Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Cyberkriminalität Die Betrugsmaschen der Datendiebe

Cyberkriminelle haben Millionen Nutzern E-Mail-Adressen und Passwörter gestohlen. Der jüngste Fall offenbart einen Blick auf den grassierenden Identitätsdiebstahl. Wie die Datendiebe abzocken – und was Nutzer tun können.
8 Kommentare
Die einen stehlen Daten, die anderen machen daraus Geld: In der Untergrundökonomie herrscht Arbeitsteilung. Quelle: dpa

Die einen stehlen Daten, die anderen machen daraus Geld: In der Untergrundökonomie herrscht Arbeitsteilung.

(Foto: dpa)

Düsseldorf Die schlechte Nachricht hat zumindest Stil. „Sehr geehrte Dame, sehr geehrter Herr“, beginnt die E-Mail, die bei David Herresbach ins Postfach geflattert ist. Darin lässt ihn das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit freundlichen Grüßen wissen, dass Kriminelle offenbar seine E-Mail-Adresse samt Passwort ausspionieren konnten.

Der Test auf der Webseite der Behörde, den derzeit Millionen von Deutschen vornehmen, ergibt ein eindeutiges Ergebnis – und lässt trotzdem viele Fragen offen. „Ist nur das E-Mail-Konto betroffen, oder wurden andere Nutzerkonten von mir geknackt?“, fragt sich Herresbach. Denn es geht um eine Adresse, mit der sich der Düsseldorfer bei Diensten wie Facebook, Ebay und Amazon anmeldet. „Ich sehe die Gefahr, dass jemand anfängt, wild Geschäfte zu tätigen.“

Herresbach ist eines von nach jetzigem Stand mindestens 1,3 Millionen Opfern (Stand: Donnerstagnachmittag). Sie alle sollten so besorgt sein wie der Düsseldorfer. Denn wenn Cyberkriminelle E-Mail-Adresse und Passwort eines Nutzers in die Hand bekommen, können sie im schlimmsten Fall dessen komplette digitale Identität kapern – und beispielsweise auf dessen Rechnung einkaufen. Nicht selten entsteht ein Schaden in vierstelliger Höhe. Nach dem großen Datendiebstahl, rücken die Methoden der Organisierten Cyberkriminalität in den Blickpunkt.

Der Datenfund überrascht Experten nicht. „Das Ausmaß des aktuellen Falls ist außergewöhnlich, aber der Angriff auf E-Mail-Konten und der Missbrauch von Nutzerdaten sind seit Jahren Alltag“, sagt Professor Georg Borges von der Ruhr-Universität Bochum (RUB). Die Kriminellen gehen dort auf Raubzug, wo es viel zu holen gibt – und das Internet durchdringt alle Bereiche des Lebens. Die Angreifer gingen dabei immer professioneller zu Werke, weiß der Jurist, der 2010 an einer umfangreichen Studie zum Identitätsdiebstahl im Internet mitgearbeitet hat.

Das Ausmaß lässt sich nur schwer beziffern. Die Polizei verzeichnete in Deutschland 2012 Cybercrime-Schäden in Höhe von 42,5 Millionen Euro und damit 40 Prozent weniger als im Vorjahr. Bestimmte Phänomene wie das Abfischen von Bankdaten fallen allerdings nicht in diese Kategorie, zudem dürfte die Dunkelziffer hoch sein. Zahlen für den Identitätsklau allein liegen nicht vor. Das BSI warnt aber, dass die Gefahr für Nutzer massiv zunimmt, Identitätsdiebstahl sei „eines der größten Risiken bei der Internetnutzung“.

Tausende Euro Schaden und der Ruf in Gefahr

Die Motive der Datendiebe sind unterschiedlich. Manchmal geht es um Spionage, manchmal um Rache, in den meisten Fällen aber um Geld. Die E-Mail-Adresse ist der Generalschlüssel fürs Internet, wie die 26-jährige Sabrina W., im aktuellen Fall selbst betroffen, gegenüber Handelsblatt Online schildert: „Ich mache mir Sorgen darüber, ob eventuell jemand an meine Kontodaten gekommen ist. An private Bilder oder E-Mails. Meine Amazon-Bestellungen.“ Fazit der Vertriebsmitarbeiterin: „Ich gehöre zu der Generation, deren ganzes Leben in irgendeiner Art und Weise elektronisch festgehalten ist.“

So hat sich um den Datendiebstahl eine florierende Untergrundökonomie entwickelt. Dort herrscht wie im legalen Wirtschaftsleben Arbeitsteilung. Einige Kriminelle seien darauf spezialisiert, Zugangsdaten zu stehlen, etwa indem sie Internet-Seiten mit schädlicher Software präparieren oder infizierte Nachrichten verschicken, sagt Professor Thorsten Holz von der Ruhr-Universität Bochum. In Untergrundforen finden sie Kundschaft. „Der Preis für eine einzelne E-Mail-Adresse mit Passwort liegt im Cent-Bereich. Das ist Massenware“, erklärt der Informatiker.

Andere machen diese Daten auf vielfache Weise zu Geld. Eine beliebte Masche: Die Kriminellen kaufen im Namen des nichtsahnenden Opfers ein. Das geht ganz leicht: „Im elektronischen Geschäftsverkehr reicht ja häufig eine E-Mail-Adresse“, sagt IT-Experte Borges. So können Gangster bei den meisten Online-Händlern oder auch Sozialen Netzwerken ein neues Passwort anfordern. Vielleicht finden sie in den Nachrichten sogar noch eine alte Bestellung, die ihnen zeigt, wo sie es versuchen können.

