Identitätsdiebstahl – Fälle aus der Beraterpraxis als Cybercrime Anwalt

»Identitätsdiebstahl« ist in aller Munde und avanciert zu einem neuen Geschäftsfeld für Rechtsdienstleister und Cyberkriminelle gleichermaßen. Und das, obwohl eine Identität eigentlich gar nicht »gestohlen« werden kann, weder im strafrechtlichen noch im tatsächlichen Sinne. Was hat es also damit auf sich, wenn sogar die Agentur der Europäischen Union für Cybersicherheit (ENISA) das Phänomen »Identitätsdiebstahl« in ihrem Lagebericht 2019/20 auf Platz 7 der 15 größten Cybersicherheitsrisiken für die EU einordnet? Was ist unter »Identitätsdiebstahl« und »Datenklau« zu verstehen? Wie sind die Sachverhalte rechtlich zu bewerten und warum ist dieses Thema besonders für Rechtsanwältinnen und Rechtsanwälte spannend? Die Antworten auf diese Fragen verrät uns Dr. Marc Maisch, der sich auf die Abwehr und Prävention von Cybercrime und Datenschutzrecht spezialisiert hat (www.datenklau-hilfe.de).

Herr Dr. Maisch, was ist eigentlich Identitätsdiebstahl?
Unter »Identitätsdiebstahl« verstehe ich die rechtswidrige Verwendung von Daten, die einen Bezug zu einer bestimmten Person herstellen. »Identitätsmissbrauch«, »Datenklau« und »Datendiebstahl« werden in diesem Zusammenhang meist synonym verwendet. Da die Täter meistens Bereicherungsabsichten verfolgen, haben sie es in der Regel auf die Namen, (E-Mail-)Adressen, Geburtsdaten, Handynummern, Bank daten und Personalausweisdaten abgesehen. Je mehr Daten über eine bestimmte Person erhoben werden können, desto gewinnbringendere Tathandlungen stehen den Tätern offen. Scans von Ausweisdokumenten, Sozialversicherungsbelegen, Bankkarten, Führerscheinen, Zulassungsscheinen und Videoaufzeichnungen, in denen die Opfer ihre Identität bestätigen, sind daher besonders heiß begehrt.

Wie gehen die Täter vor, die es auf Verbraucher abgesehen haben?
Dank der vielbeschworenen Digitalisierung öffnen personenbezogene Daten im Internet alle Türen. Das nutzen Cyberkriminelle geschickt aus.

Tätergruppen, die der einfachen bis mittleren Kriminalität zugeordnet werden können, verwenden meist personenbezogene Daten, um Waren oder Dienstleistungen unter dem Namen des Geschädigten zu bestellen. Waren werden entweder an die Adresse des Geschädigten oder an eine unbekannte Lieferadresse geschickt. Dass nun mal Umsatz der heilige Gral des E-Commerce-Sektors ist – koste es, was es wolle –, erfreuen sich niedrigschwellige Registrierungsprozesse und Zahlungsarten wie »Kauf auf Rechnung«, sogar bei Neukunden, großer Beliebtheit. Niemals zuvor war Betrug daher einfacher: Für ein Handeln unter fremden Namen genügt meist die richtige Angabe von Namen und Geburtsdatum, was verkäuferseits in Sekundenbruchteilen mit einer Auskunftei dahingehend abgeglichen wird, ob die Person existiert und ob sie ausreichend solvent ist. Gibt die Auskunftei grünes Licht, wird – meist ohne Überprüfung der Rechnungs-/Versandadresse – das Rechtsgeschäft abgeschlossen.

Um Postzustellungen oder per E-Mail verschickte Rechnungen abzufangen, bevor sie der Geschädigte in Empfang nimmt, geben die Täter bei einer Bestellung eine eigene Free mail-E-Mail-Adresse an, z.T. auch Prepaid-Handynummern. Diese Kontaktdaten werden nach Vollendung der Tat gelöscht.

In ähnlicher Weise, aber z.T. noch perfider, gehen Cyberkriminelle vor, die unter dem Namen des Geschädigten Kreditkarten oder Bankkonten bestellen, auf Bestandsdaten zugreifen, um Darlehensverträge einzugehen oder Bitcoin Transaktionen vorzunehmen, für den Geschädigten den Stromanbieter wechseln, Urlaubsreisen unternehmen und z.T. sogar dessen Immobilien zur Vermietung oder zum Kauf anbieten. Häufig werden die personenbezogenen Daten verwendet, um Dritte damit zu täuschen. Besonders beliebt sind deswegen Scans von Personalausweisen, die die Täter verwenden, um Vertrauen aufzubauen, welches nötig ist, um bspw. die Zahlung eines Kaufpreises für ein vermeintliches Geschäft über Ebay Kleinanzeigen in Vorkasse einzufordern.

