Aus dem Unterricht des CAS Digital Risk Management mit Marc Maisch berichtet Nicole Egli

Es steht ein spannender Unterrichtstag bevor. Erstens ist Marc Rechtsanwalt in München. Zweitens ist er spezialisiert auf IT-Recht, Datenschutz, Marketingrecht und Cyber Kriminalität. Drittens berät er Jungunternehmen. Uns erwarten viele Beispiele aus der Praxis. Themen sind digitale Identität und Diebstahl von Daten. Digitalisierung nimmt an Bedeutung zu und dadurch die digitale Identität des Menschen. Ziel des heutigen Nachmittags ist: Sensibilisieren in Bezug auf den Schutz von persönlichen Daten und Identität. Zudem sollen die Studierenden Methoden der Angreifer kennenlernen.

Als Einstieg in die Thematik ein inspirierendes Video: LINK. Es werden beispielsweise CEO-Scam, Identitätsdiebstahl und Love-Scamming angesprochen.

Dieser Blog Beitrag beantwortet die nachfolgenden Fragen:

  • Was ist Identitätsdiebstahl?
  • Wer sind die Täter? Wie gehen sie vor?
  • Was ist die Bedrohungslage für die Opfer?
  • Wie schützt sich eine Personen bzw. ein Unternehmen vor Identitätsdiebstahl?

Grundlagen Identität: Definition und Rechtslage

Die Entwicklung der Identität wird in der unterstehenden Abbildung dargestellt. Sie setzt sich aus den inneren Voraussetzungen eines Menschen zusammen. Zudem wird sie durch die Aussenwelt beeinflusst:

Foto, Fingerabdruck, Merkmale und persönliche Daten dienen dazu ein Individuum zu bestimmen. Diese Informationen sind datenschutzrechtlich geschützt, weil sie sensitiv sind. Trotzdem kommt es zu Fällen, wo Daten geklaut und missbraucht werden. Denn bei einer Privatperson reichen Geburtsdatum, Adresse und Namen aus, um eine falsche Identität vorzutäuschen. Folgen für die Opfer sind: Bonitätsverlust, Reputationsschaden und Angst. So zum Beispiel hat sich das Leben von Max verändert, da sein Portemonnaies geklaut wurde. Er erlitt einen Schaden von über 22’000 Euro. Zudem hat er laufende Inkasso-Mahnverfahren und über 30 Ermittlungsverfahren am Hals.

Der Klau einer Identität wird im Schweizer Strafgesetzbuch nicht als Strafdelikt geregelt. Deshalb wird er gemäss Artikel 139 STGb-CH als Diebstahl abgehandelt. Die Beschaffung der Daten wird als Mittel zum Zweck verstanden, womit eine Straftat begangen wird. Es handelt sich um strategisches Vorgehen, um ein Ziel zu erreichen. Die PWC hat im Jahre 2016 eine Studie dazu durchgeführt. Sie haben ermittelt, dass jeder Dritten Person schon die Identität geklaut wurde:

Im Allgemeinen gibt es wenig Statistiken zum Diebstahl von Identitäten. Dies weil es kein eigenes Strafdelikt ist. Hingegen die Häufigkeit von Vorfälle ist erschreckend: von 1200 Befragten Schweizer Händlern sind 92% Opfer. Das heisst, ihnen wurde entweder die Identität oder Daten geklaut (LINK).

Die Praxis zeigt, dass die Täterschaft nur in selten Fällen geschnappt werden kann. Dies weil der Nachweis schwierig ist. Marc betont, dass bei seinen Klienten der Opferschutz und die Entschädigung im Fokus steht. Das Ziel ist die Wiederherstellung der Bonität und der Reputation.

Die folgende Definition fasst die Einordnung des Begriffs Identitätsdiebstahl kurz zusammen: «Identitätsdiebstahl bedeutet Missbrauch von personenbezogenen Daten. Namen, Adressen, Geburtsdatum, Personalausweisnummern, E-Mail- Adressen, Bankdaten».

Diebstahl der Identität: Täter und Opfer

Angriffen werden entweder Einzelpersonen oder Unternehmen. Die Motive sind jedoch vergleichbar. Die kriminalistischen Motive werden anhand von Beispielen gegenüberstellt:

Die Täterschaft lässt sich in drei Gruppen sortieren. Erstens Gelegenheitstäter, Zweitens Kleinkriminelle und Drittens die organisierte Kriminalität. Die organisierte Kriminalität ist vor allem für Unternehmungen eine Bedrohung. Bei Unternehmen suchen sich die Täter die Opfer gezielt aus. Hingegen bei Privatangriffen sind Angriffe eher zufällig.

