Identitätsdiebstahl: die unterschätzte Gefahr

Jäger wollen immer möglichst fette Beute machen. Dabei ist sich das Beutetier seiner Funktion im Nahrungsspektrum der Angreifer instinktiv bewusst und achtet deshalb auf Gefahren.

Bei den “Beutetieren” der Informationsgesellschaft ist das Gefahrenpotenzial hingegen nicht sonderlich ausgeprägt: Viele Menschen tapsen durchs Leben und laden durch ihr ignorantes Verhalten förmlich zum Missbrauch ein. Die Konsequenzen können für Menschen wie Unternehmen gleichermaßen existenzbedrohend sein: So hatten sich Kriminelle – mutmaßlich aus China – vor über zehn Jahren Zugang zum elektronischen Postfach des Vorstands von Nortel verschafft.

Das wurde zwar 2004 auch festgestellt, doch der Vorstand des Telekom-Providers war der Ansicht, es sei nicht weiter schlimm. Die Angreifer drangen von der Vorstandsetage aus bis zu den Kronjuwelen des Unternehmens vor und ergatterten technische Dokumentationen, Entwicklungsberichte, Geschäftspläne und E-Mails. Brian Shields, früher Sicherheitsberater bei Nortel ist davon überzeugt, dass dieser digitale Aderlass zur Insolvenz des Konzerns 2009 beigetragen hat. Shields Angaben zufolge soll Nortel noch dazu seine Hardware ohne jeden Hinweis auf die kriminellen Plünderer verkauft haben. Die Unternehmen Avaya und Ericsson betonten aber gegenüber dem Wallstreet Journal, dass ihre Unternehmen durch die gekaufte Hardware nicht kompromittiert worden wären.

Derweil sorgt sich Brian Shields um weitere kanadische Unternehmen: So sei der Blackberry-Hersteller Research in Motion (RIM) ein “gewaltiges Ziel“: “Sie sollten sich um diese Dinge Sorgen machen. Genau wie jeder andere aus der Technologie- oder Ölindustrie. Das ist Wirtschaftsspionage. Es ist wirklich so.”

Online-Bestellungen mit Name und Geburtstag

Katastrophen gibt es auch im Kleinen: Wer über Name und Geburtsdatum eines Menschen verfügt, kann im Internet in dessen Namen und auf dessen Rechnung einkaufen gehen. Die Ware geht an beliebige Adressen, die mit dem Namen des Betroffenen beschriftet sind, die Rechnung per Schufa und Inkasso-Unternehmen an das Opfer selbst. Da in der Folge die Bank und alle übrigen Dienstleister die Verträge kündigen wollen, muss der Betroffene viel Geld und Zeit in seinen Anwalt investieren, um seinen guten Ruf wieder herzustellen. Nachdem die Beute wirtschaftlich ausgesogen ist, bleibt nicht mehr viel übrig: Einzelne behaupten gar, ihr Leben sei “zerstört”. Entsprechend ist es nicht verwunderlich, dass über die Hälfte der US-Führungskräfte “besorgt” oder “sehr besorgt” wegen der Gefahr eines Identitätsdiebstahls ist.

Nochmal zur Erinnerung: Name und Geburtsdatum reichen aus, um einen Menschen in Wallung zu versetzen. Wer unser Bestes will, braucht nur zu schauen, wem wann auf Facebook zum Geburtstag gratuliert wird. Oder er holt sich die Daten bei einem unserer vielen Dienstleister – vom Arzt bis zur Zulassungsstelle – mit denen wir uns umgeben.

Auch dort sieht es bisweilen übel aus: Die Hamburger Asklepios Klinik ist im Umgang mit Patientendaten großzügig. Das Landratsamt Bad Hersfeld lässt sich Server mit den personenbezogenen Daten von 120.000 Einwohnern stehlen
und das Finanzamt Traunstein verscherbelt Festplatten inklusive Steuerbescheiden auf dem Flohmarkt.

Wozu kann man jetzt die Einwohnermeldedaten aus Bad Hersfeld nutzen? Bad Hersfeld präsentiert
sich gern als Logistikzentrum Deutschlands – verkehrstechnisch günstig am Schnittpunkt der Autobahnen A7 und A4 gelegen und erfreut sich entsprechender Investitionen der Versandhändler Amazon und Libri.

Wer nun diesen Unternehmen ins Weihnachtsgeschäft spucken will, könnte sich die Mailadresse des Geschäftsführers von Amazon Logistik in Bad Hersfeld, Robert Marhan, aus der geknackten Datenbank des angeblich “sozialen” Netzes LinkedIn heraussuchen und schickt dem Manager eine Mail mit präpariertem Anhang etwa auf dem Niveau des Trojaners “Flame“, um
damit die Kamera des Rechners in Gang zu setzen und Gespräche im Büro abzuhören.

