Claudia Pfister und Cem Karakaya im gemeinsamen Podcast zu Identitätsdiebstahl

#GemeinsamGegenBetrug: Erfahrungsbericht Identitätsdiebstahl – So fühlt es sich an, so wirkt es sich aus.

Identitätsdiebstahl im Internet – wenn man ihn bemerkt, ist der Schaden meistens schon entstanden. Das Problem aus der Welt zu schaffen kostet viel Zeit, Nerven und Ausdauer. Claudia Pfister – Unternehmenscoach aus München, kennt diese Situation: Sie ist selbst Opfer von Identitätsbetrug geworden. In dieser Podcastfolge erzählt Frau Pfister ihre Geschichte und gibt gemeinsam mit dem Cybercrime-Experten und Generalsekretär der Internationalen Polizei Vereinigung (IPA) in München, Cem Karakaya, Tipps, wie man sich gegen Identitätsmissbrauch schützen kann.

Frau Pfister, Sie sind 2019 Opfer von Identitätsdiebstahl geworden. Wie sind die Betrüger an Ihre persönlichen Daten gelangt?

Claudia Pfister: Die Betrüger haben meine persönlichen Daten verwendet, Fake Shops gebaut und mich im Impressum als Betreiberin dieser Shops dargestellt. Dabei sind die Täter vermutlich über einen Hacker-Angriff auf einer Website an diese Daten gekommen, denn vor eineinhalb bis zwei Jahren wurden im Zuge dieses Angriffes etwa ein bis zwei Millionen Daten geklaut. Mittels einer Pishing-Mail gelang es den Tätern, meinen kompletten E-Mail-Verlauf mit 8000 E-Mails zu kopieren. Damit hatten die Betrüger sozusagen Einblick in mein ganz privates Leben der vergangenen acht bis neun Jahre. Unter anderem filtern die Täter dann nach Kontodaten, Personalausweis und sonstigen sensiblen Daten, die man im Verlauf der Zeit mal verschickt oder vergisst, dass diese in irgendwelchen Ordnern liegen. Mittels dieser Daten konnten die Täter die Fake Shops bauen und auch betreiben.

Wie haben Sie den Identitätsmissbrauch bemerkt und wie haben Sie sich gefühlt als Ihnen klar wurde, dass Ihre Identität missbräuchlich benutzt wird?

Claudia Pfister: Es fing so an, dass ich abends am Rechner saß und plötzlich eine Kreditkart-Control Abbuchung über 500€ erhielt. Zuerst habe ich noch gedacht, das ist irgendeine Verwechslung. Bei genauerer Betrachtung habe ich erkannt, dass es sich um eine Anzeige von Google-Ads handelte, die ich gerade abgebucht haben sollte. Daraufhin bin ich in meine Kreditkartenabrechnung gegangen – und dann ist mir schon ein bisschen anders geworden. Dort habe ich gesehen, dass es neun verschiedene Abbuchungen gab, insgesamt über 2600€. Dann habe ich erstmal Kontakt zu Google aufgenommen. Dabei ist jedoch nicht viel herausgekommen. Das Ganze lief dann über die Versicherung der Kreditkarte, so dass mir das Geld wieder zurückerstattet wurde. Doch eine Woche später rief dann die Polizei bei mir an und hat mich informiert, dass gegen mich diverse Anzeigen vorliegen, weil ich Inhaberin und Betreiberin eines Fake-Shops bin. Der Polizeibeamte hat mir geraten Anzeige zu erstatten, um auch mich zu schützen, denn es ist klar, dass auch ich ein Opfer bin.

Wann ist Ihnen das gesamte Ausmaß der Situation bewusst geworden?

Claudia Pfister: Es hat einige Wochen gedauert, bis ich realisiert habe, da gibt sich jemand als die Claudia Pfister aus, die es so gar nicht gibt. Und es gipfelte dann darin, dass eine Person an der Wohnungstür klingelte und eine Kaffeemaschine kaufen wollte. Es war nicht nur mein vollständiger Name sichtbar, sondern auch meine Privatadresse im Impressum hinterlegt. Das Schlimmste war eigentlich, dass die Polizei nicht veranlassen konnte, dass die Privatadresse von der entsprechenden Seite entfernt wird. Dieser Vorgang dauerte tatsächlich acht Wochen, ein sehr unangenehmes Gefühl. Da ist mir abermals deutlich geworden: Du bist hier jetzt in diesem World Wide Web mit deiner Privatadresse – jeder weiß, wo du wohnst, wer du bist. Die erste Zeit war ich in einer Schockstarre, in der ich gedacht habe am Besten gehst du nicht mehr raus. Das Gefühl ist vergleichbar, als ob bei einem eingebrochen und alles durchwühlt wurde. Bei diesen 8000 E-Mails waren viele sensible Informationen dabei und so wird einem erstmal bewusst, wie leichtfertig man selbst mit solchen persönlichen Daten umgeht, ohne darüber nachzudenken, was passiert, wenn jemand Fremdes darauf Zugriff hat.

Herr Karakaya, Sie haben von Beruf wegen häufig mit Opfern von Datendiebstahl und Identitätsmissbrauch zu tun. Wie gelangen Betrüger an diese sensiblen Daten?

