Inhalte im Überblick
In einer Welt, die immer stärker von digitaler Technologie durchdrungen ist, suchen auch Kriminelle nach Möglichkeiten, wie sie diese für ihre Zwecke missbrauchen können. Deshalb nimmt z. B. die Bedrohung durch Identitätsdiebstahl und -missbrauch zu. Du bekommst Rechnungen oder schon Mahnungen für Waren, die du weder bestellt noch erhalten hast? Auf deinem Bankkonto oder bei deiner Kreditkarten-Abrechnung tauchen Positionen auf, die du nicht nachvollziehen kannst?
Du hast Probleme, dich in deinen E-Mail-Account einzuloggen, weil du angeblich schon zu oft ein falsches Passwort eingegeben hast – und das schon nach der ersten Eingabe, die zudem korrekt war? Dich rufen Fremde an, die fragen, wann du endlich die bezahlte Ware lieferst? Dies alles können Anzeichen dafür sein, dass deine persönlichen Daten missbraucht werden. Identitätsdiebstahl, Identitätsmissbrauch, Identitätsbetrug oder Datenmissbrauch sind Begriffe für dieses Vorgehen.
Online-Betrug: Schäden in Millionenhöhe
Online-Betrug ist für die meisten Firmen heute bereits Alltag. Laut einer Umfrage des Informationsdienstleisters CRIF (hat in Deutschland die Wirtschaftsauskunftei Bürgel übernommen) nutzen Betrüger:innen am häufigsten verfälschte Namens- oder Adressdaten (71 %). Dass sich vermeintliche Kund:innen nach einem Identitätsdiebstahl als eine andere, reale Person ausgeben, kennen 68 % der Befragten im Online-Handel. 42 % waren von Eingehungsbetrug (Friendly Fraud) betroffen. Das ist der Fall, wenn du Ware bestellst, obwohl du schon vorher weißt, dass du sie nicht bezahlen kannst oder willst.
Mehr als die Hälfte der Betrugsfälle (52 %) erfolgte mit gestohlenen Zahlungsdaten, z. B. von Kreditkarten. Jedes Jahr entstehen dem Online-Handel auf diese Weise Schäden in Millionenhöhe. Doch selbstverständlich betrifft Datendiebstahl neben Online-Shops auch viele weitere Anbieter digitaler Dienste: z. B. Banken, Telekommunikationsunternehmen, Mobilitätsfirmen, Streaming-Dienste, Dating- und Gaming-Plattformen, Hosting- und Webservices sowie viele andere mehr.
Neben den Schäden für die Unternehmen, die durch die Vielzahl der Fälle in hohem Maß betroffen sind, richten die Täter:innen natürlich auch Schäden bei anderen Opfern an, nämlich den betroffenen realen Personen. Bei vielen von ihnen gibt es neben Rufschädigung und Bonitätsproblemen auch finanzielle und sogar gesundheitliche Folgen: Denn der massive negative Stress kann zu Schlafstörungen, Angstzuständen, Depressionen und anderen Erkrankungen führen.
Welche Daten werden beim Identitätsmissbrauch genutzt?
Da sich die Kriminellen eine komplett neue Identität verschaffen wollen, brauchen sie alle nötigen Daten für den jeweiligen Zweck. Manchmal reichen Vor- und Nachname plus Kreditkartennummer, manchmal ist die komplette Anschrift inklusive Geburtsdatum und Ausweisnummer nötig. Mit diesen Daten werden Verträge für Video-Streaming-Dienste oder Online-Dating-Portale abgeschlossen, E-Mail- und Social-Media-Accounts eingerichtet, Konten eröffnet, Waren bestellt oder verkauft. Das alles unter fremdem Namen und deshalb auch auf fremde Kosten.
Was ist Internetkriminalität/Cybercrime?
