Die digitale Identität ist die eindeutige Zuordnung einer Person im Netz. Sie ist schon länger gefährdet, worauf Experten spätestens seit 2010 verstärkt hinweisen. Studien belegen, dass die Warnungen vollkommen berechtigt sind.
Identitätsdiebstahl: Bürger sind extrem besorgt
Eine Studie der Experten für Cybesicherheit von F-Secure aus dem Jahr 2019 legt nahe, dass die Menschen inzwischen extrem besorgt über die nicht enden wollenden schwerwiegenden Datenschutzverletzungen sind. Die größte Sorge gilt dem möglichen Identitätsdiebstahl und der Übernahme von Konten. Die Studie, die in Deutschland, den USA, Großbritannien, in der Schweiz, in den Niederlanden, in Brasilien, Japan, Finnland und Schweden unter jeweils 400 Teilnehmern pro Land durchgeführt wurde (Alter: +25 Jahre), zeigte diese Fakten auf:
- 89 % aller Befragten sorgen sich um die Sicherheit ihres Bankkontos.
- 87 % fürchten sich vor Betrug beim Online-Shopping.
- 87 % fürchten sich vor einem Diebstahl ihrer digitalen Identität, der dem Angreifer ermöglicht, mit ihrer Identität eine Straftat zu begehen.
Diese Zahlen zeigen allerdings subjektive Ängste. Objektiv und real von Cyber-Kriminalität (in der Regel in Verbindung mit Identitätsdiebstahl) waren schon betroffen:
- 76 % aller Brasilianer
- 62 % der US-Bürger
- 52 % der Schweden
- 34 % aller Deutschen
Die gemeinnützige Non-Profit-Organisation Privacy Rights Clearinghouse hat in verschiedenen Staaten Fallzahlen zwischen 2005 und 2019 gesammelt. Sie bestätigt die Statistik der Studie. Die Consumer-Sentinel-Network-Datenbank der FTC (US Federal Trade Commission) schließt sich der Einschätzung ebenfalls an. Sie verzeichnete in den Jahren 2015 bis 2019 pro Jahr durchschnittlich 445.000 Anzeigen wegen Identitätsdiebstahls. In rund einem Drittel der Fälle versuchte der Angreifer, mit der gestohlenen Identität ein bestehendes Konto zu kapern oder ein neues Kreditkartenkonto zu eröffnen. Zahlen für Deutschland gehen von rund 250.000 Fällen pro Jahr aus. Der Sicherheitsexperte von F-Secure Rüdiger Trost verweist im Rahmen der Studie darauf, dass der Diebstahl der digitalen Identität das Einfallstor schlechthin für Cyber-Kriminalität ist. Wer uns diese Identität stiehlt, darf alles, was wir sonst nur persönlich im Netz dürfen. Daher hat für den Fachmann der Schutz der digitalen Identität höchste Priorität. Diese erfordere mehr als nur sichere Computer und Smartphones, so Trost. Die Nutzer müssten vor allem sichere Wege der Kommunikation verwenden, die ihre Identität im Netz nicht für jedermann offenlegen.
Was ist digitaler Identitätsdiebstahl?
Es handelt sich um die missbräuchliche Nutzung der digitalen Identität einer Person. Dem Identitätsdiebstahl folgt der Identitätsmissbrauch, bei dem mithilfe der gestohlenen Identität Konten gekapert und Straftaten unter dem Namen des Opfers begangen werden. Identitätsdiebstahl kann auf vielen Wegen stattfinden, aber die größte Gefahr droht durch das Abgreifen einer E-Mail-Adresse in Verbindung mit der IP des Nutzers. Hiergegen gibt es den Weg, den Securemail geht: Der Nutzer erhält eine neue, mit seiner sonstigen IP nicht verbundene IP-Adresse bei der Nutzung des E-Mail-Dienstes. Identitätsmissbrauch kann einfach sein: Das Online-Auktionshaus eBay etwa führte lange Zeit keine rechtsverbindliche Identitätsfeststellung durch. Solche Anbieter treten immer wieder auf den Plan. Wenn der Täter dort mit der gestohlenen Identität einkauft, ist es für das Opfer zunächst sehr schwer, dies nachzuweisen. Die Daten werden durch Kriminelle mithilfe von Phishing abgegriffen, anschließend verschleiert der Täter seine wirkliche Identität (Spoofing).
