Aus dem Giftschränkchen der IT

Aus dem Giftschränkchen der IT

Beim Live-Hacking-Event an der Universität Siegen zeigt IT-Comedian Tobias Schrödel, wie Facebook sensible Nutzerdaten sammelt und wie das Darknet funktioniert.

Auf der Leinwand im Audimax der Uni Siegen erscheint das Bild eines Hundes, der auf einem Bett liegt: Klein, putzig, harmlos. Der Besitzer des Hundes hat das Bild seines Vierbeiners auf Facebook hochgeladen. Wo und wie er es aufgenommen hat – all das weiß Facebook. Doch woher kennt der Internet-Gigant eigentlich so viele Details über uns, obwohl wir manche Infos nie bewusst online gestellt haben?

IT-Comedian und Fachinformatiker Tobias Schrödel lüftet das Geheimnis. Am 30. Mai taucht er im Audimax gemeinsam mit etwa 350 ZuschauerInnen in die Welt der Hacker ein. Sein Comedy-Programm soll nicht zum Hacken auffordern, das betont Schrödel immer wieder. Im Gegenteil: Schrödel will mit viel Humor und Selbstironie auf das sehr komplexe Thema IT-Sicherheit aufmerksam machen. Er möchte bei seinem Live-Hacking-Event unterhalten, aber auch aufklären – wie schnell sensible Daten in die Hände von Menschen gelangen, die damit nicht unbedingt etwas Gutes vorhaben.

Markus Müller (Name geändert) heißt der Facebook-Nutzer und Hundebesitzer. Über die Metadaten seines Fotos fischt Facebook sensible Daten ab und speichert sie: GPS-Daten der Aufnahme, Handy-Modell, Mobilfunkanbieter. Die ZuschauerInnen im Audimax erfahren: Markus Müller lebt in Orsingen-Nenzingen am Bodensee.

Er wohnt in einem großen Einfamilienhaus, in seiner Nachbarschaft gibt es sogar Häuser mit Pool. Der Durchschnittswert der Immobilien in seiner Wohngegend ist verhältnismäßig hoch. Durch Namen, Anschrift und IP-Adresse lassen sich schnell Querverbindungen herstellen: Müller arbeitet bei der Volksbank, ist Schiedsrichter beim Dorf-Fußballverein und hat einen Vodafone-Handyvertrag.

Das Foto hat er mit seinem iPhone 6 aufgenommen. Ein einziges, harmloses Hundebild und schon kennt Facebook Markus Müllers privatesten Infos. Markus Müller ist kein Einzelfall: „Facebook speichert alle Daten der Kamera, wann immer wir ein Foto hochladen“, erklärt Schrödel. Wenn die Telekom jetzt passgenaue Werbung schalten will, an wohlhabende, potenzielle Neukunden: Markus Müller wäre der perfekte Kandidat für eine geschaltete Anzeige.

Was aber passiert, wenn nicht Facebook sensible Daten abgreift, sondern Hacker, die geknackte Benutzernamen und Passwörter im Darknet weiterverkaufen? Schrödel führt vor, wie er sich im Darknet anmeldet. Und er zeigt, wie einfach und vor allem günstig es ist, illegal persönliche Daten von Kunden großer Internetplattformen zu erwerben.

Mit den Kontodaten einer fremden Person kann er jetzt ganz einfach auf Zalando Schuhe kaufen und bezahlen. Besonders absurd: Nach dem Kauf der geknackten Zalando-Daten inklusive eines fremden Passworts, bewertet der Käufer die illegalen Dienste des Verkäufers mit Sternchen, genauso wie man es von Internet-Plattformen kennt. So kann später jeder Darknet-Nutzer sehen, welche Verkäufer besonders zuverlässig mit fremden Passwörtern handeln.

Das Potenzial, Opfer von Hacking-Angriffen zu werden, scheint unerschöpflich. Schrödel führt live vor, wie er für Trickbetrüger-Anrufe jede beliebige Telefonnummer simulieren kann, um Seriosität vorzugaukeln. Er zeigt, wie schnell smarte Spielzeuge mit WLAN-Verbindung zu manipulieren sind – mit teils schwerwiegenden und gefährlichen Folgen für Kinder.

