Identitätsdiebstahl
Das unbefugte Stehlen und Missbrauchen persönlicher Daten einer anderen Person - um in deren Namen Verträge abzuschließen, Käufe zu tätigen, Straftaten zu begehen oder andere Personen zu schädigen.
Identitätsdiebstahl (auch: Identitätsbetrug) bezeichnet die missbräuchliche Verwendung persönlicher Daten einer anderen Person ohne deren Wissen oder Einwilligung. In der digitalen Welt ist Identitätsdiebstahl eine der häufigsten Formen der Cyberkriminalität.
Welche Daten werden gestohlen?
Persönliche Identifikationsdaten:
- Name, Geburtsdatum, Adresse
- Personalausweis-/Passnummer
- Sozialversicherungsnummer / Steuer-ID
- Krankenversicherungsnummer
Zugangsdaten:
- E-Mail-Adressen und Passwörter
- Banking-Credentials, Kreditkartendaten
- Social-Media-Accounts
Unternehmensbezogene Daten:
- Firmennamen und Handelsregisternummern
- Geschäftskonten-Credentials
- Mitarbeiter-Identitäten (für BEC-Angriffe)
Wie Identitätsdiebstahl entsteht
Datenverletzungen (Data Breaches): Millionen von Identitätsdaten werden bei Hacks großer Plattformen gestohlen und im Darknet verkauft. HIBP (Have I Been Pwned) katalogisiert über 13 Milliarden kompromittierte Accounts.
Phishing: Opfer werden zur freiwilligen Eingabe ihrer Daten auf gefälschten Websites verleitet.
Social Engineering: Telefonbetrug, Fake-Behörden, gefälschte Support-Mitarbeiter.
Malware (Stealer): Schadsoftware (RedLine Stealer, Raccoon) stiehlt Credentials, Cookies und Kreditkartendaten direkt vom infizierten Gerät.
Physisch: Skimming an Geldautomaten, Briefe aus dem Briefkasten, gestohlene Geldbörsen.
Schäden durch Identitätsdiebstahl
Finanziell:
- Unbefugte Abbuchungen von Konten und Kreditkarten
- Kredit- und Darlehensaufnahme im Namen des Opfers
- Falsche Steuererklärungen (Steuererstattungsbetrug)
Reputationsschäden:
- Straftaten im Namen des Opfers
- Falsche Bewerbungen, gefälschte Profile
Zeitaufwand: Das Bereinigen eines Identitätsdiebstahls dauert im Schnitt 6 Monate bis 2 Jahre und erfordert Kontakt mit Behörden, Banken, Auskunfteien und Gerichten.
Schutzmaßnahmen
Digitale Hygiene:
- Starke, einzigartige Passwörter (Passwort-Manager)
- Multi-Faktor-Authentifizierung überall
- E-Mail-Adressen auf HIBP-Kompromittierung überwachen
- Phishing-Mails erkennen und melden
Datenvorsicht:
- Persönliche Daten sparsam teilen
- Skepsis gegenüber unaufgeforderten Kontaktversuchen
- Briefkasten sichern, Dokumente shreddern
Monitoring:
- Kontoauszüge regelmäßig prüfen
- Bonitäts-Monitoring (SCHUFA, Bonify)
- Identity Protection Services (Angebot vieler Banken und Versicherungen)
Was tun bei Identitätsdiebstahl?
- Polizei: Strafanzeige erstatten (notwendig für viele Folgeschritte)
- Bank: Konten sperren, Karten sperren, Abbuchungen anfechten
- SCHUFA/Auskunfteien: Fehlerhafte Einträge anfechten
- Behörden: BSI, Verbraucherzentrale, ggf. Datenschutzbehörde
- Digitale Accounts: Alle Passwörter ändern, MFA aktivieren, kompromittierte Sessions beenden
Rechtliche Situation in Deutschland
Strafrecht: Identitätsdiebstahl als solcher ist kein eigenständiger Straftatbestand, aber die damit verbundenen Handlungen (Computerbetrug § 263a StGB, Urkundenfälschung § 267 StGB, Erschleichen von Leistungen § 265a StGB) sind strafbar.
Zivilrecht: Opfer können Schadensersatz fordern. Bei DSGVO-Datenverletzungen als Ursache: Ansprüche gegen das betroffene Unternehmen möglich.