Identitätsdiebstahl: Rechtslage in Deutschland und Methoden
Der Identitätsdiebstahl ist noch immer keine Straftat in Deutschland, für die es einen gesonderten StGB-§ gibt. Geahndet wird er nur bei Folgen, die nach dem StGB eine Straftat sind. Das können sein:
- Betrug (§ 263 StGB)
- Urkundenfälschung (§ 267 StGB), etwa durch den Abschluss eines Kaufvertrages oder einer Mitgliedschaft mit falscher Identität
- Nachstellung (§ 238 StGB), etwa durch unerwünschte Kontaktaufnahmen mit falscher Identität
- Fälschung beweiserheblicher Daten (§ 269 StGB)
- Initiieren einer falschen Verdächtigung (§ 164 StGB)
Die Opfer müssen ihre Ansprüche überwiegend zivilrechtlich durchsetzen, was oft schwer ist. Die drei Hauptmethoden des Identitätsdiebstahls sind:
- Spoofing: Das heißt „Täuschung, Schwindel“, weil falsche Nachrichten echt wirken. Wenn der Täter die Identität gestohlen hat, kann er damit die Konten des Opfers nutzen. Teilweise wird der Begriff des Spoofings auch für die Verwendung gefälschter Mails benutzt.
- Phishing: Der Täter täuscht dem Opfer einen seriösen Kontakt vor und greift damit dessen sensible Daten (Passwörter, Nutzernamen, TANs und PINs). Vor allem Angriffe auf Bankkonten basieren darauf.
- Pharming: Der Täter leitet das Opfer auf eine gefälschte Webseite um, wo das Opfer seine Identität zur Anmeldung oder zum Log-in verwendet und dabei bestohlen wird.
Diese Methoden funktionieren nur, wenn der Täter die E-Mail-Adresse und idealerweise noch eine IP des Opfers kennt. Wer anonym bei Securemail kommuniziert, ist dadurch nicht gefährdet.
Gefahr durch kostenlose E-Mail-Anbieter
Wer einen kostenlosen E-Mail-Anbieter nutzt, ist dabei mehrfach gefährdet. Zunächst einmal verwenden Anbieter wie der Google-Dienst GMail die Adressen ihrer kostenlosen Nutzer für unerwünschte Werbung, die dem US-Konzern niemand untersagt (in Europa verbietet sie seit 2018 die DSGVO). Außerdem schwirrt permanent die eigene E-Mail-Adresse samt IP durch das Netz, was Kriminelle anlockt. Was bei einem handfesten Identitätsdiebstahl passiert, schilderte erst jüngst der Journalist Mat Honan auf Wired.com: In nur einer Stunde sei sein komplettes digitales Leben erst übernommen und dann zerstört worden. Hacker hatten zuerst sein Google-Konto gekapert, anschließend hatten sie es gelöscht. Danach verbreiteten sie über seinen Twitter-Account homophobe und rassistische Statements in seinem Namen. Der dritte Schritt: Sie konnten mithilfe seiner E-Mail-Adresse und Apples Remote-Wipe-Funktion die Daten auf seinem iPhone, seinem MacBook und seinem iPad aus der Ferne löschen. Honans digitale Identität war schlecht gesichert. Er setzte überall dasselbe Passwort und den gleichen Nutzernamen ein. Seine GMail-Adresse