Datenhandel: Das Geschäft mit gestohlenen Identitäten

Gute Ware ist teuer, aber frisch.“ Unter dieser Schlagzeile inseriert „zicoamex“ in einem Internetforum weder Fisch noch Gemüse. Sein Geschäft ist der Handel mit gestohlenen digitalen Identitäten. Heute im Angebot: „Garantiert nicht gesperrte“ Kreditkartennummern aus Deutschland (Sicherheitscode inklusive) gibt es für 19 (Mastercard, Visa) oder 23 (American Express) Dollar. Die Preise für Telebanking-Log-ins sind von Guthaben und Institut abhängig. Der Zugriff auf ein Depot mit 18.000 Dollar (Bank of America) ist für 800 Dollar zu haben. Für die anschließende Wäsche und Baranweisung des behobenen Geldes stehen ebenfalls gekaperte Accounts bei Paypal und Western Union im Angebot. Die Provision für „zicoamex“ beträgt zehn Prozent der überwiesenen Summe.

Das Geschäft läuft gut. In Europa entsteht durch Betrügereien mit im Internet gestohlenen Identitäten ein jährlicher Schaden in der Höhe von 750 Mrd. Euro. So lautet eine Berechnung von Interpol.

Dass jeder davon betroffen sein kann, zeigt die schiere Menge der gekaperten Daten. Allein Sony gingen im Vorjahr Kreditkartendaten von 2,2 Mio. Kunden verloren. Banken selbst sind da eher verschwiegen, regelmäßige Berichte über den Diebstahl von Webshop-Log-ins zeigen aber, dass auch unzählige Kontonummern im Umlauf sind. In Österreich gingen im Vorjahr allein bei der ORF-Tochter GIS über 200.000Nutzerprofile „verloren“. Kontonummern inklusive.

Rund um das Geschäft mit gestohlenen Identitäten wurde längst eine organisierte Kriminalität aufgebaut, weiß Ernst Österreicher aus der Abteilung für Computer- und Netzwerkkriminalität im Bundeskriminalamt (BK). Die Kette an „Dienstleistern“ ist lang. Die Datendiebe verkaufen ihre Beute an Banden, die eine riesige Infrastruktur betreiben. Von Geldwäsche bis Hehlerei für in Webshops gekaufte Güter ist alles mit dabei. Zuletzt wurde in Wien auch eine Person ausgehoben, die eine leer stehende Wohnung als Zustelladresse für auf Kosten Dritter bestellte Versandwaren betrieben hatte.

Der Markt für den Verkauf gestohlenerDatensätzeist umkämpft. Josef Pichlmayr, Chef von Ikarus Security Software, spricht von einem „beinharten Wettbewerb zwischen den Angreifern“. Wie heftig dieser Kampf tobt, zeigt die Menge an verbreiteter Schadsoftware. „Acht der zehn am weitesten verbreiteten Trojaner dienen allein dazu, fremde PCs zu übernehmen oder digitale Identitäten abzugreifen“, sagt Pichlmayr.

Verwertbar ist für die Datendiebe praktisch alles, nicht nur Bankdaten. Gekaperte Accounts fortgeschrittener Spielfiguren von Online-Rollenspielen wie „World of Warcraft“ oder „Diablo“ gehen bei Auktionen für mehrere hundert Euro über den Tisch. Sozialversicherungsnummern, Geburtsdaten und Adressen lassen sich – in große Pakete gebündelt – zur Annahme fremder Identitäten verkaufen. Eher in den Bereich der Liebhaberei fällt der Handel mit gehackten Social-Media-Accounts von Prominenten. Auf der Liste der Opfer finden sich inzwischen Namen wie Ashton Kutcher, Lady Gaga und Barack Obama.

Schutz? Gibt es (fast) nicht

Häufig sind die Behörden zum Zuschauen verurteilt. Der Diebstahl digitaler Identitäten an sich ist nämlich nicht strafbar – zumindest in den meisten Ländern Europas nicht, in den USA sehr wohl. Strafbar wird der Identitätsdiebstahl erst, wenn die Daten missbräuchlich – meistens für klassische Betrugsdelikte – eingesetzt werden.

Die Kriminellen stört das wenig. Analysen von Sicherheitsdienstleistern wie Barracuda Networks zeigen, dass die Angriffe meistens aus Ländern wie Russland oder Brasilien kommen. Warum eigentlich? „Weil es dort viele gut ausgebildete IT-Kräfte gibt, die auf legale Weise nicht so gut verdienen würden“, sagt Barracuda-General-Manager Wieland Alge.

Sich selbst zu schützen ist (fast) unmöglich. Es sei denn, man verweigert das Internet. Dass das heute kaum mehr eine Option ist, liegt auf der Hand. Als Mindeststandard empfiehlt Ernst Österreicher vom BK, komplexe und damit sichere Passwörter zu verwenden und möglichst wenig (Geburtsdaten, Adresse etc.) in Social Networks über sich preiszugeben.

("Die Presse", Print-Ausgabe, 30.07.2012)