Geschichten, die das Leben schreibt: Identitätsdiebstahl – Eine Frage der Ausdauer

Später Nachmittag: Ich bin vollkommen in einem Projekt vertieft, dessen Abgabetermin mir schon im Nacken sitzt, als das Telefon klingelt. Meine Hand greift im Reflex zum Hörer und klemmt ihn zwischen Schulter und Ohr, um weitertippen zu können.

„Hallo? Hier Palmer.“

„Guten Tag. Meine Name ist Charlie. Ich rufe wegen einer wichtigen persönlichen Geschäftsangelegenheit an. Könnte ich bitte mit Herrn Palmer* sprechen?“

Fataler Irrtum! Wenn auch verständlich, schließlich ist Kerry mit „y“ eigentlich die Schreibweise der männlichen Form. Der falschen Annahme nach, Kerry Palmer sei ein Herr – und auch wegen seines Akzentes – scheint es sich um einen ausländischen Callcenter-Mitarbeiter zu handeln. Glaube ich zumindest.

Ich seufze.

„Hier gibt es keinen Herrn Palmer. Außerdem habe ich zu tun. Auf Wiederhören.“

Vor einigen Jahren hatte ich mich bereits in das „Do Not Call“-Verzeichnis (in Deutschland Robinsonliste genannt) eintragen lassen. Und ich bin gnadenlos, wenn das ignoriert wird.

Später am Abend ruft Charlie erneut an. Diesmal fragt er nach Frau Palmer. Auch wenn ich schon etwas skeptisch bin, gebe ich ihm die Möglichkeit, den Grund für seinen Anruf zu erklären.

„Ich rufe wegen einer wichtigen persönlichen Geschäftsangelegenheit an“, sagt er erneut. Ich ignoriere zunächst den begrifflichen Widerspruch.

„Als Erstes muss ich sicherstellen, ob ich mit der richtigen Person spreche. Frau Palmer, Sie wurden am 7. Juni* geboren, ist das richtig?“

„Ja.“

„Sehr gut. Aus Identifizierungsgründen muss ich jetzt noch Ihr Geburtsjahr bestätigen.“

Heute hat Charlie kein Glück. Ich arbeite seit Jahren in der Medienbranche und habe in letzter Zeit viel über Datenschutzrichtlinien weltweit geschrieben.

„Diese Information kann ich Ihnen nicht geben. Aber Sie sollten das ja in Ihren Unterlagen haben. Woher rufen Sie noch einmal an?“

Gehen wir davon aus, es war Smart Business Solutions. Es ist auch nicht wichtig. Ich hatte noch nie von dem Unternehmen gehört.

„Ich rufe wegen einer wichtigen persönlichen Geschäftsangelegenheit an. Aber bevor wir fortfahren können, muss ich Ihre Identität bestätigen.“

Es war ein langer Tag. Ich mache mir Sorgen, meinen Abgabetermin nicht zu schaffen, und ich mache mir noch mehr Sorgen um die Gesundheit meines Lebensgefährten. Anrufe, wie dieser, können dann schon einmal das Fass meiner Geduld zum Überlaufen bringen.

„Wie kann eine geschäftliche Angelegenheit gleichzeitig persönlich sein?“, frage ich, diesmal die Verwunderung in meiner Stimme kaum unterdrückend. „Es ist entweder das eine oder das andere. Und nein, ich werde Ihnen mein Geburtsjahr nicht sagen. Sagen Sie es mir.“

„Ich darf Ihnen diese Information nicht geben. Ich weiß ja nicht, ob Sie wirklich Frau Palmer sind.“

„Nun, dann hat es wohl keinen Sinn, das Gespräch fortzusetzen. Auf Wiederhören.“

Ich lege erneut auf.

… aber Charlie bleibt hartnäckig

In den nächsten Tagen und Wochen ruft „Charlie“ Dutzende Male erneut an. Das Seltsame daran? Er scheint jedes Mal einen geringfügig anderen Akzent zu haben. Außerdem kann er sich offensichtlich nicht an unsere anderen Gespräche erinnern. Einige Male hänge ich recht schnell wieder auf. Langsam fühle ich mich wirklich bedrängt und offen gestanden sogar etwas paranoid. Warum werde ich immer wieder angerufen? Nimmt das irgendwann ein Ende?

Einmal – ich hatte einen guten Tag ohne größere Zwischenfälle und war besonders guter Laune – saß mir der Schalk im Nacken und ich probierte eine andere Taktik aus.

„Würden Sie mir bitte mehr über diese wichtige persönliche Geschäftsangelegenheit erzählen?“

„Es tut mir leid, aber zunächst müssen Sie mir Ihr Geburtsjahr geben.“

Ich legte erneut auf. Am nächsten Tag ruft er wieder an.

