Als Juliane Gerber* bemerkte, dass über mehrere Monate immer wieder kleine Beträge von ihrem Konto abgebucht wurden, die sie nicht einordnen konnte, wurde sie irgendwann stutzig. Die Namen der angeblichen Online-Shops sagten ihr nichts. Aber das Geld war weg. Zu lange waren die Abbuchungen her, als dass man sie noch hätten stoppen können.
Frau Gerber, die aus einer erfolgreichen Unternehmerfamilie stammt, fragte sich, ob ihr persönliche Daten gestohlen wurden. Sie beauftragte eine umfassende Sichtbarkeitsanalyse, mit deren Hilfe sie erfahren wollte, welche persönlichen Informationen zu ihr und ihrer Familie zu finden sind.
Für die Recherche wurden im ersten Schritt öffentlich zugängliche Quellen im Internet genutzt, die grundsätzlich allen Menschen zur Verfügung stehen.
Die Analyse ergab, dass Frau Gerber und ihre Familienmitglieder über frei im Internet zugängliche Quellen ziemlich transparent sind. Die Suche ergab Name, Anschrift, Geburtsdatum, Mobilnummern, E-Mail-Adressen und Social Media-Profile. Besonders heikel dabei: Auch regelmäßige Aufenthaltsorte, Schulen der Kinder, das Ferienhaus in Spanien sowie ihre Hobbies ließen sich im Internet in Erfahrung bringen.
Obwohl sich Frau Gerber in jedem einzelnen Fall bemühte, nur die nötigsten Daten über sich preiszugeben, ergab dies in Summe, quer über alle Informationsquellen, ein umfangreiches Gesamtbild.
Vor allem über die Profile ihrer Kinder in den Sozialen Netzwerken generierten die Täter weitere zahlreiche detaillierte Informationen über die Familie. Nützlich sind diese für das sogenannte Social Engineering der Angreifer: die Manipulation von Menschen unter einer vorgetäuschten Geschichte. Gerade bei vermögenden Familien besteht durch zu viel Transparenz ein Risiko für Vermögensschäden, Angriffe, Einbrüche, bis hin zur Entführung.
Da es sich in Juliane Gerbers Fall um Abbuchungen von ihrem Konto handelte, wurde zusätzlich auch in Datensätzen gestohlener Zahlungsdaten und Kombinationen von Benutzernamen und Passwörtern recherchiert. Diese Datensätze werden von Hackern bei Firmen erbeutet, dann im Darkweb angeboten und finden später ihren Weg in Leak-Foren im Internet.
Diese Datenpakete können eine Vielzahl an persönliche Daten enthalten, darunter Geburtsdatum, Kredit-Kartennummern samt Gültigkeitsdatum, Bankkonto-Daten, Rechnungsadressen und mitunter auch PIN-Nummern.
Im Fall von Frau Gerber bestätigte sich die Vermutung: in Leak-Sammlungen von Hackern fanden sich ihre persönlichen Daten, inklusive ihrer Kontodaten. Sie stammten aus dem Hack eines schlecht geschützten Online-Shops, bei dem Frau Gerber vor Jahren einmal eingekauft hatte.
(*Name von der Red. geändert)
TOP Tipps wie Sie sich schützen können:
Sichtbarkeit:
- Machen Sie eine Sichtbarkeitsrecherche zu sich und Ihrer Familie. Entweder selbst, wenn Sie das können, oder durch Profis.
Sozialen Medien:
- Erhöhen Sie die Privatsphäre-Einstellungen in Ihren Sozialen Medien (Facebook, LinkedIn, Twitter etc.), damit Fremde keinen Zugriff auf die Kontakte und eingestellten Inhalte haben
- Seien Sie vorsichtig, wen Sie als „Freund/in“ in Sozialen Medien annehmen
- Vermeiden Sie Porträtfotos von sich in Ihren Online-Profilen und Messaging Apps (z.B. WhatsApp), um Fremden eine visuelle Identifizierung zu erschweren
- Nutzen Sie, wenn möglich, Pseudonyme und Abkürzungen statt Klarnamen, um Ihre Identifizierung zu erschweren
- Vermeiden Sie Angaben über regelmäßige Aufenthaltsorte in sozialen Netzwerken
- Löschen Sie alte Social Media Accounts, die Sie nicht mehr benutzen
Online-Shops und Internet-Dienstleister:
- Gehen Sie sparsam mit Ihren Daten um, geben Sie nur das an, was unbedingt erforderlich ist
- Trennen Sie Ihre E-Mail-Adresse für Internet-Aktivitäten von Ihrer E-Mail für sensible private Korrespondenz
Passwörter:
- Verwenden Sie sichere Passwörter, die mindestens 13 Zeichen lang sind und aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen
- Um sich diese leichter merken zu können, verwenden Sie eine Passwortsystematik, z.B.: Bestimmen Sie ein leicht zu merkendes, sicheres Kernpasswort. Wer beispielsweise seine Hochzeitsreise 2018 in Paris verbracht hat, und sich dabei an den guten Croissants erfreut hat, könnte als Kernpasswort „Pa18Croi“ wählen. Diesen Kern erweitert man für jeden Account mit einem individuellen Zusatzcode, beispielsweise aus den ersten drei Buchstaben des Accounts. Für Facebook lautet das Passwort dann also „Pa18CroifAC“, für eBay „Pa18CroieBA“. Man kann dieses Schema beliebig variieren.
Ansonsten hilfreich ist:
- Kontaktieren Sie sofort Ihre Bank, wenn Sie außergewöhnliche Vorgänge auf Konten und Kreditkarten bemerken.
Die Autoren:
Sebastian Okada leitet die Abteilung Ermittlungen & Prävention | Wirtschaftskriminalität bei Corporate Trust in München.
Katharina Stocker ist Intelligence Analyst und Spezialistin für die Recherche gut verborgener Informationen. Sie hält einen Master in International Affairs von der George Washington University in Washington D.C.
Kontakt:
intelligence@corporate-trust.de
+49 89 599 88 75 80
Corporate Trust Sicherheitsblog 