© DrHitch/Shutterstock.com
Datensicherheit

3 Identitätsmissbrauch: Was kann passieren, und was kann man dagegen machen?


Im ersten Kapitel haben Sie erfahren, was die auf Vorrat gespeicherten Metadaten der Telekommunikation über Sie verraten. Im zweiten Kapitel ging es dann um die verräterischen Spuren, die Sie im Internet hinterlassen. Was jetzt noch fehlt, ist der Missbrauch Ihrer Identität, meist als „Identitätsdiebstahl“ bezeichnet.

Der Begriff „Identitätsdiebstahl“ (im englischsprachigen Raum spricht man ebenfalls vom „identity theft“) hat sich ebenso wie der des Datendiebstahls zwar eingebürgert, ist aber eigentlich falsch, und das gleich in zweierlei Hinsicht. Erstens: Bei einem Diebstahl wird jemandem etwas weggenommen, er kann danach also nicht mehr darüber verfügen. Bei einem Datendiebstahl werden die Daten aber „nur“ kopiert und bleiben unverändert erhalten. Der Eigentümer kann sie nach wie vor nutzen – der „Dieb“ aber ebenso. Und genau so ist es auch bei einem Identitätsdiebstahl: Nur, weil jemand Ihre Identität missbraucht – sich also Dritten gegenüber als Sie ausgibt – bedeutet das ja nicht, dass Sie selbst Ihre Identität nicht mehr nutzen können. Zweitens: Wenn man den Missbrauch einer Identität als Identitätsdiebstahl bezeichnet, wie soll man dann das Ausspähen der dafür verwendeten Informationen nennen? Sehr viel passender ist der seltener verwendete Begriff „Identitätsmissbrauch“, den ich in diesem Kapitel verwenden werde. Damit hat man auch gleich eine Abgrenzung zwischen dem Ausspähen der persönlichen Daten, das man dann von mir aus analog zum Datendiebstahl „Identitätsdiebstahl“ nennen kann, und ihrem späteren Missbrauch. Der muss übrigens nicht unbedingt durch den Dieb erfolgen, denn diese Informationen werden auch auf darauf spezialisierten Onlinemärkten gehandelt – wenn die ausgespähten Daten nicht sogar einfach im Internet veröffentlicht werden, wie es auch schon des Öfteren vorgekommen ist.

Physikalisch Gestohlenes kann man zurückbringen, Daten und Identitäten nicht

Es kam ja schon des Öfteren vor, dass nach der Kompromittierung eines Servers die dabei gestohlenen Daten auf einem Server „wiedergefunden“ wurden. Das klingt dann immer so schön nach „Die Daten sind wieder da, es besteht keine Gefahr mehr“, und so wird es in den Medien oft auch dargestellt. Dabei ist das völlig falsch. Was gefunden wurde, war EINE Kopie der Daten. Niemand weiß, wie viele weitere Kopien es noch gibt – und in welchen Händen sich diese Kopien befinden.

Womit wir wieder zurück zum Identitätsmissbrauch kommen. Den gibt es in verschiedenen Varianten, und wer einmal Opfer eines Identitätsmissbrauchs geworden ist, kann durchaus noch mehrmals zum Opfer werden – entweder der gleichen Variante oder auch einer anderen. Selbst wenn ein Fall von Identitätsmissbrauch aufgeklärt und der Täter verhaftet wird, kann es zu weiteren Missbrauchsfällen kommen, und das alles vielleicht aufgrund eines einzigen Datendiebstahls.

Identitätsmissbrauch ist uralt

Identitätsmissbrauch gab es schon, bevor es das Internet gab. Aber das Internet macht den Missbrauch zum einen viel einfacher, zum anderen bietet es viel mehr Möglichkeiten. Das älteste und bekannteste Beispiel für Identitätsmissbrauch dürften Bestellungen bei Versandhäusern unter falschen Namen sein. Kriminelle bestellen Waren im Namen eines Dritten, entweder auf Rechnung oder zur Bezahlung per Lastschrift, und lassen sie an eine Adresse liefern, an der sie die Lieferung abfangen können. Das funktionierte schon vor der Erfindung des Internets, und anfangs reichte es oft schon aus, unter falschem Namen zu bestellen. Später waren weitere Daten nötig, zum Beispiel Kundennummern oder Bankverbindungen, die sich zum Beispiel auf weggeworfenen Rechnungen oder Lieferscheinen finden ließen. Heutzutage liefern Papiertonnen und -container diese und weitere Informationen. Müll ist manchmal halt auch für Kriminelle und nicht nur für seine Verwerter eine wahre Goldgrube.

Identitätsmissbrauch, ganz allgemein

Ein Identitätsmissbrauch wird meist begangen, weil die Kriminellen damit in irgendeiner Form Geld verdienen oder sich sonstige Vorteile verschaffen wollen. Sehr viel seltener dient er dazu, den rechtmäßigen Inhaber der Identität in Verruf zu bringen, zum Beispiel indem ihm illegale oder auch nur anrüchige Aktionen untergeschoben werden.

