Datendiebstahl Die raffiniert dreisten Tricks der Online-Betrüger

Trotz PIN-Codes und Passwörtern – der Datendiebstahl im Internet nimmt rapide zu. Die Hacker bedienen sich immer raffinierterer Tricks - und sie schreiten dreist zum Internet-Betrug. Online-Kaufhäuser machen es Betrügern besonders leicht, auf fremde Kosten einzukaufen.

  • Teilen per:
  • Teilen per:

Im ersten Moment hielt Timm Caspari das Schreiben des Frankfurter Versandhaus-Riesen Neckermann für Werbung. „Fast wäre der Brief ungelesen im Müll gelandet“, erzählt der Mitgründer der Münchner Kommunikations-Agentur 100zehn. Umso erstaunter war Caspari, als sich die Post aus Frankfurt als Rechnung entpuppte – „für einen Kopfhörer, den ich angeblich wenige Tage zuvor im Web-Shop des Versenders gekauft hatte“. Tatsächlich hatte der Geschäftsmann die Ware weder bestellt noch erhalten.  

Des Rätsels Lösung: Caspari wurde Opfer eines sogenanntem Identitätsdiebstahls. Dabei beschaffen sich Betrüger die persönlichen Daten Dritter und gehen unter deren Namen und auf deren Rechnung zum Beispiel in Online-Läden einkaufen. Die Geschädigten haben am Ende mindestens den Ärger am Hals, den Betrug gegenüber dem Versender aufzuklären.

In Casparis Fall war die Masche allerdings fingiert. Grund für den aktuellen Check: Unter dem Eindruck der jüngsten Datenskandale wie bei der Deutschen Telekom wollte die WirtschaftsWoche überprüfen, wie sicher der Internet-Einkauf inzwischen ist. Vor zwei Jahren schon hatte die Redaktion schwere Sicherheitslecks in den Web-Shops von Quelle und Neckermann aufgedeckt. Am Beispiel von Caspari und einer Reihe weiterer Test-Opfer hat die Redaktion daher ausprobiert, wie schwer es die Web-Shops Kriminellen heute machen, zulasten Dritter online Waren zu bestellen.

Das Ergebnis der Tests ist alles andere als beruhigend: Zwar haben die Versender die einstigen Lecks behoben, doch noch immer können Betrüger bei vielen Web-Shops problemlos mit den gestohlenen Identitäten ahnungsloser Bürger auf Einkaufs-Tour gehen. Speziell bei Neckermann müssen die Täter nur Name, Anschrift und Geburtsdatum ihrer Opfer ausspähen und auf der Bestellseite eingeben. Schnell noch die Lieferadresse geändert – ab geht die Order. Im WirtschaftsWoche-Test funktionierte das mehrfach ohne jede Nachfrage bei den vorgeblichen Bestellern. Auch der Versand einer Bestellbestätigung – Fehlanzeige.

Die Daten passender Opfer zu finden ist für die Täter ein Kinderspiel. Allzu sorglos publizieren viele Onliner selbst privateste Daten auf Internet-Business-Plattformen oder sozialen Netzwerken wie Facebook, Xing, Plaxo oder Linkedin. 

Dunkelziffer ist hoch

Ob Shopping auf fremde Kosten, der Klau von Passwörtern, PIN-Codes, Kreditkartendaten oder TANs fürs Online-Banking: Der Diebstahl persönlicher Daten im Web nimmt rasant zu. Internet-Sicherheitsexperten nennen dieser Form der Cyber-Kriminalität „Identity-Theft“. Spionagesoftware durchkämmt – wie die Such-Roboter großer Suchmaschinen – fortlaufend das Netz nach digitalen Identitätsdaten. Die reichen von den auf Kontaktportalen veröffentlichten Namen und Geburtsdaten der Mitglieder bis hin zu Kontonummern in den Fußnoten geschäftlicher E-Mails. Was sich an Daten verwenden lässt, wandert in die anonymen Datenspeicher der Hacker im Web, die sogenannten Crime-Server.

Das Ausmaß der kriminellen Attacken halten Banken, Versicherungen und Kreditkartenunternehmen unter Verschluss. Melden Kunden Betrugsversuche oder dubiose Abbuchungen, ersetzen sie den Schaden zumeist geräuschlos: Aufsehen würde dem Geschäft schaden. Die aktuelle Statistik des Bundeskriminalamtes (BKA) lässt immerhin erahnen, wie schnell sich die elektronische Kriminalität entwickelt. So stieg in Deutschland alleine die Zahl sogenannter Phishing-Fälle, also der Diebstahl von Zugangsdaten fürs Online-Banking, binnen zwei Jahren um knapp 70 Prozent – von 2500 Fällen 2005 auf 4200 Fälle im vergangenen Jahr. Offiziell ergibt das einen Schaden von schätzungsweise 20 Millionen Euro. Die tatsächliche Summe dürfte um ein Mehrfaches höher liegen. „Gerade im Bereich des digitalen Identitätsdiebstahls ist die Dunkelziffer extrem hoch“, erläutert der beim BKA für solche Fälle zuständige Kriminalhauptkommissar Mirko Manske.

