Datenklau bei WordPress, Evernote, Twitter oder Apple – über Identitätsdiebstahl wurde schon oft geschrieben. Aber noch nie von einem Täter. Der folgende Blogpost basiert auf einer wahren Geschichte. Meiner Geschichte.
You Know My Name
Bis vor ein paar Tagen hätte ich meinen Namen für nichts besonderes gehalten. Es gibt einige Gutjahrs in der Welt. Und doch ist Gutjahr mein Name, der einzige, den ich habe. Ich denke in letzter Zeit häufiger darüber nach, wie leichtfertig wir mit unserer „Lebens-Kennung“ umgehen. Wie schnell es im Webzeitalter möglich ist, seinen Namen zu verlieren.
Es gibt unzählige Geschichten von Menschen, die Opfer eines Identitätsdiebstahls geworden sind. Ich möchte heute eine andere Geschichte erzählen. Die Geschichte eines Täters. Meine Geschichte.
Lauschangriff wider Willen
Wie Ihr wisst, bin ich oft an Flughäfen unterwegs. Da begegnet man zahllosen Geschäftsreisenden. Menschen mit viel Geld und wenig Zeit. Neulich setzte sich einer von ihnen neben mich, das Handy am Ohr. Offenbar war er gerade dabei, eine Limousine zu buchen.
Er redet so laut, dass es unmöglich ist, nicht mit zu hören. Weil ich eigentlich in Ruhe lesen will, bitte ich ihn, leiser zu sprechen. Der Typ scannt mich kurz und setzt daraufhin sein Gespräch fort, ganz so, als wäre ich Luft.
Kreditkarte mit Zusatzzahl
Irgendwann zückt er seinen Geldbeutel, beginnt damit, seine Kreditkarten-Daten vorzulesen. Reflexartig fahre ich die Tastatur meines iPads aus und tippe mit. Ziffer für Ziffer der Kartennummer, dann das Gültigkeitsdatum und die Prüfnummer. Warum ich das tue? Weil ich es kann, und ja, ich gestehe, auch ein bisschen aus Groll.
Im Verlauf des Gesprächs diktiert der Typ auch noch lautstark seinen Namen, das Geburtsdatum und seine Privatadresse ins Telefon. Nett, Sie kennenzulernen, Oliver B. aus D.!
Noch bevor er seine Tasche schnappt und sich davon macht, habe ich seine Telefonnummer ergoogelt, seinen Lebenslauf bei Xing studiert. Ich schaue mir die Firma an, für die er aktuell arbeitet, sowie die Wohngegend, in der er lebt. So, so, ein Pilot, also. Bestimmt wohlhabend.
Kopfkino
Auf einmal wird mir klar, ich könnte jetzt weiß Gott was mit seinen Daten anstellen: Einkaufen, Online-Konten bei eBay, Amazon oder Apple einrichten. Das faszinierendste: B. hat nicht die geringste Ahnung! Wäre sein Geldbeutel gestohlen worden oder hätte er ihn verloren, natürlich hätte er sofort alle Karten sperren lassen. So aber ist er mir ausgeliefert, mindestens einen Monat lang, bis die nächste Abrechnung kommt.
Password Sword-Phish
Identitätsdiebstahl gehört zu einem der sich am schnellsten ausbreitenden Verbrechen im Netz. Bereits jeder 20. US-Amerikaner ist betroffen. In den meisten Fällen stammen die Daten aus geklauten Brieftaschen. Phishing-Mails sind ebenfalls sehr beliebt. Hierbei locken Identitätsdiebe ihre Opfer auf eine nachgebaute Firmenseite und bitten die Kunden, sich dort mit ihrem Usernamen und Passwort anzumelden.
Apple-Kunden in Gefahr
Erst vergangene Woche wurden wieder über 100 dieser Fake-Seiten enttarnt, die alle über ein und dieselbe IP-Adresse gehostet waren. Im Visier: Apple-Kunden aus den USA, Großbritannien und Frankreich. Diese wurden per Mail gebeten, ihre Apple-ID, Passwort und Adresse binnen von 48 Stunden zu verifizieren, andernfalls könne es passieren, dass das Konto geschlossen wird.
iPhone und MacBook ferngesteuert
Was es heißt, seine Apple-ID zu verlieren, musste WIRED-Redakteur Mat Honan auf die harte Tour lernen. Irgendwie waren Unbekannte an seine User-ID gelangt. Nicht einmal eine Stunde habe es gedauert, da waren iPhone sowie das Macbook des Tech-Journalisten gehackt, die persönlichen Daten, darunter das Fotoalbum in der Wolke, nicht mehr zugänglich, das Anmelde-Passwort geändert. Das gleiche Spiel mit seinem Google-, Amazon- sowie seinem Twitter-Konto: ausgesperrt aus dem eigenen Haus!
Identitätskrise
„Die haben meinen Twitter-Namen [@mat] gesehen und wollten ihn haben“, rekonstruiert Mat Honan im WIRED-Protokoll den Vorfall. Als er feststellte, dass ein Fremder seine Geräte aus der Ferne übernommen hatte, habe er erstmal den Stecker gezogen und sei offline gegangen: „I was freaking out“. Doch damit nicht genug. Unzählige andere Seiten waren mit seiner Apple-, Google- und Twitter-ID verknüpft. Es dauerte Wochen, bis er sämtliche Konten und Social-Network-Zugänge wieder unter Kontrolle hatte.
Was bleibt: Das maue Gefühl, es könne noch immer jemand mitlesen, jedesmal wenn er gerade online ist.
