Die Hürden für Identitätsdiebstahl und -Missbrauch sind niedrig. In Zeiten großer Datenleaks und raffinierter Phishing-Angriffe gelangen Cyberkriminelle immer leichter an sensible persönliche Daten von Internetnutzern und versuchen daraus Geld zu machen – auf Kosten ihrer ahnungslosen Opfer und der betrogenen Unternehmen.
In einer bereits 2018 durchgeführten Umfrage des Meinungsforschungsinstituts forsa im Auftrag der Schufa unter Internetnutzern gaben 12 Prozent der Befragten an, bereits Opfer von Identitätsmissbrauch geworden zu sein. Zehn Prozent der Betroffenen entstand durch den Missbrauch ein finanzieller Schaden und für 81 Prozent mussten unangenehme Aufwände bei der Klärung der Vorfälle in Kauf nehmen.
In diesem Artikel sprechen wir mit einem Opfer von Identitätsdiebstahl, geben Tipps zur Prävention und zeigen, wie Betroffene sich am besten wehren können.
Identitätsmissbrauch ist erschreckend einfach
Als sich im August 2020 ein ehemaliger Nachbar bei Martin K. (Name von der Redaktion geändert) meldete, weil ein Brief an seiner alten Adresse angekommen war, dachte er sich zuerst nichts Böses. Doch als er das Schreiben des Mobilfunkanbieters las, wurde ihm schnell klar, dass er Opfer eines Betrugs geworden war. Unbekannte hatten seinen Namen missbraucht, um kostspielige Verträge abzuschließen. Wie sich schnell herausstellte, weit mehr als ein Mal. WeLiveSecurity sprach mit Martin K. darüber, wie er Opfer dieses Identitätsdiebstahls wurde und wie er die dadurch entstandenen Schäden dann doch noch abwenden konnte.
Im letzten Jahr sind Sie Opfer eines Identitätsmissbrauchs geworden. Wie ist Ihnen damals aufgefallen, dass etwas nicht stimmt?
Martin K.: Das verdanke ich der Aufmerksamkeit meines ehemaligen Nachbars. Er rief mich Ende August 2020 an und informierte mich darüber, dass ein Brief von der Firma simplytel an meine alte Adresse geschickt worden war. Er wollte eigentlich nur fragen, ob er ihn wegwerfen sollte. Als ich meinen Nachbarn dann bat, den Brief zu öffnen und zu schauen, was darin stand, gab es eine böse Überraschung: Statt der von mir erwarteten Werbebotschaft befanden sich in dem Schreiben Unterlagen zu einem Vertrag, den ich niemals abgeschlossen hatte.
Haben Sie gleich im ersten Moment an Identitätsdiebstahl gedacht?
Martin K.: Im ersten Moment war ich mir eigentlich sicher, dass es dabei um ein Versehen handeln musste. Dann kam mir aber schnell der Verdacht, dass ich Opfer eines Identitätsdiebstahls geworden sein könnte. Immerhin wohnte ich zu diesem Zeitpunkt bereits drei Jahre nicht mehr an meiner alten Adresse und hatte zu der Firma simplytel keinerlei Verbindung. Mein Verdacht betätigte sich dann schnell, denn in den folgenden Wochen kamen weitere Briefe dieser Art von anderen Firmen an.
Was war genau passiert? Was haben die Täter mit Ihren Daten gemacht?
Martin K.: Genau weiß ich das bis heute nicht. Offenbar hatte es jemand geschafft, mit einem ziemlich alten Datensatz etliche Mobilfunkverträge und digitale Mitgliedschaften bei Anbietern wie Netflix und Co. auf meinen Namen abzuschließen. Selbst Versicherungsverträge waren darunter. Insgesamt waren es acht Fälle, wobei weitere Briefe mit dem Vermerk „Empfänger unbekannt verzogen“ retourniert wurden.
Welche Schritte haben Sie unternommen, nachdem Ihnen das klar geworden ist?