Sind auch Unternehmen und Anwälte von Identitätsdiebstahl betroffen?
Bei Unternehmen spielt Identitätsdiebstahl eher als Mittel zur Begehung anderer Straftaten eine Rolle. Diese Taten sind im Bereich der schweren und organisierten Kriminalität angesiedelt. Mit missbräuchlich verwendeten Identitäten gelingt es den Cyberkriminellen in aller Regel leicht, solche mittelständische und große Unternehmen ins Visier zu nehmen, deren IT-Sicherheitskonzepte nicht bis ins letzte Asset gehärtet sind.

Existenz- und reputationsgefährdende Auswirkungen haben Ransomware-Angriffe. Besonders gefährlich sind dabei Double-Extortion-Angriffe, bei denen nicht nur wichtige Daten verschlüsselt, sondern auch mit deren Veröffentlichung bzw. Verkauf über die Websites der Hackergruppen gedroht wird. Phishingangriffe und CEO-Fraud sind ebenfalls gängige Tathandlungen, bei denen fremde (echte) Identitäten zu Täuschungszwecken verwendet werden.

Besonders große Risiken sehe ich vor allem für Rechtsanwälte, die als Berufsgeheimnisträger nicht nur zum Schutz fremder Geheimnisse verpflichtet sind, sondern auch davon leben, dass die Geheimnisse bei ihnen vertraulich bleiben. Durch sog. Call-ID-Spoofing kann ein Täter kinderleicht unter der Telefonnummer eines Mandanten anrufen und ggf. das Sekretariat veranlassen, ihm vermeintlich nochmals die elektronische Handakte an eine neue E-Mail-Adresse zu schicken.

Welche Rechtsfolgen hat Identitätsdiebstahl?
Ein Rechtsgeschäft, das ohne Wissen des vermeintlichen Schuldners unter seinem Namen von einem Dritten abgeschlossen wurde, ist – ohne dessen Genehmigung – natürlich nicht rechtsverbindlich. Es bleibt bei dem Grundsatz der Beweislastverteilung; der Gläubiger muss beweisen, dass er mit dem Schuldner einen Vertrag geschlossen hat.

Aus Sicht des Gläubigers ist aber meist anhand der Datenlage nicht erkennbar, dass der vermeintliche Schuldner nicht selbst gehandelt hat. Uneinsichtig zeigt sich der Gläubiger gerade dann, wenn eine Leistung an die angegebene Adresse zugestellt worden ist oder es eine Videoident-Aufzeichnung des Schuldners gibt, in der er sich scheinbar für die Eröffnung eines Bank- oder Bitcoin-Kontos authentisiert. Ehe er sich versieht, gerät der Schuldner in die Schublade der Forderungsausfälle, was zur Kündigung von Bestandsrechtsgeschäften führen kann. Seine Daten werden an Inkasso-Dienstleister, Auskunfteien, Rechtsanwälte, (Mahn-) Gerichte und Strafverfolgungsbehörden weitergeben. Nicht selten werden Geschädigte so zu Beschuldigten von Vermögensdelikten. In einem unserer Fälle ging es so weit, dass die Täter sogar den Mahn- und den Vollstreckungsbescheid an eine falsche Adresse zustellen ließen und der Betroffene aus allen Wolken fiel, als er schließlich doch von einem findigen Gerichtsvollzieher aufgespürt und zur Vermögensauskunft aufgefordert worden ist.

Wie ist Identitätsdiebstahl strafrechtlich zu bewerten?
»Identitätsdiebstahl« ist freilich kein eigener Straftatbestand, wird aber je nach Tatbegehung im Einzelfall von verschiedenen Tatbeständen sanktioniert. Die unbefugte Erhebung (und Weitergabe) von personenbezogenen Daten ist zum einem über den Tatbestand der Datenhehlerei, § 202d Abs. 1 StGB, strafbar. Die Datenhehlerei ist nicht auf personenbezogene Daten beschränkt, auch die elektronische Datenverarbeitung ist gemünzt (§ 202a Abs. 2 StGB).

Datendiebe, die sich z.B. geleakte Zugangsdaten und Passwörter zu E-Mail-Konten, Clouds oder Bankkonten verschaffen, um damit in diese Accounts einzusteigen, machen sich gem. § 202a StGB (Ausspähen von Daten) strafbar. Bereits die Vorbereitung einer solchen Tat ist strafbar gem. § 202c Abs. 1 StGB. Ändert der Täter daraufhin die Zugangsdaten, um den Geschädigten aus seinem eigenen Konto auszusperren, verwirklicht er den Straftatbestand der Datenveränderung (§ 303a StGB).

