Datenschutzverletzungen sind eine wachsende Bedrohung für Unternehmen- für Kunden jedoch ein Alptraum. Allein in Deutschland wurden in 2024 über 8600 Datenpannen gemeldet. Die Wahrscheinlichkeit ist also hoch, selbst Opfer eines solchen Lecks zu werden. Statistisch gesehen passierte dies jedem Deutschen etwa fünfmal seit 2004. Teilweise sogar mit verheerenden Folgen.

Allerdings: Eine „klassische“ Datenpanne ist nur einer von vielen Wegen, wie Daten von Nutzern in die falschen Hände geraten können. Tauchen sie einmal in Untergrundforen und -marktplätzen auf, folgt der Identitätsbetrug oft schnell.

Was steht auf dem Spiel?

Um welche Informationen handelt es sich, wenn wir von personenbezogenen Daten sprechen? Ganz grob schließt das diese hier mit ein:

  • Namen und Adressen
  • Kredit-/Zahlungskartennummern
  • Nummern von Personalausweisen und Pässen
  • Bankkontonummern
  • Angaben zur Krankenversicherung
  • Reisepässe/Führerscheine
  • Anmeldungen bei Firmen- und persönlichen Online-Konten

Diese persönlichen Informationen werden nach ihrem Diebstahl schnellstmöglich weiterverkauft. Dabei spielt es keine Rolle, ob sie aus einem massiven Datenleck stammen oder ob sie anderweitig erbeutet wurden. 

Cyberkriminelle nutzen diese Daten dann für verschiedene Betrugsmethoden. Dies reicht von illegalen Käufen und Kontoübernahmen bis hin zu gezieltem Phishing. Letzteres selbst kann dazu dienen, weitere kritische Informationen zu ergaunern. Die Hacker agieren mittlerweile so raffiniert, dass sie mit Hilfe gestohlener persönlicher Daten synthetische Identitäten erschaffen. Das sind Fake-Personen mit einer Kombination aus echten und gefälschten Informationen. Dabei umgehen sie sogar hochentwickelte Betrugsfilter und betrügen weitere Menschen. 

Die Gefahr ist indes sehr real. Im Jahr 2024 wurden in Deutschland etwa 11 Prozent der Erwachsenen Opfer von Identitätsbetrug – in absoluten Zahlen sind das 7,6 Millionen Menschen. Die Folgen reichen von Online-Bestellungen unter der gestohlenen Identität bis hin zu negativen Einträgen bei Kreditinstituten und ungewollten Konsumkredite.

Wie funktioniert Identitätsdiebstahl überhaupt?

Bei Identitätsbetrug dreht sich alle um die Frage: Wie gelangen Cyberkriminelle an Nutzerdaten? Cyberkriminelle setzen vor allem auf diese Angriffsmethoden: 

  • Phishing/Smishing/Vishing: Klassische Social-Engineering-Angriffe können über verschiedene Kanäle erfolgen, vom traditionellen E-Mail-Phishing über SMS (Smishing) bis hin zu Anrufen (Vishing). Der Hacker am anderen Ende der Leitung nutzen verschiedene Tricks, um Nutzer zu einer unbedachten Aktion zu verleiten: Ein Klick auf einen bösartigen Link, einen schadhaften Anhang oder die Preisgabe von kritischen Informationen. Oft nutzen Hacker in ihrer Kommunikation offizielle Markenzeichen, um sich als bekanntes Unternehmen oder Institution auszugeben.
  • Digitales Skimming: Um an Kartendaten heranzukommen, fügen Bedrohungsakteure bösartigen Skimming-Code in die Webseiten beliebter E-Commerce- oder ähnlicher Websites ein. Der gesamte Vorgang ist für das Opfer völlig unsichtbar.
  • Öffentliches Wi-Fi ist gefährlich, da es Man-in-the-Middle-Angriffe ermöglicht. Die persönlichen Daten sind einfach auszulesen werden abgefangen. Hacker könnten auch betrügerische Hotspots einrichten, um Daten zu sammeln oder Nutzer auf bösartige Websites umzuleiten.
  • Schadsoftware: Infostealer gelten als ein wachsendes Problem sowohl für Unternehmen als auch für Privatanwender. Sie werden unwissentlich über verschiedene Mechanismen installiert, z. B. über Phishing-Nachrichten, Drive-by-Downloads von infizierten Websites, gecrackte Spiele, Google-Anzeigen oder sogar legitim aussehende Anwendungen wie gefälschte Meeting-Software. Die meisten Infostealer erbeuten Dateien, Datenströme, Kartendaten, Kryptowährungen, Kennwörter und Tastatureingaben.
  • Malvertising: Böswillige Anzeigen können so programmiert werden, dass sie Informationen stehlen –manchmal sogar, ohne dass eine Benutzerinteraktion erforderlich ist.
  • Bösartige Websites: Phishing-Websites sind selbst für Profis nur schwerlich von legitimen Originalen zu unterscheiden. Sie besitzen sogar eine täuschend echt aussehende Domain. Bei Drive-by-Downloads genügt es, wenn der Nutzer eine bösartige Seite besucht und schon wird heimlich Malware installiert. Schändliche SEO-Techniken sorgen dafür, dass bösartige Websites in den Suchergebnissen ganz oben platziert werden, damit sie besser gefunden werden. 
  • Bösartige Apps wie Banking-Trojaner und Infostealer tarnen sich häufig als legitime Apps. Die Risiken außerhalb offizieller App-Stores wie Google Play sind besonders hoch.
  • Verlust von Geräten: Wenn ein Gerät verloren geht und nicht ausreichend geschützt ist, können Hacker persönliche und finanzielle Daten ausspähen.

