Damit hatte sie nicht gerechnet. Ein simpler Trick hatte ausgereicht: Über eine fiktive Mailadresse, zusammengesetzt aus dem Namen und dem Geburtsdatum des Opfers, hatten die Betrüger monatelang kostspielige Bestellungen bei Versandhändlern aufgegeben.
Zahlreiche Mahnschreiben landeten im Briefkasten der um ihre Identität Betrogenen, einer Journalistin der Wochenzeitung "Die Zeit". Es kostete sie Wochen, mithilfe eines spezialisierten Anwalts den Irrtum bei Auskunfteien und Behörden aufzuklären. "Kafka hätte es nicht besser beschreiben können", so die Autorin in ihrem Artikel über den Identitätsdiebstahl. (Vgl.: http://www.zeit.de/digital/datenschutz/2010-01/identitaetsdiebstahl-selbsterfahrung. ) Ihr Geburtsdatum und ihre Berufsbezeichnung wie früher in sozialen Netzwerken preiszugeben, kommt heute nicht mehr für sie in Frage.
Das Beispiel zeigt, dass auch in Deutschland niemand gefeit ist vor den neuen Formen des Betrugs, die mit dem Internet Einzug in den Alltag gehalten haben. Über elf Millionen US-Amerikaner werden jährlich Opfer ähnlicher Delikte. Die US-Handelsbehörde schätzt, dass so pro Jahr allein in den Vereinigten Staaten Schäden in Höhe von 52 Milliarden Dollar entstehen. Auch in Deutschland versuchen Kriminelle immer häufiger, fremde Identitäten im Netz zu kapern.
Bislang lassen sich die Bundesbürger dadurch die Freude an der Online-Welt nicht verderben: 72 Prozent der erwachsenen Deutschen nutzen das Internet, 42 Prozent kaufen online ein. Laut der Gesellschaft für Konsumforschung lag der bundesdeutsche Umsatz im eCommerce 2009 bei 15,5 Milliarden Euro, so hoch wie noch nie. Gut 70 Prozent der Bürger machen sich allerdings zunehmend Sorgen bei Transaktionen im Netz - sie fürchten, dass auch ihre Identität missbraucht werden könnte.
(Security-Monitor des IT-Dienstleisters Unisys, vgl. http://www.unisys.de/about_unisys/presse/10102701.htm.)
Identitätsdiebstahl: Was ist das? |
Der Begriff des Identitätsdiebstahls wird in der Fachliteratur unterschiedlich definiert. Meist bezeichnet man damit das "unbefugte Sichverschaffen einer Identität": Ein Täter bringt die Identität einer Person in seinen Besitz, also eine Anzahl an Daten, durch die das Opfer in einem bestimmten Zusammenhang eindeutig bezeichnet wird. Dafür nutzen Betrüger zum Beispiel die Kombination aus Name und Kreditkartendaten, Name und Anschrift oder auch Name und Geburtsdatum. Dem Diebstahl folgt häufig der Missbrauch sich mit der Absicht einen finanziellen Vorteil zu verschaffen oder den Ruf des Opfers zu schädigen. Ungefähr ein Drittel aller Identitätsdiebstähle verüben Betrüger auch heute noch in der realen, physischen Welt, indem sie etwa die Daten eines gestohlenen Personalausweises für eigene Bestellungen missbrauchen. In bereits zwei Dritteln der Fälle besorgen siesich die Daten für ihre kriminellen Attacken allerdings im Internet - häufig begünstigt durch einen allzu freigiebigen Umgang der Bürger mit ihren Daten. Die Polizei schätzt, dass Opfer von Online-Identitätsdiebstahl im Durchschnitt etwa 400 Arbeitsstunden investieren müssen, um entstandene Schäden zu beseitigen und weiteren Missbrauch zu verhindern. (Vgl.: http://www.zeit.de/digital/datenschutz/2010-01/identitaetsdiebstahl-selbsterfahrung.) |
Unsicherheiten für Nutzer und Anbieter
Unabhängig davon, ob der Bürger in der Filiale oder via Internet ein Bankkonto eröffnen will: Er muss sich, wie im Geldwäschegesetz und in der Abgabenverordnung vorgeschrieben, eindeutig identifizieren. Entweder legt er seinen Ausweis beim Kreditinstitut vor oder er nutzt das Postident-Verfahren. Wer im Webshop bestellt, gibt seine Identität preis, wer eine Reise bucht, eine Online-Überweisung tätigt oder ein eGovernment-Angebot abruft, ebenso. Aber auch andere Dienste-Anbieter, zum Beispiel soziale Netzwerke und Foren, fordern ihre Kunden dazu auf, persönliche Daten und damit ihre Identität im Internet zu offenbaren. Nicht immer sind all diese Daten wirklich nötig für eine Transaktion.
