loading
Die neuesten Entwicklungen, aktuellsten Erkenntnisse und Expertwissen für die Versicherungswirtschaft.
27 Juli 2018
  |  
profile-img

Goldgrube Identitätsbetrug

Maria Genova ist Forschungsjournalistin und Autorin eines Buches über Identitätsdiebstahl. Sie ist eine gefragte Referentin, wenn es um Datenschutz, Identitätsbetrug und Informationssicherheit geht. Im September 2017 war sie bei den FRAUDtalks zu Gast.

Identitätsbetrug funktioniert so: Betrüger hacken sich in private Computer ein und sammeln Daten des Besitzers, um damit verschiedenste Arten von Unternehmen zu betrügen, zum Beispiel auch Versicherungsgesellschaften.

Mit anderen Worten: Bei dieser Form des Betrugs werden die Daten ehrlicher Bürger missbraucht.

Goldgrube Identitätsbetrug

Als ich mit der Arbeit an meinem Buch begann, war ich wie so viele andere auch einfach eine gesetzestreue Bürgerin, die dachte: „Ich bin für Hacker überhaupt nicht interessant, ich habe nichts zu verbergen.“ Aber für Hacker ist jeder von Interesse. Warum? Im Allgemeinen verschaffen sie sich Zugang zu einem Computer und schauen, welche Daten sie dort finden. Machen wir uns nichts vor: Wir alle speichern interessante Daten mit großen Mengen an persönlichen Angaben auf unseren Computern, zum Beispiel Versicherungspolicen, Ausweiskopien oder Steuererklärungen. Nimmt man diese Informationen zusammen, ermöglichen sie den vollständigen Diebstahl der Identität des Betroffenen. Auch bei zahlreichen Unternehmen sind persönliche Daten über uns gespeichert und können von Hackern gestohlen werden.

Daten sind das neue Gold

Wie verschaffen sich Hacker Zugang zu unseren Computern? Früher waren dazu umfangreiche technische Kenntnisse erforderlich, aber heutzutage kann das eigentlich fast jeder. Kleinkriminelle können sich im Internet eines der zahllosen frei erhältlichen Tools samt zugehöriger Schritt-für-Schritt-Anleitung herunterladen. Die meisten Hacker sind ganz einfach faule Tagediebe, die vor dem heimischen Computer sitzen und das Hacken automatischen Programmen überlassen. Die räumliche Distanz ist dabei kein Problem. So sind unsere Daten zum Beispiel für Russen bares Geld wert. Daten sind das neue Gold.

Einfacher Zugriff auf personenbezogene Daten

Häufig ist es ein Link in einer E-Mail, der Hackern hilft, sich Zugang zu fremden Computern zu verschaffen. Diese sogenannten Phishing-E-Mails werden immer besser. Immer mehr Versionen ohne Rechtschreibfehler, erwecken den Eindruck von bekannten Unternehmen oder Organisationen zu stammen. Sobald man den Link einer solchen E-Mail klickt, hat der Hacker Zugriff. Vor Kurzem berichtete ein Zuhörer, er habe eine solche E-Mail erhalten, aber da er ihr nicht recht traute, öffnete er sie erst am nächsten Tag an seinem Arbeitsplatz: Bingo. So werden ganze Unternehmen gehackt – auch Versicherungsgesellschaften.

Über diesen Umweg verschaffen sich die Hacker zu allem Überfluss auch Zugriff auf Kundendaten. Aus diesem Grunde ist es heutzutage unerlässlich, die eigenen Mitarbeiter über die immer größer werdenden digitalen Risiken aufzuklären und ihnen bewusst zu machen, worauf sie achten müssen. Dies verhindert nicht nur Imageschäden, sondern auch eine Menge Ärger für die Betroffenen. Es kann Geld sparen, denn häufig verschlüsseln Hacker die Daten und verlangen von den betroffenen Unternehmen mehrere Hunderttausend Euro Lösegeld. Und das alles nur, weil ein Mitarbeiter ein einziges Mal auf einen Link geklickt hat.

