Familien RatgeberSicherheit im Internet

Sicher im Netz: Wie Sie Ihre Familie vor Identitätsdiebstahl schützen

Als Eltern sorgen wir uns ständig um die Sicherheit unserer Kinder. So gut wir können, bringen wir ihnen bei, nicht mit Fremden zu sprechen, auf den Straßenverkehr zu achten oder sich gesund zu ernähren. Aber in der heutigen digitalen Welt gibt es so viele weitere Gefahren, vor denen wir unsere Kinder schützen müssen: Der Identitätsdiebstahl im Internet!

Irgendwo im Freundes- oder Bekanntenkreis haben wir es heute schon fast alle einmal erlebt. Unsere kleine Familie erreichte das Thema erst, als wir selbst eine SMS auf dem Handy hatten, bei dem sich jemand als das eigene Kind ausgab. Ein Grund hier in die Tasten zu greifen und für etwas mehr Aufklärung zu sorgen.

Hallo Papa, das ist meine neue Telnr. Könntest du mir bitte eine Testnachricht auf WhatsApp schicken?, ist auf dem Telefon zu lesen. Also hatte es nun auch uns erreicht, wobei wir immer dachten, dass soetwas immer nur anderen Menschen passiert oder dass die Medien das Thema vielleicht ein wenig zu dramatisch sehen. Aus beruflicher Erfahrung weiß ich, dem ist leider nicht so, weshalb ich mich heute dazu veranlasst sehe, euch zu warnen und das Thema ‚Identitätsdiebstahl im Internet‚ nicht auf die leichte Schulter zu nehmen.

Betrugs SMS "Hallo Papa..."
Und dann erreichte uns auch eine dieser typischen Betrugs SMS auf dem Telefon

Wir hatten schon früher aus eigener negativer Erfahung über Betrugsmaschen auf dem ehemaligen Kleinanzeigenportal von eBay geschrieben. Diese Bedrohung hat sich inzwischen jedoch viel weiter entwickelt:

Stellen Sie sich vor, Betrüger bestellen in Ihrem Namen Waren und hinterlassen Ihnen hohe Rechnungen. Diese Schlagzeile sind wir heute schon gewohnt und viele glauben noch immer, es beträfe sie nicht. Doch diese Kriminellen haben sich inzwischen auch weiterentwickelt und nutzen gerade aktuell gerne Gastkonten bei PayPal. Der Betrug funktioniert, indem sie gestohlene Bankdaten von Personen verwenden, die über andere Datenlecks im Internet zugänglich geworden sind. Wie das passieren kann, erkläre ich gleich, doch zur Vollständigkeit zum erwähnten Betrugsfall noch der brisante Hintergrund: PayPal bietet schon länger die Möglichkeit, als Gast zu bezahlen, ohne ein Konto zu eröffnen. Dabei werden lediglich die Bankdaten abgefragt und mit Daten von Schufa und eBay abgeglichen.

Mit erbeuteten Daten ist das einfach auszunutzen und aktuell eine besonders agressive Betrugsform, durch die Kriminelle, Einkäufe bei Online-Anbietern auf Kosten anderer tätigen. Und leider fällt fällt der Betrug oft erst auf, wenn PayPal eine Abbuchungsankündigung sendet, die dann wiederum von vielen nur als Spam abgetan wird. Da die Täter sich die Waren an Abholstationen oder durch Paketumleitung liefern lassen, ist eine Verfolgung sehr schwer.

Das mag wirklich beängstigend klingen, aber mit ein paar einfachen Maßnahmen kann man die eigene Familie oder Freunde etwas besser schützen. Aber man kommt doch nicht umhin, sich ein wenig mit der Thematik zu beschäftigen, damit Langfinger uns nicht ganz so weit überlegen sind.

Die Bedrohung welcher Daten?

Der Identitätsdiebstahl ist eine stetig wachsende Gefahr und wir müssen wissen, welche Daten wir besonders schützen sollten, da diese zum Aufbau einer Identität von Betrug bis zur Erpressung nötig sind. Es geht vorrangig um Daten, über die man weiteren Nutzen oder Vertrauen generieren kann. Bankverbindungen für eine Schufa-Abfrage oder Portrait-Fotos für Social Media bis WhatsApp usw.

