Ein Datenleck im Online-Shop und schon sind die eigenen Kreditkartendaten futsch. Den Delikten, die mit gestohlenen Identitäten im Internet begangen werden, kommt die Polizei kaum hinterher. Deshalb gilt: genau hinschauen und sich so gut wie möglich absichern.
Maurice Marralis Job beginnt, wenn unsere Daten schon weg sind. Der Cybercrime-Spezialist sitzt vor gleich drei Bildschirmen, einer zeigt ein schier unendliches Netz von Webseiten. „Eine Kartografie des Darknets“, erklärt der Kriminalkommissar. Die Verflechtungen verweisen auf Seiten mit gleichem System, also kopierte Seiten. Das Darknet gilt mittlerweile als Inbegriff der Cyberkriminalität und des Handels mit gestohlenen persönlichen Daten. Doch Straftaten im Internet gehen über das Darknet hinaus. Das Bundeskriminalamt spricht von mehr als 82.600 Straftaten im Jahr 2016, aktuellere Zahlen liegen nicht vor. Der Gesamtschaden belief sich auf 51,6 Millionen Euro, Aufklärungsquote 38,7 Prozent. Dabei sind finanzielle Schäden eines erfolgreichen Cyber-Angriffes nicht gänzlich bekannt oder können nicht beziffert werden, wie das BKA sagt. „Reputationsverluste oder Imageschäden lassen sich in finanzieller Hinsicht nicht darstellen. Hinzu kommt, dass je nach Ausgestaltung des Angriffs oft nicht nur ein einzelnes System für einen bestimmten Zeitraum ausfällt, sondern teilweise gesamte Netzwerke lahmgelegt werden“, heißt es im „Lagebericht Cybercrime“. Ganz zu schweigen vom Ärger für Privatpersonen. Das kann auch Marrali bestätigen. „Wenn die eigenen Daten für Betrug und Missbrauch im Internet verwendet werden, ist dies für die Betroffenen oft eine sehr schwere Zeit: Sie fragen sich: Was für eine Rechnung kommt heute wieder für Dinge, die ich gar nicht gekauft habe?“ Viele Firmen scheuen aus Imagegründen den Gang zur Polizei, weil sie befürchten, durch den Datenklau Kunden zu verlieren.
Gesamtschaden von über 50 Millionen Euro im Jahr 2016
An gestohlene Identitäten heranzukommen ist nicht schwer. Im Darknet kosten Kreditkarten-Daten fünf bis sieben Euro pro Stück, die Zahl sinkt je nach Kontingent; die illegalen Shops verwenden gelegentlich sogar Bewertungssysteme wie Amazon: „Fünf Sterne, hat super geklappt, gerne wieder“. Häufig werden bei Hackerangriffen auf Unternehmen oder Institutionen Millionenkontingente an persönlichen Daten gestohlen und dann auf dem Schwarzmarkt verkauft. Dabei geht die „Underground Economy“ arbeitsteilig vor: die einen hacken oder bieten Hacking-Software und -Dienstleistungen an, andere verkaufen und andere verwenden die gestohlenen Daten. „Wir verfolgen derzeit den Fall eines Verdächtigen, der gestohlene Paypal-Daten angekauft hat, dazu Zugangsdaten von Packstationen von DHL“, berichtet Marrali von einem aktuellen Ermittlungsverfahren. „Darüber hat er alles Mögliche gekauft, Handys, Laptops, Bücher, sogar Nahrungsmittel, und hat sie sich an die Packstation liefern lassen. Der Schaden belief sich auf knapp 160.000 Euro.“ Die Polizei hat den Verdächtigen ermittelt und festgenommen.