Besonders großen Wert auf Datenschutz, Datensicherheit und zuverlässige Systeme legen die Menschen bei Online-Transaktionen mit staatlichen Stellen. Nur ein Drittel der Anwender bescheinigt behördlichen Angeboten heute allerdings, dass sie gute oder sehr gute Arbeit beim Datenschutz leisten. Viele bemängeln Medienbrüche bei zahlreichen eGovernment-Angeboten: Einen Antrag zwar online herunterladen und ausfüllen zu können, ihn dann aber doch zur Post bringen zu müssen, empfinden die meisten Menschen als lästig.
Um sich im Netz vor Betrügern zu schützen, braucht der Anwender heute zudem eine Vielzahl von Benutzernamen, wechselnden Passwörtern und PINs. Reisebuchungen und vor allem das Online-Banking werden so zu aufwändigen Prozessen, bei denen Identitäten und Berechtigungen auf hochkomplexe Weise nachgeprüft werden.
Wer rechtsgültige Verträge einfach von zu Hause aus abschließen will, braucht elektronische Signaturkarten und die entsprechende Hard- und Software. Wie anspruchsvoll die Materie ist, belegt allein der Umfang des Signaturgesetzes (SigG), das den rechtlichen Rahmen für elektronische Signaturen absteckt. Vielen Menschen sind solche Verfahren allerdings zu aufwändig. Leicht verlieren sie im Datendschungel den Überblick und machen es Online-Betrügern aus Bequemlichkeit leicht, indem sie als Passwort abwechselnd die Namen von Verwandten oder andere leicht zu erratende Passwörter verwenden.
Umgekehrt fehlen beim eCommerce auch den Anbietern Sicherheiten, zumal die Anschaffung eigener Systeme zur zuverlässigen Identitätsprüfung meist sehr kostspielig ist. Darüber hinaus ist es mit einem sehr hohen Aufwand verbunden, die Systeme zu integrieren. Kein Webshopbetreiber weiß hundertprozentig, ob der junge Mann, der gerade einen Film für Erwachsene bei ihm geordert hat, tatsächlich volljährig ist. Anbieter sind zwar laut Jugendmedienschutz-Staatsvertrag verpflichtet, das Alter ihrer Kunden nachzuprüfen. Ob die eingesandte Personalausweiskopie überhaupt demjenigen gehört, der bestellt hat, lässt sich aber nicht zweifelsfrei verifizieren.
Identität als Grundlage
Was ist Identität? Was macht sie aus, was macht einen Menschen unverwechselbar? Solche Fragen, früher allenfalls unter Philosophen diskutiert, werden vor diesem Hintergrund im Internet-Zeitalter brandaktuell. Laut Definition ist Identität die Kombination derjenigen Merkmale, anhand derer sich ein Individuum von anderen unterscheiden lässt. Identität ist nicht zu verwechseln mit den Rollen eines Menschen im Alltag - als Mitarbeiter, Richter oder Arzt etwa, als Vater oder als User mit einem selbst gewählten Fantasienamen im Netz.