Wie man Identitätsbetrug verhindert

Identitätsbetrug verhindern Sie am besten, indem Bösewichte erst gar nicht an Ihre persönlichen und finanziellen Daten kommen. Dazu sind nur ein paar Schritte notwendig:

  • Sichere, eindeutige Passwörter: Wählen Sie für jede Website/Anwendung/jedes Konto ein anderes Passwort und speichern Sie diese in einem Passwort-Manager. Eine zusätzliche Zwei-Faktor-Authentifizierung (2FA) in Ihren Online-Konten bringt zusätzlichen Schutz: Selbst wenn ein Bedrohungsakteur Ihr Kennwort ergaunert, kommt er nicht an Ihre wertvollen Daten heran. Eine Authentifizierungs-App oder ein Hardware-Sicherheitsschlüssel ist die beste Option für 2FA.
  • Installieren Sie Sicherheitssoftware: Verwenden Sie für alle Ihre Geräte und PCs Sicherheitssoftware von einem seriösen Anbieter. Diese Software  blockiert bösartige Anwendungen, Downloads und t Phishing-Websites.  Zudem weist sie auf verdächtige Aktivitäten hin und besitzt weitere nützliche Funktionen.
  • Seien Sie skeptisch: Achten Sie immer auf die Warnzeichen von Phishing: eine unaufgeforderte Nachricht, die zum sofortigen Handeln auffordert und anklickbare Links oder zu öffnende Anhänge enthält. Absender solcher Nachrichten wenden häufig Tricks an, wie beispielsweise zeitlich begrenzte Gewinnspiele oder die Warnung, dass eine Geldstrafe erhoben wird, wenn Sie nicht so schnell antworten
  • Verwenden Sie nur Apps von seriösen Websites: Halten Sie sich an die App Stores von Apple und Google, um weniger Gefahr zu laufen, bösartige Apps herunterzuladen. Prüfen Sie vor dem Herunterladen immer die Bewertungen und Berechtigungen.
  • Seien Sie vorsichtig mit öffentlichem WLAN: Halten Sie sich von öffentlichen WLANs fern. Sollten Sie auf ein solches Netzwerk zurückgreifen müssen, öffnen Sie keine sensiblen Konten. In jedem Fall sollten Sie ein VPN verwenden, um sicherer zu sein. 

Datenleck? So reagieren Sie richtig

Sie können nicht viel gegen Datenschutzverletzungen durch Dritte tun. Eine vorbeugende Maßnahme kann aber sein, keine Zahlungsdaten und persönlichen Informationen beim Online-Shopping zu speichern. Das hat nämlich zur Folge, dass Cyberkriminelle bei einem erfolgreichen Hack weniger Informationen stehlen können. 

Hilfreich sind vor allem Lösungen für den Identitätsschutz, die das Darknet nach geleakten persönlichen Daten durchsuchen. Werden sie fündig, erhalten Nutzer einen Alarm und können entsprechende Gegenmaßnahmen ergreifen. Dazu gehört zum Beispiel, betroffene Kreditkarten zu sperren, Passwörter zu ändern und nach verdächtigen Kontobewegungen Ausschau zu halten.

Weitere mögliche Schritte nach einem Datenleck sind:

  •  Informieren Sie Ihre Bank sowie Kreditauskunfteien: Sperren Sie Ihre Karten (dies kann über die meisten Banking-Apps erfolgen), melden Sie den Betrug und fordern Sie Ersatzkarten an. Informieren Sie auch Kreditauskunfteien, wenn Sie den Verdacht hegen, jemand könnte mit Ihren Daten einen Kredit aufnehmen. Die Schufa zum Beispiel stellt eigene Leitfäden für den Umgang mit Identitätsbetrug zur Verfügung.
  •  Erstatten Sie Anzeige: Gehen Sie bei einem Identitätsdiebstahl sofort zur Polizei (auch online möglich). Das erhöht die Wahrscheinlichkeit, die Übeltäter zur Rechenschaft zu ziehen. 
  • Ändern Sie Ihre Anmeldungen: Ändern Sie alle kompromittierten Anmeldedaten und aktivieren Sie 2FA.

Identitätsdiebstahl ist nach wie vor eine große Bedrohung. Täter haben es relativ einfach, auch mit wenig technischer Erfahrung hohe Gewinne zu erzielen. Wenn Nutzer vorsichtig sind und ihre persönlichen Daten gut schützen, macht dies Cyberkriminellen das Leben schwer. Eine umfassende IT-Sicherheitslösung sorgt für zusätzlichen Schutz.