Folgen von Account Takeover

Von fingierten Handyverträgen, gekaperten Ebay-Accounts, übernommenen Twitter-Profilen und angegriffenen Firmenaccounts. Identitätsdiebstahl hat viele Gesichter! Wie es dazu kommen kann, thematisieren wir regelmäßig in unserem Blog. In diesem Beitrag wollen wir ganz untechnisch ein paar Schlaglichter auf die möglichen Folgen von Account Takeover werfen.

Lesezeit:
6 min
Folgen von Account Takeover Image by Freepik

Folgen von Account Takeover

In unserem Blog berichten wir regelmäßig über die verschiedenen technischen Möglichkeiten, einen Onlineaccount zu übernehmen. Wenn ein Onlineaccount einmal übernommen wurde, nennt man das einen Account Takeover. Ein Account Takeover ist die digitale Version des Identitätsdiebstahls. Dabei übernehmen Kriminelle ein Online-Konto, zum Beispiel durch eine unautorisierte Authentifizierung mit gehackten E-Mail- und Passwortkombinationen. In diesem Artikel wollen wir uns etwas untechnisch mit Account Takeover und Identitätsdiebstahl beschäftigen und einige Schlaglichter auf mögliche Folgen werfen.

Identitätsdiebstahl

Account Takeover ist eine spezielle Form des Identitätsdiebstahls. Der Begriff “Identitätsdiebstahl” kommt als solcher im Strafgesetzbuch zwar gar nicht vor, ist aber der gebräuchliche Oberbegriff für verschiedene vergleichbare Phänomene. Dazu zählen unter anderem das “Ausspähen personenbezogener Daten” (§202a) oder die “Fälschung beweiserheblicher Daten” (§269).

Wie bereits erwähnt, ist der Begriff “Identitätsdiebstahl” gesetzlich nicht definiert. Dies liegt vermutlich daran, dass Identitätsdiebstahl aufgrund der engen juristischen Definition von Diebstahl gar kein Diebstahl sein kann. Ein Diebstahl setzt voraus, dass es sich bei dem Diebesgut um eine “bewegliche Sache” handelt, und eine Identität ist mit Sicherheit keine Sache. Und ob sie beweglich ist oder nicht, scheint eher eine philosophische als eine juristische Frage zu sein.

Oft gehen die ersten Gedanken beim Thema Identitätsdiebstahl in die Richtung “das kann mir nicht passieren”. Meist, weil man sich gar nicht bewusst ist, dass eigentlich jeder ein attraktives Opfer für Identitätsdiebstahl sein kann. Dabei ist das Phänomen de facto gar nicht so selten. Und tatsächlich ist unser Autor selbst schon einmal Opfer von Identitätsdiebstahl gewesen: Als Jugendlicher habe ich einmal mein Portemonnaie verloren und kurz darauf flatterte eine Handyrechnung ins Haus. Und wenig später kam die Mahnung von Inkasso Knochenbrecher&Brüder hinterher. Irgendein mir nicht besonders wohlgesonnener Zeitgenosse hatte offenbar mein Portemonnaie gefunden und mit meinen Ausweis- und Bankpapieren einen Handyvertrag abgeschlossen. Und das frecherweise ohne mein Zutun. Das war Identitätsdiebstahl - in diesem Fall ganz analog.

Der Sachverhalt konnte geklärt werden und es blieb die Erinnerung an das ungute Gefühl und eine kleine Geschichte: Nach anfänglichem Schrecken konnte anhand des angeforderten Vertrages und der darauf befindlichen schlecht gefälschten Unterschrift versichert werden, dass ich nicht der angegebene Vertragspartner war. Damit war das Problem für mich vom Tisch. Rein rechtlich handelte es sich in meinem Fall übrigens schlicht um Betrug, da versucht wurde, sich “durch Vorspiegelung falscher Tatsachen einen Vermögensvorteil zu verschaffen” (§263).