Identitätsklau mit “Spear-Fishing”

Damit der Empfänger das Anhängsel mit dem Dateinamen „bushoerdliche-anhoerung.pdf“ tatsächlich öffnet, könnte die Mail mit den
persönlichen Daten aus dem Landratsamt angereichert werden: „Sehr geehrter Herr Robert Marhan, Sie haben mit Ihrem PKW, Kennzeichen
HEF-xyz-1000 am 10. Juni die zulässige Höchstgeschwindigkeit um 35 km/h überschritten. Im Zuge unseres neu eingeführten elektronischen
Anhörungsverfahrens möchten wir Ihnen die Gelegenheit bieten, sich zur Sache zu äußern. Füllen Sie dazu bitte das beigefügte Formular aus.”
Derlei personalisierte Angriffe werden als ““Spear-Fishing” bezeichnet.

Die Wahrscheinlichkeit ist groß, dass Marhan diesen Anhang aus Angst um seinen Führerschein mit schweißtropfender Stirn öffnet. In diesem
Augenblick könnte sein Rechner bereits infiziert sein. Der Rest der Geschichte könnte dann ähnlich wie bei Nortel verlaufen.

Landrat Karl-Ernst Schmidt will sich unter Hinweis auf die “laufenden Ermittlungen” nicht äußern. Selbst die Pressemitteilung ist mittlerweile von der Website des Landratsamts gelöscht.

Kein Geld für Sicherheit

Einen echten Knaller hat dafür Karl-Christian Schelzke, Geschäftsführender
Direktor des Hessischen Städte- und Gemeindebunds zu bieten: “Wenn wir die Empfehlungen des Bundesamts zur Sicherheit in der Informationstechnik umsetzen wollten, würde das teuer; dann müssten wir Kindergärten schließen.” Genauso könnte eine Bank sagen, sie habe kein Geld für die Tresore.

Auf die Frage nach der Bedeutung, die Amazon den geklauten Servern im Landratsamt beimisst, lässt Christine Höger, Leiterin Public
Relations des Versandhändlers wissen: „Der von Ihnen genannte Vorfall hat in keiner Weise mit Amazon zu tun, daher können wir hierzu keine Stellung nehmen. Aus Sicherheitsgründen veröffentlichen wir zudem keine Details bezüglich unserer Sicherheitsvorkehrungen, ich bitte um Ihr Verständnis.”

Die Einwohnermeldedaten von Bad Hersfeld sind “amtlich” und damit besonders wertvoll. Da es sich um strukturierte Daten handelt, sind sie
leicht weiter zu verarbeiten. So wäre es denkbar, dass viele Menschen nach dem beschriebenen Muster infiziert werden.

Bundespolizei lässt sich Daten klauen

Amtliche Daten enthielt auch das Ermittlungssystem der Bundespolizei, das im vergangenen Jahr von der “No-Name-Crew” geknackt wurde. Das Zollkriminalamt “geht davon aus, dass keine Daten heruntergeladen wurden, die Leib und Leben von Ermittlern gefährden.” Die Hoffnung stirbt zuletzt. Der Spiegel zitiert aus einem internen Computer-Prüfbericht der Bundespolizei: “Unter Beibehaltung des derzeitigen Netzbetriebes besteht eine erhöhte Wahrscheinlichkeit des unkontrollierten Abflusses von Informationen sowie des Befalls mit Schad-Software.”

Die Vorratsdatenspeicherung, das “intelligente” Stromnetz, das papierlose Gesundheitswesen und die elektronische Fahrzeugkontrollen können Lebensstandard und -gewohnheiten, Freizeitinteressen,
Verhaltens-, Konsum- und Bewegungsprofile von uns allen transparent machen.

Daher wäre es gut, wenn die Entscheider in Politik und Wirtschaft, Softwareentwickler, Diensteanbieter, Systemadministratoren, Sachbearbeiter und Anwender wissen was sie tun, bevor die Technik “scharf” geschaltet wird. Dies vor allem im Interesse derer, die mutmaßlich über Geld, Macht und Einfluss verfügen: Denn der Chef ist des Speerfischers liebste Beute.

AUTOR

Joachim Jakobs...

...ist Betreiber des Blogs privatsphaere.org und Co-Autor des Buches "Vom Datum zum Dossier - Wie der Mensch mit seinen schutzlosen Daten in der Informationsgesellschaft ferngesteuert werden kann" erschienen im dpunkt-Verlag. Er hat 20 Jahre Erfahrung als Journalist und Öffentlichkeitsarbeiter; seit über zehn Jahren engagiert er sich in der IT-Industrie, darunter auch bei IBM in Schottland, als Leiter Unternehmenskommunikation eines Instituts der Fraunhofer-Gesellschaft und Medienkoordinator der Free Software Foundation Europe. Er ist gelernter Industriekaufmann und Diplom-Betriebswirt (FH). Seit Jahren veröffentlicht er zum Thema Datenschutz und Datensicherheit – unter anderem für die ZDNet, VDI-Nachrichten, DIE ZEIT, stern.de und den Rheinischen Merkur. Bei Telepolis verfasst er regelmäßig seine Kolumne »JJ’s Datensalat«.

Neueste Kommentare 

Noch keine Kommentare zu Identitätsdiebstahl: die unterschätzte Gefahr

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *