Fragen & Antworten

Diese Übersicht gibt dir schnelle, verständliche Orientierung – von der Begriffsklärung über neue Betrugsmaschen mit KI bis hin zu konkreten Schritten, wenn du betroffen bist. Die hier bereit gestellten Musterbriefe sind nicht juristisch geprüft, ich (Tina Groll) habe aber solche bei meinem eigenen Fall genutzt.

Hinweis: Diese Inhalte ersetzen keine Rechtsberatung.

1) Was ist Identitätsdiebstahl – und was Identitätsmissbrauch?

Identitätsdiebstahl bedeutet, dass Dritte deine personenbezogenen Daten (z. B. Name, Geburtsdatum, Adresse, Ausweis-/Kontodaten, Zugangsdaten) unbefugt erlangen.
Identitätsmissbrauch heißt: Diese Daten werden aktiv verwendet, um sich als dich auszugeben – etwa für Bestellungen, Kontozugriffe, Vertragsabschlüsse, Erpressung oder Rufschädigung. Erst beim Missbrauch entstehen regelmäßig Schäden und wird der Vorfall oft überhaupt bemerkt.

Wichtig in 2025: Identitätsmissbrauch geschieht zunehmend auch ohne „klassischen“ Datendiebstahl – z. B. durch KI-gestützte Deepfakes, Voice-Cloning (deine Stimme), „synthetische Identitäten“ (Mischung aus echten und erfundenen Daten) oder die Übernahme deiner Telefonnummer (SIM-Swap).

2) Wie unterscheiden sich CEO-Fraud/Fake-President-Attack und Identitätsdiebstahl?

Fake-President/CEO-Fraud ist eine Spezialform des Identitätsmissbrauchs im beruflichen Umfeld: Täter geben sich als Geschäftsführung/Vorgesetzte/Partner aus (oft via gehackter E-Mail, Deepfake-Anruf oder gefälschter Messenger-Identität) und setzen Mitarbeiter unter Druck, Geld zu überweisen oder Stammdaten (IBAN, Adressen) zu ändern.
Payment Diversion ist verwandt: Es werden Zahlungsziele unbemerkt manipuliert (z. B. „Neue IBAN für offene Rechnung…“).

Schutzprinzip: Niemals aufgrund einer Nachricht allein handeln. Immer einen Rückruf auf bekannte, unabhängig recherchierte Nummern durchführen und Vier-Augen-Freigaben nutzen.

3) Woran merke ich, dass ich betroffen bin?

Typische Warnsignale:

Unbekannte Abbuchungen, Bestellungen, Vertrags- oder Abo-Bestätigungen
Mahnungen/Inkasso zu Vorgängen, die du nicht kennst
E-Mails/SMS „Passwort geändert“, „Neues Gerät angemeldet“, „Code: …“, ohne dass du etwas ausgelöst hast
Postprobleme (Nachsendeauftrag/Adressänderung ohne dein Zutun)
Unerklärliche Bonitätsprobleme oder Schufa-Hinweise

Nicht zwingend Identitätsdiebstahl (aber ernst): Einzelne Kartenzahlungen oder Lastschriften können „nur“ Zahlungsbetrug sein. Hier: Karte sperren, Rückbuchung veranlassen, Anzeige erstatten.

4) Wie gehen Täter heute vor?

Datenquellen: Datenpannen/Leaks, Datenhändler, Phishing/Smishing, Malware/Infostealer, soziale Netzwerke/OSINT, gefälschte Job- oder KYC-Prozesse, Briefkasten-/Adressdiebstahl, Geräte- oder Account-Übernahmen.
KI-gestützte Angriffe:
Deepfakes (Bild/Video/Audio) und Voice-Cloning für „Chef-Anrufe“, Erpressung, „Enkeltrick 2.0“.
Texte/Chats klingen extrem echt (Spear-Phishing).
Account-Takeover 2.0:
Reset über gekaperte E-Mail, MFA-Müdigkeit (Push-Bombing), Session-Diebstahl (Cookies), Social-Login-Missbrauch.
SIM-Swapping:
Übernahme der Rufnummer für TAN/MFA-Codes.
Drop-Adressen/Packstationen/Paketmules:
Warenkreditbetrug mit Abholung über Drittorte.
„Pig-Butchering“/Romance-/Krypto-Scams:
Langfristiger Vertrauensaufbau, dann Fake-Investments.
QR/SSO-Betrug:
Manipulierte QR-Codes oder täuschend echte Single-Sign-On-Seiten.