Die wichtigste Information über eine Identität ist natürlich der Name, ohne den geht eigentlich gar nichts. Darüber hinaus werden meist so viele persönliche Informationen wie möglich verwendet, um eine falsche Identität vorzutäuschen. Je nach Anwendungszweck können das die Anschrift, Geburtsdatum und -ort, der Geburtsname, die Personalausweis-, Führerschein-, Steuer- oder Sozialversicherungsnummer (letztere vor allem in den USA), die Bankkonto- oder Kreditkartennummern sein. Je mehr zueinanderpassende Daten der Kriminelle vorweisen kann, desto zuverlässiger gelingt ihm die Täuschung.

Dabei können bereits erlangte Daten helfen, an weitere Daten zu gelangen (als Beispiel siehe Kasten „Der Angriff auf Mat Honan – ein sehr gutes Beispiel für einen Identitätsmissbrauch“).

Der Angriff auf Mat Honan – ein sehr gutes Beispiel für einen Identitätsmissbrauch

Am 3. August 2012 wurde der iCloud-Account des ehemaligen Gizmodo-Autors Mat Honan von Hackern übernommen – mit gravierenden Folgen [1]. Denn im Verlauf des Angriffs wurden gleich mehrere seiner digitalen Identitäten von den Angreifern übernommen:

  • Um 16:50 Uhr erlangten die Hacker Zugriff auf Mat Honans iCloud-Account.
    Wie später heraus kam, hatten sie da bereits Zugriff auf seinen Amazon-Account (s.u.).

Um 16:52 Uhr wurde eine Passwort-Recovery-Mail von Google an die als Back-up-E-Mail-Adresse verwendete me.com-E-Mail-Adresse geschickt. Zwei Minuten später informierte eine E-Mail Mat Honan über die erfolgreiche Änderung des Google-Passworts. Gegen 17 Uhr wurde sein Google-Account dann gelöscht.

  • Um 17:00 Uhr wurde Mat Honans iPhone über die „Remote Wipe“-Funktion von „Find my iPhone“ [2] gelöscht.
  • Um 17:01 Uhr passierte das Gleiche mit seinem iPad.
  • Um 17:02 Uhr wurde sein Twitter-Passwort zurückgesetzt und der Account übernommen.
    Da das Twitter-Konto mit Gizmodos Twitter-Konto verbunden war, konnten die Hacker auch dort Nachrichten veröffentlichen [3].
  • Um 17:05 Uhr wurde Mat Honans MacBook Air gelöscht.

Es dauerte einige Zeit, bis Mat Honan wieder die Kontrolle über seine Accounts erlangen konnte. Die Daten seines MacBooks, von denen er kein Backup hatte, schienen anfangs unwiederbringlich verloren. Zu Mat Honans Glück konnte ein Datenrettungsunternehmen einen großen Teil der für ihn besonders wichtigen Daten, seine Fotos und selbst aufgenommenen Filme retten [4]. 25 Prozent der Daten auf der Festplatte waren jedoch mit Nullen überschrieben und rettungslos verloren. Aber das betraf zum Glück nur installierte Anwendungen, Einstellungen und ähnliche Daten, auf die er verzichten konnte.

Der Angriff

Anfangs ging Matt Honan davon aus, dass sein siebenstelliges, alphanumerisches iCloud-Passwort einem Brute-Force-Angriff zum Opfer gefallen war. Nachdem einer der Hacker, der sich Phobia nennt, mit ihm Kontakt aufgenommen und Mat Honan mit Apples Support gesprochen hatte, sah das Ganze völlig anders aus [4], [5].

Die Hacker waren nur an Mat Honans Twitter-Account interessiert, dessen kurzer Benutzername ihnen gefiel. Und so erlangten sie den Zugriff darauf:

  1. Der Twitter-Account war mit Mat Honans persönlicher Website verlinkt, auf der Phobia Honans Gmail-Adresse fand. Die Hacker gingen davon aus, dass diese Adresse auch für den Twitter-Account verwendet wurde.
  2. Der Hacker rief Googles Recovery-Seite mit Mat Honans Gmail-Adresse auf. Dort wurde ihm die unleserlich gemachte alternative E-Mail-Adresse angezeigt: m••••n@me.com. Die korrekte Adresse lässt sich daraus leicht erraten.
  3. Für den Zugriff auf Mat Honans Apple-ID brauchte Phobia Mat Honans Anschrift und die letzten vier Ziffern seiner Kreditkarte. Eine whois-Anfrage nach seiner Website lieferte ihm die Anschrift.
    Was jetzt noch fehlte, um Apples Recovery-Prozess zu starten, waren die letzten vier Ziffern der Kreditkarte.
  4. Ein Freund des Hackers hat dann bei Amazon angerufen und eine neue Kreditkarte für Mat Honans Account angegeben. Dafür musste er nur den Namen des Account-Besitzers, seine Postanschrift und die E-Mail-Adresse angeben – alles Informationen, die die Hacker bereits kannten.
  5. Danach hat der Hacker erneut bei Amazon angerufen und eine neue E-Mail-Adresse für den Account angegeben, da er angeblich keinen Zugriff mehr auf sein Konto habe. Dazu reichten ihm der Name, die Anschrift und die Daten der zuvor von ihm angegebenen neue...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang