Im ersten Moment hielt Timm Caspari das Schreiben des Frankfurter Versandhaus-Riesen Neckermann für Werbung. „Fast wäre der Brief ungelesen im Müll gelandet“, erzählt der Mitgründer der Münchner Kommunikations-Agentur 100zehn. Umso erstaunter war Caspari, als sich die Post aus Frankfurt als Rechnung entpuppte – „für einen Kopfhörer, den ich angeblich wenige Tage zuvor im Web-Shop des Versenders gekauft hatte“. Tatsächlich hatte der Geschäftsmann die Ware weder bestellt noch erhalten.
Des Rätsels Lösung: Caspari wurde Opfer eines sogenanntem Identitätsdiebstahls. Dabei beschaffen sich Betrüger die persönlichen Daten Dritter und gehen unter deren Namen und auf deren Rechnung zum Beispiel in Online-Läden einkaufen. Die Geschädigten haben am Ende mindestens den Ärger am Hals, den Betrug gegenüber dem Versender aufzuklären.
In Casparis Fall war die Masche allerdings fingiert. Grund für den aktuellen Check: Unter dem Eindruck der jüngsten Datenskandale wie bei der Deutschen Telekom wollte die WirtschaftsWoche überprüfen, wie sicher der Internet-Einkauf inzwischen ist. Vor zwei Jahren schon hatte die Redaktion schwere Sicherheitslecks in den Web-Shops von Quelle und Neckermann aufgedeckt. Am Beispiel von Caspari und einer Reihe weiterer Test-Opfer hat die Redaktion daher ausprobiert, wie schwer es die Web-Shops Kriminellen heute machen, zulasten Dritter online Waren zu bestellen.
Das Ergebnis der Tests ist alles andere als beruhigend: Zwar haben die Versender die einstigen Lecks behoben, doch noch immer können Betrüger bei vielen Web-Shops problemlos mit den gestohlenen Identitäten ahnungsloser Bürger auf Einkaufs-Tour gehen. Speziell bei Neckermann müssen die Täter nur Name, Anschrift und Geburtsdatum ihrer Opfer ausspähen und auf der Bestellseite eingeben. Schnell noch die Lieferadresse geändert – ab geht die Order. Im WirtschaftsWoche-Test funktionierte das mehrfach ohne jede Nachfrage bei den vorgeblichen Bestellern. Auch der Versand einer Bestellbestätigung – Fehlanzeige.
Die Daten passender Opfer zu finden ist für die Täter ein Kinderspiel. Allzu sorglos publizieren viele Onliner selbst privateste Daten auf Internet-Business-Plattformen oder sozialen Netzwerken wie Facebook, Xing, Plaxo oder Linkedin.
Dunkelziffer ist hoch
Ob Shopping auf fremde Kosten, der Klau von Passwörtern, PIN-Codes, Kreditkartendaten oder TANs fürs Online-Banking: Der Diebstahl persönlicher Daten im Web nimmt rasant zu. Internet-Sicherheitsexperten nennen dieser Form der Cyber-Kriminalität „Identity-Theft“. Spionagesoftware durchkämmt – wie die Such-Roboter großer Suchmaschinen – fortlaufend das Netz nach digitalen Identitätsdaten. Die reichen von den auf Kontaktportalen veröffentlichten Namen und Geburtsdaten der Mitglieder bis hin zu Kontonummern in den Fußnoten geschäftlicher E-Mails. Was sich an Daten verwenden lässt, wandert in die anonymen Datenspeicher der Hacker im Web, die sogenannten Crime-Server.
Das Ausmaß der kriminellen Attacken halten Banken, Versicherungen und Kreditkartenunternehmen unter Verschluss. Melden Kunden Betrugsversuche oder dubiose Abbuchungen, ersetzen sie den Schaden zumeist geräuschlos: Aufsehen würde dem Geschäft schaden. Die aktuelle Statistik des Bundeskriminalamtes (BKA) lässt immerhin erahnen, wie schnell sich die elektronische Kriminalität entwickelt. So stieg in Deutschland alleine die Zahl sogenannter Phishing-Fälle, also der Diebstahl von Zugangsdaten fürs Online-Banking, binnen zwei Jahren um knapp 70 Prozent – von 2500 Fällen 2005 auf 4200 Fälle im vergangenen Jahr. Offiziell ergibt das einen Schaden von schätzungsweise 20 Millionen Euro. Die tatsächliche Summe dürfte um ein Mehrfaches höher liegen. „Gerade im Bereich des digitalen Identitätsdiebstahls ist die Dunkelziffer extrem hoch“, erläutert der beim BKA für solche Fälle zuständige Kriminalhauptkommissar Mirko Manske.
Zwar sinkt die Zahl der Phishing-Versuche nach Beobachtungen der BKA-Experten in diesem Jahr erstmals wieder – vor allem weil die Banken ihre Online-Systeme mit neuen Schutzmechanismen wie dem iTAN-Verfahren deutlich nachgebessert haben. Für Manske besteht dennoch kein Grund zur Entwarnung: „Einigen Straftätern ist es bereits gelungen, Schadsoftware zu entwickeln, mit der sich sogar mit dem iTAN-Verfahren gesicherte Überweisungen korrumpieren lassen.“