Cem Karakaya: Ich leite das Beratungstelefon der Münchner Kriminalpolizei für Betroffene. Bei den Telefonaten fällt oftmals der Satz: „Ich war so blöd, ich bin darauf reingefallen.“ Dann entgegne ich immer: „Nein Sie sind nicht blöd, die Täter sind nur professionell.“ Allerdings gibt es keinen hundertprozentigen Schutz vor Identitätsdiebstahl, auch mich kann es jederzeit treffen. Auch von Seiten von Behörden und Unternehmen, bei denen Versicherungen und Verträge abgeschlossen werden können Datensätze mit meinen persönlichen Daten gestohlen werden und landen dann im Internet. Die Täter gelangen zumeist sehr einfach an diese sensiblen Daten. Am Flughafen oder im Zug verbinden sich Menschen mit dem freien WLAN-Netzwerk, ohne irgendwelche Maßnahmen zu treffen, wie beispielsweise die Nutzung eines VPN (Virtuell Private Network), um eine verschlüsselte Verbindung herzustellen. So kommt der Hacker über dasselbe Netzwerk hinein und mit ein bisschen IT-Kenntnissen erhält man Zugriff auf entsprechende Geräte.

Welche Rolle spielt das so genannte Darknet im Bereich der Cyberkriminalität?

Cem Karakaya: Wenn die Täter einen Firmendatensatz hacken, landen diese Daten zumeist im Darknet oder werden dort erworben. Es gibt derzeit ein Portal, welches über 12,3 Milliarden E-Mail-Adressen und dazugehörige Passwörter verfügt. Die Täter arbeiten meistens mit gestohlenen Daten, mit diesen eröffnen sie auch Fake Shops und verkaufen online Waren wie bei Claudia Pfister Kaffeemaschinen, für 100 bis 150€ günstiger.

Wer konnte Ihnen damals in dieser schwierigen Situation weiterhelfen, Frau Pfister?

Claudia Pfister: Einerseits Cem Karakaya, der mir das Gefühl vermittelt hat, dass ich nicht die einzige Betroffene bin, andererseits mein Anwalt Herr Dr. Maisch, bei dem ich mich gut aufgehoben gefühlt habe. Aber auch ein sehr netter Mitarbeiter der SCHUFA, der mir telefonisch umfassend weitergeholfen und einfach nur zugehört hat, war für mich emotional sehr hilfreich. Gerade an dieser Stelle fand ich es wichtig, dass dort jemand da war, der sich dem Thema annimmt und auch die emotionale Seite abdeckt.

Hilfe für Opfer von Identitätsbetrug

Kriminelle Aktivitäten mit gestohlenen Identitäten nehmen zu: Die SCHUFA bietet einen kostenlosen Service für Personen, die bereits Opfer von Identitätsmissbrauch geworden sind. Diese können sich bei der SCHUFA aktiv melden und mit einem speziellen Eintrag vor Wiederholungsbetrug schützen lassen. Wie die Einmeldung funktioniert, lesen Sie hier.

Herr Karakaya, Inwiefern sind Identitätsmissbrauch und Internetbetrug besondere Formen des Betrugs? Warum sind sie so schwer aufzuklären?

Cem Karakaya:Der allererste Hackerangriff erfolgte in den 1980er-Jahren. Aber die europäische Polizei verfügt erst seit sieben Jahren über ein Cybercrime-Dezernat. Dies bedeutet die Täter sind mit einem Ferrari unterwegs und die Sicherheitsbehörden mit Dreirädern. Ein weiteres Problem ist das fehlende Tatortprinzip. Denn bei einem Einbruch ist der Tatort die Wohnanschrift, dort kann ich Beweise sichern und Spuren aufnehmen. Aber im Internet gilt dieses Prinzip nicht. So befindet sich das Opfer in Deutschland, aber der verwendete Server liegt in China und der Täter sitzt in Russland. Oftmals kann die Polizei leider nichts machen, weil der Server sich nicht in Deutschland befindet.

Frau Pfister, Sie sind Coach und sorgen in dieser Rolle auch für Aufklärung nach Ihren Erfahrungen mit Identitätsdiebstahl. Was empfehlen Sie Menschen, mit denen Sie dazu ins Gespräch kommen?

Claudia Pfister: Einige Tipps, die ich für mich mitgenommen habe, sind die Einrichtung eines Passwortmanagers sowie einen Alert, der mich warnt, wenn mein Name irgendwo erscheint. Außerdem habe ich meine Geburtsdaten auf meinen Social Media Webseiten geändert, denn mit dem Bild, Namen und dem Geburtsdatum ermöglicht es, jedes Konto zu hacken bzw. Zugriff zu erhalten.

Tipps gegen Identitätsdiebstahl

Die Betrugsmaschen im Internet sind vielfältig – egal ob offline oder online zur Verhinderung von Identitätsdiebstahl ist es wichtig folgende Begrifflichkeiten und Tricks der Betrüger zu kennen.

  • Vorsicht bei Pishing-Mails, die Sie auffordern vertrauliche und sensible Daten wie Bank- oder Zugangsdaten weiterzugeben oder auch deren Absender Ihnen nicht bekannt sind
  • Halten Sie das Betriebssystem ihres Computers und Smartphones immer auf dem neusten Stand
  • Schützen Sie ihre Systeme mit einer Firewall und nutzen Sie Antivirenprogramme
  • Eine 2-Faktor-Authentifizierung und die Verwendung unterschiedlicher Passwörter helfen Identitätsdiebstahl zu erschweren
  • Verwendung eines Passwortmanagers
  • Überprüfung der Authentizität & Sicherheit von Webseiten durch ein vorhandenes Impressum, eine Datenschutzerklärung sowie Verschlüsselung der Website nach der DSGVO-Richtlinie
  • Beim Online-Shopping auf Gütesiegel achten wie beispielsweise von Trusted-Shops