Die strafrechtliche Einordnung der unbefugten Verwendung richtet sich ebenfalls nach der Tathandlung. Wer personenbezogene Daten des Geschädigten verwendet, um Rechtsgeschäfte einzugehen, z.B. um einen E-Mail-Account zu registrieren, verwirklicht den Tatbestand einer Fälschung beweiserheblicher Daten bzw. einer Täuschung im Rechtsverkehr bei Datenverarbeitung gem. § 269, § 270 StGB. Verwendet er dazu noch ein Portraitbild des Geschädigten, um z.B. ein Social-Media-Konto anzulegen, macht er sich wegen der Verletzung von Bildrechten strafbar gem. § 33 KunstUrhG. Handelt der Täter unter der fremden Identität, begeht er Betrug (§ 263 StGB) oder Computerbetrug (§ 263a StGB).

Neu ist der Straftatbestand des § 238 Abs. 1 Satz 1 Nr. 3 Buchst. a) StGB, den der Täter unter weiteren Voraussetzungen verwirklicht, wenn er dem Geschädigten unbefugt nachstellt, indem er für ihn Waren oder Dienstleistungen bestellt. Beachtenswert ist, dass der Gesetzgeber das Phänomen des Identitätsmissbrauchs hier als Gefährdung wahrgenommen und eigenständig geregelt hat.

Wie kann man sich vor Identitätsdiebstahl schützen?
»Identitätsdiebstahl« ist besonders leicht für Cyberkriminelle, wenn sie auf einen großen Datenpool zurückgreifen können. Wer weiterhin am digitalen Leben teilnehmen will, welches ohne Datenverarbeitung nicht funktioniert, sollte zumindest ein paar Grundregeln beachten. Bei Smartphones, Tablets, Computern und IT-Geräten müssen immer aktuelle Updates eingespielt werden. Der Zugriff auf E-Mail-Konten sollte besonders gut gesichert werden. Das Passwort sollte in regelmäßigen Abständen geändert werden und sollte lang sein, mindestens 20 Zeichen, und aus Buchstaben, Zahlen und Sonderzeichen bestehen. Da sich lange Passwörter schlecht merken lassen, sollte man eine Passwort-Manager-Software einsetzen. Für jedes E-Mail- und Social-Media-Konto sollte die Zwei Faktor-Authentifizierung aktiviert werden, da sonst ein wirksamer Schutz gegen Identitätsdiebstahl unmöglich ist. Vorsicht vor dem Versand von Personalausweis-Scans oder Durchführung eines Authentifikationsvideos – mit diesen Daten können Täter leicht Bankkonten eröffnen oder unter dem Namen des Opfers Kreditkarten bestellen! In jedem Fall sind Datensparsamkeit und Schutz der Privatsphäre in Social Media das Gebot der Stunde. Private Konten sollten immer im »Privatmodus« betrieben werden.

Wie können Sie Unternehmen vor Identitätsmissbrauch schützen?
Die erste Linie der Verteidigung bilden immer die Mitarbeiter. Die Belegschaft sollte regelmäßig über die aktuellen Trends von Cybercrime und die Maschen der Täter informiert werden. In Workshops, die auf die unternehmensspezifischen Risiken abgestimmt sind, sollte der Umgang mit zweifelhaften E-Mails, Telefonanrufen, Besuchern oder Social-Media-Anfragen trainiert werden. Zum Schutz vor CEO-Betrug, also der Manipulation von Buchhaltern und leitenden Angestellten, sollten wichtige Entscheidungsprozesse, die Übermittlung essenzieller Informationen oder Banküberweisungen ab einem bestimmten Schwellenwert im Vier-Augen-Prinzip abgestimmt werden. Neben organisatorischen Vorkehrungen ist selbstverständlich ein solides Niveau an IT-Sicherheit und an Intrusion Detection unverzichtbar, um sich nachhaltig vor Cyberangriffen zu schützen.

Fazit

• Identitätsmissbrauch gehört zu den TOP 10 der gefährlichsten Cybergefahren für Unternehmen.
• Effiziente Authentifikationsverfahren können den E-Commerce-Sektor vor Computerbetrug durch Identitätsmissbrauch schützen.
• E-Mail-Postfächer sollten immer mit Zwei-Faktor-Authentifizierung abgesichert werden.
• Regelmäßige Softwareupdates und Verwendung von sicheren Passwörtern, die nur einmal pro Account eingesetzt werden, sind Pflicht.
• Mitarbeiter sollten fortlaufend den richtigen Umgang mit Cybergefahren trainieren.
• Datensparsamkeit und Selbstdatenschutz können Datenklau vorbeugen.