Identitätsdiebstahl ist kein neues Phänomen, aber die Methoden der Angreifer:innen werden immer ausgefeilter, ständig verfeinert und an aktuelle Situationen und Ereignisse angepasst. Cyberkriminelle nutzen raffinierte Techniken, um an persönliche Informationen wie Passwörter, Bankdaten, Adressen und Sozialversicherungsnummern zu gelangen. „Straftäter sind an allen Arten von Zugangsdaten interessiert, mit denen sie zu Lasten Dritter und zum eigenen Vorteil Verfügungen im Internet vornehmen können – von der Bestellung von Waren bis hin zur Manipulation von Aktienkursen. Dabei werden oftmals zunächst Daten gesammelt und erst später ‚Geschäftsmodelle‘ für deren illegale Verwendung entwickelt“, heißt es beim Bundeskriminalamt (BKA).
In der Statistik tauchen solche Fälle unter Internetkriminalität oder Cybercrime auf. Diese beiden Begriffe beschreiben jedoch ein sehr, sehr weites Feld, das vom Missbrauch persönlicher Daten von Privatpersonen und Cyber-Mobbing in sozialen Medien über Cyberangriffe auf die IT von Unternehmen (bei denen zum Beispiel Festplatten und Server verschlüsselt und erst gegen Zahlung eines „Lösegeldes“ wieder freigegeben werden) bis hin zu Hacker-Angriffen auf öffentliche oder private Server und kritische Infrastruktur in mutmaßlich staatlichen Auftrag (z. B. aus Russland oder China) reicht.
Wer tiefer in die Thematik einsteigen möchte, kann sich zum Beispiel das „Bundeslagebild Cybercrime 2022“ des BKA anschauen. Außerdem hat das Kriminologisches Forschungsinstitut Niedersachsen 2022 unter dem Titel „Cybercrime gegen Privatpersonen“ Ergebnisse einer repräsentativen Bevölkerungsbefragung in Niedersachsen veröffentlicht.
Ist Identitätsdiebstahl eine Straftat?
Natürlich ist es nicht legal, unter falschen Namen oder auf Kosten Anderer einzukaufen oder aufzutreten. In solchen Fällen wird von Identitätsdiebstahl, Identitätsmissbrauch, Identitätsbetrug oder Datenmissbrauch gesprochen. Aber diese Begriffe finden sich nicht in Paragrafen des Strafgesetzbuches (StGB). Auch wenn es längst ein gängiges Phänomen ist, handelt es sich bei den konkreten Fällen oft um vielschichtige Straftaten, für die – je nach Vorgehen und Umstand – verschiedene Paragrafen in Frage kommen können.
Dazu zählen zum Beispiel § 263 StGB Betrug, § 263 a Computerbetrug, § 266 b Missbrauch von Scheck- und Kreditkarten, § 267 Urkundenfälschung, § 268 Fälschung technischer Aufzeichnungen, § 269 Fälschung beweiserheblicher Daten, § 270 Täuschung im Rechtsverkehr bei Datenverarbeitung oder § 202 a bis d, nach denen das Ausspähen und Abfangen von Daten sowie Datenhehlerei bestraft werden.
§ 238 StGB trägt den Titel Nachstellung, weshalb damit nicht gleich Datendiebstahl und Internetbetrug assoziiert werden. Doch nach Absatz 1 Ziffer 3 kann bestraft werden, wer „unter missbräuchlicher Verwendung von personenbezogenen Daten dieser Person a) Bestellungen von Waren oder Dienstleistungen für sie aufgibt oder b) Dritte veranlasst, Kontakt mit ihr aufzunehmen“. Und kreative Jurist:innen finden sicher noch manchen weiteren Paragrafen, um Kriminelle zur Rechenschaft zu ziehen.
Doch zunächst hat in der Regel das Opfer Stress mit Polizei und Justiz. Denn die Person, deren Daten widerrechtlich genutzt wurden, wird von anderen Betrugsopfern zunächst für den Täter bzw. die Täterin gehalten. weil z. B. die auf den Namen des Datenmissbrauchsopfers bestellten Waren nicht bezahlt werden oder trotz Überweisung nicht die versprochene Ware geliefert wird. Denn die reale Person hat weder die Ware bestellt noch eine Kleinanzeige auf einem Portal geschaltet und ggf. auch das Konto nicht selbst eröffnet, auf das überwiesen wurde.