Zwar sinkt die Zahl der Phishing-Versuche nach Beobachtungen der BKA-Experten in diesem Jahr erstmals wieder – vor allem weil die Banken ihre Online-Systeme mit neuen Schutzmechanismen wie dem iTAN-Verfahren deutlich nachgebessert haben. Für Manske besteht dennoch kein Grund zur Entwarnung: „Einigen Straftätern ist es bereits gelungen, Schadsoftware zu entwickeln, mit der sich sogar mit dem iTAN-Verfahren gesicherte Überweisungen korrumpieren lassen.“ 

Warenhaus Neckermann: Internetsicherheit hat Lücken Quelle: AP

Die Cyber-Kriminellen bedienen sich ganz neuer Formen des Datenklaus: Statt Phishing-E-Mails zu verschicken, knacken die Datendiebe nun ganze Web-Seiten. Dort deponieren sie Spionage-Programme, die bereits beim Aufruf der Seiten beginnen, arglose Surfer auszuspähen, wenn deren Rechner und Web-Browser nicht ausreichend geschützt sind.

„Bei diesen Drive-by-Infection genannten Attacken wird in wenigen Sekunden Schadsoftware – sogenannte Trojaner – auf den Rechner des Online-Nutzers geladen“, erläutert Thorsten Schuberth, IT-Security-Vordenker bei Check Point, einem Hersteller von Computersicherheitssystemen. „Die Software-Spitzel zeichnen heimlich Passwörter fürs Bankkonto, den E-Mail-Zugang oder den Ebay-Account auf und überspielen die Informationen, unbemerkt vom Nutzer, auf die Crime-Server genannten Datenspeicher der Online-Kriminellen.“

„Dabei stecken die digitalen Schnüffler keineswegs nur in dubiosen Web-Angeboten“, warnen Experten wie Candid Wüest, Bedrohungs-Forscher beim Sicherheitssoftware-Anbieter Symantec. Im Mai 2008 infizierten Angreifer die Online-Programmzeitschrift der ARD. Im September deponierten sie Spionage-Codes in den Online-Stellenanzeigen des amerikanischen Wirtschaftsmagazins „BusinessWeek“.  

Die Zahl infizierter Seiten explodiert geradezu. Januar bis März dieses Jahres verdoppelte sie sich auf 6.500, berichtet die Anti-Phishing-Working-Group, ein Verbund internationaler Datenschutz-Spezialisten. „Mittlerweile kommen pro Tag 3.000 bis 4.000 neu infizierte Seite hinzu“, sagt Symantec-Experte Wüest.

Befürchtung: zu hohe Sicherheitschecks könnten Kunden vergraulen

Mit den online ergaunerten Daten können Betrüger dann – quasi als kriminelle Doppelgänger der realen Kunden – zum Beispiel Millionenbeträge auf Konten im Ausland verschieben. Oder sie lassen sich Waren an fremde Adressen liefern. Bei unseren Testkäufen gingen die Artikel an die Redaktionsanschrift. Genauso gut hätten Betrüger die Postboten an Tarnanschriften abpassen und mit der Lieferung verschwinden können. „Die Ware ist futsch, und ich muss dem Versender erklären, wo das Geld bleibt“, ärgert sich Test-Opfer Caspari.

Neckermann findet das halb so wild. „Wenn ein Kunde eine Rechnung von uns bekommt, ohne Waren bestellt zu haben, klären wir den Fall mit ihm ab und stornieren die Rechnung im Betrugsfalle umgehend“, versichert Hansjörg Allstädt, Leiter E-Business Solutions auf Anfrage. „In dem Fall tragen wir das Risiko.“ Datenschützerin Marit Hansen hält das für unzureichend. „Gemessen an anderen Internet-Kaufhäusern, hängt Neckermann die Kontrollschwellen unnötig niedrig und erleichtert so den Identitätsmissbrauch“, kritisiert die stellvertretende Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein. „Selbst wenn das Unternehmen die Kosten erstattet oder die Rechnung storniert, haben die Opfer unnötig Ärger und Aufwand“, mahnt Hansen. „Es wäre ein Leichtes, die Arbeit der Betrüger durch zusätzliche Verifizierungsschritte im Bestellprozess zu erschweren.“

Der Hamburger Otto-Versand oder der Web-Shop des Elektronikhändlers Conrad tun das bereits. Beide Unternehmen schließen bei nicht verifizierten Bestellern den Versand von Waren auf Rechnung an andere Anschriften als die Bestelleradresse aus. Oder sie liefern wie Otto die Ware dann nur an eigene Läden, wo sie der Kunde persönlich abholen muss.