Das Vorgehen der Täter lässt sich in drei Phasen einteilen:

  • Phase 1: Motiv- und Zielauswahl
  • Phase 2: Datenerhebung «jeder Zeit ein offenes Ohr». Zum Beispiel können Daten von Registern, Klingelschildern, aus Gesprächen, Social Media oder allgemein aus dem Internet stammen. Kurz gesagt: Das Internet ist eine Spielwiese für die Täter
  • Phase 3: Analyse und Festlegung der Angriffsart

Methoden: Klau von Identität und Daten

Beispiele aus der Praxis:

  • CEO-Scam: Angriff auf die Infrastruktur einer Unternehmung. Er gehört zu den perfidesten Attacken, da das Vertrauen der Mitarbeiter erschlichen wird.
  • Phishing: Die Angestellten werden getäuscht, damit die Täter die IT Sicherheit überlisten können. Maleware wird dadurch verbreitet. FAZIT: Mitarbeiter werden als Opfer ausgewählt
  • Social Engineering: Es wird strategisches Wissen erschlichen
  • Shopping «auf die Kosten einer fremden Person Bestellungen tätigen»: Der Täter benutzt die Rechnungs- und Lieferanschrift vom Opfer. Zudem richtet er eine gefälschte Email Adresse ein. Dadurch erhält er die Nachricht über die Lieferung des Pakets. FAZIT: Email, Adresse und Name sind ausreichend für den Identitätsklau
  • gefälschte Email Konten: Der Täter nutzt soziale Kontakte einer Privatpersonen. Er sammelt Daten von Freunden indem er ein andere Identität annimmt. FAZIT: Echte Identität erwecken vertrauen
  • Netzwerkanalyse: Wer kennt wen? Informationen über Unternehmen oder Personen aus dem Internet zusammentragen.
  • Gefälschte Shops: Es werden Produkte verkauft die es nicht gibt. Die Opfer bezahlen, jedoch geliefert wird nichts. FAZIT: Gutgläubigkeit wird ausgenutzt.
  • Erpressung: Privatpersonen werden erpresst mit im Internet gefunden Bildern. FAZIT: Persönliche Daten im Internet aktiv bewirtschaften.

Diese Liste ist nicht abschliessend, da es unzählige Formen von Identitäts- und Datenklau gibt. Tina Groll ist Journalist. Sie hat es erlebt, wenn Kriminelle die Identität klauen. Die Täter haben Straftaten in ihrem Namen begangen. Darum hat sie erstens ein Buch über ihren Fall geschrieben und zweitens hilft sie heute Opfern.

Bedrohungslage für Opfer

Bei den Privatpersonen führt der Missbrauch von persönlichen Daten erstmals zu einem Vermögensverlust. Weiter kann Repuationsschaden die Folge sein. Die Daten werden von den Tätern hauptsächlich im Internet ermittelt. Demzufolge ist die aktive Bewirtschaftung der digitalen Identität entscheidend.

Unternehmen müssen neben dem finanziellen Verlusten weitere Bedrohungen berücksichtigen. Angriffe auf die Daten oder die IT können weitere Folgen haben. Beispiele sind:

  • Vertraulichkeit im Betrieb weg
  • Störung von Betriebsabläufen
  • Know-How weg
  • Identitätsverwechslung: Verwechslung von Daten können hohe Bussen  verursachen: Bussgeldrechner
  • Gefährdung von Geschäftsgeheimnis

In Krisenzeiten wie Corona muss ein Unternehmen seine Infrastruktur überprüfen. Private Geräte kommen zum Einsatz und sind nicht genug geschützt. Die Angriffsfläche steigt, da Personen von zu Hause ausarbeiten. Die Kommunikation findet über digitale Instrumente statt. Die Identifikation der Gegenpartei und vier Augenprinzip ist von Wichtigkeit.

Privatpersonen werden auch nicht verschont. Bekannte Betrugsfälle sind:

  • gefälschte Hilfsseiten: Geld kommt nicht an
  • Shops die Schutzmasken anbieten: Die Ware wird niemals gegliedert. Auch Bedrohung für Firmen, da sie sich ausrüsten müssen, besondere Schutzmassnahmen einhalten
  • CEO Fraud, Social Engineering, Phishing

Schutzkonzepte: digitale Identität

Zum Abschluss werden Schutzkonzepte in zwei Gruppen (Breackoutsessions) besprochen. Die Frage lautet: Wie können sich Einzelpersonen bzw. Unternehmen vor den Gefahren von Identitätsdiebstahl schützen?

Im Plenum präsentieren die Studierenden die Ergebnisse:

Schutz für Privatperson:

  • Kein Online Shopping 😉
  • Kein Geburtsdatum angeben (Dort wo nicht strafbar, schummeln)
  • Datensparsamkeit: so viel wie nötig, so wenig wie möglich
  • Hinterfragen, Misstrauen, Aufklärung
  • Hellhörigkeit, sich informieren
  • Social Media Accounts aktiv bewirtschaften
  • Zwei Faktoren Authentifizierung überall wo möglich einstellen

Schutz für Unternehmen:

  • Mitarbeiterschulung
  • Bewusstsein schaffen
  • Kritische Prozesse: Rückfragen, 4 Augen Prinzip
  • Externe Emails klar ersichtlich machen
  • Gute Passworte wählen
  • Social Media aktiv bewirtschaften / nicht zu viel preisgeben
  • Homeoffice Thematik; Sicherheitsproblem; Risiken managen
  • Netzwerk Sicherheit

Schlusswort

Das Management der digitalen Identität ist von Wichtigkeit. Sowohl im privaten Umfeld als auch bei der Arbeit. Durch die Auseinandersetzung mit der Bedrohungslage wird dies deutlich.