Sendungsverfolgung

Heutzutage kaufen wir fast alle online ein und das macht uns unmittelbar zu potentziellen Opfern. Häufig bekommt man nach einer Onlinebestellung eine E-Mail mit einer Sendungsnummer eines Paketdienstes. Wer den Link anklickt, ist gehackt! Für die Hacker ist es völlig irrelevant, ob Sie tatsächlich gerade etwas bestellt haben! Es wird einfach eine riesige Anzahl von E-Mail zur selben Zeit verschickt. Somit steigt die Wahrscheinlichkeit, dass einige der Empfänger tatsächlich gerade eine Bestellung getätigt haben und eine solche E-Mail erwarten.

Dasselbe gilt für E-Mails, die Sie gleich nach Ihrer Rückkehr aus dem Urlaub – vermeintlich – von Ihrem Telefonanbieter erhalten. Sie werden darüber informiert, dass Ihre Handyrechnung ungewöhnlich hoch ist. Sie ärgern sich, Sie möchten sich informieren, Sie klicken den Link an – und schon haben die Hacker Zugriff.

Opfer von Identitätsbetrug

Was bedeutet es nun ganz praktisch, wenn Sie gehackt wurden und Ihre persönlichen Daten für Identitätsbetrug genutzt werden? Für mein Buch „Komt een vrouw bij de h@cker“ („Kommt eine Frau zum H@cker“) habe ich mit vielen Betroffenen gesprochen und war überrascht, wie sehr diese unter dem Angriff gelitten haben und wie schwierig es für sie war, alles wieder ins rechte Lot zu bringen. Um eine vollständige Identität zu stehlen wird nicht einmal ein Originalausweis benötigt, es reicht schon eine Kopie, die ein Hacker zum Beispiel von Ihrem Computer oder etwa einer Autovermietung an Ihrem spanischen Urlaubsort gestohlen hat. Und schon nimmt das Unheil seinen Lauf.

Ein Beispiel: Herr Müller erhält einen Anruf von der Polizei, die ihn auf das Revier bittet. Jemand habe in seinem Namen Häuser angemietet, in denen die Polizei Cannabisplantagen gefunden habe. Die Beamten zeigten Herrn Müller die Mietverträge mit seiner gefälschten Unterschrift und einer Kopie seines Personalausweises. Herr Müller bestand darauf, nichts mit der Anmietung zu tun zu haben, doch die Polizei glaubte ihm nicht. Er verlor seine Arbeitsstelle. Selbst als der Fall nach zweieinhalb Jahren aufgrund von Mangel an Beweisen eingestellt wurde, war die Geschichte für Herrn Müller noch nicht zu Ende: Der unrichtige Eintrag in seiner Polizeiakte bedeutete, dass er das für seinen Beruf nötige Führungszeugnis nicht mehr bekommen konnte.

Ein anderes Beispiel von Identitätsbetrug

Mithilfe eines gestohlenen Führerscheins meldeten Betrüger 1.700 Autos auf den Namen des Bestohlenen an. Daraufhin wurden dessen Sozialleistungen gestrichen, weil das Amt entschied, dass sie dem Besitzer so vieler Fahrzeuge nicht zustanden. Der Betroffene konnte in der Folge seine Miete nicht zahlen und wurde obdachlos. Er ging vor Gericht und stritt bis hoch zum Europäischen Gerichtshof für Menschenrechte. Dort endlich wurde – nach 17 Jahren! – zu seinen Gunsten entschieden, und man sprach ihm eine Entschädigung in Höhe von 9.000 € zu.

Data is the new gold

Social hacking

Hacking kann auch genau anders herum funktionieren – über soziale Medien. Es ist kein Problem, mit einem Namen und den zugehörigen öffentlich verfügbaren Informationen ein LinkedIn-Konto zu erstellen und Kollegen der Person dazu einzuladen. Einem Kollegen kann man doch ruhig trauen? Einige Wochen später schickt der Hacker allen „Kollegen“ eine E-Mail mit einem Anhang, der einen Virus enthält. Konten in den sozialen Medien sind häufig sehr leicht zu hacken, ganz einfach weil die Passwörter zu simpel sind. Ein Passwort wie etwa „Endlich18!“ ist nicht schwer zu knacken.

