Digitale Identitäten in Gefahr
Phishing & Co.: Vorsicht nicht nur beim Online-Banking
RUB-Forscher legen erste technische und rechtliche Studie vor
Studie zum Download
Die mehr als 400 Seiten umfassende Studie steht seit dem 8.6. für 14 Tage kostenlos zum Download auf den Internetseiten des BMI unter www.bmi.bund.de
Professionellere Angriffe
Der „Diebstahl“ und der anschließende Missbrauch digitaler Identitäten ist ein noch junges Kriminalitätsphänomen. Identitätsmissbrauch im Internet ist in Deutschland seit 2004 als Phishing im Online-Banking bekannt geworden. „Die Angriffe werden sowohl in der technischen Ausführung als auch in den Angriffszielen professioneller. Ein Ende dieser Entwicklung ist nicht abzusehen“, so die Autoren der Studie. Basierend auf der umfangreichen technischen und rechtlichen Analyse erstellen sie zudem Prognosen für die Zukunft und leiten konkrete Handlungsempfehlungen ab.
Geändertes Täterverhalten
So hat sich zum Beispiel die Vorgehensweise der Täter in den letzten Jahren geändert: Schadprogramme gelangen heute vorwiegend durch Schwachstellen im Betriebssystem bzw. in Softwarepaketen auf die Computer der Nutzer. 2009 wurden die meisten Systeme durch den bloßen Besuch von Internetseiten (sog. "drive-by-infection") und präparierte PDF-Dokumente angegriffen, die diese Schwachstellen ausnutzen. Die Schadprogramme (sog. „trojanische Pferde“) sind in der Lage, auch fortgeschrittene aktualisierte technische Abwehrmaßnahmen zu umgehen. Als Gegenmaßnahmen empfehlen die Autoren unter anderem Standardsicherheitsprogramme (Virenschutzprogramme, Firewall sowie regelmäßige Updates des Betriebssystems und der Anwendungen). Notwendig sei zudem eine umfassende Aufklärung der Internetnutzer.
Risiken und Haftung für Nutzer und Anbieter
Durch Identitätsmissbrauch entstehen erhebliche Risiken für Dienstanbieter im Internet und ihre Nutzer. Die Nutzer haften insbesondere bei unsorgfältiger Aufbewahrung von Passwörtern, PIN etc. oder bei unzureichender Sicherung ihrer PC. Die Autoren schlagen daher vor, die Anforderungen an Nutzer durch einheitliche Verhaltensempfehlungen zu klären und insbesondere im Datenschutzrecht die Pflichten der Dienstanbieter genauer zu bestimmen.
Schwierigkeiten der Strafverfolgung
Identitätsdiebstahl und Identitätsmissbrauch sind umfassend strafbar, so das Fazit der Studie. Allerdings fehlt es an hinreichenden Ermittlungsmöglichkeiten über Staatsgrenzen hinweg. Da die Täter oft aus dem Ausland operieren, fordern die Wissenschaftler eine Intensivierung der internationalen Zusammenarbeit von Strafverfolgungsbehörden.
Pharming, Spoofing, Sniffing
Für die Zukunft prognostizieren die Forscher, dass Identitätsdiebstahl und -missbrauch noch nicht absehbare Formen annehmen werden, da neue Techniken und Plattformen immer neue Angriffsszenarien ermöglichen. Die vorliegende Studie versucht anhand öffentlich zugänglicher Quellen, erstmals einen vollständigen Überblick über den heutigen Stand der Dinge zu geben: Sie erfasst alle von Tätern eingesetzten Angriffsmethoden – etwa Phishing, Pharming (Umleitung der Nutzer auf gefälschte Webseiten), Spoofing (Verschleierung der eigenen Identität in Netzwerken) oder Sniffing (Einsatz von Spionagesoftware). Identitätsdiebstahl und -missbrauch wurden bisher nur in einzelnen Aspekten untersucht. Die Studie erscheint in Kürze auch als Buch im Springer-Verlag.