Berlin Internetkriminalität: Wo das Strafrecht nur ein stumpfes Schwert ist

Wo kommen die ganzen Rechnungen her? Wer sich sicher ist, nichts bestellt zu haben, ist wahrscheinlich Opfer eines Identitätsdie
Wo kommen die ganzen Rechnungen her? Wer sich sicher ist, nichts bestellt zu haben, ist wahrscheinlich Opfer eines Identitätsdiebstahls geworden.

Mahnungen unbekannter Online-Händler gelten schnell als Spam. Sie können aber auch ein Warnhinweis auf Identitätsdiebstahl sein. Wie sollten Verbraucher in solchen Fällen vorgehen? Dabei sind wirksame Schutzmaßnahmen gar nicht so schwer umzusetzen.

Ein gutes Beispiel für klassischen Identitätsdiebstahl gibt es in der Literatur: Im Roman von Patricia Highsmith und dem gleichnamigen Film „Der talentierte Mr. Ripley“ ist Tom Ripley so von seinem Freund Dickie fasziniert, dass er heimlich Dickies Kleidung trägt und ihn immer realitätsgetreuer imitiert. Er ermordet Dickie schließlich und gibt sich selbst für ihn aus. Toms Existenz wird zum Katz-und-Maus-Spiel mit der italienischen Polizei.

Das Klauen von vertraulichen Daten kann mit verschiedenen Absichten geschehen, zum Beispiel mit einer Bereicherungsabsicht (wenn der Täter etwas bestellt und die Rechnung für die Ware an eine abweichende Adresse schicken lässt) oder mit einer Schädigungsabsicht – der Täter eröffnet zum Beispiel ein Facebook-Profil im Namen einer fremden Person.

Gefühl wie nach Einbruch

„Wenn sich jemand unserer Identität bemächtigt, verletzt uns das meistens tief“, erläutert Bernhard Witt, Datenschutzexperte bei der it.sec GmbH. „Das Gefühl ist mit dem Gefühl nach einem Einbruch zu vergleichen, wenn man weiß, dass jemand in unseren Dingen herumgewühlt hat. Jemand ist in unseren persönlichen Bezugsrahmen eingedrungen.“

Der Diebstahl beziehungsweise die Imitation der Identität ist im genannten Film ebenso wie in der digitalen Welt die entscheidende Vorbereitung für den Betrug. Bei Identitätsdiebstahl, aber auch bei Skimming, Phishing oder Nicknapping handelt es sich um sogenannte Man-in-the-Middle-Angriffe (MITM-Angriffe): Zwischen den beiden eigentlich kommunizierenden Personen oder Vertragspartnern steht eine dritte Partei, die Daten abfängt und diese verwendet, um damit einen Betrug zu begehen.

Fachleute raten zur Anzeige

Geklaut werden bei einem Identitätsdiebstahl immer Daten und Kombinationen von Daten, die zur Identifikation einer Person dienen, zum Beispiel das Geburtsdatum und die Anschrift, die Kreditkarten-, Personalausweis-, Sozialversicherungs- oder Führerscheinnummer.

„Wenn ein solcher Betrug vorliegt, würden wir immer empfehlen, eine Strafanzeige zu erstatten“, sagt Katharina Wiatr, Referentin bei der Berliner Datenschutzbeauftragten. Der Polizei sollte man so viele Informationen wie möglich etwa von einer unter falschen Angaben getätigten Warenbestellung übergeben.

„Die Kopie der Strafanzeige sollte man unbedingt an das Unternehmen, von dem die Rechnung beziehungsweise die Mahnung kam sowie an das Inkassounternehmen und an die Auskunfteien schicken“, rät Wiatr. Wichtig sei es auch, gegen jegliche Forderung Widerspruch einzulegen. Oft bemerke man den Betrug zwar erst mit zeitlichem Verzug, aber auch wenn der Betrug nicht mehr rückgängig gemacht werde könne und man gegen unbekannt vorgehe, lohne sich der Aufwand.

„Meist muss man unter zeit- und kostenintensiven Umständen viel aufrollen“, bedauert Wiatr, „aber unsere Erfahrung zeigt, dass man dann zum Beispiel die Ware, die man nicht bestellt hat, auch nicht wird bezahlen müssen.“ Einige Auskunfteien bieten ein Formular zur Meldung von Identitätsbetrug durch Betroffene an.