Reale Welt: Identitätsdiebstahl - Virtuelle Welt: Account Takeover

Ein Account Takeover funktioniert ähnlich wie die obige Geschichte, nur in der digitalen Welt. Kriminelle finden etwas, mit dem sie sich digital ausweisen können, zum Beispiel eine Kombination aus E-Mail und Passwort, und nutzen diese Daten, um einen Account zu übernehmen. Dabei können alle möglichen Arten von Konten übernommen werden: Ebay, Instagram, Facebook, Twitter, das Online-Punktesammelsystem des Lieblingskleidungsgeschäfts. Dementsprechend kann die Übernahme verschiedener Arten von Accounts unterschiedliche Auswirkungen haben. Rein rechtlich handelt es sich übrigens bei all diesen Phänomenen zumindest um das “Ausspähen von Daten”, da es sich um den “unbefugten Zugang zu Daten […] unter Überwindung der Zugangssicherung” handelt (§202a).

Der Ebay-Account und mein Geld

Wird ein Online-Händler-Account gekapert, sind die Folgen direkt im Portemonnaie zu spüren: Angreifer bestellen in kürzester Zeit massenhaft teure Produkte und lassen sich diese oft an eine gefälschte Wohnadresse schicken, nicht selten mit dem Ziel, die Waren weiter zu vertreiben. Bevor sich der Betroffene versieht, summieren sich die Forderungen schnell auf einige tausend Euro. Die Online-Händler müssen in der Regel den Schaden ersetzen und schreiben den Verlust wie bei einem Ladendiebstahl einfach ab. Dabei sind die Verluste nicht unerheblich. Im Jahr 2020 belaufen sich die Verluste des Online-Handels durch digitalen Identitätsdiebstahl auf über eine Milliarde Euro (1.000.000.000 €)!

Twitter, Facebook und Co.

Bei Social-Media-Accounts geht es weniger um Geld als um Reputationsverlust.
Die Schülerin, auf deren Facebook-Seite plötzlich rassistische Botschaften auftauchen, bekommt die Folgen auf dem Schulhof zu spüren, der Politiker, dessen Twitter-Account im Wahlkampf mit “Onlyfans” wirbt, kann den Einzug ins Parlament verpassen. Bei Accountübernahmen in sozialen Medien geht es um Mobbing, Desinformation und Diskreditierung. Insbesondere wenn ein solcher Takeover Teil einer allgemeinen Desinformations- oder Mobbingkampagne ist, können die Folgen für die Betroffenen verheerend sein.

Unternehmensaccounts

Viele Unternehmen nutzen interne IT-Dienste, um sich mit Kollegen auszutauschen, Kalender zu führen oder Daten und Dokumente für die Mitarbeitenden zugänglich zu machen. Verfügt ein Angreifer über die Zugangsdaten zu einem solchen Dienst, ist es ein Leichtes, Firmendaten auszulesen und an Betriebsgeheimnisse zu gelangen. Vielleicht noch fataler ist, dass findige Hacker solche Zugänge als Einfallstor in die gesamte IT-Infrastruktur eines Unternehmens nutzen können. Hat sich ein Angreifer erst einmal Zugang zur IT-Infrastruktur verschafft, kann er den gesamten Betrieb lahm legen, Maschinen abschalten, die Website deaktivieren etc. Dies kann schnell zu einem ernsthaften Problem für das angegriffene Unternehmen werden.

Viele Identitäten - viel Diebstahl

Mit der Verbreitung des Internets wird Identitätsdiebstahl immer häufiger. Das liegt zum einen an den neuen technischen Möglichkeiten: Wo früher eine Brieftasche gefunden oder Ausweispapiere aufwändig gefälscht werden mussten, können Kriminelle heute vom heimischen Schreibtisch aus ein Konto übernehmen. Zum anderen liegt es aber auch an der Vielzahl der digitalen “Identitäten”, die wir uns heute zugelegt haben. Die meisten Internetnutzer sind nicht nur bei einem, sondern eher bei fünf Online-Händlern angemeldet, hinzu kommen zahlreiche Foren, Social Media, Dating-Plattformen etc. Dabei sind die Sicherheitsstandards auf Anbieterseite und das Sicherheitsbewusstsein auf Nutzerseite nicht immer sehr ausgeprägt.