Und er macht klar, wie schnell jeder Hacker vierstellige PIN-Nummern von Handys knacken kann. Sein Tipp für alle, die ab sofort das Thema IT-Sicherheit ernster nehmen wollen: „Benutzt sichere Passwörter, die lang genug sind und über Sonderzeichen und Zahlen verfügen. Ändert regelmäßig eure Passwörter. Und wenn euch etwas komisch vorkommt, traut euch es zu sagen und es zum Beispiel dem IT-Beauftragten eures Unternehmens zu melden.“

Das Live-Hacking-Event „Ich glaube, es h@ckt!“ wurde von der Stabsstelle Informationssicherheit der Universität Siegen veranstaltet, um für das Thema IT-Sicherheit zu sensibilisieren.

Massenphänomen Identitätsbetrug

Identitätsbetrug wird im Internethandel zu einem immer größeren Problem. Jährlich gibt es etwa zwölf Millionen Fälle – ein finanzieller Schaden in Milliardenhöhe. Nur ein kleiner Teil davon wird bei der Polizei angezeigt.

Jedes Mal, wenn ein Krimineller einen Teil Ihrer persönlicher Daten abgreift und unerlaubt zu seinem eigenen Vorteil nutzt, spricht man von einem Identitätsbetrug. Manchen Betrügern reichen Ihr Name und Ihr Geburtsdatum, um in Ihrem Namen Betrugsdelikte zu begehen.

Man unterscheidet zwischen Betrug im Bekanntenkreis, bei dem jemand die Identität von Bekannten, Freunden und Familie missbraucht, dem Betrug durch Kleinkriminelle, bei dem ein Einzeltäter eine fremde Identität nutzt, und dem organisierten Verbrechen, bei dem Banden fremde Identitäten im großen Stil veruntreuen.
Wie kommt ein Krimineller an meine Daten?

Die Möglichkeiten eines Kriminellen, an Ihre Daten zu gelangen, sind endlos. Manche davon sind ganz altmodisch: ein potenzieller Betrüger fischt Briefe aus Ihrem Briefkasten, sieht Ihre Adresse im Telefonbuch oder im Firmenregister, oder schreibt Ihren Namen vom Klingelschild ab.

Eine weitaus größere Fundgrube ist das Internet: Soziale Netzwerke stellen für Betrüger einen wahren Datenschatz dar. Auch die sogenannten Phishingmails liefern Betrügern ausgezeichnete Ergebnisse. Über sie werden Log-in-Daten, Kontodaten oder Kreditkartendaten erfragt oder es wird ein Trojaner auf Ihrem Computer installiert, der mitliest, wenn Sie sich beim nächsten Mal in Ihr Online-Banking einloggen.

Daten können auch abgegriffen werden, wenn Sie an Gewinnspielen teilnehmen oder bei Tests wie „Bin ich ein rosa oder ein blaues Einhorn?“ Ihre personenbezogenen Daten angeben. Sie sollten sich immer die Frage stellen, welchem Zweck die Datenerhebung dient. Meine Kollegin Janine Gleichmann aus der RatePAY-Risikoabteilung warnt regelmäßig: „Wenn ein Angebot nichts kostet, zahle ich meist mit meinen Daten.“

Ist ein Betrüger erst mal im Besitz Ihrer Daten – entweder, weil er sie sich selbst beschafft hat oder weil er sie im Darknet gekauft hat –, bestellt er im Internet Waren auf Ihren Namen oder schließt Verträge in Ihrem Namen ab. Die Datenvielfalt im Darknet reicht von Log-in-Daten für E-Mail-Accounts über Adressdaten bis hin zu Kreditkarten, Kontodaten oder PayPal-Accounts. Die Preisspanne richtet sich nach dem Aufwand der Beschaffung und der Qualität der Daten. Betrugsbanden gehen hier ähnlich wie Unternehmen betriebswirtschaftlich vor und setzen Kosten und Nutzen der Daten ins Verhältnis.
Wie erkennen Onlinehändler, dass ein Betrüger am Werk ist?

