Für diesen Beitrag haben wir alle relevanten Fakten sorgfältig recherchiert. Eine Beeinflussung durch Dritte findet nicht statt.
Zum journalistischen Leitbild von t-online.Identitätsdiebstahl Als Claudia Pfisters Name ihr nicht mehr gehörte
In einem Online-Shop kaufen Kunden Kaffeemaschinen, erhalten aber keine Ware. Die Eigentümerin ist angeblich Claudia Pfister. Doch die weiß von nichts. Ihre Identität wurde gestohlen, Betrüger machen damit Kasse.
Bevor Claudia Pfister über Weihnachten 2019 zu ihren Eltern fuhr, klebte sie einen Tesastreifen in ihren Haustürrahmen – aus Sicherheitsgründen. Öffnete ein Einbrecher die Tür, würde der Streifen auf den Boden fallen: "Wie in einem Detektivfilm", sagt Pfister. "Da haben wir wohl zu viel Netflix geguckt."
Pfister ist weder Detektivin noch Polizistin. Sie arbeitet als Unternehmenscoach in München. Doch Tage zuvor hatte ein ihr unbekannter Mann vor ihrer Tür gestanden und eine Kaffeemaschine kaufen wollen. Kurz darauf hatte eine Frau angerufen und nach einem fremden Mann gefragt. Für Pfister waren das Zeichen, vorsichtig zu sein: "Ich hatte Angst, dass die prüfen wollen, ob ich über Weihnachten zu Hause bin", sagt Pfister. "Vielleicht wollten sie ja in meine Wohnung steigen."
Pfister spricht von Kriminellen, die in ihrem Namen mehrere Onlineshops eröffnet hatten – unter anderem einen für Kaffeemaschinen. Wer bei einem dieser Shops bestellte, erhielt aber keine Ware. Dafür bekam Pfister Ärger: Bis zu 300 Anzeigen gingen gegen sie ein. Am 3. Dezember 2019 hatte sie durch einen Polizeianruf von der ersten erfahren.
Pfister ist kein Einzelfall
Zusammengefasst stellte sich heraus, dass Pfisters Daten im Darknet gelandet und von Kriminellen gekauft worden waren. Die hatten vermutlich ihr Mailkonto durchwühlt und Informationen wie Kontodetails oder ihre Adresse abgegriffen. Ob sie auch Pfisters Unterhaltungen mit Freunden und Kunden gelesen haben, ist unklar. Für Pfister aber ein unschöner Gedanke: "Das ist wie ein Wohnungseinbruch", sagt sie. "Es fühlt sich an, als ob Diebe in die Wohnung eindringen und Schubladen aufreißen."
Pfister erzählt ihre ganze Geschichte im Videointerview mit t-online. Fälle wie ihren gibt es immer wieder. Wie viele genau, ist unbekannt: Identitätsdiebstahl wird in Deutschland nicht gesondert erfasst, sondern fällt unter Computerbetrug. Davon gab es 2019 etwa 78.000 Fälle, wie das BKA in seinem Bundeslagebild Cybercrime 2019 berichtet.
Diese Zahl kann in der Realität höher sein, schreibt das BKA: "Darüber hinaus bestätigen diverse weitere Studien, dass von einem großen Dunkelfeld im Bereich Cybercrime auszugehen ist (…)". So gab laut einer Untersuchung der Unternehmensberatung PwC jeder Dritte Deutsche an, von Identitätsdiebstahl betroffen zu sein. Laut einer Umfrage des Digitalverbands Bitkom von 2019 war es jeder vierte. Und auch Pfister sagt: "Durch meinen Fall habe ich erfahren, dass sich viele Betroffene nicht an die Öffentlichkeit trauen."
Wie Sie sich vor Identitätsdiebstahl schützen können
Claudia Pfisters Fall zeigt, dass jeder, der Informationen im Internet teilt, Opfer von Betrug werden kann. Wer sich schützen will, kann viele Sicherheitsmaßnahmen treffen: Experten raten, Konten mit sicheren Passwörtern zu schützen. Dadurch verhindern Sie, dass Unbekannte die Kontrolle über Ihre Accounts nehmen. Dabei gilt: Je länger das Passwort, desto schwerer ist es zu knacken. Verwenden Sie am besten auch keine gebräuchlichen Wörter oder Namen in Ihrem Kennwort, denn die lassen sich mithilfe von bestimmter Software leicht erraten. Weitere Tipps für ein sicheres Passwort finden Sie hier.
Sicherheitsexperte Rüdiger Trost von F-Secure empfiehlt im Gespräch mit t-online, seine Login-Informationen nicht in fremde Computer einzutippen. Vor allem, wenn man nicht weiß, ob die Antivirensoftware oder andere Programme auf dem neuesten Stand sind. Und: "Man sollte immer eine Zweifaktorauthentifizierung aktivieren", sagt Trost. Mit dem System müssen Nutzer bei jeder Anmeldung einen zusätzlichen Code eingeben oder den Login bestätigen – für gewöhnlich per Smartphone. So werden Sie informiert, falls sich jemand fremdes in Ihr Konto einloggen will.
