Identitätsraub ist ein Begriff, mit dem eine ganze Reihe von Verbrechen gegen das Persönlichkeitsrecht bezeichnet wird. Als Erstes wollen wir uns jedoch dem Raub persönlicher Daten und daraus folgenden finanziellen Verlusten widmen, da diese Vorgänge für den durchschnittlichen Internet-Benutzer die größte Gefahr darstellen. Im Weiteren werden wir dann Strategien sowie Soft- und Hardware vorstellen, mit denen man sich vor bestimmten Arten von Angriffen schützen kann.

Die meisten Banken mit Online-Strukturen arbeiten mit ganz oder teilweise übertragenen PINs oder Passwörtern. Diese Vorgehensweise stellt seit der Entstehung des Internets eine grundlegende Sicherheitsvorkehrung dar. Das bedeutet, dass der Benutzer zur Eingabe einer vollständigen PIN oder einzelner Zahlen aus dieser aufgefordert wird; also z. B. der ersten, dritten und fünften Stelle einer sechsstelligen Geheimzahl.

Einige Banken verwenden mittlerweile auch Verfahren zur Erstellung von Einmal-Passwörtern (oder -PINs), die sich immer stärker durchsetzen. Ein Grund hierfür sind u. a. die vom Federal Financial Institutions Examination Council (FFIEC) herausgegebenen Richtlinien für die Mindestsicherheitsstandards.

Phishing auf dem Vormarsch

In diesem Zusammenhang wollen wir Ihnen zunächst zwei von Hackern verwendete Ausdrücke erklären: "einen Desktoprechner übernehmen" und "sich Root-Rechte verschaffen" . Diese beziehen sich auf die Fähigkeit eines Hackers, die Aktivitäten auf dem Computer eines anderen Benutzers zu verfolgen. Zu diesem Zweck werden Programme auf Ihrem PC platziert, die Navigationsdaten oder Tastatureingaben abfangen. Auf diese Weise kann der Hacker Ihre Anmeldedaten innerhalb von zwei oder drei erfolgreichen Logins knacken.

Hat er erst einmal diese Informationen zur Verfügung, ruft der Hacker dann vielleicht bei Ihnen an und gibt sich als Mitarbeiter Ihrer Bank aus. Da er Ihre Anmeldedaten erspäht und Ihre privaten Kontoseiten eingesehen hat, kann er sich die ihm bereits bekannten Daten von Ihnen "bestätigen" lassen und gleichzeitig versuchen Ihnen die für Ihr Telefonbanking zu entlocken.

Dann kann der Hacker direkt auf Ihr Konto zugreifen, indem er die Bank anruft und in Ihrem Namen Transaktionen vornimmt. Im geschilderten Fall wurde also die reine Desktop-Attacke wirkungsvoll mit so genanntem "Social Engineering" (also der Telefonanruf bei Ihnen) kombiniert. Der Hacker hat nun die Kontrolle über Ihre Bankkontodaten und musste dafür noch nicht einmal viel tun.

Aber nicht nur die Banken sind gefährdet. Ähnliche Risiken lauern auf Websites, die für einen bequemeren Zugang Ihre Kreditkartendaten abspeichern. Wenn man diese Speicheroption nutzt und sich dann wie oben geschildert ganz normal anmeldet, kann der Hacker mithilfe der abgefangenen Anmeldedaten an Ihre Kreditkartendaten gelangen, mit denen er dann auf Ihre Kosten unerlaubt Einkäufe tätigen kann.

Dies bringt uns einer anderen Art von Social Engineering, über das in den Medien ausführlich berichtet wurde: das Phishing. Hinter diesem Begriff verbirgt sich der massenhafte Versand gefälschter E-Mails, die den Eindruck erwecken sollen, von eBay, PayPal oder anderen mit finanziellen Transaktionen arbeitenden Websites zu stammen. Die Opfer werden dann auf täuschend echt wirkende gefälschte Websites umgeleitet, auf denen sich viele von ihnen nichts Böses ahnend anmelden, wodurch sie ihre Benutzernamen, PINs und Passwörter offen legen.

Um sich ein Bild vom vollen Ausmaß des Phishing-Phänomens zu verschaffen, genügt ein Blick auf diese Seite von Fraud Watch . Jeder der hier aufgeführten Betrugsversuche wurde vermutlich mit Tausenden von E-Mails versandt.