Internetkriminalität. Peter Hirsch
Daten können umgehend bei denselben Firmen eingesetzt werden, auf der auch der Geschädigte angemeldet ist.
Aber nicht nur beim Betroffenen selbst können Daten abgegriffen werden, sondern auch bei Unternehmen, welche die Daten ihrer Kunden gespeichert haben. Die Datendiebe nutzen bei diesen Firmen Schwachstellen im Serversystem aus. Mit Hilfe von Programmen wird die Datenbank des ausgewählten Unternehmens infiziert und die dort hinterlegten Kundendaten, welche das Unternehmen zur Abwicklung des Zahlungsverkehrs benötigt, gestohlen. Neben Kreditkartennummern oder Bankverbindungsdaten sind dies zum Beispiel auch (Rechnungs-)Anschriften. Im August 2019 fand ein solcher Einbruch bei Mastercard statt. Die Summe der entwendeten Kundendaten liegt bei ca. 90.000. Betroffen waren Nutzer des Bonusprogramms „Priceless Specials“. Was nach dem Diebstahl mit den Daten noch geschieht bzw. ob und wie sie zum Einsatz kamen, wurde bislang noch nicht publik.[4]
Allerdings ist der Einfluss des Kunden auf die Sicherheit seiner Daten bei dieser Art von Identitätsdiebstahl sehr begrenzt. Zwar kann er sich im Vorfeld über das Unternehmen erkundigen und zumindest beim Bezahlvorgang darauf achten, dass eine verschlüsselte Verbindung genutzt wird. Aber wie das Beispiel von Masterard zeigt, ist der Verbraucher auch bei seriösen Firmen nicht vor Datendieben sicher. Pohlmann nennt das größte Einfallstor für Datendiebe die große Anzahl von Schwachstellen in der genutzten Software der Anwender. Die Fehlerquote bei qualitativ hochwertiger Software liegt bei 0,3 pro 1000 Zeilen Code. Gängige Betriebssysteme haben 10 Millionen Codezeilen und somit im Schnitt 3000 Softwarefehler.[5]
Ohne Systemeinbrüche oder den Einsatz von Malware können Informationen auf dem Wege des „social engineering“ oder „social hacking“ erlangt werden. Mitnick und Simon beschreiben es mit „wie man Leute dazu bringt, Dinge für ihnen fremde Personen auszuführen, die sie normalerweise nicht tun würden“.[6] Anstatt der Technik wird die „Schwachstelle“ Mensch genutzt. Durch gezieltes Nachfragen, beispielsweise durch einen Anruf bei einem Mitarbeiter in einem Unternehmen, dessen System der Täter infiltrieren will, erlangt der social engineer Zugangsdaten. Diese verwendet er, um in Computersysteme einzudringen und dort Identitäten zu stehlen.
Was die Täter in Zukunft intensivieren werden, ist der Diebstahl von Kartendaten (Nummer und Gültigkeit der Karte) von Karten mit Bezahlfunktion (z. B. girogo der Sparkassen, Mastercard PayPass oder Visa payWave) sowie Mobiltelefonen bzw. Smartphones mit der so genannten Near-Field-Communication-Technology – NFC. Die NFC besteht aus einer Kombination aus drahtloser Verbindungs- und Identifizierungstechnologie (RFID – Radio Frequency Identification). Berührungslos können Busticket oder im Restaurant mit der Kreditkarte oder dem Smartphone bezahlt werden. Es muss mit dem Medium im Abstand bis maximal fünf Zentimetern über eine Leseeinrichtung gezogen werden. Der in Karte bzw. im Gerät eingebaute Chip kommuniziert mit dem Terminal.
Den bequemen Einsatz von Karte bzw. Telefon nutzt der Täter aus, in dem er versucht, mit einer auf seinem Mobiltelefon gespeicherten Applikation die Daten der Debit- bzw. Kreditkarte auszulesen. Hierzu muss er ebenfalls in einem Abstand von ca. fünf cm an sein Opfer herankommen. Gelingen kann das Auslesen, wenn Geldbörse oder Mobiltelefon beispielsweise in der Gesäßtasche getragen werden oder unbeaufsichtigt abgelegt werden. Zum Bezahlen mit diesen Daten ist zwar immer die Verknüpfung von Kartendaten und Inhabernamen notwendig, trotzdem werden diese Daten bislang von Händlern, die nicht sorgfältig prüfen, akzeptiert.
Schützen kann sich der Anwender vor dieser Art des Identitätsdiebstahles, in dem er die Buchungsfunktion nur einschaltet, wenn er sie aktuell benötigt. Fachleute der Kreditwirtschaft gehen davon aus, dass eine spezielle Hülle für die Karte nicht notwendig ist.