Über die sozialen Medien geben wir sehr viele Informationen über uns Preis, wie zum Beispiel im folgenden Video zu sehen ist.

Identitätsprüfung leicht zu manipulieren

Niederländische Unternehmen nutzen häufig das Geburtsdatum, den Namen und die Anschrift, um die Identität einer Person zu überprüfen. Name, Adresse und Geburtsdatum (Facebook!) sind jedoch sehr leicht online festzustellen, und mithilfe dieser Daten lassen sich dann weitere Informationen wie Finanz- oder Gesundheitsdaten finden. Eine andere Möglichkeit ist es, die bei einem Unternehmen gespeicherte E-Mail-Adresse per Telefon zu ändern: „Seit letzter Woche habe ich eine neue E-Mail-Adresse.“ „Vielen Dank für die Information, ich aktualisiere das sofort in unserer Datenbank.“ Eine Woche später schickt das Unternehmen dann auf Anfrage Ihren Kaufvertrag an die inzwischen in das System eingepflegte falsche E-Mail-Adresse: Ein idealer Datensatz für Identitätsbetrug.

Informationen aus den sozialen Medien lassen sich auch hervorragend nutzen, um maßgeschneiderte Phishing-E-Mails zu erstellen. Weiß der Betrüger, dass Sie Tennis spielen, kann er Ihnen im Namen Ihres Vereins eine Einladungs-E-Mail zu einem Tennisworkshop mit einem Profispieler schicken: „Bitte klicken Sie hier, um sich anzumelden.“ Oder der Betrüger findet auf LinkedIn heraus, wo Sie zur Schule gegangen sind, und im Handumdrehen folgt die Einladung zum Klassentreffen. Der Anhang enthält dann einen Virus, der von den meisten Virenscannern (denen die Hacker fast immer eine Nasenlänge voraus sind) nicht rechtzeitig erkannt wird.

Passwörter: zwei Tipps und ein Bonustipp

Was kann man als gesetzestreuer Bürger tun, um den Hackern das Leben nicht zu leicht zu machen? Achten Sie auf Phishing-E-Mails: Klicken Sie zunächst auf die E-Mail-Adresse des Absenders. Wenn dann eine ganz andere Adresse erscheint, ist Vorsicht geboten. Wenn Sie unsicher sind, gehen Sie mit dem Mauszeiger über den Link in der E-Mail – natürlich ohne ihn anzuklicken. Dann sehen Sie, auf welche Seite der Link verweist.

Die meisten von uns denken sich ein einziges starkes Passwort aus und verwenden es für mehrere oder sogar alle Websites. Das ist jedoch keine gute Idee, denn wenn eine Website gehackt wird und den Betrügern Ihr Passwort in die Hände fällt, können diese es nutzen, um zum Beispiel auf eBay in Ihrem Namen Waren zu verkaufen. Natürlich wird der Verkauf dabei nur vorgetäuscht: Die bezahlten Waren werden nicht geliefert, und Sie als Kontoinhaber stehen als Schwindler da.

Aber es gibt doch so viele Websites, wie kann man sich da für jede ein anderes Passwort ausdenken und merken? Hierzu zwei Tipps:

  1. Verwenden Sie einen Passwortmanager. Das ist ein Softwareprogramm, das für jede Website ein eigenes, sehr starkes Passwort erzeugt. Sie selbst müssen sich dann nur noch ein einziges, sehr langes und damit starkes Passwort für den Passwortmanager merken, in dem die Passwörter für die einzelnen Websites verschlüsselt gespeichert werden, sodass sie einem erfolgreichen Hacker nichts nützen.
  2. Wer sich die Passwörter lieber selber merken möchte, kann sich zum Beispiel ein starkes Passwort ausdenken und für jede einzelne Website einen Buchstaben variieren: Als Grundpasswort nehmen wir (nur als Beispiel) „TolleSeite1!“. Einen bestimmten Buchstaben ersetzen Sie nun jeweils durch einen Buchstaben aus dem Namen der jeweiligen Website. So kann etwa der erste (oder zweite, letzte …) Buchstabe von LinkedIn den vierten Buchstaben Ihres Passworts ersetzen. Ergebnis: „TolLeSeite1!“.