Wie kommen die Täter:innen an die Daten?
Laut Hasso-Plattner-Institut (HPI) in Potsdam gibt es 1.492.062 geleakte Accounts pro Tag, also „Lecks in Zugängen“. Nach den Ergebnissen einer repräsentativen Umfrage der Verbraucherzentrale aus dem Sommer 2023 waren 30 % der befragten Privatpersonen bereits mindestens einmal Opfer von Account-Hacking. Dabei trifft es als erstes mit 35 % Social-Media-Accounts (wobei hier Facebook mit 27 % vorn liegt). Bei 28 % war ein E-Mail-Konto betroffen. Auf den weiteren Plätzen folgen mit 21 % Accounts bei Online-Marktplätzen (wie Amazon oder eBay) sowie mit 16 % Finanz-Accounts (wie Online-Banking, Paypal oder auch Kreditkarten-Daten).
An die Daten kommen die Betrüger:innen über den direkten Angriff auf E-Mail-Anbieter, Online-Shops und andere Unternehmen, über Phishing-Attacken und über Listen im Darknet. Denn werden Daten erbeutet, landen sie häufig auf speziellen Plattformen, wo Kriminelle sie kaufen, um sie für weitere illegale Handlungen zu nutzen. Manche Menschen sind allerdings auch einfach zu auskunftsfreudig, was die Preisgabe von Informationen bis hin zu sensiblen Daten anbelangt.
Was ist Phishing?
Betrüger:innen kommen oft per Phishing an die Daten ihrer Opfer. Der Begriff Phishing ist ein Kunstwort, das aus den englischsprachigen Wörtern Password und Fishing gebildet wird, also übersetzt Fischen nach Passwörtern bzw. Angeln nach Zugangsdaten bezeichnet. Dies geschieht über Nachrichten, die per E-Mail, per SMS oder über soziale Netzwerke verschickt werden. Die stammen angeblich von deiner Bank, deinem Telefonanbieter, einer Behörde, einem Paketdienstleister oder einem anderen Unternehmen.
Angeblich geht es um ein Update, eine Lieferung, eine Bestellung, einen Fehler, eine Störung oder Sperrung. Letztlich sollst du meist auf einen Link klicken, der dich auf eine gefälschte Webseite führt, auf der dann sensible Daten abgefragt werden. Oder es wird nach dem Klick auf der Webseite im Hintergrund eine Schadsoftware auf deinem Computer installiert, mit der dann Daten abgegriffen werden.
Abzocke beim Online-Dating
Eine schon länger bekannte und nach wie vor beliebte Masche, Leute über den Tisch zu ziehen, ist das sogenannte Love Scamming (auch Love Scam oder Romance Scam genannt). Bei dieser Form des Internetbetrugs wird auf einem Online-Dating-Portal, bei einer Singlebörse oder in sozialen Netzwerken ein gefälschtes Profil angelegt. Du wirst dann von einer Person kontaktiert, die dich kennenlernen möchte, sich spontan oder im Laufe der Zeit angeblich in dich verliebt hat. Analog zu anderen Betrugsmaschen geht es irgendwann darum, dass du Geld überweisen, deine Bankverbindung zur Verfügung stellen oder persönliche Daten preisgeben sollst.
Nur dann kann die dich angeblich liebende Person z.B. einreisen, dich besuchen oder aus einer aktuellen Klemme herauskommen. Bei dieser modernen Form von Heiratsschwindel oder Liebesbetrug werden gern Daten und Fotos realer Personen genutzt, weil dies die Glaubwürdigkeit unterstreicht und einfache Überprüfungen erschwert. Deshalb gilt: Schalte trotz möglicher Schmetterlinge im Bauch den Kopf nicht aus. Schütze dich durch ein gesundes Misstrauen und werde hellhörig, wenn dein Romeo oder deine Julia angeblich – warum auch immer – gerade selbst keinen Kontozugriff hat und deshalb Geld oder deine Kontoverbindung benötigt. Das Versprechen: „Du bekommst das Geld selbstverständlich wieder, wenn wir uns sehen!“ – is‘ klar, nicht wahr?
