Es gibt keinen vollständigen Schutz vor Identitätsdiebstahl oder besser gesagt Identitätsmissbrauch. Aber es gibt viele Vorsichtsmaßnahmen, die man treffen kann, um seine Privatsphäre und somit auch die eigene Identität vor Missbrauch zu schützen. Um die soll es heute gehen. Am wichtigsten ist es, sichere Passwörter zu verwenden und Phishing-Versuche zu erkennen. Sollte es doch mal passieren, dass man den Verdacht des Identitätsmissbrauchs vermutet, dann sollte in jedem Fall eine Strafanzeige bei der Polizei gestellt werden.
Meist werden beim Identitätsdiebstahl Name, Geburtsdatum, Anschrift, Kreditkarten- oder Kontonummern sowie Ausweisdaten einer anderen Person genutzt, um unter fremden Namen Verträge abzuschließen oder bei einem Online-Dienst anzumelden. Daher ist es wichtig, diese Informationen beim Online-Verhalten zu schützen und besonders sorgsam damit umzugehen.
- Sichere Passwörter
Man kann es nicht oft genug betonen, unterschiedliche und sichere Passwörter für jeden einzelnen Account, sind das A und O der digitalen Sicherheit. Online-Plattformen werden regelmäßig gehackt. Auch wenn uns das nicht gefällt, so ist es ein Fakt. In der Regel versuchen die Täter sofort, diese Zugangsdaten (Benutzername-/Passwort-Kombinationen) auch bei anderen Accounts auszuprobieren, oder sie verkaufen die Daten im Darknet. Wer überall das gleiche Passwort verwendet, läuft Gefahr, dass mit den erbeuteten Daten auch auf andere Plattformen (mit evtl. noch mehr relevanten Informationen, wie z.B. Kontodaten) zugegriffen wird. Sichere Passwörter sollten mindestens 10stellig und Alphanummerisch sein. - Zwei-Faktor-Authentisierung
Phishing-Attacken werden immer besser gemacht und daher kommen immer häufiger Passwörter „abhanden“. Es ist also wichtig, Accounts mit einem zusätzlichen Schutz gegen fremde Zugriffe zu versehen. Eine Zwei-Faktor-Authentisierung sollte daher zum Standard gehören. Sehen Sie bei all Ihren Accounts und Benutzerkonten in den Einstellungen nach, ob die Funktion verfügbar und aktiviert ist. Wenn möglich, sollte der zweite Faktor, in der Regel ein Code per E-Mail oder SMS, eine TAN oder Bestätigung in einer App, idealerweise auf einem weiteren Gerät bestätigt werden. - Regelmäßige Updates
Für fast jedes Betriebssystem und jede Software gibt es regelmäßige Updates. Kurz nachdem diese Updates erscheinen, veröffentlichen die Hersteller, welche Bugs sie damit gefixt haben. Angreifer versuchen dann oftmals diese Schwachstellen noch auszunutzen, weil sie wissen, dass viele User nur unzulänglich mit Updates umgehen. Prüfen Sie daher regelmäßig (mindestens einmal in der Woche) auf all Ihren Geräten, ob die Software auf dem aktuellen Stand ist und führen Sie immer zeitnah alle Updates durch. - WLAN und Fremdgeräte
Das heimische WLAN sollte mit einem sicheren Passwort verschlüsselt sein, damit Fremde nicht zugreifen können. Für Freunde oder Gäste sollte ein Gast-WLAN eingerichtet werden. Bei Smart-Home-Geräten (z.B. Fernseher, Staubsauger, Küchengeräte, Überwachungskameras etc.) sollte immer überlegt werden, ob sie im heimischen oder Gast-WLAN eingebunden werden. Sofern nicht klar ist, welche Daten von den Geräten gesammelt und evtl. zu anderen Stellen (Hersteller oder sonstige Dienste) übermittelt werden, sollten sie im Zweifelsfall nur im Gast-WLAN eingebunden werden. Außerdem sollte man vorsichtig sein, wo man sich selbst im WLAN einbucht, weil dort der Betreiber des WLAN in der Regel Zugriff auf den darüber geführten Datenverkehr hat. Sofern keine sicheren Kommunikationskanäle möglich sind, z.B. ein VPN ins Firmennetzwerk, sollten auch Hotel-, Cafe- oder öffentliche WLAN nur mit Bedacht genutzt werden. Geben Sie niemals auf Fremdgeräten (PC im Hotel oder Internet-Cafe, PC von Bekannten etc.) persönliche Zugangsdaten ein. Häufig sind diese später wieder reproduzierbar und können damit von anderen genutzt werden. - Datenmüll/Datensparsamkeit