Martin K.: Als ich kurze Zeit später erste von mir nicht autorisierte Abbuchungen auf meinem Konto entdeckt habe, war mir klar, dass es dringenden Handlungsbedarf gibt. Ich hatte das ungute Gefühl, dass entweder noch mehr Post an meine alte Adresse gegangen war oder bald kommen würde. Zugleich wurde mir auch bewusst, dass ich umgehend Anzeige erstatten musste. Wie sonst hätte ich damals gegenüber den „geschädigten“ Unternehmen ernsthaft klar machen können, dass ich ebenfalls Geschädigter und nicht der Verursacher war?
Auch auf meinem Konto herrschte Chaos. Immer mehr Beträge wurden abgebucht von Firmen, mit denen ich niemals Verträge abgeschlossen habe. Erst einmal habe ich den Abbuchungen widersprochen. Doch das ging immer so weiter, ohne dass ich wusste, was da noch auf mich zukommt. Deshalb sah ich keine andere Möglichkeit, die Abbuchungen effektiv zu stoppen und entschloss mich schließlich zu einem Wechsel der Bank.
Außerdem habe ich noch eine Schufa-Plus-Mitgliedschaft abgeschlossen.
Warum denn das?
Martin K.: Ich war äußerst besorgt, dass die Geschehnisse meiner Kreditwürdigkeit schaden könnten. Die Wirtschaftsauskunft Schufa hat einen Benachrichtigungsservice. Damit konnte ich zum frühestmöglichen Zeitpunkt erfahren, ob es Anfragen zu meiner Person gibt oder sich meine Bonität ändert.
Wie hilfreich waren die Behörden und die betroffenen Unternehmen?
Martin K.: Die Anzeige während des Corona-Lockdowns zu erstatten war - ehrlich gesagt - eine Katastrophe. Das ging nur online und nicht vor Ort, sodass ich das Gefühl hatte: „hier tut sich gar nichts“. Erst, als ich nach einigen Wochen telefonisch Kontakt zur Kripo aufgenommen hatte, erfuhr ich das Aktenzeichen und konnte dem zuständigen Beamten weitere Informationen zu den Vorgängen übermitteln. Dazu gehörten die von den Kriminellen verwendete Mailadressen, IPs, Uhrzeiten und genutzte Onlineformulare. Trotzdem wurde das Verfahren Mitte Februar 2021 ohne weitere Rücksprache mit mir eingestellt. Enttäuschend!
Bei der Bank konnte ich die Rückbuchungen der von mir nicht autorisierten Abbuchungen digital ohne Probleme durchführen. Da war ich sehr schnell. Weil ich mich allerdings sicherheitshalber dazu entschlossen hatte, die Bank vollständig zu wechseln, musste ich sehr viel Zeit aufwenden. Ein Familienkonto, 2 Unterkonten, 2 Kreditkarten und alle Abbuchungs- und Lastschriftaufträge - das kostete mich trotz allen Komforts beim Bankwechsel zwischen 20 und 30 Stunden an Nacharbeit.
Am ärgerlichsten und aufwendigsten war für mich die Auseinandersetzung mit den betroffenen Unternehmen. Jedes einzelne davon musste ich persönlich kontaktieren. Im Gegensatz zum Täter bei seinem rechtlich ungültigen „Vertragsabschluss“, musste ich mich als Opfer sehr wohl an den Kunden-Hotlines legitimieren. Ein echter Hohn! Deswegen habe ich versucht, mich gleich in die Rechtsabteilungen oder die Betrugs-Ressorts vorzukämpfen, um Gehör zu finden. Wer hier nicht selbst tätig wird und hartnäckig am Ball bleibt, der bekommt es später unter Garantie mit Inkassounternehmen oder Mahnbescheiden zu tun.
Welcher finanzielle Schaden ist Ihnen durch den Identitätsmissbrauch entstanden?