„Entschuldigung, aber ich habe jetzt keine Zeit. Rufen Sie mich in einer halben Stunde noch einmal an.“

Unglaublich, aber es scheint derselbe Charlie zu sein, der mich anruft. Diesmal hört er sich jedoch frustriert an. Geschafft! Ich gönne mir etwas Genugtuung.

„Hören Sie, ich weiß viel über die Datenschutzgesetze in diesem Land und ich bin keinesfalls dazu verpflichtet, Ihnen meinen Geburtsjahr mitzuteilen. Aber wenn Sie mir sagen, was in Ihren Unterlagen steht, kann ich Ihnen die Daten gerne bestätigen.“

„1986?“, fragt er zögerlich.

„Tja, Charlie, Pech gehabt. Auf Wiederhören.“

Ich lege auf – mit gewisser Freude, dass ich soeben um ungefähr 10 Jahre jünger gemacht wurde.

Spätestens jetzt dürfte klar sein, dass „Charlie“ mit mir nicht weit kommt. Aber ich bewundere „seine“ Beharrlichkeit. Er hat mir sogar eine Nachricht auf meinem AB hinterlassen, in der er mir noch einmal seinen Namen und die Firma nennt und mich um Rückruf auf einer kostenfreien Nummer bittet. Sie klingt jedenfalls legitim.

Aus purer Neugier wähle ich die Nummer. Wie nicht anders zu erwarten, wird mir von einer automatischen Ansage mitgeteilt, dass die Nummer falsch oder außer Dienst ist. Hier zeigt sich, wie weit das Theater (oder die Verzweiflung) geht, wenn es um Identitätsdiebstahl geht.

Identitätsdiebstahl ist eine Form von Betrug. Dabei werden mithilfe der Identität einer anderen Person Geld gestohlen, nicht genehmigte Käufe über deren Bankkonten getätigt, Kredite aufgenommen oder andere illegale Geschäfte in deren Namen durchgeführt. Wenn Ihnen der Betrüger (Scammer) persönliche Informationen entlockt, heißt das Phishing. Es ist eine der häufigsten Arten von Identitätsdiebstahl.

Ich selbst bin vorsichtig, welche persönlichen Daten ich online weitergebe. Die einzigen Informationen, die ich über mich preisgebe, sind welche, die ich auch unbesorgt bei einem Interview im Radio, Fernsehen oder für die Zeitung ausplaudern würde. Ich bin auch extrem penibel, wenn es um die Sicherheitseinstellungen der von mir genutzten sozialen Netzwerke geht. Mein Geburtsjahr oder meine Anschrift sind beispielsweise Informationen, die ich nie angebe.

Es war offensichtlich, dass Charlie nach Strohhalmen griff. Er kannte meinen vollen Namen sowie meinen Geburtstag und -monat (wahrscheinlich von Facebook). Jetzt wollte er die Lücken füllen. Ich schwankte zwischen Wut und Frustration. Charlie war so unglaublich hartnäckig. Viele Scammer und Identitätsdiebe nutzen automatisierte Anrufsysteme. Doch Charlie war immer eine echte Person am anderen Ende der Leitung, sodass er eben auch ab und zu frustriert reagierte. Eines Tages sagte er mir mit Verzweiflung in der Stimme:

„Sie haben hohe Schulden. Ich wurde von meinem Kunden autorisiert, diese Schulden bei Ihnen einzutreiben.“

Für einen – sehr kurzen – Moment hatte ich einen Kloß im Hals, doch dann übernahm wieder mein Verstand.

Wenn Charlie nur sehen könnte, wo ich arbeite: allein in meinem kleinen Heimbüro in der Garage für eine Handvoll Kunden, die inzwischen gute Freunde von mir sind.

„Das ist nicht möglich. Ich glaube Ihnen nicht.“

Charlie hatte einfach nur Pech, eine von Anfang an misstrauische Person wie mich am Hörer gehabt zu haben. Das erklärt aber nicht, warum „er“ – in all seinen Erscheinungen – so beharrlich war. Wäre ich ein typischer Computernutzer, wäre ich vielleicht darauf hereingefallen oder hätte mich einschüchtern lassen.

Zum Glück hat Charlie nicht noch einmal angerufen. Es bleibt also weiterhin unklar, warum er es auf mich abgesehen hatte. Ich werde es wohl nie erfahren. Aber ich bin nicht die Einzige.

