Zunächst einmal gibt es kaum Möglichkeiten, sich präventiv davor zu schützen. Ebensowenig ist es möglich, einen Identitätsdiebstahl vorab zu erkennen.
Eine Grundregel lautet daher: Erstens, halten Sie Ihre Geräte mit Antivirensoftware, Firewalls und Updates aktuell. Das verhindert schon mal den gröbsten Angriff durch Schadware. Aber auch hier gibt es nie eine Gewähr auf Vollständigkeit.
Zweitens, veröffentlichen Sie nicht leichtfertig personenbezogene Daten. Und dazu gehört auch nicht das Geburtsdatum. Wer nicht auf die Geburtstagsgrüße von Bekannten bei Facebook verzichten möchte, stellt einfach am Geburtstag selbst sein Datum sichtbar ein und am Abend nimmt er wieder restriktive Einstellungen vor.
Drittens, seien Sie außerdem vorsichtig mit Phishingmails und allem, was möglicherweise Trojaner enthält! Öffnen Sie keine Anhänge von Ihnen unbekannten Absendern, klicken Sie nicht leichtfertig Links in Mails an, laden Sie Software und Tools nur von vertrauenswürdigen Websites herunter. Überprüfen Sie bei Links in der Browser-Adresszeile genau, ob dort wirklich die richtige Internetadresse steht, oder ob es sich um eine gefälschte Seite mit leicht veränderter Adresse handelt. Und tragen Sie nie ohne zweimal nachzudenken Ihre persönlichen Daten irgendwo ein.
Viertens, nutzen Sie die 2-Faktor-Authentifizierung und wechseln Sie regelmäßig Ihre Passwörter. Verwenden Sie keine einfachen Passwörter, sondern kryptische, die mit Zahlen, Zeichen, Groß- und Kleinschreibung variieren. Und verwenden Sie nicht dasselbe Passwort für alle Dienste. Auch das gleiche Passwort in verschiedenen Variationen ist keine clevere Alternative. Ich weiß, wie nervig das ist.
Es gibt verschiedene Tools, die sicherstellen, dass man verschlüsselte und regelmäßig wechselnde Passwörter verwendet. Eines davon ist etwa 1password, ein Programm, das alle Ihre Zugänge sicher verschlüsselt und für das Sie nur ein Metapasswort brauchen.
Das Programm erstellt verschlüsselte Passwörter zu allen von Ihnen eingegebenen Diensten und wechselt diese auch regelmäßig. Man muss sich insofern nicht x-verschiedene hochkomplexe Passwörter merken, sondern nur eines für 1password.
Ganz grundsätzlich können alle diese Tools und Lösungen aber auch ausgelesen und ebenfalls gehackt werden. Einen hundertprozentigen Schutz gibt es einfach nicht.
Fünftens, sollte man in sozialen Netzwerken nicht wahllos Freundschaftsanfragen von Unbekannten akzeptieren. Facebook ist hier anfälliger als die Karriereplattformen Xing oder LinkedIn, in denen man meist sowieso nur zugängliche berufliche Kontaktdaten hinterlassen lassen. Man sollte auch vorsichtig sein, wenn ein Kontakt einem erneut eine Freundschaftsanfrage stellt, weil seine Kontodaten angeblich verloren gegangen seien. Einer Freundin von mir ist dies erst kürzlich bei Facebook passiert. Betrüger hatten ihr Profil gespiegelt und versuchten auf diesem Wege die Kontaktdaten ihrer Bekannten abzufischen. Gut ist es übrigens auch, wenn man Nutzerkonten durch sogenannte doppelte Authentifizierung mit einem Handy-Code schützen kann. Wichtig ist auch, Sicherheitsfragen für Nutzerkonten so zu wählen, dass sie nicht einfach über das Netz recherchierbar sind.
Vernünftig ist es daher, sechstens, regelmäßig die Selbstauskunft bei Schufa und anderen Auskunfteien zu überprüfen. Nicht umsonst gibt es das Recht auf eine kostenlose Selbstauskunft einmal pro Jahr. Wer auf Nummer sicher gehen will, nutzt den bereits erwähnten Update-Service. Und zusätzlich einmal im Jahr die Abfrage über selbstauskunft.net. Wer in den Abfragen falsche Daten oder Abfragen der Bonität von Unternehmen oder Kreditinstituten vorfindet, mit denen er selbst nie etwas zu tun hatte, sollte diese Daten sofort als falsch der Auskunftei melden.
