Dipl.-Inform. Carsten Eilers

Erstens: Bei einem Diebstahl wird jemandem etwas weggenommen, er kann danach also nicht mehr darüber verfügen. Bei einem "Datendiebstahl" werden die Daten aber "nur" kopiert und bleiben unverändert erhalten. Der Eigentümer kann sie nach wie vor nutzen, der "Dieb" aber ebenso. Und genau so ist es auch bei einem "Identitätsdiebstahl": Nur, weil jemand Ihre Identität missbraucht, sich also Dritten gegenüber als Sie ausgibt, bedeutet ja nicht, dass Sie selbst ihre Identität nicht mehr nutzen können.

Zweitens: Wenn man den Missbrauch einer Identität als "Identitätsdiebstahl" bezeichnet, wie soll man dann das Ausspähen der dafür verwendeten Informationen nennen?

Der Begriff des "Identitätsdiebstahls" hat sich zwar eingebürgert (im englischsprachigen Raum spricht man ebenfalls vom "identity theft"), ich finde den Begriff aber sehr unglücklich gewählt. Sehr viel passender ist der seltener verwendete Begriff "Identitätsmissbrauch". Den ich hier auch verwenden werde.

Damit hat man auch gleich eine Abgrenzung zwischen dem Ausspähen der persönlichen Daten, das man dann von mir aus analog zum "Datendiebstahl" "Identitätsdiebstahl" nenne kann, und ihrem späteren Missbrauch. Der übrigens nicht unbedingt durch den "Dieb" erfolgen muss, denn diese Informationen werden auch auf darauf spezialisierten Online-Märkten gehandelt. Wenn die ausgespähten Daten nicht sogar einfach im Internet veröffentlicht werden, wie es auch schon des Öfteren vorgekommen ist.

Und außerdem: Physikalisch gestohlenes kann man zurück bringen - Daten und Identitäten nicht

Es kam ja schon des Öfteren vor, das nach der Kompromittierung eines Servers die dabei "gestohlenen" Daten auf einem Server "wiedergefunden" wurden. Das klingt dann immer so schön nach "Die Daten sind wieder da, es besteht keine Gefahr mehr", und so wird es in den Medien oft auch dargestellt. Dabei ist das völlig falsch. Was gefunden wurde, war EINE Kopie der Daten. Niemand weiß, wie viele weitere Kopien es noch gibt. Und in welchen Händen diese Kopien sich befinden.

Womit wir zurück zum Identitätsmissbrauch kommen. Den gibt es in verschiedenen Varianten, und wer einmal Opfer eines Identitätsmissbrauchs geworden ist, kann durchaus noch mehrmals zum Opfer werden. Entweder der gleichen Variante, oder auch einer anderen. Selbst wenn ein Fall von Identitätsmissbrauch aufgeklärt und der Täter verhaftet wird kann es zu weiteren Missbrauchsfällen kommen. Und das alles vielleicht aufgrund eines einzigen "Datendiebstahls".

Identitätsmissbrauch ist uralt

Identitätsmissbrauch gab es schon, bevor es das Internet gab. Aber das Internet macht den Missbrauch zum einen viel einfacher, zum anderen bietet es viel mehr Möglichkeiten.

Das älteste und bekannteste Beispiel für Identitätsmissbrauch dürften Bestellungen bei Versandhäusern unter falschen Namen sein. Kriminelle bestellen Waren im Namen eines Dritten, entweder auf Rechnung oder zur Bezahlung per Lastschrift, und lassen sie an eine Adresse liefern, an der sie die Lieferung abfangen können. Das funktionierte schon vor der Erfindung des Internets, anfangs reichte es oft schon aus, unter falschem Namen zu bestellen. Später waren weitere Daten nötig, zum Beispiel Kundennummern oder Bankverbindungen. Die sich zum Beispiel auf weggeworfenen Rechnungen oder Lieferscheinen finden ließen. Heutzutage liefern Papiertonnen und -container diese und weitere Informationen. "Müll" ist manchmal halt auch für Kriminelle und nicht nur für seine Verwerter eine wahre Goldgrube.

Identitätsmissbrauch, ganz allgemein

Ein Identitätsmissbrauch wird meist begangen, weil die Kriminellen damit in irgendeiner Form Geld verdienen oder sich sonstige Vorteile verschaffen wollen. Sehr viel seltener dient er dazu, den rechtmäßigen Inhaber der Identität in Verruf zu bringen, zum Beispiel indem ihm illegale oder auch nur anrüchige Aktionen untergeschoben werden.

Die wichtigste Information über eine Identität ist natürlich der Name, ohne den geht eigentlich gar nichts. Darüber hinaus werden meist so viele persönliche Informationen wie möglich verwendet, um eine falsche Identität vorzutäuschen. Je nach Anwendungszweck können das die Anschrift, Geburtsdatum und -ort, der Geburtsname, die Personalausweis-, Führerschein-, Steuer- oder Sozialversicherungsnummer (letztere vor allen in den USA), die Bankkonto- oder Kreditkartennummern, ... sein. Je mehr zueinander passende Daten der Kriminelle vorweisen kann, desto zuverlässiger gelingt ihm die Täuschung.

Dabei können bereits erlangte Daten helfen, an weitere Daten zu gelangen, siehe als Beispiel den Angriff auf Mat Honan.

In der nächsten Folge (die wg. des Feiertags erst am 6. Juni erscheint) geht es um die Vorbereitung des Identitätsdiebstahls.

Carsten Eilers