Von der Kriminalprävention der Polizei gibt es ausführliche Informationen zum Thema Scamming, um dich zu schützen. Lade dir dort das Informationsblatt herunter und gib es deinen Freund:innen, wenn du weiß, dass die auf Dating-Plattformen oder Kontaktbörsen unterwegs sind.
Niemals intime Fotos verschicken!
Weil wir gerade beim Thema Liebe und Kennenlernen sind: Verschicke niemals intime Fotos von dir! Auch nicht, wenn dein „Gegenüber“ dich noch so doll darum bittet und vielleicht sogar selbst solche Fotos (angeblich von sich) geschickt hat. Meist wirst du anschließend erpresst, damit die Bilder nicht – ggf. zusammen mit deinen Kontaktdaten – veröffentlicht werden.
Und selbst wenn nicht, hast du keinerlei Kontrolle, was heute, morgen oder in ein paar Jahren mit den Bildern passiert und auf welchen Webseiten oder sozialen Netzwerken sie in welchem Zusammenhang mit oder ohne deinen Namen auftauchen könnten. Also lass es! Das hat nichts mit Spießigkeit oder Prüderie zu tun, sondern dient deinem Schutz und deinem Ruf – auch langfristig. Schließlich willst du nicht, dass deine Nachbar:innen, Kolleg:innen, Personalleitungen oder gar wildfremde Personen solche Fotos von dir sehen.
Identitätsdiebstahl bei der Jobsuche
Wenn du heute ein Bankkonto eröffnen oder einen Mobilfunkvertrag abschließen möchtest, musst du dich identifizieren. Das ist gesetzlich vorgeschrieben. Wenn du dies nicht in einer Filiale tust, geschieht dies häufig durch das sogenannte Video-Ident-Verfahren. Das läuft am Computer über eine direkte Weiterleitung von der Unternehmensseite, nachdem du dort den Vertrag abgeschlossen hast, oder über eine App. Doch dieses Verfahren kann auch in anderen Zusammenhängen auftauchen.
„Schnelles Geld im Homeoffice“ oder „gutes Honorar bei wenig Zeiteinsatz“, das klingt verlockend. Sei misstrauisch, wenn eine Firma während des Bewerbungsprozesses keinen persönlichen Kontakt mit echtem Treffen oder per (Festnetz-) Telefon anbietet. Selbst bei seriös klingenden Inseraten – egal ob in Zeitungen oder online, z. B. Bürotätigkeit in Heimarbeit für ein Großunternehmen oder dessen Tochterfirma, sollten deine Alarmglocken schrillen, wenn du um Ausweiskopien per E-Mail gebeten oder im Rahmen eines Bewerbungsprozesses aufgefordert wirst, ein Video-Ident-Verfahren durchzuführen.
So wurden z. B. Finanzagent:innen oder Tester:innen gesucht, die vermeintlich Konten oder Services von Banken analysieren sollten. Dafür sollte ein Konto eröffnet werden. Was die Betroffenen nicht wussten bzw. erst im Nachhinein schmerzlich erfahren haben: Mit Hilfe der Daten und der Legitimation durch das Video-Ident-Verfahren wurden Konten auf ihren Namen eröffnet und Profile angelegt, die z. B. zum Betreiben von Fake-Shops und zur Ausübung von Warenbetrug bzw. Warenkreditbetrug missbraucht wurden.
Tipp: Seriöse Firmen, die Video-Ident-Verfahren anbieten, fragen dich während der Aufnahme, für welchen Zweck du dich identifizieren möchtest. Antworte hier so konkret wie möglich, gibt dabei den Zweck und den Namen des Unternehmens an. Sollte dies nicht übereinstimmen, wird dich ein seriöser Ident-Anbieter darauf hinweisen.