Häufig findet man im Internet Online-Formulare, in denen man selbst persönliche Daten eingeben soll. Name und Adresse sind hier noch o.k., weil dies für die meisten Menschen sowieso offen recherchierbar ist. Geburtsdaten, persönliche Telefonnummern oder E-Mail-Adressen sowie Konto- oder Kreditkarteninformationen haben hier aber absolut nichts verloren. Überlegen Sie immer genau, wofür die Daten gebraucht werden und ob die abverlangten Informationen tatsächlich benötigt werden. Viele Online-Formulare haben rein den Zweck der Datensammlung für spätere Werbezwecke. Im Privatbereich sollte immer sehr restriktiv mit persönlichen Informationen umgegangen werden. Teilnehmerlisten, Geburtsdaten, individuelle Hobbys oder Aufenthaltsorte sollten möglichen nicht ins Netz gestellt werden. - Apps und Dienste
Überlegen Sie bei jeder App und jedem Dienst, ob die meist bei der Neueinrichtung geforderten Daten notwendig sind. Jeder Hersteller möchte natürlich möglichst viel Informationen über die User sammeln, um seinen Dienst zu verbessern. Damit gibt man aber auch Zugänge frei, die man nicht mehr kontrollieren kann. In der Regel wissen wir nicht, wer hinter dem jeweiligen Hersteller steckt, wer dort auf die Daten Zugriff hat und an wen solche Daten sonst noch weitergegeben werden. Es gibt keinen logischen Grund, warum eine App „Küchenuhr mit Timer-Funktion“ Zugriff auf das Adressbuch des Users benötigt. Daher immer kritisch hinterfragen, wofür die App benötigt wird und welche Zugriffe (z.B. die Ortungsfunktion, die Kontaktdaten, das Mikrofon oder die Kamera) erlaubt werden. - Überblick behalten und regelmäßige Kontrolle
Wenn es durch einen Identitätsmissbrauch zu unerlaubte Zugriffen auf Online-Accounts, Bestellungen oder einer Eröffnung von neuen Konten gekommen ist, sollte man dies möglichst schnell feststellen, um sofort die richtigen Schritte einzuleiten. Dafür gibt es verschiedene Möglichkeiten- Regelmäßige Recherche im Internet, welche Daten man über sich selbst findet und ob die eigenen E-Mail-Adressen bei irgendwelchen Leaks auftauchen (z.B. https://haveibeenpwned.com oder https://my.corporate-trust.de)
- Kontoauszüge prüfen, um schnell zu erkennen, wenn es unbekannte Abbuchungen gibt
- Monitoring der eigenen Daten bei einer Kreditschutz-Organisationen einrichten (z.B. meinSCHUFA Plus), um sofort einen Hinweis zu erhalten, wenn es Mahn- oder gar Vollstreckungsbescheide wegen unbezahlter Rechnungen gibt
- Phishing-Versuche erkennen
In der Regel werden Phishing-E-Mails versendet, die den Leser dazu animieren sollen auf einen Link zu klicken oder ein Dokument mit Schadcode zu öffnen. Früher waren solche E-Mails oft ganz schlecht gemacht, meist sogar in schlechtem Englisch oder mit sehr vielen Rechtschreibfehlern, so dass man sie leicht erkennen konnte. Heute sind die Phishing-Mails meist sehr viel besser gemacht. Teilweise finden Sie in Kombination mit vorhergehenden Anrufen statt, so dass der Empfänger einen Bezug hat und glaubt, das E-Mail habe einen tatsächlich relevanten Hintergrund. Man sollte bei allen E-Mails Vorsicht walten lassen und immer den Absender hinterfragen:- E-Mail-Test lesen und Sprache, Rechtschreibung und Anrede bewerten (persönlich adressiert oder allgemein) – um welchen Inhalt geht es, ist dieser tatsächlich stimmig?
- Absender-Domain überprüfen – gibt es das Unternehmen tatsächlich, ist die Domain richtig geschrieben oder durch einzelne Buchstaben/Worte ergänzt?
- Welchen Zweck verfolgt die E-Mail – soll ein Anhang geöffnet oder auf einen Link geklickt werden?
- Eingefügte Links überprüfen, indem man mit der Maus über den Link fährt – verweist der Link auf eine Unteradresse oder völlig andere, nicht relevante Seite?
- Bei Verdacht keinesfalls den Anhang öffnen oder auf den Link klicken!
Für den Schutz der eigenen Identität ist es vor allem wichtig, dass man aufmerksam ist, eigene Daten nur sehr sparsam im Internet preisgibt und keinesfalls Bilder von Ausweisdokumenten oder Belegen mit Kontoinformationen an Fremde sendet.
Autor:
Christian Schaaf
Geschäftsführer
E-Mail: schaaf@corporate-trust.de
Tel. +49 89 599887580
Corporate Trust Sicherheitsblog 