So ärgerlich es für Betroffene ist, wenn sie Opfer von Identitätsbetrügern geworden sind – den finanziellen Schaden hat meist der Händler. In den allermeisten Fällen erhält der Geschädigte sein Geld zurück, wenn etwas schiefgelaufen ist. Deswegen setzen Händler alles daran, Betrüger so früh wie möglich aufzuspüren.

Große Händler, aber auch Zahlungsdienstleister wie wir, die Onlinehändler gegen Zahlungsausfälle absichern, prüfen schon in Echtzeit, ob bei einer Bestellung ein Betrugsfall vorliegen könnte. Dabei spielt die Mustererkennung bzw. Plausibilitätsprüfung eine große Rolle. Indizien können sein: Abweichung von Kundendaten in mehreren Bestellungen, mehrere Kunden mit den gleichen Daten, bewusstes Umgehen des Warenkorblimits, eine ungewöhnliche Lieferadresse oder ein verdächtiger Bestellzeitpunkt.

Aber auch der Inhalt und der Bestellwert eines Warenkorbs sind oft aufschlussreich. Betrüger kaufen bestimmte Produktgruppen wie Handys, Spielekonsolen, Kleidung und Sneakers im großen Stil, manchmal auch Socken einer bestimmten Marke – also Waren, die man schnell weiterverkaufen kann und wenig Lagerkosten verursachen. Eine Schrankwand ist eher unhandlich. Wobei wir auch schon einen Betrugsfall hatten, der sich um einen Whirlpool drehte.

Viele Betrugsfälle werden aber erst kurz nach dem unmittelbaren Bestellzeitpunkt entdeckt. Um Händler und Kunden trotzdem vor dem Betrüger zu schützen, werden die der Bestellung nachgelagerten Prozesse technisch immer stärker miteinander verknüpft, sodass ein Paket auch noch im allerletzten Moment aus der Lieferkette gefischt werden kann. Insbesondere die großen Logistikdienstleister bieten mittlerweile Services zur Paketrückholung an.

Ein großes Einfallstor für Identitätsbetrüger sind die immer neuen Kundenservices von Lieferanten und Händlern. Janine Gleichmann aus der RatePAY-Risikoabteilung sagt: „Beim Thema Identitätsdiebstahl kollidiert Kundenzufriedenheit mit Risikoprävention. Services wie Expresslieferungen, Packstationen, Paketweiterleitungen oder Lieferungen direkt ins Restaurant machen es Betrügern relativ leicht, unter einem anderen Namen Waren zu bestellen und dann selbst in Empfang zu nehmen.“
Wie schütze ich mich und was tun, wenn es zu spät ist?

Einen hundertprozentigen Schutz gegen Identitätsbetrug gibt es leider nicht. Um dem Missbrauch der eigenen Identität vorzubeugen, lautet der Rat vom Cybercrime-Experten Vincent Haupert: „Vertrauen Sie Ihrem gesunden Menschenverstand. Gehen Sie sparsam mit Ihren Daten um, auch in sozialen Netzwerken. Nutzen Sie unterschiedliche und sichere Passwörter. Seien Sie skeptisch bei Mails und Internetseiten, bei denen sie zur Dateneingabe aufgefordert werden – auch wenn es nur wenige Daten sind. Halten Sie Ihre Virenschutzprogramme aktuell. Und die Augen in der Nachbarschaft offen: Wenn jemand ein Päckchen bei Ihnen abholen möchte, lassen Sie sich den Ausweis oder zumindest den Lieferschein zeigen. Gerade in Städten oder großen Wohnhäusern geben sich Betrüger gerne als Nachbar aus.“

Sollten Sie doch Opfer eines Identitätsbetrügers geworden sein und Ihr Geld zurückbekommen wollen, ist der Aufwand leider recht groß, da Täter oft gleich an mehreren Stellen zuschlagen: Sie müssen Anzeige bei der Polizei stellen und dann jeden Händler, jede Bank und jede Auskunftei einzeln informieren. Und das nach jeder einzelnen Forderung bzw. Mahnung, die Ihnen zugestellt wird. Also gehen Sie lieber sparsam mit Ihren Daten um.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

code