hatte er im Kurzprofil seines Twitter-Accounts publiziert. Das war ein leichtes Spiel für die Hacker. Mit der Passwort-vergessen-Funktion von Twitter bekamen sie das echte Passwort, das ihnen Zugang zum Google-Account von Honan gewährte. Via Amazon gelangten die Hacker zu den letzten vier Ziffern von Honans Kreditkartennummer, dann baten sie bei Apple, eine neue Kreditkarte hinterlegen zu dürfen, taten das, riefen eine Weile später an und kaperten dann mit der neuen Kreditkartennummer den Apple-Account. Wichtig zu wissen: Überall bestanden Sicherheitslücken, und zwar bei Twitter, Google, Amazon und Apple. Normalerweise hätten Sicherheitsfragen beantwortet werden müssen, doch darauf bestanden die Mitarbeiter nicht, die damit einem Phishing-Angriff aufsaßen. Zweiter wichtiger Punkt: Ohne Honans öffentliche E-Mail-Adresse wäre der Angriff nicht möglich gewesen. Twitter hätte nicht das vergessene Passwort übermitteln dürfen, sondern ein neues verlangen (oder zusenden) müssen. Twitter ist für Sicherheitslücken allgemein berüchtigt. Amazon wiederum zeigt von Bank- und Kreditkartendaten die hinteren vier Ziffern an, die Apple wiederum – aufgepasst! – als Identitätsnachweis benutzt. Beide Anbieter wollen inzwischen ihre Sicherheitsmaßnahmen nachgebessert haben. Es gibt noch mehr offene Flanken, doch entscheidend ist in jedem Fall die öffentlich einsehbare E-Mail-Adresse, die für die digitale Identität der wichtigste Ausweis ist. Sie ist sogar beim Zahlungsanbieter PayPal der einzige Identitätsnachweis, bei allen anderen Anbietern wird sie für das Wiederherstellen eines vergessenen Passworts benötigt. Das ist das, was Sicherheitsexperten den klassischen Single Point of Failure nennen. Lediglich ein Passwort schützt den Zugang, doch eine eingeschleuste Schadsoftware ermöglicht das Mitlesen per Keylogging. Manchmal schwirren Passwörter auch durch falsch eingestellte kostenlose E-Mail-Programme unverschlüsselt durchs Netz. Als zweiter Single Point of Failure gilt das Smartphone, das unter anderem Google und Facebook als Recovery-Möglichkeit vorsehen.
Bequemlichkeit versus Sicherheit
Alles, was im Netz den Komfort erhöht, kann für die Sicherheit kreuzgefährlich sein. Bequem sind beispielsweise Single-Sign-on-Dienste: Sie ermöglichen die Anmeldung in anderen Accounts über das Facebook- oder Google-Konto. Auch Passwortmanager, die mit einem Master-Passwort alle anderen Passwörter schützen, scheinen bequem zu sein und sind doch das beliebteste Angriffsziel für Hacker. Am bequemsten ist es jedoch, nur ein Passwort und eine öffentlich einsehbare E-Mail-Adresse für die Identifikation auf allen Accounts zu nutzen. Wer so vorgeht, muss fast zwangsläufig mit Identitätsdiebstahl rechnen.
