Identitätsdiebstahl & Identitätsmissbrauch: Wie sich Unternehmen schützen

12.08.2021

Durch Diebstahl und Missbrauch personenbezogener Daten richten Cyberkriminelle jährlich großen Schaden an. Beliebt ist z.B. der Warenkreditbetrug, bei dem sie Waren auf Namen und Kosten Ihrer Opfer kaufen.

Als Opfer des Identitätsdiebstahls werden primär Personen gezählt, deren Identitäten missbraucht wurden. Zu den Opfern zählen aber auch Unternehmen, nicht zuletzt weil sie es meist sind, die am Ende auf dem Schaden und den damit verbunden Kosten sitzen bleiben.

Definition Identitätsdiebstahl & Identitätsmissbrauch

Identitätsdiebstahl bezeichnet das unberechtigte Erlangen personenbezogener Daten, die einen Identitätsmissbrauch ermöglichen. Der Identitätsmissbrauch steht für die unberechtigte Nutzung jener Daten, um damit andere zu täuschen.

Auf diese Daten haben es Kriminelle abgesehen

Beim Identitätsdiebstahl können es Angreifer auf verschiedene Daten abgesehen haben.

  1. Personendaten

    Im Fokus stehen Personendaten, wie z.B. der Name des Opfers in Verbindung mit Adresse oder Geburtsdatum.

  2. Zugangsdaten

    Erbeutet werden Daten, die Zugang zu E-Mail-Diensten, Kundenkonten, Social-Media-Konten sowie ähnlichen Diensten ermöglichen.

Die an den Datendiebestahl anschließende Nutzung der Daten durch Cyberkriminelle kann verschieden aussehen. Personendaten werden oft verwendet, um einen unmittelbaren Schaden anzurichten, indem beispielsweise Bestellungen auf den Namen des Opfers getätigt werden. Zugangsdaten werden überwiegend verwendet, um sich im Namen des Opfers mit Dritten in Verbindung zu setzen und diese zu täuschen.

Identitätsdiebstahl: Die Gefahren für Unternehmen

Das Spektrum an Gefahren, die mit einem Identitätsdiebstahl einhergehen, ist aus Sicht von Unternehmen breit gefächert.

  • Gefahr 1: Leistungen oder Waren werden erschlichen

    Eine der größten Maschen im Zusammenhang mit dem Identitätsmissbrauch im Internet ist der Warenkreditbetrug (auch Versandbetrug genannt). Angreifer verwenden die personenbezogenen Daten ihrer Opfer, um auf deren Namen Waren zu bestellen. Diese lassen sie jedoch an abweichende Adressen liefern, damit die Waren abgefangen werden können.

    Aus Sicht des betroffenen Unternehmens scheint zunächst eine echte Bestellung durch einen Kunden vorzuliegen. Die meisten Opfer können im Anschluss jedoch darlegen, dass Betrüger ihre Namen und Adressdaten missbraucht haben. Als Folge bleiben viele Unternehmen auf den Kosten des Schadens sitzen.

  • Gefahr 2: Identitätsdiebstahl betrifft Mitarbeiter

    Angreifer nutzen Identitäten von Mitarbeitern, um Beschäftigte zu täuschen. Damit ist der Angriff direkt gegen das Unternehmen gerichtet. Als klassisches Beispiel gilt der CEO Fraud, bei dem sich Angreifer gegenüber ihren Opfern als Führungskräfte ausgeben, sie unter Druck setzen und Geldzahlungen anweisen.

  • Gefahr 3: Angreifer können Datensätze vom Unternehmen erbeuten

    Ziel ist der eigentliche Identitätsdiebstahl. Angreifer haben es auf die Daten des Unternehmens abgesehen. Sie möchten sich Zugriff auf Kundendaten zu verschaffen, um diese zu kopieren und beispielsweise an andere Kriminelle zu verkaufen.

    Im Fokus stehen vorrangig Unternehmen mit umfassendem Kundenstamm, wie z.B. Onlinehändler. Letztlich betrifft dieses Risiko jedoch alle Unternehmen, zumal Angreifer es nicht immer auf Kundendaten abgesehen haben. Ebenso können Mitarbeiterdaten das Ziel eines Angriffs sein.

Wie sich Unternehmen schützen

Was Schutzmaßnahmen betrifft, so sind die verschiedenen Gefahren individuell zu berücksichtigen.

Warenkreditbetrug vorbeugen

Der beste Schutz besteht darin, Fake-Bestellungen als solche rechtzeitig zu erkennen. So sollten Mitarbeiter stutzig werden, wenn z.B. Neukunden hohe Bestellungen tätigen und sich die Lieferadresse im Ausland befindet. Unterstützung leisten hierbei Scoring-Systeme, die z.B. Namen und Adressdaten abgleichen. Kleine und mittelgroße Händler führen derartige Überprüfungen oft manuell durch. Große Unternehmen haben auch automatisierte Lösungen im Einsatz.

Missbräuchlicher Verwendung von Mitarbeiterdaten vorbeugen

Gute umgesetzte Angriffe sind schwierig zu erkennen, weil die Opfer davon ausgehen, es tatsächlich mit einem Vorgesetzten zu tun zu haben. Wichtigstes Hilfsmittel zum Schutz vor Identitätsmissbrauch ist daher die Sensibilisierung der Mitarbeiter. Ergänzend sollten Routinen installiert sein, damit Mitarbeiter im Zweifelsfall (wenn z.B. hohe Geldtransaktion angewiesen werden) wissen, wie sie sich vergewissern und den Vorgang überprüfen können.

Diebstahl von Datensätzen vorbeugen

Den besten Schutz verspricht eine gezielte Absicherung der Systeme, z.B. im Rahmen eines ISMS. Zugleich helfen Schulungen dabei, die Mitarbeiter für Gefahren, wie z.B. Social Engineering, zu sensibilisieren.

Fragen & Antworten zum Thema

Welche Unternehmen sind vom Identitätsdiebstahl betroffen?

Grundsätzlich kann es alle Unternehmen treffen. Im E-Commerce Umfeld finden sich jedoch die häufigsten Opfer, weil die Angreifer dort relativ leichtes Spiel haben. Außerdem zeigt die Praxis, dass kleine und mitttelgroße Unternehmen häufiger zu Opfern werden, weil sie weniger Sicherheitsvorkehrungen als Großunternehmen treffen.

Welche Täter sind für Identitätsdiebstahl verantwortlich?

Im Allgemeinen wird zwischen drei Tätergruppen unterschieden. Da wären zunächst Amateure, die mit geringer Vorbereitung tätig werden. Aufgrund ihrer meist unprofessionellen Vorgehensweise lassen sich derartige Fälle von Identitätsmissbrauch oft rechtzeitig erkennen und vereiteln.
Die Angriffe von Kleinkriminellen sind schwieriger zu erkennen. Sie gehen gezielter vor und haben deshalb eine höhere Erfolgsquote. Die größten Schäden gehen jedoch vom Organisierten Verbrechen aus, weil die Angriffe gut vorbereitet und gleichzeitig die Hintermänner nur schwer aufzuspüren sind.