Oft versuchen Kriminelle auch, mithilfe von Phishing-Mails an Nutzerdaten zu kommen. Solche Nachrichten werden meist im Namen von Firmen wie Amazon oder Banken geschickt. Ziel der Betrüger ist es, dass Nutzer auf den Link in der Nachricht klicken und ihre Login-Daten auf einer gefälschten Website eingeben – und damit an Betrüger weitergeben. Wie Sie Phishing-Mails erkennen, lesen Sie hier.
In solchen Mails können sich auch infizierte Dateien befinden, die einen Trojaner aufs System laden. Der kann beispielsweise Tastatureingaben aufzeichnen. Um sich vor Schadsoftware zu schützen, klicken Sie nie auf Links oder laden Sie Dateien aus Mails runter, deren Absender Sie nicht kennen. Nutzen Sie auch eine Antivirensoftware und installieren Sie Sicherheitsupdates für Betriebssystem und andere Software sofort. Denn solche Aktualisierungen schließen oft Lücken, die Angreifer ausnutzen können.
Prüfen Sie Ihre Konten
Nicht immer liegt die Schuld für Datendiebstahl beim Nutzer, sagt auch Sicherheitsexperte Trost: "Es kann durchaus sein, dass Daten bei einem Anbieter durch Breaches gestohlen wurden." Ein prominentes Beispiel ist ein Datenleck bei Yahoo im Jahr 2013: Damals waren alle drei Milliarden Nutzer des Onlinedienstes betroffen. Mehr zum Leck lesen Sie hier.
Laut der Datenschutzgrundverordnung müssen Seitenbetreiber Nutzer informieren, wenn sie Opfer eines Datenlecks geworden sind. In solchen Fällen sollten Sie sofort Ihre Passwörter oder auch Mail-Adressen ändern. Das Bundesamt für Sicherheit in der Informationstechnik rät Nutzern zudem, kontinuierlich zu prüfen, ob ihre Daten Opfer eines Datenlecks geworden sind. Dafür gibt es verschiedene Datenbanken wie "Have I been pwned". Hier können Sie Ihre Mail-Adresse eintippen, das System zeigt, ob die Adresse mal von einem Datenleck betroffen war. Eine Liste mit allen wichtigen Datenbanken finden Sie hier.
Trost rät auch, dass Nutzer ein "Auge aufs Darknet" haben sollten. Dazu gibt es Angebote, die entsprechende Handelsplattformen im Darknet nach Nutzerinformationen durchsuchen und sie informieren, falls ihre Daten gefunden werden. Solche Dienste bieten Sicherheitsunternehmen meist kostenpflichtig an.
Mit Daten sparsam umgehen
Um das Risiko zu verringern, dass Ihre Daten Opfer eines Lecks werden, sollten Sie sich nur bei so vielen Diensten wie nötig anmelden. Konten bei Diensten, die Sie nicht mehr nutzen, sollten Sie löschen lassen. Wenn Sie sich nicht mehr an alle Ihre Onlinekonten erinnern: Hier erklären wir, wie Sie vergessene Konten finden und löschen.
Falls eines Ihrer Konten Opfer eines Lecks wurde, sind Sie ein unattraktiveres Opfer für Kriminelle, wenn es wenig Informationen über Sie enthält. Das weiß nun auch Betroffene Pfister. Sie rät beispielsweise, Namen und Geburtsdatum nicht unnötigerweise anzugeben: "Wie auf Facebook oder beim Kauf einer Kinokarte", sagt Pfister. Auch sollten Sie nicht eine Kopie Ihres Ausweises bedenkenlos per Mail verschicken. Denn falls Kriminelle Ihr Konto knacken, könnten Sie im Mailverkehr darauf stoßen und für alle möglichen Arten von Betrug nutzen.
Was kann ich tun, wenn ich Opfer eines Identitätsdiebstahls geworden bin?
Wer trotz aller Sicherheitsmaßnahmen Opfer eines Betrugs geworden ist, sollte laut Sicherheitsexperte Trost Ruhe bewahren und eine Anzeige bei der Polizei erstatten. Ein IT-Forensiker kann Opfern helfen, das Ausmaß des Schadens zu bewerten.
Jedoch sollten Betroffene keine unnötigen Hoffnungen machen, dass die Täter geschnappt werden. Denn laut Experten sitzen die selten in Deutschland und verschleiern ihre digitalen Spuren über verschiedene Länder hinweg. Auch bei der Betroffenen Pfister war das der Fall gewesen. Sie hat darum begonnen, Menschen über Identitätsdiebstahl aufzuklären: Unter anderem plant sie Webinare und einen Podcast. "Ich habe Aufklärung zu meiner Mission gemacht", sagt sie. "Ich versuche jetzt allen Tipps zu geben – ob sie wollen, oder nicht."
- Eigene Recherchen