Martin K.: Letztlich sind mir alle Abbuchungen aufgefallen und ich konnte sie nach persönlicher Kontaktaufnahme mit jeder einzelnen Firma, als nicht vom mir autorisiert von der Bank zurückbuchen lassen. Für den Bankenwechsel, die Schufa-Mitgliedschaft und den Schriftverkehr sind mir natürlich noch einige Kosten entstanden, die aber zu vernachlässigen sind, wenn ich meine eigene Zeit nicht einrechne.
Haben Sie durch den Missbrauch Ihrer Identität weitere Probleme bekommen, z.B. mit der Schufa oder der Bank?
Martin K.: Mit der Bank zum Glück weniger, allerdings ließ es sich selbst durch persönliche Kontaktaufnahme zur Schufa und die Einreichung aller Daten nicht verhindern, dass mein Basisscore aufgrund der vielen Anfragen (vor allem für Mobilfunkverträge) von über 99 auf unter 90 gefallen ist. Der dafür verantwortliche Algorithmus ist kalt, unbestechlich und reagiert überhaupt nicht empathisch auf solche Vorgänge. Hätte ich in dieser Zeit ein Haus finanzieren oder größere Anschaffungen tätigen wollen, wäre dies tatsächlich an meiner Kreditwürdigkeit gescheitert. Es hat mich viel Zeit und Mühe gekostet, aber Inzwischen ist mein Score wieder so wie vor dem Identitätsdiebstahl.
Konnten Sie herausbekommen, wie die Täter vorgegangen sind? Wie konnten sie so einfach an Ihre Daten gelangen? Waren Sie unvorsichtig?
Martin K.: Wie die Kriminellen es angestellt haben, an meine Daten zu gelangen, weiß ich leider nicht genau. Ich bin mir sicher, dass die Daten nicht von einer mir bekannten Person stammen, da mein Umzug an meinen jetzigen Wohnort in meinem näheren Umfeld allgemein bekannt war. Deswegen vermute ich, dass meine Daten mit der veralteten Adresse aus einem alten Datendiebstahl bei eBay stammen.
Nein, ich war nicht unvorsichtig, sondern habe einfach nur das Internet genutzt. Ich finde aber, dass es Kriminellen ganz schön leicht gemacht wird, sich mit Identitätsdiebstahl zu bereichern. Es reicht in Deutschland scheinbar schon aus, wenn jemand den Namen, die Adresse, die Kontonummer und das Geburtsdatum einer Person kennt, um in ihrem Namen Verträge im Internet abzuschließen. Am meisten hat es mich schockiert, dass bei den Online-Vertragsabschlüssen nicht nur niemand Legitimationen verlangt hat, sondern offenbar seitens der Unternehmen auch keinerlei Plausibilitäts- oder Echtheitsprüfungen der Daten stattgefunden haben. Keinem Anbieter ist die ungültige Adresse aufgefallen oder die genutzte, vollkommen unpassende E-Mailadresse janbaumgaertner1997@gmx[.]de, die ja nicht meinem Namen entspricht.
Was denken Sie heute über den Identitätsdiebstahl? Haben Sie Fehler gemacht? Was raten Sie anderen?
Martin K.: Gelernt habe ich, dass jeder Mensch Opfer eines Identitätsdiebstahls werden kann. Wirklich jeder, auch wenn man nichts falsch gemacht hat. Denn, ich bewege mich weder ohne ausreichende Absicherung im Netz noch nutze ich unsichere Kennwörter oder gebe meine persönlichen Daten bei Gewinnspielen preis. Alte und nicht genutzte Online-Konten habe ich auch regelmäßig gekündigt. Wie sich gezeigt hat, hat mich das aber nicht vor dem Identitätsdiebstahl geschützt.
Einen Tipp für andere habe ich: Halten Sie Ihren Briefkasten im Blick und bitten Sie bei einem Umzug einen ehemaligen Nachbarn, das zu tun. Denn schnelle Reaktion ist wirklich hilfreich, um Schaden durch Identitätsdiebstahl abzuwenden. Briefpost, die unberechtigt bei einer alten Adresse eingeworfen wird, sollte mit dem Vermerk „Empfänger unbekannt verzogen“ ungeöffnet wieder in den nächsten Briefkasten geworfen werden. Nur so ist sichergestellt, dass der Absender nicht den Eindruck bekommt, die Sendung wäre ordentlich zugestellt worden.