Identitätsmissbrauch bei der Wohnungssuche
Ähnlich wie bei Jobangeboten kannst du auch bei der Wohnungssuche über den Tisch gezogen werden. In Corona-Hochzeiten kam es durchaus vor, dass eine Wohnung anfangs virtuell besichtigt wurde. Das ist heute nicht mehr nötig. Besonders wenn ein Angebot fast zu gut ist, um wahr zu sein, ist es meist nicht wahr. Das vermeintliche Schnäppchen ist ein Fake. Vorauszahlungen der ersten Miete oder der Kaution sollten nicht auf ein ausländisches Konto erfolgen und schon gar nicht per Bargeldtransfer. Auch die Schlüssel solltest du aus der Hand einer Person bekommen (also nicht per Post), schließlich muss es ja auch ein Übergabeprotokoll geben.
Seriöse Vermieter:innen haben meist eine Festnetznummer mit deutscher Vorwahl und eine Adresse in Deutschland. Kommerzielle Vermieter:innen haben zudem eine Webseite mit entsprechender E-Mail-Adresse. Wenn du ausschließlich über WhatsApp oder eine „private“ E-Mail-Adresse kontaktiert wirst, solltest du misstrauisch sein. Recherchiere, ob es unter der angegebenen Adresse wirklich eine Person bzw. Firma mit diesem Namen gibt. Manchmal gibt es schon in der Suchanzeige des Browsers Warnungen oder Hinweise zu diesem Namen, weil bereits über die Abzocker:innen berichtet wurde.
Gern wird in diesem Zusammenhang auch die Eröffnung eines Kautionskontos verlangt, für die du dann – wie beim Thema Jobsuche beschrieben – gleich per Videolegitimation ein Konto eröffnen sollst. Alarmglocken! Entscheide lieber selbst, wo und wie du die Mietkaution absicherst. Wenn du das sicher erledigen möchtest, kannst du das auch bei der Hamburger Sparkasse tun. Neben einem Mietkautionskonto gibt es bei der Haspa auch die Möglichkeit, eine Bürgschaft durch eine Versicherungsgesellschaft abzuschließen.
Check: Wurden deine Daten im Internet veröffentlicht?
Das Hasso-Plattner-Institut (HPI) in Potsdam hat den „Identity Leak Checker“ entwickelt. Dort kannst du prüfen, ob deine persönlichen Identitätsdaten bereits im Internet veröffentlicht wurden. Per Datenabgleich kontrolliert das Institut, ob deine E-Mail-Adresse in Verbindung mit anderen persönlichen Daten (z. B. Telefonnummer, Geburtsdatum oder Adresse) im Internet offengelegt wurde und deshalb missbraucht werden könnte. Nachdem du deine E-Mail-Adresse dort eingegeben hast, bekommst du eine Antwort-Mail des HPI. Aus der ergibt sich, ob du betroffen bist und wenn ja, auch wie und ungefähr wann der Datendiebstahl geschah. Außerdem gibt es Tipps, was nun dringend getan werden sollte.
Die Wirtschaftsauskunftei Schufa bietet einen Identchecker. Dieser prüft, ob deine Daten in den vergangenen 3 Monaten unberechtigt im Internet veröffentlicht wurden. Der Vorteil: Du kannst nicht nur checken, ob deine E-Mail-Adresse betroffen ist, sondern auch deine Mobilfunknummer, Kreditkartennummern, Bankverbindung (also IBAN/Kontonummer) oder Ausweisnummer prüfen lassen.
So kannst du dich vor Identitätsdiebstahl schützen
Die schlechte Nachricht zu Beginn: 100 % Schutz gibt es nicht. Zum einen, weil du im täglichen Leben Daten preisgeben muss, um z.B. Einkäufe zu tätigen, und zum anderen, weil Daten auch außerhalb deines Einflussbereiches (z. B. durch einen Hacker-Angriff auf Firmen) gestohlen werden können. Aber es gibt viele Möglichkeiten, sich vor Identitätsdiebstahl, Identitätsmissbrauch bzw. Datenmissbrauch zu schützen.