Identitätsdiebstahl als das am schnellsten zunehmende Verbrechen

Laut der US-Verbraucherschutzbehörde Federal Trade Commission ist Identitätsdiebstahl die am schnellsten wachsende Form des Verbrechens (laut Bericht auf scambusters.org). Experten schätzen, dass allein in den USA jedes Jahr 10 Millionen Menschen von dem Betrug betroffen sind. Das sind 19 Personen pro Minute. Identitätsdiebstahl habe dem US-Justizministerium zufolge sogar den Drogenhandel als häufigstes Verbrechen verdrängt, heißt es bei scambusters.org weiter.

Selbst in einem kleinen Land wie Neuseeland, wo ich derzeit wohne, werden jährlich 133.000 Neuseeländer Opfer von Identitätsdiebstahl. Die hiesige Wirtschaft kostet der Identitätsbetrug (wozu auch das Erschaffen falscher Identitäten gehört) jedes Jahr 209 Millionen Dollar. Die neuseeländische Regierung merkt dazu an, dass Identitätsdiebstahl aufgrund seiner Natur (das Verbrechen kann im Ausland oder online verübt worden sein) nur sehr schwer nachverfolgt und Kriminelle – wenn überhaupt – erst viel später dafür belangt werden können. Doch auch, wenn es sich um ein globales Problem handelt, glaubt die Regierung, dass Neuseeland besonders anfällig ist. Da wir anderen Personen schnell vertrauen, gilt das Land als ein leichtes Ziel. Die Abteilung für innere Angelegenheiten von Neuseeland betont daher, wie wichtig bewusste Wachsamkeit und Vorsicht sind. Das gilt insbesondere in Zeiträumen, in denen Steuern oder andere Abgaben fällig werden.

Neue Sicherheitsmaßnahmen zur Vorbeugung von steuerlichem Identitätsbetrug

Forbes meldete kürzlich, dass etliche US-Staaten (wie North Dakota oder Illinois) für dieses Jahr Verzögerungen bei der Bearbeitung von Steuerrückerstattungen angekündigt haben – wohl auch, um steuerlichen Identitätsbetrug vorzubeugen. Der Internal Revenue Service (IRS – Bundessteuerbehörde) hat laut einem Bericht für das Steuerjahr 2015 163.087 gefälschte Erklärungen ermittelt, für die insgesamt über 908,3 Millionen USD zurückgefordert wurden. Zum Glück konnte letztes Jahr die Auszahlung für ungefähr 787 Millionen USD (86,6 Prozent) der betrügerischen Forderungen gestoppt werden.

Für 2016 hat der IRS neue Sicherheitsmaßnahmen eingeführt, durch die Betrüger nicht mehr so leicht die Konten der Steuerzahler übernehmen können. Als Verbraucher oder Kunden sind wir damit durchaus berechtigt, derartige Maßnahmen auch bei anderen Organisationen einzufordern. Zu den Maßnahmen gehören:

• Neue Kennwörter für den Zugriff auf Steuersoftware erfordern standardmäßig mindestens acht Zeichen bestehend aus Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen.
• Neue zeitbasierte Abmeldefunktion und limitierte Anzahl an fehlgeschlagenen Anmeldeversuchen
• Ergänzung von Sicherheitsfragen
• Unabhängige Bestätigungen der E-Mail-Adresse, in denen dem Kunden per E-Mail oder SMS eine PIN zugesendet wird – ein im gesamten Finanzsektor übliches Verfahren.

Im Rahmen der Tax Identity Theft Awareness Week in den USA (25. bis 31. Januar 2016) veröffentlichte We Live Security eine nützliche Liste, wie Verbraucher und kleine Unternehmen sich vor steuerlichem Identitätsdiebstahl schützen können.

Dokumenten- und Informationsdiebstahl hat neben Phishing viele weitere Formen: Beim Hacken beispielsweise erhalten Betrüger über eine Sicherheitslücke in Ihrem Computer, Mobilgerät oder Netzwerk Zugriff auf Ihre Informationen. Malware und Ransomware ist wiederum bösartige Software, die auf dem Computer des Opfers installiert wird und damit Kontrolle über alle Dateien ermöglicht. Und genau wie diese Bedrohungen lässt sich auch Phishing durch Sicherheitssoftware vermeiden. Emsisoft Anti-Malware verfügt beispielsweise über einen integrierten Internetschutz. Wir pflegen ein Verzeichnis mit allen betrügerischen Websites weltweit, deren Existenz bekannt ist – so auch die im aktuellen Phishing-Betrug zu Google Drive involvierten Seiten. Diese Datenbank wird mehrmals täglich in der Emsisoft Anti-Malware aktualisiert. Wenn Sie also unsere Software nutzen und eine der bösartigen Seiten aufrufen, wird Ihnen der Zugriff darauf blockiert.