Siebtens, zusätzlich kann man sich einen Google-Alert für den eigenen Namen einrichten, also eine automatische Suchabfrage. Man kann auch einstellen, wie oft man diesen Alert haben möchte – täglich, wöchentlich oder monatlich. Dann wird man darüber informiert, wenn der Name von Google an einer neuen Stelle im Netz gefunden wird. Das funktioniert auch ohne Anmeldung bei Google. Gefunden werden allerdings nur öffentlich zugängliche Seiten. Entsprechend viele Benachrichtungen erhält man natürlich, wenn man einen häufigen Namen wie „Stefan Schmidt“ hat.
Ebenso ist es auch möglich, mit der umgekehrten Google-Bildersuche festzustellen, ob die eigenen Bilder auf anderen Seite missbräuchlich verwendet werden.
Daneben ist es, achtens, lohnenswert, sich in die Robinsonliste einzutragen. Der Eintrag schützt Verbraucher vor unaufgeforderten Werbesendungen und Telefonanrufen. Die Robinsonliste ist eine gemeinnützige Einrichtung, die sich das Ziel gesetzt hat, Verbraucher vor unerwünschter Werbung zu schützen. Dazu wird Benutzern die Möglichkeit geboten, sich kostenfrei in die Schutzliste einzutragen.
Die hinterlegten Einträge können dann von seriösen Unternehmen zum verschlüsselten Abgleich gegen ihre Versand- bzw. Werbelisten genutzt werden, um unerwünschte Kontaktdaten zu löschen. Verbraucherdaten werden dabei in keinem Fall offen gelegt. Steht man in der Robinsonliste, so ist man zumindest davor gefeit, dass die seriösen Unternehmen der Werbewirtschaft die personenbezogenen Daten nutzen oder weiterverbreiten. Unternehmen müssen sich daran aber nicht halten. Ratsam ist daher immer, beim Einwohnermeldeamt der Stadt einen Widerspruch für die Weitergabe der persönlichen Daten zu unterschreiben. Seit einigen Jahren müssen die Ämter bei der An- oder Ummeldung den Bürgern ohnehin eine Erklärung vorlegen.
Und ansonsten gilt, neuntens: Augen auf im Netz. Der Handel mit Daten ist für Unternehmen ein einträgliches Geschäft. Daten sind eine wichtige Währung. Daher achten Sie genau, bei welchem Dienst und für welchen Service Sie welche Daten hinterlassen. Soll man sein Geburtsdatum angeben und ist das reale nicht aus ersichtlichen Gründen ernsthaft notwendig, verfremden Sie Ihr Geburtsdatum um eine oder zwei Ziffern. Notfalls haben Sie sich einfach verklickt.
Lesen Sie auch die Allgemeinen Geschäftsbestimmungen (AGB) sorgfältig und achten Sie darauf, ob bereits vorgenommene Einstellungen, dass Ihre Daten weiterverbreitet oder zu Werbezwecken verwendet werden dürfen, rückgängig gemacht werden können. Klicken Sie nicht leichtfertig bei einem Bestellvorgang alles an. Und richten Sie sich für Aktivitäten im Netz eine oder mehrere SPAM-Mailadressen ein. Dann haben Sie im Missbrauchsfall meist nur das Ärgernis, dass Sie eine neue SPAM-Mailadresse brauchen.
Und zehntens: Nutzen Sie den ID-Checker der Schufa und überprüfen Sie regelmäßig, ob Ihre persönlichen Daten im Netz veröffentlicht wurden. Der ID-Checker gibt auch Auskunft darüber, wo die Daten veröffentlicht wurden – also im normalen Web oder im Darknet.
Was tun, bei einem Verdacht?
Hat man bereits den Verdacht, dass ein Missbrauch vorliegen könnte, gilt alles erwähnte als Sofort-Maßnahme. Überprüfen Sie in den wichtigsten Diensten außerdem, ob die Nutzerdaten so noch stimmen – bisweilen tragen Betrüger hier eine weitere Mailadresse ein, mit der sie die Kommunikation eines gekapertes Mailkontos abfangen können.
