Identitätsdiebstahl und -missbrauch im Internet

Aktuelle Entwicklungen und Herausforderungen

Von LKD a.D. Ralph Berthel, Frankenberg/Sa.¹

Betrügen, also das Vorspiegeln falscher oder das Entstellen bzw. Unterdrücken wahrer Tatsachen mit dem Ziel, einen Irrtum zu erregen oder aufrechtzuerhalten, um sich rechtswidrig Vermögensvorteile zu verschaffen, zählt neben dem Diebstahl fraglos zu den ältesten Delikten, die die Kriminalgeschichte kennt. Zu den aktuellen Begehungsweisen beider Tatbestände gehören auch der Diebstahl und die betrügerische Nutzung von Daten, die die Identität einer Person charakterisieren. Identität (Abstraktum, also ein etwas nicht Gegenständliches bezeichnendes Hauptwort, zu lateinisch dem – svw. „derselbe“) soll hier als die Gesamtheit der Eigenschaften, die kennzeichnend für ein Individuum sind, Verwendung finden.² Handeln nach „Treu und Glauben“, also redliches, anständiges und verlässliches Agieren von Menschen wie auch Institutionen stellt sowohl im realen als auch im digitalen Alltag eine maßgebliche Voraussetzung für ein funktionsfähiges Gemeinwesen im Allgemeinen und für erfolgreiche Interaktionen im Rechtsverkehr im Besonderen dar.

Mit der Verlagerung großer Teile menschlicher Interaktionen in den digitalen Raum erlangen einerseits die Sicherheit von digitalen Identitäten und anderseits der rechtswidrige Zugriff auf diese sowie deren missbräuchliche Nutzung eine zunehmende Bedeutung. Für Täter stellen sie Tatgelegenheiten, für potentielle Opfer Bedrohungen und für Sicherheitsakteure eine der aktuellsten und größten Herausforderungen bei der Verbrechensbekämpfung und -prävention dar.³

1 Identität, Diebstahl und Missbrauch von Identitätsdaten im Internet – einige Begriffe

Klassische, analoge Identitätsprüfungsverfahren beruhen auf einem Dokument mit hoher Fälschungssicherheit, das von einer vertrauenswürdigen Instanz, wie im Falle des Personalausweises durch die zuständige Personalausweisbehörde, herausgegeben wird.

Die eineindeutige Identifikation handelnder Personen oder Institutionen stellt eine hochaktuelle Herausforderung für alle Akteure im digitalen Raum dar. Immer mehr Lebensbereiche werden digitalisiert. Damit sind auch immer mehr Daten und Informationen⁴ über Personen, Institutionen und Prozesse im Netz verfügbar. Beispiele für die Identifizierung im Netz finden sich etwa beim Online-Banking oder jüngst bei digitalen Impfzertifikaten. Zuverlässige digitale Identitäten sind Garanten für Absender und Empfänger zugleich, dass sie die sind, die sie vorgeben, zu sein. Das trifft sowohl für Menschen als auch Maschinen zu.

In einer Vielzahl von Fallgestaltungen bilden Identifizierungen die Voraussetzung für Zugriffsrechte, Transaktionsmöglichkeiten oder Verwaltungsbefugnisse von Daten und Informationen. Eine Vielzahl derartiger Fallkonstellationen bieten auch Ansätze für Missbrauch und mithin kriminalistisch relevantes Handeln.

In diesem Aufsatz bezieht sich der Autor auf das Bundeslagebild Cybercrime 2020. Das Lagebild für das Jahr 2021 lag zum Zeitpunkt des Redaktionsschlusses noch nicht vor, ist aber mittlerweile erschienen und über die Homepage des Bundeskriminalamtes abrufbar.

Aus der Perspektive der Informationssicherheit kennzeichnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Begriff „Identität“ wie folgt:

„Unter einer Identität wird im Kontext der Informationssicherheit die Menge von Merkmalen verstanden, die die Echtheit einer Person oder Sache nachweist. Die Identität einer Person oder Sache kann sowohl durch ein einziges Merkmal oder aber durch die Kombination diverser Merkmale bestimmt werden. Im Internet wird auf die Identität einer Person meist aus Identifikations- und Authentisierungsdaten geschlossen wie zum Beispiel aus der Kombination von Benutzername und Passwort.“⁵ Dabei ist der Begriff „digitale Identität“ nicht scharf konturiert. „Im Prinzip erzeugen wir mit jeder Registrierung bei einem Online-Dienst eine neue digitale Identität.“⁶ Digitale Identitäten beziehen sich dabei sowohl auf digitale Identitätsnachweise von natürlichen als auch juristischen Personen.