Zum Schluss ein Bonustipp: Wenn Sie Websites mit Bannern aufrufen, kann Ihr Computer infiziert werden, ohne dass Sie irgendetwas anklicken. Hier kann jedoch sehr gut vorgebeugt werden, denn Hacker nutzen Schwachstellen in der Software, die durch regelmäßige Updates behoben werden.

Achten Sie also stets darauf, Updates so schnell wie möglich zu installieren, statt immer wieder auf „Ignorieren“ zu klicken – so sind Sie optimal vor Hackerangriffen geschützt.

Kontakt

Cookie- und Datenschutzerklärung

1    Einleitung

Friss kann Informationen über Ihre Nutzung der Website und der von FRISS angebotenen Inhalte sammeln. Wir legen großen Wert auf den sorgfältigen und vertraulichen Umgang mit Ihren (personenbezogen) Daten. Bei der Verarbeitung Ihrer personenbezogenen Daten halten wir uns an die Datenschutz-Grundverordnung und an Artikel 11.7a des niederländischen Telekommunikationsgesetzes.

1.1  Verantwortlichkeit

Verantwortlich für die Verarbeitung personenbezogener Daten ist die:

FRISS Fraudebestrijding B.V.
Orteliuslaan 15
3528 BA Utrecht
Niederlande

Die Verarbeitung personenbezogener Daten ist bei der zuständigen niederländischen Datenschutzbehörde in ’s-Gravenhage unter der Nummer m00004997 angemeldet.

1.2  Zweck der Verarbeitung personenbezogener Daten

Auf unserer Website können Sie an mehreren Stellen (personenbezogene) Daten in Formulare eintragen. Im Folgenden möchten wir Ihnen erläutern, für welche Zwecke die Daten jeweils verarbeitet werden.

Kontaktformular oder Versand einer E-Mail

Wenn Sie das Kontaktformular auf unserer Website ausfüllen oder uns eine E-Mail senden, verwenden wir die von Ihnen übermittelten (personenbezogenen) Daten ausschließlich für die Zwecke, für die Sie das Kontaktformular ausgefüllt oder uns die E-Mail geschickt haben.

Downloadformular

Wenn Sie Dateien (wie zum Beispiel E-Books , Whitepapers oder Berichte) von unserer Website herunterladen, verwenden wir die von Ihnen übermittelten (personenbezogenen) Daten für einen oder mehrere der folgenden Zwecke:

  • für die Erfüllung eines Vertrags, zum Beispiel um Ihnen das gewünschte Produkt (elektronisches Buch, Whitepaper, Bericht) zuzuschicken;
  • für den Abschluss eines Vertrags, zum Beispiel darüber, telefonisch oder schriftlich Kontakt zu Ihnen aufzunehmen.

Newsletter

Wenn Sie sich auf unserer Website für unseren Newsletter eingetragen haben, verwenden wir Ihre (personenbezogenen) Daten dazu, Ihnen den Newsletter zuzuschicken. Am Ende jedes Newsletters finden Sie einen Hyperlink, mit dem Sie den Newsletter abbestellen können.

Ergänzend zu den von Ihnen selbst an FRISS übermittelten (personenbezogenen) Daten kann FRISS ergänzende Daten sammeln, speichern und verarbeiten, wenn Sie die (Web-)Dienste von FRISS nutzen. Dies betrifft die folgenden personenbezogenen Daten:

  • Informationen über die verwendeten Geräte, etwa eine eindeutige Geräte-ID, die Betriebssystemversion sowie die für den Zugang zu einem Dienst verwendeten Geräteeinstellungen;
  • Informationen über die Nutzung eines Dienstes, zum Beispiel den Zeitpunkt der Nutzung und die Art des genutzten Dienstes;
  • vom verwendeten Gerät bereitgestellte oder von Ihrer IP-Adresse abgeleitete Standortdaten, die während der Nutzung eines bestimmten Dienstes an uns übermittelt werden;
  • aus externen Quellen verfügbare Daten. Friss ist berechtigt, aus öffentlich zugänglichen oder gewerblichen Quellen Informationen über Sie zu beziehen.