Und wie gehen Sie heute mit dem Thema Online-Sicherheit und Schutz persönlicher Daten um?
Martin K.: Ich befolge alle mir möglichen Sicherheitsmaßnahmen. Außerdem überprüfe ich seit den Vorgängen über den Online-Dienst haveibeenpwnd.com regelmäßig, ob meine Zugangsdaten von Cyberkriminellen gestohlen wurden. Außerdem schaue ich nun öfter auf mein Konto, damit mir ungewöhnliche Geldbewegungen auffallen und ich direkt handeln kann.
Vielen Dank für das Interview!
So schützen Sie sich vor Identitätsdiebstahl und -Missbrauch
- Gehen Sie sparsam mit ihren persönlichen Daten um, insbesondere mit sensiblen Daten wie Geburtsdatum, Beruf, Adresse und Bankverbindung. Geben Sie Ihr Geburtsdatum nur an, wenn es wirklich notwendig ist.
- Datensparsamkeit gilt auch bei Anrufen: Nicht Sie stehen in der Pflicht, Auskunft zu erteilen, sondern der Anrufer.
- Achten Sie auf sichere Passwörter und lassen Sie sich nicht über die Schulter schauen, wenn Sie sich bei einem Online-Dienst anmelden.
- Halten Sie Betriebssysteme, Browser und Programme auf Ihren Geräten immer auf dem neuesten Stand. Sichern Sie Ihre Geräte mit Zugangsschutz und Verschlüsselung vor Diebstahlfolgen. Laden Sie Programme nur aus Originalquellen herunter.
- Nutzen Sie eine seriöse Sicherheitslösung, um sich vor Malware und Webseiten zu schützen, die es auf Ihre persönlichen Daten abgesehen haben.
- Vorsicht beim Öffnen von Links und Dateianhängen in Emails. Niemals auf Links klicken, Dateien herunterladen oder Anhänge in Nachrichten öffnen, auch nicht, wenn diese aus einer bekannten, vertrauenswürdigen Quelle stammen. Es sei denn, Sie sind sich absolut sicher, dass die Nachricht echt ist.
- Kontrollieren Sie regelmäßig ihre Kontoabbuchungen und Kreditkartenausgaben. Nutzen Sie Benachrichtigungsfunktionen der Kreditinstitute und Banken-Apps.
- Kontrollieren Sie über Dienste wie Have I Been pwned, ob Ihre Daten oder Zugangsinformationen von einem bekannt gewordenen Datendiebstahl betroffen sind.
- Überprüfen Sie Ihre Bonität über Kreditauskunfteien wie der Schufa in Deutschland oder KSV1870 in Österreich
- Tätigen Sie keine sensiblen Transaktionen über öffentliche Hotspots
Was können Sie tun, wenn Sie Opfer eines Identitätsdiebstahls geworden sind?
- Erstatten Sie unbedingt Strafanzeige bei der Polizei.
- Ändern Sie die Passwörter betroffener Accounts.
- Wenn schon Geld vom Konto überwiesen wurde, informieren Sie umgehend ihre Bank oder den Kreditgeber und lassen Sie betroffene Konten und Kreditkarten sperren.
- Buchen Sie ungerechtfertigte Lastschriften umgehend zurück.
- Melden Sie Identitätsdiebstahl bei der Schufa und ähnlichen Auskunfteien.
- Wehren Sie sich gegen unberechtigte Zahlungsaufforderungen von Anbietern, zum Beispiel, indem Sie mit dem Musterbrief der Verbraucherzentralen
- Falls Mahnbescheide ergehen, muss dagegen innerhalb von 2 Wochen ab Zustellung Widerspruch eingelegt werden.
Weiterführende Links
Infoseite des Bundeskriminalamts zu Identitätsdiebstahl
Tipps der Verbraucherzentrale Niedersachsen
Have I been pwned?