnachtszeit des vergangenen Jahres, berichtet Rechtsanwalt Dr. Marc Maisch, der sich auf IT-Recht, Datenschutz und Abwehr von Cybercrime spezialisiert hat. Ein Anruf der Kriminalpolizei änderte damals das Leben der Beraterin auf einen Schlag: Sie erfuhr, dass unter ihrem Namen unzählige, deutschsprachige Online-Fakeshops für den Verkauf von teuren Kaffeemaschinen mit Preisen im drei bis vierstelligen Bereich betrieben wurden. Wer über diese Websites Waren bestellt hatte, blieb auf den Kosten sitzen, denn keine einzige Bestellung wurde geliefert.

Laut Impressum dieser Websites sei Frau Pfister die Geschäftsführerin dieser Fakeshops gewesen. Dort war auch die private Anschrift der Geschädigten zu lesen. Zuhause fühlt sich daher nicht mehr sicher. Mehrfach standen bereits Fremde vor der Tür, die sich nach Kaffeevollautomaten erkundigten.

Nach dem ihn der Hilferuf erreicht hatte, erklärte Herr Dr. Maisch seiner Mandantin, was es bedeutet, Opfer eines Identitätsdiebstahls (SZ berichtete) geworden zu sein. „Identitätsdiebstahl“ ist keinen eigenständiger Straftatbestand, sondern steht für die Art und Weise der Begehung von Straftaten, die unter fremden oder falschen Identitäten verwirklicht werden. Zur Identität im technischen Sinne gehören alle Daten, die einen Bezug einer Information zu einer bestimmten Person ermöglichen, v.a. Namen, Geburtsdaten, Adressdaten, Kontaktdaten, Bankdaten oder Ausweisdaten werden missbraucht, um einen Empfänger über die Identität des Kommunikationspartners zu täuschen. Diese Täuschung macht die Opfer von Identitätsdiebstahl häufig zunächst selbst zu Tatverdächtigen, da die Spurenlage und Indizien dafür sprechen, dass niemand anderes als sie selbst als Täter in Frage kommen.

Daher ist Eile geboten, wenn ein glaubhafter Verdacht auf Identitätsdiebstahl im Raum steht. Sofort müssen wichtige Erste-Hilfe-Maßnahmen eingeleitet werden, um weiteren Schaden zu verhindern. Gleichzeitig müssen Beweise gesichert, Auskünfte und ggf. Gutachten eingeholt werden, um das Ausmaß des Falls zu ermitteln und den Verdacht der Täterschaft des Identitätsdiebstahl-Opfers gegenüber Gläubigern und der Polizei auszuräumen. Hier kommen auch IT-Forensiker ins Spiel, also die Detektive des Internets. Gemeinsam mit dem Team der Fa. Phalanx-IT aus Heilbronn gelang es im Fall von Frau Pfister, den Tathergang zu rekonstruieren, um der Polizei Ermittlungsansätze mitzuteilen.

Bereits nach kurzer Zeit stand fest: Unbekannte Täter hatten über geleakte Zugangsdaten aus einem Data Dump einem Zugriff auf Frau Pfisters Mailaccount genommen und alle Emails ausgelesen und einen wertvollen Datenschutz gehoben: Namen, Adressen, Kontakte, Kontodaten, jahrelange Korrespondenzen, sogar Scans von Personalausweiskopien. Nicht weniger als das ganze Leben eines Menschen lässt sich heute aus Mail- und Social-Media-Accounts ableiten, nicht nur für Cyberkriminelle, sondern für die Plattformbetreiber, vor denen Edward Snowden zu Recht als „Überwachungsfirmen“ warnt. Mit diesen Daten erstellten die Täter hochprofessionell aussehende Fakeshops, in einwandfreiem Hochdeutsch und mit SSL-Zertifikaten. Über Google-Adwords-Kampagnen wurde sogar die Werbetrommel für diese Seiten gerührt, um in kurzer Zeit möglichst viele Opfer zu betrügen – natürlich auch über Kreditkarten- und Bankkonten der Geschädigten, bis diese hellhörig wurde und ihre Banken informierte.