Anders als flexible Rollen bildet Identität die Grundlage für Individualität. Sie ist die Basis dafür, dass Bürger Rechte wahrnehmen und Pflichten erfüllen können, im beruflichen wie im privaten Leben. Man benötigt sie, um Steuernummern, Gesundheits- und Sozialleistungen zu beantragen, um in andere Länder zu reisen oder um in internationalen Unternehmen zu arbeiten. Je mobiler der Mensch, je globaler die Wirtschaftsprozesse, desto dringender braucht der Einzelne Sicherheitsmechanismen zum Schutz seiner Identität.
Um eine Identität zu prüfen, sprich eine Person zu authentifizieren, stehen verschiedene Möglichkeiten zur Verfügung: Entweder die Person weist sich über ihr Wissen aus, etwa indem sie einen Code, ein Passwort oder eine Geheimzahl angibt. Oder sie authentisiert sich über den Besitz eines Gegenstands, zum Beispiel eine Karte, die ihr allerdings nur temporär und willkürlich zugewiesen ist. Die dritte Möglichkeit ist die Authentifizierung durch biometrische Daten - körperliche Merkmale, die man weder weitergeben noch vergessen oder verlieren kann.
Vom Ausweis zur ID-Card
Herkömmliche Ausweisdokumente stoßen heute an ihre Grenzen: Im Netz ist es unmöglich, eine Identität über die physische Vorlage des Dokuments zu überprüfen. Es reicht nicht aus, eine Ausweiskopie anzufordern oder schlicht darauf zu vertrauen, dass die Security Features traditioneller Identitätsdokumente fälschungssicher sind. Ob jemand derjenige ist, als der er sich ausgibt, muss in einem globalen, mobilen und virtuellen Umfeld auf andere Art verifiziert werden.
Technologien, die ohne physische Prüfung sichere Identitäten gewährleisten, werden damit zu Schlüsseltechnologien für die moderne Gesellschaft. Umso mehr, als das Internet sich weiterentwickelt und neue Trends auftauchen: Cloud Computing etwa ermöglicht es Nutzern, über das Internet auf externe Speicherplätze zuzugreifen - was nur dann gefahrlos ist, wenn Unbefugte sich nicht mit falschen Identitäten Zugang dazu verschaffen können.
Für noch mehr Vernetzung und damit einen noch größeren Bedarf an sicheren Identitäten sorgt außerdem der Siegeszug moderner Smartphones. Bereits heute nutzen elf Prozent der Deutschen ein solches Gerät. Im Jahr 2012, so schätzt man, werden mehr als 22 Prozent (GO SMART 2012: Always-In-Touch, Studie zur Smartphonenutzung 2012. Hrsg. Google, Otto Group, TNS Infratest und Trendbüro.) mithilfe ihres Smartphones weltweit Informationen abrufen. Rasant verändert sich auf diese Weise auch der Lebensstil der Nutzer: Stets vernetzt zu sein, gilt als Normalzustand. Fast 70 Prozent der Menschen geben an, dass sie täglich im Internet aktiv sind und so gut wie nie ihr Mobiltelefon ausstellen.(Repräsentative Forsa-Umfrage im Auftrag von BITKOM im November 2010, vgl. http://www.bitkom.org/65912_65908.aspx.)
Umso wichtiger ist es, das Bewusstsein der Bürger für einen sparsamen Umgang mit persönlichen Informationen zu fördern. Herr seiner Daten bleiben und nicht mehr preisgeben als nötig - das ist oberstes Gebot, zumal eine vollständige Daten- und Netzwerksicherheit im World Wide Web niemals gegeben sein wird. Die Mehrheit der Nutzer ist sich dessen bewusst - aber gleichzeitig zunehmend überfordert damit, sich selbst angemessen vor Attacken von Online-Betrügern zu schützen. Nur 37 Prozent verwenden zum Beispiel schwer zu knackende Passwörter und ändern sie regelmäßig. (Security-Monitor des IT-Dienstleisters Unisys, vgl. http://www.unisys.de/about_unisys/presse/10102701.htm.)