Haben Sie den Verdacht, dass ein Online-Shop oder eine Website auf den eigenen Namen angemeldet wurde, lässt sich dies per „Whois“- oder DENIC-Abfrage überprüfen. Man gibt die Domain an und bekommt den Websitenbetreiber angezeigt. Was aber, wenn man einfach prüfen will, ob eine Website auf den eigenen Namen angemeldet wurde? Dafür den Befehl „site:whois.domaintools.com + Ihr Name“ bei Google anwenden.
Und dazu noch hat das Hasso-Plattner-Institut eine Datenbank angelegt, in dem gehackte Profil und Mailadressen hinterlegt sind. Im sogenannten HPI Identity Leak Checker können Sie mithilfe Ihrer E-Mailadresse prüfen, ob Ihre persönlichen Identitätsdaten bereits im Internet veröffentlicht wurden. Per Datenabgleich wird kontrolliert, ob die angegebene E-Mailadresse in Verbindung mit anderen persönlichen Daten (etwa Telefonnummer, Geburtsdatum oder Adresse) im Internet offengelegt wurde und missbraucht werden könnte. Die Liste ist nicht vollständig, gibt aber schon mal Anhaltspunkte. Einen ähnlichen Dienst bietet die englischsprachige Seite: https://haveibeenpwned.com/.
Zum Schluss: Die Aufklärungsquote bei Betrug ist faktisch gering. Viele Ermittlungsbehörden kommen gar nicht mehr hinterher, oft wird überhaupt nicht ermittelt, sondern direkt eingestellt. Eine große Verantwortung tragen daher die Unternehmen, die den Betrügern durch Bestellungen auf Rechnungen und per Nachnahme regelrecht Tür und Tor öffnen.
Und dann verkaufen sie die offenen Forderungen und haben letztlich kaum einen Schaden. Und einen Teil davon treibt dann auch noch die Polizei ein – sozusagen öffentlich bezahlt und ohne dass es die Unternehmen etwas kostet. Bei Rechnungskäufen soll es laut Studien einen Ausfall von ein bis zwei Prozent geben – damit kalkulieren die Unternehmen ohnehin. Hier sollte die Wirtschaft qua Gesetz dazu gezwungen werden, Missbrauch so schwer wie möglich machen.
Andere, neue Risiken entstehen durch den elektronischen Personalausweis. Und selbst mit der digitalen Kopie eines Passes oder Personalausweise – Stichwort Video-Ident-Verfahren – lässt sich viel Schindluder treiben – da muss man nur das Bild austauschen und eine gefälschte reale Kopie erstellen. Damit kann man Konten eröffnen, Waffen und Autos oder gar Grundstücke kaufen. Ihrer Fantasie sind hier keine Grenzen gesetzt.
Das BKA empfiehlt übrigens Folgendes:
- Verwenden Sie für den Zugriff auf das Internet ausschließlich ein Benutzerkonto mit eingeschränkten Rechten, keinesfalls ein Administrator-Konto.
- Führen Sie regelmäßig Datensicherungen auf Ihrem System durch. Legen Sie diese Sicherungen (Back-ups) auf externen Datenträgern ab, die ansonsten nicht mit Ihrem Rechner verbunden sind.
- Laden Sie Programme nur aus Originalquellen, Apps nur aus legalen App-Stores herunter. Führen Sie vor der Installation eine Überprüfung mit Anti-Viren-Software durch.
- Öffnen Sie Anhänge und folgen Sie Links nur, wenn diese aus vertrauenswürdiger Quelle stammen.
- Rufen Sie keine Webseiten unseriöser Anbieter auf und klicken Sie keine Werbebanner an.
- Sperren Sie Ihre Geräte und Nutzer-Accounts für Außenstehende durch den konsequenten Gebrauch effektiver Passwörter.
- Laden Sie Ihr Smartphone via USB nur über vertrauenswürdige Computer, tätigen Sie keine sensiblen Transaktionen über öffentliche Hotspots und deaktivieren Sie drahtlose Verbindungen und GPS bei Nicht-Nutzung.
- Arbeiten Sie bei Bank-Transaktionen mit der Zwei-Faktoren-Authentifikation.
- Lassen Sie Premium-SMS oder -Dienste bei Ihrem Provider sperren, damit diese von Cyberkriminellen nicht mittels Schadsoftware aktiviert werden können.