Zurück zu Oliver B. aus D. und jetzt „unserer“ Kreditkarte. Wenn ich nicht so ein anständiger Kerl wäre, was könnte ich jetzt damit shoppen: Endlich das neue MacBook kaufen (wie kann man überhaupt ohne Retina-Display so lange existieren?). Eine Surround-Anlage, um meinen Nachbarn und ihrem Klavier ein für alle mal zu zeigen, wo der Hammer hängt.
Kreditkarten im Angebot
Ein Bekannter, Sicherheitsexperte bei PayPal, bremst meine Euphorie: Die Kreditkarte selbst sei nur die halbe Miete. Derlei Angaben ließen sich heutzutage ohne großen Aufwand besorgen. Im Web werden Kreditkartendaten zu Tausenden gehandelt – Stückpreis aktuell etwa 1 Dollar pro Person und Nummer. Das eigentliche Problem beim Kreditkartenbetrug, so der Profi, sei das „Cashing-In“.
Cashing in
Um ein Bankkonto leer zu räumen ohne dabei Spuren zu hinterlassen, müsse man schon erheblichen Aufwand betreiben, sagt der PayPal-Betrugsexperte. Wohnungen oder Post-Schließfächer anmieten, E-Mail-Adressen einrichten, die unverdächtig sind und nicht auf irgendeiner Blacklist stehen.
Neuronale Sicherheitsnetzwerke
„Wir beobachten weltweit Buchungen rund um die Uhr“, so Matthias Adel, Pressesprecher für VISA Europe. Er vergleicht das aktuelle Sicherheitssystem des Kartenanbieters mit neuronalen Netzwerken.
Ein Beispiel:
„Sie setzen ihre Visa Karte in der Regel ausschließlich in Europa ein. Plötzlich kommen Transaktionen mit Ihrer Karte innerhalb von drei Tagen aus Peking, Sao Paulo und New York herein. Das passt nicht in Ihr Zahlungsschema und wird uns bzw. Ihrer Bank auffallen.“
Bei Betrugsfällen zeigen sich die Banken oft kulant. Wer allerdings wie Oliver B. aus D. fahrlässig mit seinen Daten umgeht, muss befürchten, auf seinen Kosten sitzen zu bleiben.
Der Kampf ums Ich
Was niemand ersetzt: Die Arbeitszeit, die nötig ist, um die Kontrolle über sein gehacktes Ich zurückzugewinnen. Tina Groll, Redakteurin bei Zeit-Online, schildert in einer ganzen Serie von Artikeln, was für einen Aufwand sie damit hatte, ihren Namen wieder reinzuwaschen. 400 Arbeitsstunden, um den Banken und Inkassofirmen zu beweisen, dass sie zwar „sie“ ist, jedoch nichts mit den betrügerischen Einkäufen zu tun hat, die unter ihrem Namen getätigt wurden.
Tatmotiv Hass
Und dann gibt es noch ein weiteres, zerstörerisches Motiv für Datenklau: Hass. Bei vielen Fällen von Identätsdiebstahl handelt es sich um Beziehungstaten. Ähnlich wie beim sexuellen Missbrauch stammen die Täter aus dem eigenen Bekanntenkreis: ein verschmähter Liebhaber. Der Ex-Freund oder Mitarbeiter.
Identitätsdiebstahl aus Rache, die Befriedigung der eigenen Machtgelüste: Du bist mir ausgeliefert, meinen Launen, meinem Sadismus. Wenn ich will, kann ich Deinen Ruf zerstören. Deine Kreditwürdigkeit. Dein Leben, digital wie auch analog.
Fazit
Kein Tag, an dem nicht ein neuer Fall von gehackten Userdaten bekannt wird. Allein in den letzten Wochen sorgten Evernote, WordPress und auch Twitter für Schlagzeilen. Immer mehr Webservices und Kreditkartenanbieter haben eine freiwillige Doppel-Identifikation eingerichtet (siehe Tipps unten).
Ob auch Oliver B. aus D. in Zukunft sorgsamer mit seinen Kreditkartendaten umgeht? Dazu müsste er natürlich erst einmal erfahren, dass ich im Besitz seiner Daten bin.
Über den Druck- und Lieferservice der Deutschen Post habe ich ihm eine individuell gestaltete „Fun Card“ nach Hause geschickt. Bezahlt mit seiner Kreditkarte. Das musste sein.
Sonst hält mich B. am Ende noch für einen Hochstapler. ;-)
Tipps
Wie schützt Ihr Eure Identität im Netz? Habt Ihr weitere Tipps? Falls ja: Please share!
Ja, das zeigt auch, dass mit ausreichend krimineller Energie (oder entsprechender Wut) vieles bewerkstelligt werden kann.
War unter Deinen Lesern eigentlich schon jemand betroffen von Identitäsdiebstahl? Mit welchen Auswirkungen? Würde mich mal interessieren…
Würde mich auch interessieren. Nach allem, was ich zum ID-Dienstahl gelesen habe, denke ich heute anders über Passwörter, PINs und PUKs.
Lieber Richard,
ich bin Journalistin wie Sie (Gründungs-Chefrekateurin von AMICA und Gründungs-Chefredakteurin von fivetonine/ WirtschaftsWoche). Mir ist genau das passiert – falsche Identität bei fb und – als das Problem gelöst war -mieses Stalking.
Ich muss dazu sagen: Ich bin einstmals gekidnapped worden und nun deshalb sensibilisiert auf stalker etc.
Ich bin raus aus fb – das ist alles nicht mehr seriös. Auch wenn man Privatsphäre- Einstellungen hat, kann jeder über „friend“-threads Zugang zu Dir haben.
Das macht mir Angst.
Das nur am Rande und als Beitrag von der Basis.
Best, Uschka