Kennwörter regelmäßig überprüfen

Sie selbst können auch einige Dinge beachten, um Betrügern den Diebstahl Ihrer persönlichen Daten zu erschweren.

Beim Schutz Ihrer persönlichen Daten sollten Sie nicht nur mit den Informationen vorsichtig umgehen, durch die ein Betrug erst möglich wird (insbesondere das vollständige Geburtsdatum), sondern unbedingt auch ihre Kennwörter regelmäßig aktualisieren. Wie so viele Leute habe ich in der Vergangenheit gerne dieselben Kennwörter für verschiedene Konten verwendet. Jetzt wo ich diesen Artikel schreibe, wird mir wieder einmal bewusst, dass ich verschiedene Kennwörter einrichten sollte. Wenigstens nutze ich Kombinationen aus Buchstaben, Zahlen und Sonderzeichen, anstatt leicht zu erratende Kennwörter zu verwenden. (Für einen kleinen Lacher zwischendurch schauen Sie doch mal in die Liste der schlechtesten Kennwörter 2015 von Splash Data.)

Uber- und PayPal-Konten im Auge behalten

Scrambusters.org berichtet, dass gefälschte Abonnements der größte Handybetrug mit Identitätsdiebstahl sind. Sie kosten nicht nur die Vereinigten Staaten jedes Jahr 150 Millionen USD, sondern auch den „Opfern unvergleichliche Strapazen“. Aber das gilt nicht nur für Mobilfunkverträge, sondern auch für alle anderen Onlinekonten. Peer-to-Peer-Plattformen (also direkt zwischen Nutzern), wie Uber oder PayPal, sind besonders anfällig.

Interessanterweise sind Kreditkarten den Betrügern heutzutage weniger wert als derartige Konten.

„Banken und Kreditkarteninstitute haben immer ausgeklügeltere Systeme zur Betrugserkennung, sodass gestohlene Karten schnell nutzlos sind“, erklärte Andras Cser, Finanzanalyst für Forrester, neulich CNBC.

Laut CNBC sind gestohlene Uber-Informationen auf dem Schwarzmarkt im Schnitt für 3,78 USD pro Konto erhältlich. PayPal-Konten – mit garantiert mindestens 500 USD Guthaben – sind 6,43 USD und Facebook-Konten 3,02 USD wert. Im Gegensatz dazu sind im Paket verkaufte Kreditkartendaten gerade einmal 0,22 USD pro Karte wert.

CNBC berichtet weiterhin, dass Uber daher in einigen Märkten eine zweistufige Authentifizierung testet. Wenn sich ein Benutzer also von einem unbekannten Gerät anmeldet, wird er aufgefordert, zusätzliche Daten zur Bestätigung einzugeben. Das ist wahrscheinlich auch einer der Gründe, warum Experten wie Andras Csar überzeugt sind, dass die Zeit der Kennwörter vorbei ist. Schon bald könnten fortschrittlichere Technologien Identitätsdiebstahl vorbeugen.

„Zur Authentifizierung von Benutzern sollten verhaltensbiometrische Lösungen in Betracht gezogen werden – also wie sich der Benutzer verhält, wie er sein Telefon hält, wie groß seine Hände sind und wie stark er die Tasten drückt“, erläutert Cser.

Bis es soweit ist, kann ich Ihnen nur den Tipp geben, Ihre Erlebnisse und Verdächtigungen weiterzugeben. Aus Ihren Erfahrungen können andere lernen. Außerdem lässt sich ein genaueres Profil der kriminellen Aktivitäten erstellen, anhand dem Regierungen und Unternehmen Lösungen entwickeln können. In meinem Fall – ich lebte damals in Australien – meldete ich die Situation auf scamwatch.gov.au. Das ist ein fantastischer Service der ACCC (Australian Consumer and Competition Commission – australische Verbraucherschutz- und Wettbewerbsbehörde). In vielen Ländern gibt es ähnliche Dienste. Geben Sie in Ihrer Suchmaschine einfach Phrasen wie „Betrug melden“ ein, um herauszufinden, wo Sie sich hinwenden könnten. Natürlich können Sie Ihre Erfahrungen auch gern in den Kommentaren unter dem Beitrag teilen.

Weitere gute Möglichkeiten zum Vermeiden von Identitätsdiebstahl finden Sie auch in diesen zwei Blogs, die wir vor einiger Zeit veröffentlicht haben:

• Identitätsdiebstahl durch Hacking: Zugangspunkte, Werkzeuge und Prävention
• Identitätsdiebstahl durch Hacking 2: Mehr Angriffspunkte, mehr Tools und mehr Prävention

*Zum Schutz meiner Daten habe ich für diesen Artikel meinen Nachnamen und mein Geburtsdatum geändert.