5) Was tun Täter mit gestohlenen Identitäten?

Warenkreditbetrug, Konto- und Kreditkartenmissbrauch, Kontoeröffnungen/Kredite/Leasing
Eröffnung/Übernahme von Accounts (Marktplätze, Social Media), Weiterverkauf von Waren/Dienstleistungen
Rufschädigung, Erpressung (Sextortion, Doxing)
Social Engineering (gegen dein Umfeld/Arbeitgeber)
Geldwäsche über „Mules“ (auch unfreiwillig, z. B. über Fake-Jobs)

6) Wie funktioniert Warenkreditbetrug typischerweise?

Bestellung auf deinen Namen, aber Zustellung an Packstation, Abholadresse, leerstehende Wohnung oder „Mule“.
Du erfährst oft erst davon, wenn Mahnungen/Inkasso eintreffen.
Wichtig: Fristgerecht widersprechen, Beweise sichern, Anzeige erstatten, Bonitätsdaten prüfen – unsere Musterbriefe helfen.

7) Ich bin betroffen – was muss ich jetzt konkret tun?

Kurzfassung (Tipps in der Checkliste_Erste_60_Minutenn):
1) Beweise sichern: Screenshots, E-Mail-Header, Zeiten, URLs, Anruflisten.
2) Zugänge sichern: E-Mail zuerst, dann alle kritischen Accounts; Passwörter ändern, Sitzungen beenden, MFA/Passkeys aktivieren.
3) Finanzen: Bank/Zahlungsdienste informieren, Karten/Transaktionen prüfen, Alerts aktivieren.
4) Geräte absichern: Updates, Malware-Scan, verdächtige Apps/Erweiterungen entfernen.
5) Plattformen informieren: Missbrauch melden, Kontowiederherstellung.
6) Recht: Anzeige erstatten (Aktenzeichen dokumentieren).
7) Forderungen: Inkasso/Unternehmen schriftlich widersprechen, Auskunft/Löschung verlangen (Musterbriefe).
8) Mobilfunk: Bei SIM-Swap Verdacht Anbieter kontaktieren, Hotline-PIN setzen; MFA von SMS auf App/Hardware umstellen.
9) Bonität: Selbstauskunft bei Auskunfteien beantragen, falsche Einträge bestreiten.

8) Sind die Opfer selbst schuld?

Nein. Viele Angriffe nutzen Leaks, Datenhandel, technische Schwachstellen oder extrem überzeugendes Social Engineering – teils KI-unterstützt. Gute Gewohnheiten reduzieren Risiken, aber absolute Sicherheit gibt es nicht. Wichtig ist, früh zu reagieren und systematisch vorzugehen.

9) Wo finde ich Rechtsberatung – und wer zahlt?

Suche eine Kanzlei mit Erfahrung in Zivil-, Straf-, IT- und Datenschutzrecht.
Verbraucherzentralen und Landesdatenschutzbehörden bieten Beratung/Anlaufstellen.
Kosten: Teils selbst zu tragen; bei fortgesetzten unberechtigten Forderungen können Verursacher (z. B. hartnäckige Inkassos trotz Betrugshinweis) ggf. Kosten tragen. Lass dich hierzu individuell beraten.

Tipp: Lass dir von der Kanzlei Standardschreiben erstellen – das spart Aufwand und Kosten.

10) Was passiert mit falschen Daten – und wie bekomme ich die weg?

Art. 15 DSGVO (Auskunft): Frage ab, welche Daten verarbeitet werden, Quelle, Empfänger, Speicherdauer. Verlange Kopien relevanter Daten.
Art. 16/17/18/21 DSGVO: Berichtigung, Löschung, Einschränkung und Widerspruchsrechte nutzen.
Auskunfteien/Bonität: Mindestens eine kostenlose Selbstauskunft nach DSGVO ist möglich. Bestreite falsche Einträge umgehend, lege Nachweise (Anzeige, Schriftwechsel) bei.
Einige Auskunfteien bieten Sperr-/Betrugsvermerke an – frage nach, ob ein temporärer Schutzvermerk möglich ist.

Musterbriefe (Auskunft/Löschung/Widerspruch) beschleunigen das Verfahren.

11) Wie lange dauert das – wann ist es vorbei?