Als Identitätsdiebstahl kennzeichnet das BSI die „rechtswidrige Aneignung solcher Daten“. Wird zudem die Identität nach dem Diebstahl unautorisiert für eigene oder fremde Zwecke verwendet, wird dies als Identitätsmissbrauch bezeichnet.⁷ Aus viktimologischer Sicht können sich kriminalistisch relevante Zugriffe auf bzw. missbräuchliche Nutzungen von digitalen Identitäten also sowohl auf Privatpersonen als auch Institutionen bzw. Unternehmen als Opfer beziehen.

Im Zusammenhang mit der kriminalistischen Betrachtung von Identitätsdiebstahl- und -missbrauch ist gelegentlich von kompromittierten Accounts die Rede.⁸ Dabei handelt es sich um „ein System oder einen Datensatz, die als kompromittiert betrachtet werden können, wenn der Eigentümer des Systems, einer Datenbank oder eines Datensatzes keine Kontrolle mehr über die korrekte Funktionsweise und deren Sicherheit hat.“⁹ Beim Social Engineering (eigentlich „angewandte Sozialwissenschaft bzw. „soziale Manipulation“, also soziale Beeinflussung, um bestimmte Reaktionen hervorzurufen) werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, insbesondere durch Täuschung über die Identität und die Absicht des Täters. So geben sich Täter z.B. als Techniker oder als Mitarbeiter eines Unternehmens wie etwa PayPal, Facebook oder eines Telekommunikationsunternehmens aus, um Opfer zur Preisgabe von Anmelde- oder Kontoinformationen oder zum Besuch von präparierten Webseiten zu verleiten.¹⁰

In den Fällen, in denen Hacker vorgeben, jemand zu sein, der einer Person oder einem Netzwerk bekannt ist, um auf vertrauliche Informationen zugreifen zu können, wird von Spoofing gesprochen. Das BSI charakterisiert diese Begehungsweise als "Täuschungsversuche zur Verschleierung der eigenen Identität und zum Fälschen übertragener Daten. Das Ziel dieser Handlungen besteht darin, die Integrität und Authentizität der Informationsverarbeitung zu untergraben".¹¹ Zu ergänzen ist diese Definition um die Zielsetzung, Benutzer zu Handlungen zu bewegen, die dem Hacker zugutekommen, etwa indem er auf vertrauliche Daten zugreifen kann und/oder dem Benutzer Schaden zufügen. Eine typische Begehungsweise ist das Mail-Spoofing, bei dem die Täter darauf abzielen, dass persönliche Daten preisgegeben oder Finanztransaktionen durchgeführt werden. Die E-Mails, mit denen diese Angriffe gestartet werden, stammen scheinbar von vertrauenswürdigen Absendern wie Kunden, Kollegen oder Vorgesetzten. Darüber hinaus enthalten Spoof-E-Mails manchmal Anhänge, die beim Öffnen Malware wie etwa Trojaner oder Viren installieren. Eine weitere Begehungsweise stellt das IP-Spoofing dar. „Während sich Betrüger beim Mail-Spoofing auf einzelne Benutzer konzentrieren, ist IP-Spoofing in erster Linie auf Netzwerke ausgerichtet. Beim IP-Spoofing versucht ein Angreifer, durch das Senden von Nachrichten von einer gefälschten oder „gespooften“ IP-Adresse unbefugten Zugang zu einem System zu erlangen.“¹²

„Spoofing im großen Stil wird als Phishing bezeichnet. Bei einem Phishing-Angriff legen Cyberkriminelle zahllose „Köder“ in Form gefälschter E-Mails, die an das E-Mail-Layout bekannter Unternehmen wie Amazon, DHL, eBay oder Postbank erinnern. … Sobald der Empfänger auf einen Link klickt, aktiviert er dadurch eine von vielen potenziellen Gefahren. … Cyberkriminelle können im Rahmen einer Phishing-Attacke ganz unterschiedliche Tools einsetzen. Ransomware ist ein direkter Angriff auf das Gerät des Empfängers. Keylogger und viele Trojaner dagegen stellen eher eine schleichende Gefahr dar: Sie überwachen die Aktionen des Nutzers und greifen Informationen zur Identität des Opfers ab, etwa persönliche oder finanzielle Daten, die für zukünftige Betrügereien verwendet werden können.“¹³ Mit Phishing-Mails verfolgen Täter das Ziel, gutgläubige Nutzer dazu zu bewegen, auf einen „verseuchten“ Link zu klicken.

Beim sog. Pharming werden Opfer hingegen auf eine völlig falsche Website umgeleitet. Pharmer nutzen üblicherweise Schwachstellen in der DNS-Serversoftware aus. DNS-Server (Domain Name Service) lösen Internetnamen in numerische IP-Adressen auf. Cyberkriminelle leiten ihre Opfer auf gefälschte Websites um. Diese sind den Originalen täuschend ähnlich sind. Die Opfer ahnen oft nicht einmal etwas von der Manipulation. Gegenüber dem Phishing hängt der Erfolg der Täuschungshandlung hier nicht davon ab, dass das Opfer auf einen falschen Link hereinfällt und ihn anklickt.¹⁴