Wenn aber doch die Webseiten selbst von den Behörden beobachtet werden, warum greifen diese dann nicht ein? „Das tun wir“, so der Cybercrime-Experte, „aber wir müssen abwägen.“ In einem Fall hatte ein Verdächtiger zum Beispiel 200 Betrugsdelikte begangen. Verfolgt die Polizei diesen Fall, klärt sie bei Erfolg also mit einem Schlag 200 Delikte auf. Und: „Seiten, die Waffen oder Kinderpornografie anbieten sind ermittlungstechnisch hochwertigere Ziele als beispielsweise Seiten, die gestohlene Packstationsdaten verkaufen“, so Marrali. Außerdem müsste die Polizei Zehntausende Cyber-Ermittler beschäftigen, um diesen Delikten auf die Spur zu kommen, das sei nicht leistbar. Dabei handelt es sich in den meisten Fällen um Betrugsdelikte, bei denen das Internet zum Einsatz kommt, vor allem Waren- und Warenkreditbetrug mit gestohlenen Daten.
Mittlerweile ist es auch für Hacker nicht mehr allzu schwierig, an diese heranzukommen. Online-Shops, die alt sind und deren System nicht mehr gewartet wird, sind leichte Beute. Häufig können Kriminelle Sicherheitslücken dieser Systeme sogar einfach ergoogeln und dann automatisiert mit Spezialprogrammen hacken – der Hacker selbst muss in diesen Fällen gar nicht aufwendig hacken, sondern lässt sein Programm die Arbeit erledigen.
Sicherheitslücken ergoogeln und ausnutzen
Was bleibt dem Anwender also zu tun? „Wir kommen um das Nutzen des Internets heute kaum noch herum“, so Marrali. Insofern helfe nur, möglichst früh, auch schon im Kindesalter, auf die Gefahren hinzuweisen, die im Netz lauern. Landesmedienanstalten helfen meist mit Informationsmaterialien für Eltern, Lehrer und Kinder, aber auch die Polizei mit dem Informationsheft „Klicks-Momente“. Der erwachsene Anwender sollte zumindest vorsichtig sein, welche Daten er wem übermittelt. „Heute ist es schwierig zu sagen, wo meine Daten überhaupt ankommen, wenn ich sie im Internet eingebe. Facebook zum Beispiel kauft auch Daten von Drittfirmen in großem Umfang an, wie wir jetzt am Fall Cambridge Analytica gesehen haben. Aus polizeilicher Sicht wird es kritisch, wenn Betrüger in den Besitz eines Ausweispapieres oder auch nur eines Fotos gelangen. Mit einer Kopie davon kann man sich im Internet perfekt missbräuchlich authentifizieren“, so der Kriminalkommissar. Sichere Passwörter sollte man vor allem da benutzen, wo man sie braucht, zum Beispiel bei Banking-Accounts, und den eigenen Virenschutz und die Firewall immer aktuell halten.
Wenn die eigenen Daten offenbar nachweislich missbraucht werden, Rechnungen über Waren eintrudeln, die man gar nicht gekauft hat, bleibt häufig nur der Gang zur Polizei. Blogs wie identitaetsdiebstahl.info geben Tipps, was in einem solchen Fall zu tun ist. Das Hasso-Plattner-Institut verfügt über eine Datenbank, den HPI Identity Leak Checker, der überprüft, ob die eigene Mailadresse schon einmal gehackt wurde. Der Dienst ist kostenfrei. Zuallererst aber sollte man das Passwort seines Haupt-E-Mail-Accounts ändern, über den häufig viele andere Accounts im Internet verknüpft sind. Der Cybercrime-Experte verwendet dafür einen Passwort-Safe, ein verschlüsseltes Programm mit einem Masterpasswort, in dem alle Log-ins von der Bank bis zum Instagram-Profil hinterlegt sind. Gefeit vor Identitätsdiebstahl ist aber auch Maurice Marrali nicht. Er bekam schon einmal einen Anruf, ob er tatsächlich den Flug von Buenos Aires nach Los Angeles gebucht habe. Seiner Kreditkartenfirma kam diese Buchung spanisch vor. Zu Recht: seine Daten waren von einem Shop im Internet gestohlen worden.