Das variiert stark. Häufig flaut die Welle ab, sobald:

alle kritischen Accounts gesichert sind,
du strukturiert widersprochen und falsche Einträge bereinigt hast,
Datenhändler/Auskunfteien aktualisiert wurden.

Bleib in der Zeit unbedingt fristtreu und reaktionsschnell (Briefkasten, E-Mail, ggf. Vollmacht an Vertrauensperson bei Abwesenheit).

12) Was ist mit Haftbefehlen oder Einträgen im Schuldnerverzeichnis?

Hier unbedingt anwaltliche Unterstützung einholen.
Zuständiges Amtsgericht kontaktieren, Löschung/Berichtigung beantragen und Identitätsmissbrauch nachweisen (Anzeige, Schriftverkehr).
Nicht abwarten: Solche Einträge können deine wirtschaftliche Handlungsfähigkeit stark einschränken.

13) Habe ich Anspruch auf Schadensersatz?

Grundsätzlich ja (z. B. nach DSGVO oder zivilrechtlichen Ansprüchen) – praktisch aber schwierig, weil Täter oft unbekannt/unpfändbar sind.
Erfolgsaussichten individuell prüfen lassen (Kanzlei). Parallel: Schäden begrenzen, Einträge bereinigen, Forderungen abwehren.

14) Wer sind die Täter?

Gelegenheitstäter aus dem Umfeld (kennen Daten/Logistik).
Kleinkriminelle/Marktplatzbetrüger, die Identitäten aus Leaks/Phishing nutzen.
Organisierte Gruppen mit hohem technischem Know-how (Malware, Social Engineering, Geldwäsche-Netzwerke).
KI senkt die Einstiegshürden – Qualität und Tempo der Angriffe steigen.

15) Was steht in der DSGVO – hilft mir das?

Ja, die DSGVO gibt dir starke Rechte:

Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21).
Unternehmen müssen Sicherheit und Rechtmäßigkeit der Verarbeitung nachweisen.
Bei Verstößen drohen Bußgelder; du kannst Schadensersatzansprüche prüfen lassen.

16) Prävention – was wirkt heute wirklich?

E-Mail als „Master-Schlüssel“ maximal absichern (MFA/Passkeys, Wiederherstellung prüfen).
Passwortmanager, pro Dienst einzigartige Passwörter.
MFA-App/Hardware statt SMS; wo möglich Passkeys.
Zero-Trust im Alltag: Niemals unter Zeitdruck zahlen/handeln. Immer Rückruf über bekannte Nummern.
Deepfake-Abwehr: Familien-/Team-Codewörter, Rückrufpflicht, keine Audio-/Video-Anweisungen ohne Verifikation.
SIM-Swap-Schutz: Hotline-PIN, Drittanbietersperre, Portierungsalarm; SMS-MFA vermeiden.
Geräte aktuell halten; wenige, geprüfte Erweiterungen; Malware-Schutz.
Datenhygiene: Weniger öffentlich machen als nötig; Bilder/EXIF, Geburtsdatum, Adresse, Routinen – alles prüfen.
Monitoring: Transaktions- und Login-Alerts aktivieren; regelmäßige Bonitätsauskünfte.

17) Was sind aktuelle KI-getriebene Maschen – und wie erkenne ich sie?

„Chef ruft an“ mit täuschend echter Stimme, verlangt sofortige Zahlung/IBAN-Änderung.
„Kind in Not“-Anrufe/Sprachnachrichten mit Voice-Cloning.
Videos/Anrufe, die dich scheinbar live zeigen – aber Deepfake-Overlay nutzen.
Hyper-personalisierte Mails/DMs mit korrekter Terminologie, echten Signaturen, realen Projektreferenzen.

Erkennungsmerkmale:

Zeit-/Druckaufbau, Geheimhaltung, Kanalwechsel („Nur per Chat antworten“).
Kleine, aber unlogische Abweichungen (falsche Signaturen, Tippfehler bei bekannten Namen, leicht veränderte Domains).
Ablehnung von Rückrufen über bekannte Nummern.

Gegenmittel:

Verifizierte Rückrufnummern, Codewörter, Vier-Augen-Freigaben, Zahlstopp-Regeln.
Kein Handeln in Audio-/Video-Calls ohne zweite Bestätigung über unabhängigen Kanal.

Nützliche Ressourcen:

Anlaufstellen: Polizei, Verbraucherzentrale, Landesdatenschutzbeauftragte