Identitätsdiebstahl – oder: Wenn jemand anderes in Ihre digitale Haut schlüpft

„Identität gestohlen, Waren im Wert von 20.000 Euro bestellt“ – diese oder ähnliche Meldungen lesen wir immer wieder in den Nachrichten und denken, dass uns das nicht passieren könnte. Identitätsdiebstahl findet aber weitaus häufiger statt als man aufgrund der vereinzelten Meldungen vermutet. Die sehr hohe Zahl von jährlich rund 270.000 gehackten E-Mail-Konten und ebenso vielen Accounts bei Handelsplattformen in Deutschland verdeutlicht, dass diese meist sehr schwerwiegenden Diebstähle keine Einzelfälle sind.

Das Ponemon Institute hat in den USA noch höhere Zahlen festgestellt: Von mehr als 1,8 Mio. US-Amerikanern wurden die medizinischen IDs gestohlen, um sich Zugang zu Medikamenten oder medizinischen Dienstleistungen zu verschaffen. Nun ist die Gefährdung der medizinischen Daten aufgrund unseres Gesundheitssystems nicht ganz vergleichbar, die Methoden der Hacker sind aber durchaus ähnlich.

Auch in den USA werden die meisten Daten über gefälschte Websites und Spam-Mails abgegriffen. Wahrscheinlich haben auch Sie schon zahlreiche schlecht übersetzte Mails von Banken oder Online-Services, die Sie noch nie genutzt haben, in Ihrem Spam-Ordner gefunden. Aber die Trickbetrüger werden immer besser und im Netz sind etliche gefälschte Websites zu finden, die den echten bis ins Detail gleichen. Gibt man auf einer solchen Website nun seine Benutzerdaten ein, landen die Daten bei den Betrügern. Oft wird man „aus Sicherheitsgründen“ zusätzlich dazu aufgefordert, sein Geburtsdatum oder ähnliche persönliche Daten einzugeben – so erhalten die Betrüger neben den Login-Daten auch gleich noch die passenden personenbezogenen Informationen.

Über dieses Verfahren können sowohl Online-Banking-Konten als auch Accounts von Social Networks (die in ihren Benutzerprofilen wieder weitere Daten beherbergen), Shopping-Seiten oder Auktionsplattformen gehackt werden. Diese Angriffe sind weniger aufsehenerregend als die Hacks ganzer Benutzerdatenbanken, aber dennoch sollte diese Gefahr nicht vernachlässigt werden, denn Tag für Tag klicken Tausende Nutzer in Deutschland auf bösartige Links und geben ihre Daten auf den gefälschten Websites ein. Zudem merken sie es vielleicht erst Wochen später, wenn die Kreditkartenrechnung die verheerenden Folgen offenbart. Schützen können sich Anwender davor nur durch besondere Vorsicht: Sie sollten genau auf den Absender achten, überprüfen, ob die Bank/das Portal generell Emails verschickt und gegebenenfalls per Telefon überprüfen, ob sie überhaupt digitale Post erhalten sollten. Im Zweifelsfall hilft auch ein einfacher Trick: User sollten nicht auf den Link klicken, sondern die Seite des Portals oder der Bank im Browser aufrufen und auf die Verifizierung der Website achten.

Wenden wir uns nun einem anderen Fall zu, bei dem Daten in großem Stil von Unternehmen gestohlen werden (die Attacken auf die Großbank JPMorgan Chase und der Spamhaus-Angriff sind gute Beispiele): Laut dem IT-Sicherheitsunternehmen Kaspersky Lab kostet ein Cyberangriff ein Großunternehmen im Schnitt 1,8 Millionen Euro. Diese horrende Summe umfasst Kosten für die Beseitigung des Datenlecks, die Beratung durch externe IT-Spezialisten und Honorare für Anwälte sowie Investitionen in Präventivmaßnahmen, die weitere Angriffe verhindern sollen.

Besonders interessant daran: Nur knapp 170.000 Euro der durchschnittlich 1,8 Millionen werden für präventive Maßnahmen aufgewendet. Präventivmaßnahmen umfassen Investitionen in die Software und Hardware oder die Schulung von Mitarbeitern.

Wie wir schon in unserem Blogbeitrag zum Data Breach Investigations Report betont haben, beinhaltet IT-Sicherheit auch immer eine menschliche Komponente. Viele Datenlecks kommen demnach aus Versehen zu Stande. Die Sensibilisierung von Mitarbeitern und die Umsetzung von Richtlinien durch motivierte und geschulte Mitarbeiter tragen maßgeblich zur IT-Sicherheit bei.

170.000 Euro sind knapp 10 Prozent von 1,8 Millionen Euro. Als Konzern sparen Sie also ungefähr 1,6 Millionen Euro, wenn Sie Geld in Präventivmaßnahmen wie Soft- und Hardware und die Schulung von Mitarbeitern investieren. Der Imageverlust ist dabei noch nicht eingerechnet. Investieren Sie also in umfassende Sicherheitslösungen, die Ihnen neben DDoS Mitigation, Netzwerk- und Applikationsfirewall weitere spezifische Funktionen im Hinblick der Thematik Identitätsdiebstahl anbieten, zum Beispiel:

· Web-Anti-Fraud-, Anti-Phishing und Anti-Malware-Lösungen, um sich vor Betrug und Diebstahl geistigen Eigentums zu schützen und zu jeder Zeit, von jedem Gerät und Ort aus einen sicheren Zugriff auf Daten und Anwendungen zu gewährleisten.

· In eine Remote-Access-Lösung, die Authentifizierung und Authorisierung übernimmt und eine vereinheitlichte und dynamische Zugangskontrolle darstellt.

Sie können dann besser schlafen. Und Ihre Kunden werden es Ihnen danken. Auch wenn sie im Idealfall nie von Ihren Sicherheitsmaßnahmen erfahren.