Grundsätzlich gilt:
- Geh vorsichtig mit deinen Daten um und halte Passwörter unter Verschluss! Werde hellhörig, wenn sensible Daten wie Passwörter, PIN bzw. TAN, Bankverbindung oder Kreditkartennummern abgefragt werden. Nutze die Zwei-Faktor-Authentifizierung, wenn sie angeboten wird. Das erhöht deine Sicherheit.
- Achte auf starke Passwörter. Laut Hasso-Plattner-Institut sind „123456“, „123456789“ und „Passwort“ die Top 3 bei den Passwörtern. Sei kreativer, verwende nicht deinen Namen oder dein Geburtsdatum. Schau dir die Tipps des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu sicheren Passwörtern an.
- Verwende für jedes Nutzerkonto ein individuelles Passwort. Verwende diese nicht zu lange, sondern ändere sie zwischendurch.
- Gib Passwörter, PIN und TAN niemals an Andere weiter.
- Falls du mal dein Passwort, deinen Anmeldenamen oder deine PIN vergessen hast, bietet dir die Haspa Anleitungen und Hilfen an. Im Service-Center gibt es außerdem viele Antworten auf Fragen, z. B. wie du keine Karte sperren lässt oder wie du eine neue PIN vergibst.
- Überprüfe stets die Adresse in der Browser-Leiste, wenn du sensible Daten auf einer Webseite eingeben sollst. Steht da hinter https://www… wirklich die bekannte URL des Unternehmens oder etwas Anderes? Tippe im Zweifel die Adresse selbst ein statt auf einen Link zu klicken.
- Wenn du über eine Shopping-Plattform etwas kaufen oder verkaufen möchtest (z. B. Amazon, Ebay, kleinanzeigen.de), bleibe innerhalb des Portals bzw. innerhalb der Nachrichtenfunktion des Portals. Vermeide die Kommunikation per E-Mail, SMS oder WhatsApp.
- Kontrolliere regelmäßig deine Kontoauszüge und Kreditkarten-Abrechnungen. Gibt es Buchungen, die du dir nicht erklären kannst?
Tipps für „Schutz beim Onlineshopping“ bietet die SOS-Karte, die das Bundesinstitut für Sicherheit in der Informationstechnik (BSI) und die Verbraucherzentrale erstellt haben.
Was tun, wenn du Opfer eines Betruges bzw. von Datendiebstahl wurdest?
Wenn du vermutest, Opfer eines Betruges oder Datendiebstahls geworden zu sein, gehe wie folgt vor:
- Informiere deine Sparkasse oder Bank und sperre die betroffenen Konten und/oder Karten.
- Ändere sofort das Passwort des betroffenen Accounts. Vorsorglich solltest du in jedem Fall auch die Zugangsdaten für dein E-Mail-Postfach ändern, auch wenn dies (noch) nicht betroffen ist.
- Dokumentiere, wie der Betrug ablief, z. B. durch Screenshots von Webseiten und Chat-Verläufen, Ausdrucken von E-Mails. Sichere diese Dokumente auf einem externen Medium, z. B. einem USB-Stick, einer externen Festplatte oder als Papierausdruck.
- Erstatte Strafanzeige bei der Polizei. Bring dabei deinen Ausweis und die Dokumentationen zum Betrug bzw. zum Datendiebstahl oder Identitätsmissbrauch mit.
Mit dem Nachweis der Strafanzeige kannst du den Identitätsbetrug gegenüber den Gläubigern (Anwaltskanzleien, Inkassofirmen, anderen Opfern) dokumentieren. Außerdem kannst du den Identitätsdiebstahl den bekannten Wirtschaftsauskunfteien melden. Die Information, dass du Opfer eines Datendiebstahls geworden bist, wird dann den Vertragspartner:innen der Auskunfteien mitgeteilt, falls auf deinen Namen neue Verträge abgeschlossen werden sollen. Das kann weitere Schäden verhindern und dazu führen, dass du mit deinen Daten für die Kriminellen uninteressant wirst. Bei Schufa und CRIF heißt der Vorgang „Einmeldung“.