Deutschland als Vorreiter
Politik, Wissenschaft und Unternehmen der Hochsicherheitsbranche müssen sich dieser Herausforderung gemeinsam stellen und den Bürgern Lösungen fürs Identitätsmanagement anbieten, die leicht zu handhaben sind. 20 Prozent der Weltbevölkerung sind bereits im Netz, was das enorme Marktpotenzial für sichere elektronische Identitäten verdeutlicht. Das weitere Wachstum im eCommerce hängt ebenso wie die Entwicklung des eGovernments entscheidend davon ab, wie gut es gelingt, Identitäten im Internet möglichst einfach und sicher zu verifizieren.
Bereits in den vergangenen Jahren hat sich der Weltmarkt für ID-Systeme dynamisch entwickelt. Das Marktforschungsinstitut Pira International prognostiziert, dass der Umsatz mit solchen Karten von 1,4 Milliarden Euro im Jahr 2009 auf rund 3,1 Milliarden Euro im Jahr 2014 steigen wird. Das bedeutet ein jährliches Wachstum von etwa 17 Prozent. Allein in Europa sind in den vergangenen Jahren zahlreiche unterschiedliche Lösungen auf den Markt gekommen. Die derzeit zehn unterschiedlichen ID-Konzepte will die Europäische Agentur für Netz und Informationssicherheit (EN ISA) langfristig im Rahmen einer multinationalen eCard-Strategie harmonisieren.
Deutschland gehört im internationalen Vergleich zu den Vorreitern bei der Entwicklung von ID-Systemen und -Karten. Mit dem 2006 beschlossenen Programm eGovernment 2.0 hat die Bundesregierung schon frühzeitig die Weichen gestellt: Seit dem 1. November 2010 können die Bürger der Bundesrepublik Deutschland mit dem neuen Personalausweis eines der weltweit modernsten Ausweisdokumente nutzen. Wie sich der rechtliche Rahmen für seinen Einsatz gestaltet, ist im Personalausweisgesetz (PAuswG) festgelegt. Die neue ID-Karte dient nicht nur als Sichtausweis. Vielmehr wird sie mit ihrer Online-Ausweisfunktion und der Qualifizierten Elektronischen Signatur (QES) zu einer komplett neuen Qualität von Kommunikations- und Transaktionssicherheit im Internet beitragen. Die Bürger können sich ohne großen Aufwand vor Identitätsdiebstahl schützen.
Einzigartig macht den Ausweis, dass er in ein komplexes und hoch sicheres System eingebunden ist. Zentrale Komponente dieses Systems ist, abgesehen von dem Ausweis selbst, der so genannten AusweisApp, den Berechtigungszertifikaten und Sicherheitsprotokollen, vor allem der eID-Service. Er ermöglicht es Unternehmen oder Behörden, die über entsprechende Berechtigungszertifikate verfügen, die auf dem Chip des Personalausweises gespeicherten Daten auszulesen.
In Deutschland dürfen gemäß den im internationalen Vergleich sehr strengen Datenschutzbestimmungen nur Unternehmen, die hohe Auflagen erfüllen, einen eID-Service anbieten. Mit dem akkreditierten Trustcenter D-TRUST stellt zum Beispiel die Bundesdruckerei einen Service bereit, der Erfahrung im Management elektronischer Identitäten besitzt. Statt selbst in den Aufbau eigener Infrastrukturen zu investieren, können Anbieter den Service nutzen, um ihren Kunden den Weg zu mehr Sicherheit im Interne tzu eröffnen.
Dieser Beitrag ist ein Auszug aus dem eID-Service Pocketguide - bereitgestellt mit freundlicher Genehmigung der Bundesdruckerei.