Was Frau Pfister zugestoßen ist, kann jeder Person jederzeit und weltweit passieren. Der Fall zeigt aber auch eine neue Qualität Datenmissbrauch. Die organisierte Kriminalität hat es nicht nur auf den Betrug von Endverbrauchern abgesehen, sondern vor allem auf Unternehmen, um richtig Kasse zu machen. Arbeitsteilig werden Mitarbeiter und organisatorische Strukturen ganzer Betriebe ausgespäht. Die Täter arbeiten im Verborgenen oder erschleichen sich aktiv das Vertrauen der Belegschaft - all das, um einen zielgerichteten Angriff vorzubereiten, z.B. einen sogenannten CEO-Betrug. Die Manipulation von CEOs, also von Führungskräften in der Art und Weise, diese zum Handeln zu veranlassen, kann unmittelbar existenzbedrohende Folgen haben. Durch geschickte Kommunikation gelingt es Tätern, Überweisungen auf ihre eigenen Konten umzuleiten oder zu veranlassen. Falsche Überweisungen lassen sich in der Regel nicht (mehr) zurückordern. Nach Angaben des FBI-Internet-Cyber-Crime-Reports 2019 haben allein US-Unternehmen im letzten Jahr etwa 1,7 Mrd. US-Dollar durch „Business Email Compromises“ (CEO-Betrug) verloren. In Deutschland sei fast jedes zweite Unternehmen von derartigen Angriffen bedroht, wie pwc Deutschland im Jahr 2018 ermittelte.

Neben Betrug gehört auch Industriespionage zum etablierten Leistungsportfolio von Cybercrime Tätern. Industriespionage beginnt mit vermeintlich belangloser Kontaktaufnahme bei Linkedin oder Xing, um sich das Vertrauen durch „gemeinsame Kontakte“ zu erschleichen. Nicht selten gelingt es Tätern, verwaiste Accounts ihrer Opfer zu übernehmen, um so unter fremden Namen zu agieren, um gezielt Informationen über Geschäftszusammenhänge, geplante Börsengänge oder Knowhow zu sammeln und zu verkaufen.

Erfolgreiche Cyberangriffe offenbaren in der Regel technische, organisatorische und rechtliche Compliance-Defizite in Unternehmen. Unzureichende Maßnahmen zur Gewährleistung der Datensicherheit sind zumeist Verstöße gegen das Pflichtenkorsett der Datenschutz-Grundverordnung und rufen Aufsichtsbehörden auf den Plan. Strukturelle Defizite im Datenschutzmanagement, z.B. bei Authentifikation von Kunden, kann mit Bußgeldern im 6- bis 7-stelligen sanktioniert werden, wie der Fall der Telekommunikationsfirma 1&1 zeigte. Unberechtigte war es gelungen, über die Kundenhotline an Kundendaten gelangen; der TK-Anbieter wurde schließlich mit einer Geldbuße in Höhe von 9.550.000 Euro belegt. Datensicherheitsverletzungen bergen daher -in jeder Hinsicht- ein ganz erhebliches Haftungsrisiko.

Anhand dieser und spannender Fälle aus seiner Anwaltspraxis erklärt Herr Dr. Maisch in seiner Keynote zur SECURITY Cyberdefense & ID Protection Conference 2020, wie Identitätsdiebe vorgehen, welche Risiken und Haftungsfallen möglich sind und welche Maßnahmen im Kampf gegen Cybercrime unverzichtbar sind.

Über den Autor: Nach seinem Jura-Studium war Dr. Marc Maisch an der Universität Passau, an der Zeppelin University und bei einer internationalen Wirtschaftskanzlei tätig. Er wurde im Datenschutzrecht promoviert (summa). Heute berät Herr Dr. Maisch zu allen Fragen des IT- und Datenschutzrechts sowie zu Internetkriminalität. Als Lehrbeauftragter und leidenschaftlicher Speaker ist er im In- und Ausland unterwegs.

Security-Insider ist Mitveranstalter und Medienpartner der »SECURITY Cyberdefense & ID Protection Conference 2020«. Wenn Sie Dr. Marc Maisch und viele weitere interessante Speaker live erleben wollen, melden Sie sich hier zur virtuellen Konferenz oder zum Konferenztermin im September an:

(ID:46646299)