Diese Daten können betroffen sein und sollten von jedem nicht nachlässig geschützt werden:

  • Name
  • Geburtsdatum
  • E-Mail-Adresse
  • Handynummer
  • Private Telefonnummer
  • Anschrift
  • Kreditkartennummer
  • Bankverbindung
  • Passwörter
  • über APIs verbundene Schnittstellen zu anderen Shopping- oder Computer-Systemen

Doch je tiefer ich gerade grabe, desto mehr Überraschungen kommen bei der Recherche zu diesem Beitrag zu Tage: Denn auch Adressen lassen sich in Form statistischer Abfragen, um die Daten von Bewohnern anonym zu kompletieren. Bei meinen Nachforschungen stieß ich auf beinahe skandalöse Daten unter https://atlas.immobilienscout24.de – hier kann jeder ohne Anmeldung auf statistische Daten der Post zugreifen.

Sicher für die ehrliche Anwendung gedacht, lassen sich solche Dienste auch gut zweckentfremden. So können Betrüger ganz ganz leicht die Adressen älterer oder alleinstehender Menschen in Erfahrung bringen. Nur die Adresse eingeben und dann erhält man solche Daten zu einer Postadresse:

Statistische Abfrage zu den Bewohnern einer Adresse
Probieren Sie es einmal selbst aus: Die statistische Abfrage zu den Bewohnern einer Adresse ihrer Wahl. Übrigens kritisch bei der Verwendung von Adressen von Einfamilienhäusern!

Wie man Identitätsdiebstahl erschweren kann

Seien Sie vorsichtig mit Ihren Daten: Vertrauen Sie persönliche Informationen nur vertrauenswürdigen Websites an. Diese hört sich im ersten Schritt etwas banal an, aber Hand aufs Herz – wo haben Sie sich bereits im Internet angemeldet und den Zugang irgendwann einfach nie wieder genutzt und … vergessen? Erfahrungsgemäß sind frührere soziale Netzwerke, Online-Shopping-Plattformen, Gaming-Portale und Dating-Apps beste Beispiele für Webseiten, auf denen sich viele Nutzer mal angemeldet und ihre Konten häufig auch nach abnehmendem Interesse nicht wieder gelöscht haben. Die persönlichen Daten bleiben einfach bis in alle Ewigkeit gespeichert, wenn niemand dem widerspricht – oder bis zum Crash!

Was passiert in diesem Fall? Wenn die Betreiber mit Seiten weniger Einnahmen generieren, verweisen diese oft, bis es mangels Pflege vielleicht zu einem Datenleck kommt. Dies entsteht wenn auf den Webservern die Sprachen oder Patches nicht mehr eingespielt werden. Mit etwas Glück funktioniert die Seite nicht mehr, mit etwas Pech endet es in einem Datendiebstahl, der vielleicht dann im Dark-Net zum Verkauf angeboten wird. Darum sollte man nicht genutzte Dienste unbedingt kündigen/löschen.

Kurze Erinnerung: Früher war ich zwar erleichtert, wenn ich darüber informiert wurde, dass Passwörter bei einem Datendiebstahl oder Leck nicht entwendet wurden. Doch heute sollten wir wissen, dass auch mit allen anderen erbeuteten Daten sehr viel persönlicher Schaden entstehen kann!

Unsichere und gefälschte Netzwerke sind häufiger anzutreffen als man glaubt! Ich habe es auf dem Flughafen Alicante vor Jahren selbst erlebt und bin seither extrem sensibilisiert, worüber ich meine Daten mit dem Internet verbinde. Aber erstmal was sind gefälschte Netzwerke? Freie unverschlüsselte WiFi Zugänge, die vorgeben von einem Ort wie einen Cafe, einem Restaurant oder gar einem Flughafen zu sein. Die Netzwerke tragen dessen Namen und man vertraut einfach und verbindet sein Gerät. Doch die Masche ist alt und dabei ist es nichteinmal schwer als Gast selbst ein WiFi vorzugaukeln … eines mit ganz anderen Absichten und das natürlich nicht zu einem bestimmten Ort gehör. Dies stellt ein erhebliches Risiko dar, da sie von Kriminellen genutzt werden, um gezielt persönliche Daten bei einer Verbindung abzufangen.