Verfahren oft eingestellt

„Wenn Anzeige erstellt wurde, ist die Polizei verpflichtet, ein Ermittlungsverfahren einzuleiten“, erklärt Ulrich Dost-Roxin, Fachanwalt für Strafrecht. „Oft vergehen aber leider Monate oder sogar Jahre, bis man eine Nachricht erhält. Und die laute dann oft, dass das Verfahren eingestellt wurde. Denn das Strafrecht sei ein stumpfes Schwert im Kampf gegen die Internetkriminalität.

Identitätsmissbrauch ist kein Offizialdelikt. Die Taten werden nur auf Antrag verfolgt und gering bestraft. „Im Zeitalter des Internets ist der Staat nicht mehr in der Lage, solche Taten annähernd effektiv zu verfolgen“, sagt Dost-Roxin. Trotzdem solle man bei Identitätsmissbrauch Anzeige erstatten.

Wichtig sei es, möglichst schnell zu reagieren, damit weitere Missbräuche des Identitätsmerkmals vermieden und Folgeschäden begrenzt werden könnten, sagt auch Datenschutzberater Witt. Man solle sich auch überlegen, zum Beispiel den Versand-Account aufzukündigen oder mit dem Vertragspartner ein anderes Identifikationsmerkmal zu vereinbaren. „Es gibt verschiedene Arten, identitätsbestimmende Daten zu verwalten“, erklärt der Experte. „Man muss nicht unhinterfragt hinnehmen, was einem vom Vertragspartner vorgeschlagen wird.“

Auf Authentifizierung achten

Oft liege das Problem bei den Unternehmen, die ungeeignete Mittel zur Identifizierung bieten oder die Nutzer nicht ausreichend identifizierten, weiß auch die Datenschutz-Referentin Wiatr. „Wenn zum Beispiel bei einer Erstbestellung auf Rechnung eine abweichende Lieferanschrift angegeben wird, wird das von den Anbietern oft nicht nachverfolgt.“ Gerade so wird bei einem Kauf auf Rechnung Identitätsdiebstahl überhaupt erst möglich.

Bei so etwas sollten Unternehmen eigentlich hellhörig werden: Die Fälle träten dann aber doch zu vereinzelt auf, als dass die Wirtschaft sie mit Interesse verfolgen würde, so Wiatr. Der elektronische Personalausweis als Identifikationsmittel sei bislang in der digitalen Einkaufswelt noch nicht richtig angekommen. Das genaue Hingucken bei abweichender Lieferanschrift und das Nachfragen beim Kunden in einem solchen Fall sei natürlich zeit- und kostenaufwendig.

AGBs oft zu kompliziert

Witt sieht bei der Vertragsgestaltung zweier Parteien Verbesserungspotenzial. Kaum jemand habe Zeit, auch noch das in den Allgemeinen Geschäftsbedingungen (AGB) verlinkte Dokument durchzulesen. Außerdem fehlte den Verbrauchern oft das Wissen, mit dem man Formulierungen und Informationen in den AGBs interpretieren und einordnen könne.

„Meines Erachtens sollten die Hürden bei der Vertragsgestaltung nicht so hoch gestellt werden“, sagt Witt. „Natürlich müssen sich die Unternehmen absichern, aber gewisse Teile in der Textwüste sollten hervorgehoben werden und verständlich formuliert sein.“ Sonst könne von gleichberechtigten Vertragspartnern keine Rede sein.

Die Experten empfehlen, auch einmal zu überprüfen, wie viele Informationen online über einen selbst abrufbar seien. Mit dem Identity Leak Checker des Hasso-Plattner-Instituts (HPI) kann zum Beispiel mithilfe der E-Mail-Adresse geprüft werden, ob persönliche Daten bereits im Internet veröffentlicht wurden.

Generell solle man mit den persönlichen Daten im Netz so sparsam wie möglich umgehen, raten die Experten. Damit schränke man einen Identitätsmissbrauch erheblich ein oder halte die Schadenhöhe gering. Wichtig sei es, ein sicheres Passwort zu den geschützten Bereichen, zu erstellen. Solche und andere grundlegenden Ratschläge, wie das Nicht-Öffnen unbekannter Anhänge oder die Einrichtung eines Virenschutzes auf dem Computer hätten, wie die Experten sagen, ihre Dringlichkeit nicht verloren.

x