II. Identitätsdiebstahl › 2. Strafrechtliche Relevanz
2. Strafrechtliche Relevanz
Einen eigenen Tatbestand des Identitätsdiebstahles gibt es nicht. Das „einfache“ Verschaffen von Identitäten, beispielsweise durch das Durchwühlen von Abfalleimern, ist nicht strafbewehrt. Hingegen die Datenschutzgrundverordnung (DSGVO) sowie das Datenschutzgesetz-neu zum Tragen, wenn personenbezogene Daten elektronisch verarbeitet werden.
Bei der DSGVO handelt es sich um EU-Recht (Verordnung (EU) 2016/679), das eine unmittelbare Entfaltung erlangt und keinerlei Umsetzung in nationales Recht bedarf (vgl. Art. 288 Abs. 2 und Abs. 3 Vertrag über die Arbeitsweise der Europäischen Union – AEUV). Beim BDSG-neu handelt es sich um nationales Recht. Damit hat der (deutsche) Gesetzgeber von seinem Recht Gebrauch gemacht, seinen gesetzgeberischen Spielraum in datenschutzrelevanten Bereichen, die nicht in der DSGVO geregelt sind, auszuschöpfen. Allerdings tritt das BDSG-neu dann hinter die DSGVO zurück, wenn dort Sachverhalte bereits geregelt sind.
Relevant sind hierbei sowohl für öffentliche wie auch für nicht öffentliche Stellen (vgl. §§ 1 Abs. 1 S. 2, Abs. 4 S. 2, 2, 22 Abs. 1 BDSG) die Vorschriften aus §§ 2, 3, 46 i. V. m. §§ 41, 42 BDSG bzw. Art. 4, 5, 6, 7 i. V. m. Art. 83 DSGVO. Ohne gesetzliche Grundlage bzw. ohne Einwilligung des Betroffenen dürfen elektronisch Daten erhoben bzw. verarbeitet werden (§ 3 BDSG bzw. Art. 6 DSGVO Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung).
Erlangt der Täter die Identitäten mit Hilfe gefälschter Mails oder Internetseiten oder setzt er Schadsoftware ein, sind grundsätzlich dieselben Strafvorschriften wie im Abschnitt „Phishing“ einschlägig. Für Vorbereitungshandlungen (das sich Verschaffen oder selbst Programmieren von Schadsoftware, um es zum Identitätsdiebstahl einzusetzen) ist § 202c StGB (Vorbereiten des Ausspähens und Abfangen von Daten) zu prüfen. Ebenfalls in Betracht kann § 303a StGB (Datenveränderung) kommen.
Werden zur Erlangung der Daten Gegenstände, wie zum Beispiel Festplatten, externe Laufwerke o. ä. entwendet, können auch Delikte nach §§ 242, 246, 253, 263 u. a. StGB vorliegen.
II. Identitätsdiebstahl › 3. Zivilrechtliche Relevanz
3. Zivilrechtliche Relevanz
Neben den genannten Strafvorschriften eröffnet das BGB zivilrechtliche Möglichkeiten gegen den Täter. Tangiert sein können insbesondere die Vorschriften des § 823 Abs. 1 BGB (Schadenersatzpflicht – allgemeine Haftungsgrundlagen) wie zum Beispiel der Nutzungsbeeinträchtigung bei Passwortänderung durch den Täter, und des § 823 Abs. 2 BGB (Schadenersatzpflicht – Verletzung von Schutzgesetzen; unter Schutzgesetz fällt beispielsweise ein vorsätzlicher Verstoß gegen das BDSG) sowie 1004 BGB (Beseitigungs- und Unterlassungsanspruch; soweit nicht speziellere gesetzliche Ansprüche greifen). In Haftung ist immer der so genannte Störer zu nehmen. Dies muss nicht unbedingt die Person sein, welche Identitäten gestohlen hat. So kann auch der Betreiber beispielsweise eines sozialen Netzwerkes verpflichtet werden, ein gefaktes Profil zu löschen oder diskreditierende Fotos aus einem regulären Profil zu nehmen.
II. Identitätsdiebstahl › 4. Checkliste für die Ermittlungspraxis
4. Checkliste für die Ermittlungspraxis
✓
Der erste Angriff erfolgt durch die Schutzpolizei, die Endsachbearbeitung durch die Kriminalpolizei.
✓
Vernehmung des Anzeigenerstatters (i.d.R. der Geschädigte) als Zeugen.
✓
„Einwilligung zur Weitergabe personenbezogener Daten“ (i.d.R. Formblatt) unterschreiben lassen. Damit erleichtern sich Anfragen des Sachbearbeiters bei entsprechenden Stellen.
✓
Sollte der Angriff mit Unterstützung elektronischer Kommunikationsmittel stattgefunden haben, ist die Mail nach Absprache mit dem betreffenden Sachbearbeiter zu sichern und an einen E-Mail-Account der Polizei weiterzuleiten. Unter Umständen genügt aber auch ein Ausdruck der Mail.
✓
Ebenfalls nach Absprache kann der Header ausgelesen |