Wenn ihr euch mit einem solchen Netzwerk verbindet, könnten eure Passwörter, Bankdaten und andere sensible Informationen von den Betreibern abgegriffen werden. Dieses Vorgehen ähnelt dem „Phishing“, welches in den Quellen im Zusammenhang mit Identitätsdiebstahl erwähnt werden sollte, aber jetzt den Rahmen sprengen würde. Hier wird bei Wikipedia Phishing beschrieben und auch, wie Kriminelle gefälschte Webseiten nutzen, um an sensible Daten zu gelangen.

Internet Cafe in Torrevieja - Spanien
Wer sich im Urlaub gerne aus Gründen in ein Internet Cafe setzt (wie hier in Torrevieja, Spanien) setzt sich selbst einem hohen Risiko aus, da man nicht ausschließen kann, dass diese Rechner sicherheitstechnisch kompromittiert sind. Das sollte man, egal in welchem Land unbedingt vermeiden.

Was passiert und wie erkenne ich eine gefälschte Internetverbindung?

Szenario 1: Bei der neuen Verbindung des Smartphones mit einem WiFi Zugang, erwachen sehr viele Dienste plötzlich zum Leben. Es beginnt oft mit dem eMail-Programm, das sich gleich versucht beim MailServer anzumelden um zu sehen, ob neue Post wartet. Facebook, Instagram und weitere Dienste versuchen sich anzumelden um nach Neuigkeiten zu sehen usw. Wenn das verbundene Netzwerk jedoch das Laptop eines Hackers ist, kann der Datenaustausch mitgeschrieben und später analysiert werden. So kann man leicht die eigenen Logindaten kompromitieren, ohne es zu wissen. Dieser tunnelt das Netz einfach in den Mobilfunk und man merkt nichts davon. Einzige Abhilfe, am Ort nachfragen, welches WiFi man nutzen soll.

Szenario 2 (und mein Erlebnis auf dem Flughafen Alicante): Hier wurden vor der Freigabe einer WiFi Verbindung unzählige Datensammler eingebaut. Unter dem Vorwand, man müsse das WLAN finanzieren und man benötigt vom Nutzer einige freiwillige Daten, wurde ich erst zu spät misstrauisch. Man sammelte in diesem Fall aktiv und passiv eine Unmenge an Informationen, während ich durch das Ausfüllen von Fragenbögen anlässlich des kostenlosen WiFi Zugangs des Flughafens.
Leider war der Zugang keiner – die Fragen endeten einfach nicht, und es dauerte lange, bis ich die Seite, die vorgab, ein seriöses Unternehmen zu sein erkannte. Diese Phishing genannte Methode tritt leider häufig auf. Durch den Nachbau einer Website oder eines bekannten Online-Shops oder durch die Versendung von gefälschten E-Mails im vermeintlichen Namen einer Bank wird man gutgläubig reingelegt. Über die Nutzung eines Links und die Eingabe von Daten in Formularen auf den Websites werden dann die eingegebenen Daten abgegriffen und gespeichert.

Vermeiden Sie es am besten, sensible Daten über ungesicherte Netzwerke zu versenden oder diese überhaupt zu nutzen.

Verwenden Sie starke Passwörter: Ein starkes Passwort besteht aus mindestens 12 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Verwenden Sie für jeden Account ein **einzigartiges Passwort**. Hier kann man sich zur Not auch mit eigenen Schlüsseln helfen. Zum Beispiel [erste zwei Stellen der eigenen PLZ][erster großer Buchstabe des Webseitennamens]![Buchstabe meiner Nationalität][letzte beiden PLZ Stellen]#[zweiter bis vierter Buchstabe des Webseitennamens].

Das würde in meinem Fall bei eBay bedeuten „26E!D39#bay.“ – sieht doch garnicht so schlecht aus und wenn man sich das Muster merkt, braucht man diese nichteinmal aufschreiben.

Der eigene Passwort-Schlüssel im Kopf kann zwar einen guten Schutz bieten, doch ein echtes einmaliges Kennwort mit Sonderzeichen wäre immer die beste Wahl. Es gibt viele eigens dafür geschaffene Passwort Tools. Ich nutze die Lösung von Norton und brauche mich darum nicht mehr zu kümmern.