Im nächsten Schritt ändern die Kriminellen die Lieferadresse. Entweder sie tragen eine Packstation ein, oder sie nennen ein verlassenes Haus. Dorthin lassen sie im Namen des vermutlich ahnungslosen Opfers eine Sendung schicken und fangen sie persönlich ab. Im schlimmsten Fall summiert sich der Schäden auf tausende Euro, wie die Journalistin Tina Groll erleben musste. Sie brauchte Monate, um Inkassofirmen abzuwimmeln und ihren guten Ruf wiederherzustellen.

Vielen ist nicht bewusst, wie anfällig sie sind. Studien zeigen immer wieder, dass Nutzer oft einfach zu erinnernde, aber höchst unsichere Passwörter wählen. Hinzu kommt: „Viele Nutzer verwenden ein Passwort mehrfach – das kann ein Angreifer ausnutzen und weitere Dienste kompromittieren“, sagt Holz.  

Gegen den Datendiebstahl können sich Nutzer nur bedingt wappnen. Aber: „Wenn ich weiß, dass mein E-Mail-Konto gehackt wurde, muss ich schnell handeln“, warnt Jurist Borges. Wer nicht das Konto sperren lasse oder das Passwort ändere, mache man sich womöglich haftbar und müsse für alle Schäden aufkommen. Wenn ein Krimineller im Namen des Opfers teure Elektronik bestellt, geht es womöglich um tausende Euro.

David Herresbach weiß nicht, wie die unbekannten Datendiebe an sein Passwort gelingen konnten. Aber er hat schnell gehandelt. Als gelernter Fachinformatiker weiß er, was zu tun ist. „Ich hoffe, dass es das jetzt war.“ Selbst wenn er den Datenklau unbeschadet übersteht, bleibt aber eines: „Die Erkenntnis, dass man sich wesentlich öfter Gedanken über die Sicherheit im Internet machen sollte.“

Mehr zum Thema IT-Sicherheit und wie Sie Ihre Daten schützen, lesen Sie in unserem eBook „Wie Sie sich gegen Datendiebe wehren“.

Startseite

Mehr zu: Cyberkriminalität - Die Betrugsmaschen der Datendiebe

8 Kommentare zu "Cyberkriminalität: Die Betrugsmaschen der Datendiebe"

Das Kommentieren dieses Artikels wurde deaktiviert.

  • Gut, dass Sie sich Gedanken machen! Wenn jemand allerdings Zugriff auf Ihr Anmelde-Postfach bekommt, kann er die Umleitung ausschalten und die E-Mails abfangen. Falls Sie das Postfach für mehrere Accounts nutzen (z.B. auch für Online-Shops), könnte durchaus ein Schaden entstehen. Oder übersehe ich etwas?

    Christof Kerkmann, Handelsblatt Online

  • Beitrag von der Redaktion gelöscht. Bitte bleiben Sie sachlich.

  • Darf ich fragen, wie Sie gemerkt haben, dass Ihre Daten entwendet wurden?

  • Himmel, dabei ist es so einfach
    Für Anmeldungen im Internet nehm ich nur eine E-Mailadresse, die kein Postfach hat sondern nur eine Weiterleitung auf ein anderes Postfach.
    Die tatsächliche Mailadresse benutze ich nur zum Mailen.
    Wenn nun mein Mailpostfach geknackt wird kann sich mit der Adresse niemand irgendwo anmelden. Umgedreht habe ich kein Kennwort von der Adresse mit der ich mich im Internet anmelde irgendwo anders in Benutzung.

  • Falls die Provider mit den Nutzerdaten sorglos umgegangen sein sollte, ist das ein großes Problem. Allerdings ist noch nicht bekannt, woher die Daten in diesem Fall stammen. Insofern ist noch kein Urteil möglich.

  • Ich würde gern wissen wer dann für den Schaden aufkommt. Die Mailadressen sind doch angeblich auf sicheren Servern. Auch ein aktuell teureres Virenprogramm scheint offensichtlich nicht Wirksam zu sein. Was wird in Zukunft mit der Clout, dem Homebanking und den Planen der Finanzindustrie das Bargeld abzuschaffen. Dann befinden wir uns absolut in der Hand von Staaten, Organisationen, Banken und Kriminellen. Oder sind alle kriminell ?

  • Das eigentliche Problem ist doch, dass Provider offensichtlich sorglos mit Kundendaten umgehen. In diesem Fall wurden doch sicher nicht mehrere Millionen Passwoerter einzeln geknackt, sondern es wurden vermutlich ganze Dateien mit Kundendaten gestohlen. In solchen Faellen ist die ganze Diskussion um sichere Passwoerter am Thema vorbei.

  • Auch wenn man keine Rückmeldung erhält, dass das eigene Mailkonto betroffen ist, sollte man sein Passwort ändern.

    Auch mein Mailaccount wurde im Dezember gehackt. Herausgefunden habe ich das Anfang Januar und dann das Passwort geändert. In der BSI-Liste war meine Mailadresse aber nicht enthalten ...

Serviceangebote