1.3  Weitergabe von (personenbezogenen) Daten an Dritte

Ihre (personenbezogenen) Daten werden ohne Ihre Zustimmung nicht an Dritte weitergegeben, es sei denn, dies ist durch gesetzliche Regelungen vorgeschrieben.

1.4  Datensicherheit

FRISS respektiert Ihre Privatsphäre und sorgt dafür, dass personenbezogene Daten vertraulich und mit der größtmöglichen Sorgfalt behandelt werden. Die verarbeiteten (personenbezogenen) Daten werden ausschließlich in gesicherten Datenbanken gespeichert. Diese Datenbanken sind ausschließlich für diejenigen Mitarbeiter von FRISS zugänglich, die diese Daten für ihre Tätigkeit benötigen. FRISS bemüht sich darum, diese Systeme gegen Datenverlust und jede Form der unrechtmäßigen Nutzung und Verarbeitung zu sichern bzw. sichern zu lassen.

1.5  Einsicht in Daten, Korrektur und Löschung von Daten, Widerspruchsrecht

Sie sind jederzeit berechtigt, Ihre von FRISS gespeicherten personenbezogenen Daten kostenlos einzusehen und falls gewünscht zu ändern oder löschen zu lassen. Ferner können Sie der Zusendung von Informationen über die Produkte, Dienstleistungen und Inhalte von FRISS widersprechen. Wenn Sie von einer der genannten Möglichkeiten Gebrauch machen möchten, schicken Sie bitte eine E-Mail an den Datenschutzbeauftragten von FRISS (privacy@friss.eu) oder wenden Sie sich schriftlich an die folgende Adresse:

FRISS | fraud, risk & compliance
Data Protection Officer
Orteliuslaan 15
3528 BA Utrecht
Niederlande

2    Cookies

Bei der Nutzung von Diensten über diese Website können von oder im Namen von FRISS Informationen über Ihr Nutzungsverhalten bezüglich dieser Dienste und anderer Websites gesammelt werden, zum Beispiel mithilfe von Cookies.

Ein Cookie ist eine kleine Datei, die zusammen mit Seiten einer Website verschickt und von Ihrem Browser auf der Festplatte Ihres Computers gespeichert wird. Wir verwenden Cookies, um Einstellungen und Präferenzen zu speichern. Sie können die Verwendung von Cookies in Ihrem Webbrowser deaktivieren.

2.1  Zweck der Verwendung von Cookies

Auf unserer Website nutzen wir Cookies für die folgenden Zwecke:

  • Statistische Erhebungen, um die Nutzung von FRISS-Websites zu analysieren. So können wir die Anzahl der Besucher bestimmen und feststellen, welche Bereiche unserer Website besonders stark nachgefragt sind. Für das Führen und Konsultieren dieser Statistiken nutzen wir Google Analytics. Erläuterungen zu allen von Google verwendeten Cookies finden Sie hier.
  • Wenn Sie das Downloadformular verwendet haben, nutzen wir Cookies für das sogenannte „Targeting“. Mit dem Begriff „Targeting“ meinen wir das Erstellen eines Profils von Ihnen auf Basis Ihres Surfverhaltens auf unserer Website, um danach im Hinblick auf die von Ihnen gezeigten Interessen telefonisch oder per E-Mail Kontakt zu Ihnen aufnehmen zu können und zu prüfen, ob FRISS Dienstleistungen anbieten kann, die für Sie von Interesse sind. Für die Pflege und Konsultation dieser Informationen nutzen wir HubSpot. Erläuterungen zu allen von HubSpot verwendeten Cookies finden Sie hier.

3    Änderung der vorliegenden Cookie- und Datenschutzerklärung

FRISS ist berechtigt, Änderungen an der vorliegenden Cookie- und Datenschutzerklärung vorzunehmen. Änderungen werden jeweils auf dieser Webseite veröffentlicht. Wir empfehlen Ihnen, die Cookie- und Datenschutzerklärung regelmäßig aufzurufen, damit Sie stets über die aktuell geltenden Regelungen informiert sind.

 

Abonnieren