Aktivieren der Zwei-Faktor-Authentifizierung: Diese zusätzliche Sicherheitsmaßnahme erschwert es Kriminellen, auf Konten zuzugreifen, selbst wenn sie das Passwort kennen. Dieses zusätzliche Schutzschild lässt mich besser schlafen und ich aktiviere es wo ich es kann. Denn bei der Zwei-Faktor-Authentifizierung (2FA) müsst ihr neben eurem Passwort einen ‚zweiten Faktor‘ eingeben, um euch bei einem Konto anzumelden. Dieser zweite Faktor kann beispielsweise ein Code sein, der an euer Smartphone gesendet wird, ein Fingerabdruck, eine Wechselnde Zahlenkolonne (Google Authenticator App) oder ein Scan des eigenen Gesichts. So wird sichergestellt, dass nur ihr selbst auf euer Konto zugreifen könnt, selbst wenn euer Passwort gestohlen wurde.

Überprüfen Sie Ihre Kontoauszüge und Kreditkartenabrechnungen regelmäßig auf verdächtige Aktivitäten. So kann man bei verdächtige Aktivitäten sofort mit der Bank oder dem Kreditkarteninstitut in Konrakt treten. Verwenden Sie in Deutschland den Sperr-Notruf 116 116 (Im Ausland wählen Sie +49 116 116)

Nutzen Sie Tools wie „Have I Been Pwned?“ oder den Identity Leak Checker des Hasso-Plattner-Instituts, um gelegentlich zu überprüfen, ob die eigene E-Mail-Adresse in einem Datenleck auftaucht. Auf den Webseiten könnt ihr eure E-Mail-Adresse(n) eingeben und die Systeme durchsuchen Datenbanken mit Milliarden von kompromittierten Konten aus verschiedenen Datenlecks der letzten Jahre.

Beide Seiten zeigen an, ob und in welchen Datenlecks eure E-Mail-Adresse gefunden wurde und gibt Informationen über die Art und Umfang der Daten, die durchgesickert sind. Die Webseite des Hasso-Plattner-Instituts bietet auch eine Funktion, um euch zu benachrichtigen, falls eure E-Mail-Adresse in Zukunft in einem Datenleck auftaucht.

Fazit: Es lohnt sich, das Thema Identitätsdiebstahl mal am Esstisch zum Thema zu machen. Mit den Kindern über die Gefahren und Folgen eines Identitätsdiebstahls und wie man sich schützen kann zu sprechen lohnt sich – selten lernen die Kids über diese Themen in der Schule, wo die Lehrpläne gegenüber brisanter Themen oft noch Dekaden hinterher laufen.

Meiner Meinung nach treten solche Vorfälle in den letzten Jahren immer häufiger auf und werden zu einer ernsten Bedrohung. Und durch Künstliche Intelligenz wird dies in Zukunft noch viel bedrohlicher, denn auch oder gerade Kriminelle wissen, wie man dank maschinellem Lernen in einem sehr kreativen Bereich der Kriminalität immer mehr verdienen kann.

Doch mit etwas mehr Basiswissen und ein paar einfachen Vorsichtsmaßnahmen kann man sich und die eigene Familie sensibilisieren und besser schützen. Machen Sie für sich die Sicherheit im Internet zu einem wichtigen Thema in Ihrer Familie und sorgen Sie dafür, dass alle Familienmitglieder wissen, warum sie ihre Daten schützen müssen.

Danke für das Lesen meiner Zeilen. Ich hoffe sehr, dass Sie jetzt nicht direkt betroffen sind. Sensibilisiere auch andere und teile diesen Beitrag doch einfach?!
Wenn ich vielleicht etwas vergessen habe, freue ich mich auch über jeden Kommentar – Danke dafür, auch im Namen anderer Leser.

Jürgen

Weitere Links:
Have I Been Pwned

Titelbild erstellt mit KI / DalliE

Jürgen

Ich bin Jürgen und als glücklicher Familienpapa und arbeite hauptberuflich als Senior IT-Consultant und Mediendesigner. Nebenbei entdecke ich mit unserer kleinen Familie die Welt und viele Formen der Kreativität. Was uns wichtig erscheint, muss ich hier in unserem Blog Nakieken niederschreiben. 'Nakieken' ist übrigens Plattdeutsch und bedeutet soviel wie "genauer hinsehen" und genau das ist unser Programm :-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert