zum Hauptinhalt
„Ermittlungsverfahren gegen Sie“. Unter dem Namen eines deutschen Anwalts versuchten Gauner mit gefakten Droh-Mails viel Geld zu machen. Millionen Internet-Nutzer fragen sich: Kann meine E–Mail, kann meine Internet-Adresse auch gekapert werden? Foto: dpa

© dpa

Wer bin ich? Unter falschem Namen

E-Mail-Klau, Identitäts-Missbrauch – selbst bei bestmöglichem Schutz werden Betrüger weiter Einfallstore im Internet finden.

Dana Halter wird eines Morgens auf dem Weg zum Arzt festgenommen. Die Polizisten werfen ihr schwere Delikte vor, vom Autodiebstahl bis zum Drogenmissbrauch. Keines dieser Verbrechen hat die Frau begangen. Ein Betrüger hatte ihre Identität gestohlen, er hatte sich Zugang zu ihren PINs, Codes und Passwörtern verschafft und in ihrem Namen sein kriminelles Unwesen getrieben. Dana Halter ist zum Glück nur die Hauptperson des Romans „Talk Talk“ des US-Autors T. C. Boyle aus dem Jahr 2006. Das Thema des Buchs, der Identitätsmissbrauch, ist im Internet längst ein sehr reales Problem. Erst vor ein paar Tagen wurden bundesweit massenweise Betrugs-Mails verschickt, die den Empfängern vorgaukelten, der Absender sei der Hamburger Rechtsanwalt Florian Giese (der Tagesspiegel berichtete). Millionen Internet- und E-Mail-Nutzer sind verunsichert und fragen sich: Wie kann ich mich davor besser schützen?

REIZTHEMA: MP3-DOWNLOAD

Diese vermeintlichen Mails vom „Anwalt“machten sich die derzeit herrschende Rechtsunsicherheit zu Nutze, was illegale Downloads von Musik anbelangt. Unter dem Betreff „Ermittlungsverfahren gegen Sie“ wurde den ahnungslosen Empfängern in der Mail vorgeworfen, Urheberrechtsverletzungen im Internet begangen zu haben. Um weiteren Konsequenzen aus dem Weg zu gehen, sollten sie dem „Anwalt Giese“ Geld überweisen. Der allerdings hatte die Mails gar nicht geschrieben und sah sich plötzlich mit einer Flut von Anrufen konfrontiert. Jemand anders hatte sich für den Anwalt ausgegeben, seine Internetadresse, kurz: Domain, täuschend ähnlich kopiert, um sein betrügerisches Unwesen zu treiben. Aus der echten Domain rechtsanwalt-giese.de hatte der Betrüger kurzerhand rechtsanwalt-giese.info gemacht. Klarer Fall: Identitätsmissbrauch.

BEISPIEL ONLINE-BANKING

Das ist kein Einzelfall, sagt Georg Borges. Der Professor für IT-Recht an der Ruhr-Universität Bochum hat für das Bundeskriminalamt (BKA) eine Studie zum Thema Identitätsmissbrauch im Internet verfasst. „Identitätsmissbrauch ist in den vergangenen fünf Jahren zu einem massiven Problem geworden. Und das Niveau wird wohl weiter so hoch bleiben.“ Genaue Zahlen gibt es nicht. Die Internetbetrüger nutzen gefälschte Identitäten für unterschiedliche Zwecke. Am weitesten verbreitet ist diese Art Betrug bei Online-Banking – normalerweise mit dem sogenannten Phishing. Über eine gefälschte E-Mail locken Betrüger Kunden auf eine Webseite, die der einer Bank ähnlich sieht. Wer seine Zugangsdaten eingibt, übermittelt sie unwissentlich den Tätern. Das Bundeskriminalamt und der IT-Branchenverband Bitkom rechnen für 2010 mit einem Anstieg der angezeigten Online-Banking-Betrugsfälle um 71 Prozent. Die Schadenssumme wird bei 17 Millionen Euro liegen. Vor Phishing kann man sich mit relativ einfachen Verhaltensregeln schützen. Geldinstitute wissen, dass E-Mails leicht gefälscht werden können. Sie würden ihre Kunden niemals per Mail auffordern, auf einen Link zu klicken und dort vertrauliche Daten einzugeben. Die echten Bank-Webseiten sind außerdem zertifiziert. In der Adresszeile des Browsers ist links neben der URL ein grünes oder blaues Feld zu sehen. Es zeigt an, dass bei der Übertragung von Informationen das Verschlüsselungsverfahren SSL zum Einsatz kommt.

EINKAUFEN MIT FALSCHEM NAMEN

Die Online-Betrüger sind aber längst nicht nur an Bankdaten interessiert. Sie wollten immer häufiger die komplette digitale Identität des Nutzers, sagt IT-Rechtler Georg Borges. „Da werden unter gestohlener Identität Dinge auf Online-Shoppingportalen bestellt oder Waren auf Auktionsseiten verkauft, die den Käufer nie erreichen.“ Die dafür nötigen Daten liefern die Internetnutzer den Verbrechern meistens selbst, in sozialen Netzwerken wie StudiVZ, Facebook oder Xing. Lutz Neugebauer, Bereichsleiter Sicherheit beim IT-Branchenverband Bitkom, mahnt deshalb zu Zurückhaltung, was das Einstellen persönlicher Informationen ins Internet angeht. „Man kann sich kaum davor schützen, dass Daten missbraucht werden, die im Web öffentlich sichtbar sind. Internetnutzer sollten sich deshalb sehr genau überlegen, welche Informationen sie ins Netz stellen, und in sozialen Netzwerken darauf achten, dass die eigenen Daten nicht für jedermann sichtbar sind.“ Bei sozialen Netzwerken ist es laut BKA-Chef Jörg Ziercke möglich, dass E-Mails-Accounts übernommen und Nachrichten mit betrügerischen Absichten oder schädlicher Software an die Freunde verschickt werden. Hinter der Nachricht eines Freundes vermutet kaum jemand etwas Böses.

KAPERN UND SPAMMEN

Diese Tatsache machen sich auch Spammer zunutze, die fremde E-Mail-Adressen kapern, um ihre Müll-Mails zu versenden. Die Internetforen sind voll von Einträgen, in denen sich Internetnutzer darüber wundern, dass sie Antworten auf Nachrichten bekommen, die sie nie verfasst und abgeschickt haben. Auch über Jürgen Schmidts E-Mail-Adresse werden häufig Spam- und Betrugsbotschaften versandt. Schmidt ist Redakteur beim Computermagazin „c’t“. „Eigentlich kann man sich nicht darauf verlassen, dass der Absender einer E-Mail auch wirklich derjenige ist, für den er sich ausgibt“, sagt er. Absenderadressen werden beim Verschicken von E-Mails nicht überprüft. Der Spamversand unter falscher E-Mail-Adresse funktioniert zum Beispiel über Trojaner. Das sind Programme, die als nützliche Anwendung getarnt auf den Computer gelangen und dann still und leise im Hintergrund ohne Wissen des Besitzers andere Funktionen ausführen – zum Beispiel E-Mails verschicken. Dagegen helfen Virenschutzprogramme oder eine Firewall. Viele Internetnutzer verzichten allerdings darauf, wie die Bitkom erst vor einer Woche auf einer IT-Sicherheitsmesse in Nürnberg bekannt gab. Jeder Fünfte surft demnach ohne Virenschutz-Programm und ein Drittel ohne eine Firewall im Internet.

TIPP: E-MAILS ZURÜCKHALTEN

Prinzipiell ist es weiterhin möglich, sich bei einem großen Anbieter wie Web.de in ein paar Minuten unter einem beliebigen Namen – beispielsweise dem seines oder ihres Erzfeindes – anzumelden und damit Schindluder zu treiben, Mails unter falschem Namen in alle Welt zu verschicken. Es gab und gibt zwar Bestrebungen, Absenderadressen überprüfbar zu machen und den E-Mail-Verkehr dadurch sicherer zu machen. Durchsetzen konnten sie sich bisher nicht. Das Problem sei, so Jürgen Schmidt von „c’t“, „dass all diese Verfahren auf Kryptografie und Zertifikaten beruhen und deshalb eine komplexe, teure Infrastruktur benötigen, die es derzeit schlicht nicht gibt.“ Wenigstens Rechtsanwalt Florian Giese hat nun wieder ruhigere Zeiten ohne Anrufe verwirrter Mail-Empfänger vor sich. Er hat wegen der Sache mit den gefakten Abmahn-Mails Strafanzeige gegen unbekannt erstattet, ohne viel Aussicht auf Erfolg. Auf seiner (echten) Webseite gab er am Mittwoch bekannt, dass die von den Betrügern gefälschte Domain „ra-giese.info“ inzwischen gelöscht wurde, via www.privacyprotect.org, einer Organisation, die die Privatsphäre von Domain-Nutzern sichern möchte. Dafür musste Giese Formulare ausfüllen und sechs Tage warten, bis die Seite inaktiv wurde. Die Löschung von .de-Adressen gestalte sich wesentlich schwieriger. Der Rat des betroffenen Anwalts an alle Domain- und E-Mail-Nutzer: Bei der Domain-Anmeldung seinen Namen wenn möglich mit allen tauglichen Endungen reservieren lassen, wie .de, .com, .net, .info, .biz, .name oder .eu. Eine weltweite Abfragemöglichkeit gibt es im Netz unter www.publicdomainregistry.com. Und: Wer seine E-Mail-Adresse nirgends öffentlich mache, beispielsweise in sozialen Netzwerken, könne davon ausgehen, dass ihn solche betrügerischen Mails auch gar nicht erreichen.

Christian Helten

Zur Startseite

showPaywall:
false
isSubscriber:
false
isPaid:
showPaywallPiano:
false