Ausgesperrt durch kostenlose E-Mail-Dienste
Bei kostenlosen E-Mail-Diensten ist nicht nur der Identitätsdiebstahl ein Problem – auch der Verlust der digitalen Identität droht. Das kann ausgerechnet durch die Vorkehrungen der Dienste wie GMail gegen Identitätsdiebstahl geschehen, wie der Experte Jürgen Vielmeier in einem Fachmagazin berichtete. Er hatte von einem Leser seiner Publikationen folgenden Ablauf des Identitätsverlustes via Google-Konto erfahren: Google bietet eine „Bestätigung der Identität in zwei Schritten“ (2-Faktor-Authentifizierung) an. Das ist eigentlich gut. Der Nutzer bekommt nach seiner Anmeldung mit seinem Benutzernamen und dem hinterlegten Passwort noch per SMS einen Code zugeschickt. Diesen muss er eingeben, um sich anzumelden. Für diese SMS hat der Nutzer bei Google eine Handynummer hinterlegt. Doch der betroffene Nutzer (Leser von Vielmeier) hatte sich eine neue Handynummer besorgt, wie das alle Tage vorkommt, und diese nicht bei Google gemeldet, weil er es einfach vergessen hatte. Nach einiger Zeit wurde er wieder einmal von Google zur 2-Faktor-Authentifizierung aufgefordert. Das macht Google höchstens alle zwei Jahre. Der Nutzer bekam nun den SMS-Code nicht auf seine neue Handynummer, Google kannte sie ja nicht. Neu eintragen konnte er die Nummer bei Google auch nicht, denn sein Konto war nun vorübergehend gesperrt. Der nächste Schritt bestand darin, sich beim Online-Support von Google zu melden, der ihn aufforderte, ein gesondertes Formular mit sehr schwierigen Fragen auszufüllen, an denen der Nutzer scheiterte. Eine telefonische Hilfe erhielt er nicht. Damit kam er an sein ursprüngliches Google-Konto, an seine E-Mails und an seine in der Google-Cloud hinterlegten Daten nicht mehr heran. Da er seine E-Mail-Adresse nicht mehr nutzen konnte, konnte er auch in sonstigen Accounts (Twitter, Facebook, PayPal etc.) keine Profiländerungen mehr vornehmen, also auch keine neue E-Mail-Adresse hinterlegen. Dafür wäre stets die Verifizierung über die alte E-Mail-Adresse nötig gewesen.
Gefahren in sozialen Netzwerken
Nirgendwo präsentieren wir uns offener als in sozialen Netzwerken. Daher sind diese der beliebteste Angriffspunkt für Hacker. Zuletzt waren 2020 etliche Prominente (darunter auch Barack Obama) betroffen: Ein Hackerteam hatte ihre Twitter-Konten gekapert und dann mit diesen Spenden eingeworben. Die Kriminellen erbeuteten rund 100.000 Dollar. Manchmal legen Kriminelle auch unter einem prominenten Namen einen neuen Account an. Mit gekaperten oder gefälschten Konten von ganz normalen Bürgern wiederum lassen sich im Netz Straftaten begehen. Neben Verunglimpfungen unter falschem Namen kann damit auch Social Engineering für Betrugszwecke angewendet werden. Dabei stellt der Betrüger vom gehackten Account aus eine persönliche (soziale) Beziehung zu einer verantwortlichen Person her, erfährt von dieser sensible Daten und beschafft sich damit wichtige Zugänge. Darauf waren 2020 Twitter-Mitarbeiter hereingefallen: Nur so konnte der Hack der prominenten Twitter-Konten gelingen.
Identitätsdiebstahl über ehemalige kostenlose E-Mail-Adressen
Manche Anbieter kostenloser E-Mail-Dienste vergeben die Adressen gelöschter Konten eine Weile später erneut. Sicherheitsexperten vom Fraunhofer-Institut warnen, dass die meisten FreeMail-Provider die daraus resultierenden Gefahren komplett unterschätzen. Hacker können nämlich damit versuchen, in Accounts einzudringen. Das sollte nicht gelingen, wenn der frühere Besitzer überall die Änderung seiner E-Mail-Adresse bekanntgegeben hat, doch das kann jemand auch vergessen. Daher warnt auch das Fraunhofer-Institut vor kostenlosen E-Mail-Diensten. Das BSI (Bundesamt für Sicherheit in der Informationstechnologie) schließt sich schon länger dieser Warnung an.
Fazit
Wer seine digitale Identität schützen will, muss sich vor kostenlosen E-Mail-Diensten hüten. Securemail bietet eine sehr preiswerte und dabei absolut sichere Lösung über das Tor-Netzwerk an.
Quelle: https://www.anonymous.digital/