Doch viele Versender fürchten, mit zu strengen Sicherheitschecks Kunden abzuschrecken. „Schraube ich die Anforderungen so hoch, dass viele Kunden die Bestellung abbrechen – oder kalkuliere ich etwas Schwund durch Betrug ein?“, erläutert Sebastian Schreiber das Problem. Schreiber ist Chef des auf die Analyse von IT-Sicherungssystemen spezialisierten Dienstleisters Syss in Tübingen.  

Bei Neckermann zieht man den Schwund vor. „Im laufenden Geschäftsjahr haben wir bis jetzt betrugsbedingte Forderungsausfälle, die deutlich unter einem halben Prozent unseres angepeilten Warenumsatzes von rund 1,4 Milliarden liegen“, verrät E-Business-Manager Allstädt.

Schreiber hält niedrige Sicherheitsschwellen beim Online-Einkauf so lange für vertretbar, wie der Versender den Opfern des Betrugs die Rechnung erlässt. „Das Risiko muss der Versender tragen“, findet der Tübinger Sicherheitsexperte. „Wenn aber Hackern der Zugriff auf online gespeicherte Kontendaten, Bestellhistorien oder Bankverbindungen gelingt, wird’s kritisch.“ 

Ärger droht nicht nur beim Einkauf im Web. Die Betrüger weiten ihre Attacken beständig aus. Erst Mitte September installierten Hacker auf dem Rechner des zur Best- Western-Gruppe gehörenden „Hotels am Schloss Köpenick“ in Berlin einen Trojaner. Er sollte die Kreditkartendaten von Gästen ausspionieren, die ein Zimmer reservierten. Ein Schutzprogramm entdeckte den Angriff zum Glück, kappte die Internet-Verbindung und fuhr den Rechner sofort herunter. Die Polizei konnte bisher jedenfalls noch keinen Missbrauch feststellen.  

Meist geht es nicht so glimpflich ab. Die „Underground-Economy“, wie BKA-Fahnder Manske das Geschäft mit dem Datenklau im Netz bezeichnet, funktioniert erschreckend gut. Immer wieder stoßen die Ermittler im Netz auf Crime-Server, randvoll gepackt mit gestohlenen Identitätsdaten, Passwörtern, Kreditkartennummern oder PIN-Codes. „Die letzten Monate haben gezeigt, dass bei den Tätern ein hohes Innovationspotenzial besteht“, sagt Manske. „Sie entwickeln stetig neue Verwertungsmöglichkeiten für die Daten.“

Bankkarten-Fälschung floriert

Geschickt setzten die Betrüger zudem auf die Unaufmerksamkeit der Opfer. Sie fingieren dafür Abbuchungen für vermeintliche Käufe auf Aktionsplattformen wie Ebay oder stückeln Überweisungen in kleine Beträge, die den Betrogenen bei der Vielzahl der Posten auf den Konto- oder Kreditkartenauszügen nicht oder erst nach Monaten auffallen.  

Besonders floriert gegenwärtig das sogenannte „Carding“. Darunter fassen Experten die umfassende Verwertung von EC- und Kreditkartendaten zusammen – vom Ausspähen der Kartennummern und Sicherheitsschlüssel über deren Vermarktung im Web bis zur Produktion gefälschter Kartenkopien. „Auf wechselnden oder nur auf Einladung zugänglichen Web-Seiten gibt es alles zu kaufen, von Kreditkartennummern, das Stück für ein paar Dollar, bis hin zum verifizierten Kontenzugriff für dreistellige Beträge“, berichtet Check-Point-Spezialist Schuberth.

Mitunter aber tappen auch die Hacker in die Falle. Anfang Oktober legten Cyber-Fahnder in einer koordinierten Aktion einen der heißesten Carding-Server lahm: Darkmarket, nach Angaben der britischen Datenschutzorganisation Serious Organised Crime Agency eine Art „Supermarkt für Online-Kriminelle“. 60 Personen in Deutschland, Großbritannien, den USA und in der Türkei wurden verhaftet. Über Monate hatte die US-Bundespolizei die Cyber-Spione systematisch ausgespäht. Der Zugriff gelang – ganz klassisch – über einen verdeckten Ermittler. 

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%