Von Thomas Rahm, Head of Presales im Bereich Digital Integrity Solutions, T-Systems MMS.
In letzter Zeit war das Thema Identitätsdiebstahl wieder verstärkt Gegenstand verschiedener Film- und Serienproduktionen. Die alltägliche Bedrohung durch Hacker rückt somit erneut in den medialen Fokus.
Die Story ähnelt sich meistens: Ein böswilliger Hacker, im Fachjargon „Black Hat″ genannt, infiziert die IT-Systeme eines ahnungslosen, durchschnittlichen Bürgers, um seine Identität zu stehlen und das gutbürgerliche Leben des Opfers ist fortan Geschichte. Hierfür betreibt der Angreifer oft einen enormen Aufwand, der nicht selten nur in der Theorie umsetzbar ist. In der Praxis sind die Angriffe meist banaler aber dennoch sehr effektiv.
Identitätsdiebstahl ist ein aktuelles Problem, obwohl es sich nicht um ein neues Phänomen handelt. Im Gegensatz zur prädigitalen Ära müssen Dokumente heutzutage aber nicht aufwendig gefälscht werden. Vielmehr erleichtert die fortschreitende Vernetzung es Kriminellen Informationen zu sammeln und Identitäten zu übernehmen. Wer hierbei an Ausweisdokumente denkt, liegt falsch. Die digitale Identität eines jeden Einzelnen ist eines der wertvollsten Güter im digitalen Zeitalter. Kombiniert man die Daten mehrerer Online-Profile (Social Media, Banking, Shopping-Plattformen, etc.), so lässt sich ein ziemlich genaues Profil von Ihnen erstellen. Je mehr Informationen ein Angreifer über Sie erlangt, desto besser kann dieser Sie studieren und sich online als Sie ausgeben.
Wie gelangen Angreifer an meine Daten?
Angreifer können aus einem breiten Spektrum an Methoden schöpfen, um an die benötigten Informationen für einen erfolgreichen Identitätsdiebstahl zu gelangen. Zunächst bedienen Sie sich der offen zugänglichen Informationen, die Sie freiwillig mit der Welt teilen. Fotos, Kontaktinformationen, Arbeitgeber, Vorlieben… das und mehr lässt sich mit Hilfe weniger Klicks über Sie in Erfahrung bringen. Diese Informationen alleine reichen bereits aus, um Ihre Identität digital nachzuahmen. Sensiblere Informationen wie Zugangsdaten oder private Dokumente werden Sie höchstwahrscheinlich nicht für jedermann lesbar im Internet verbreiten. Doch auch an diese Informationen können Kriminelle kommen, selbst wenn Sie die Dokumente nur lokal auf Ihrem PC gespeichert haben. Hierzu müssen Sie entweder dazu verleitet werden die Daten freiwillig weiterzugeben oder der Angreifer dringt in Ihr System ein. Beides lässt sich unter anderem durch erfolgreiche Phishing-Angriffe erreichen. Dabei kontaktiert Sie ein Angreifer (E-Mail, Chat-Nachricht, SMS, etc.) und gibt vor, jemand anderes zu sein. Falls Sie den Phishing-Versuch nicht bemerken, könnten Sie Gefahr laufen sensible Informationen zu teilen oder auf manipulierte Links bzw. Dateianhänge zu klicken. Die Grundlage derartiger Angriffe sind wiederum die durch Sie öffentlich verfügbar gemachten Informationen.
Warum digitale Zuverlässigkeit genauso wichtig wie Sicherheit ist:
„Meine Daten interessieren doch eh niemanden!“
Obige Aussage hört man häufig, wenn innerhalb des Bekanntenkreises nach dem Sicherheitsbewusstsein gefragt wird. Die Konsequenzen eines Identitätsdiebstahls werden dabei oft unterschätzt und das, obwohl die Folgen eines solchen Diebstahls sehr weitreichend sein können. Im schlimmsten Fall droht monetärer Verlust, etwa durch auf Ihren Namen durchgeführte Online-Einkäufe. Noch schlimmer ist es, wenn es dem Angreifer gelingt Ihren Arbeitgeber von einer neuen Kontoverbindung zu überzeugen. Häufig dient Ihr gefälschtes Profil aber auch „nur“ dem Sammeln weiterer Informationen oder der Weiterverbreitung von Malware. Dazu werden Ihre Freunde vom gefälschten Profil aus kontaktiert. Nehmen diese z.B. die Freundschaftsanfrage an, so erhält der Angreifer Zugriff auf private Informationen. Aber auch ein Link oder Dateianhang wird schneller geklickt, wenn er von einem vermeintlichen Freund stammt.
Wo nichts ist, kann nichts gestohlen werden.
Am einfachsten wäre es sicherlich keine Online-Profile anzulegen. Was nicht online verfügbar ist, kann auch nicht missbraucht werden. Jedoch wird es heutzutage immer schwieriger komplett auf eine digitale Präsenz zu verzichten. Als Beispiel sei hier die Bewerbung auf einen Arbeitsplatz genannt. Es ist durchaus gängig, dass sich Personalverantwortliche im Zuge eines Bewerbungsverfahrens auch innerhalb sozialer Netzwerke über ihre Bewerber informieren. Wer online gar nicht auffindbar ist, dem könnte eventuell ein Nachteil entstehen. Daher gilt die goldene Regel: Geben Sie so viel wie nötig, aber nur so wenig wie möglich über sich preis. Des Weiteren sollte nicht sofort auf jede Nachricht reagiert und jeder Link bzw. Dateianhang geöffnet werden. Nehmen Sie sich die Zeit und analysieren Sie die Nachricht. Passt der Schreibstil zum Absender? Ist mir die E-Mail-Adresse/ Telefonnummer bekannt? Sieht der Link vertrauenswürdig aus?
Darüber hinaus gibt es einige Standardprinzipien, an die sich jeder PC-Benutzer halten sollte:
- Öffnen Sie niemals unbekannte Dateianhänge.
- Halten Sie das Betriebssystem und seine Anwendungen stets aktuell.
- Verwenden Sie für jeden Dienst ein eigenes und komplexes Passwort.
- Sichern Sie Ihre Online-Dienste zusätzlich durch die sogenannte Zwei-Faktor-Authentifizierung ab.
- Sind Sie unsicher, ob es sich um einen Betrugsversuch handelt, kontaktieren Sie die Personen bzw. Organisationen auf den bekannten Wegen. Antworten Sie in solchen Fällen nie direkt auf die Nachricht.
Ob Digitalisierungsexpert*in, Werkstudent*in oder Schülerpraktikant*in – Hier berichten unsere Gastautoren aus ihrem Alltag.