Account Takeover verhindern: Macht es ihnen schwer.

Kriminelle werden immer Sicherheitslücken finden, um irgendwo unbefugt einzudringen, denn kein System ist absolut sicher. Aber wir können ihnen das Leben so schwer wie möglich machen. Ein Anfang auf Konsumentenseite wäre zum Beispiel ein vorsichtiger Umgang mit Daten (das fängt schon damit an, dass man im Zug keine Firmeninformationen ins Handy brüllt), ein etwas vorsichtigeres Verhalten im Internet und die Wahl von einzigartigen und komplexen Passwörtern.

Es gibt aber noch viele weitere Möglichkeiten, sich vor digitalem Identitätsdiebstahl zu schützen. Basale technische Möglichkeiten dazu sind zum Beispiel Muli-Faktor-Authentifizierungen, Virenscanner, Passwortmanager, etc. In diesem Blog versuchen wir unter anderem immer wieder auf solche Möglichkeiten aufmerksam zu machen.

Aber auch die Betreiber der Plattformen haben Möglichkeiten, die Accounts auf Ihren Plattformen gegen Account-Takeover zu schützen. Eine Möglichkeit dabei ist, gezieltes Leak Monitoring einzusetzen, um bedrohte Accounts direkt zu identifizieren und Kriminellen den Zugang zu solchen Accounts wieder zu verschließen.

Identeco bietet Möglichkeiten an, wie Plattformen vollautomatisiert und datenschutzkonform Ihre Accounts vor solchen Angriffen absichern können. Wenn Sie wissen wollen, wie das geht, schreiben Sie uns eine Mail oder kommen Sie über unser Kontaktformular in Kontakt mit uns!

Fazit

Identitätsdiebstahl ist rechtlich kein fest definierter Begriff, sondern ein gängiger Oberbegriff für verschiedene vergleichbare Phänomene wie “Ausspähen personenbezogener Daten” oder “Fälschung beweiserheblicher Daten”. Account Takeover und Identitätsdiebstahl können jedoch weitreichende Folgen haben. Die möglichen Folgen reichen von finanziellen Verlusten und Reputationsschäden bis hin zur Gefährdung der gesamten IT-Infrastruktur eines Unternehmens. Identitätsdiebstahl ist leider keine Seltenheit und kann einen schneller treffen, als man denkt. Um es Kriminellen so schwer wie möglich zu machen, sind ein verantwortungsvoller Umgang mit persönlichen Daten sowie starke Passwörter und Vorsicht im digitalen Raum notwendig.

Es wird eine Mindmap mit vier Unterteilungen gezeigt. Die erste ist der „Identitätsdiebstahl“. Dies ist ein gängiger Oberbegriff, der rechtlich nicht definiert ist. Außerdem unterschätzen die meisten die Häufigkeit eines solchen Diebstahls. Der nächste Punkt ist „Account Takeover“. Das ist der Diebstahl der digitalen Identität. Als Beispiel wird erklärt, dass sich Kriminelle mit der richtigen Kombination aus E-Mail und Passwort ausweisen können. Drittens werden verschiedene Motive vorgestellt. Diese sind unter anderem finanzieller Natur, z.B. wird ein Online-Händlerkonto verwendet, um Waren zu bezahlen. Es kann aber auch ein soziales Motiv sein, bei dem es vor allem um Reputationsverlust geht. Schließlich wird der Zugang zu Infrastruktur genannt. Hier kann es zu Industriespionage durch unbefugten Zugriff auf einen Mitarbeiter-Account kommen. Die letzte Unterteilung sind Schutzmaßnahmen. Wichtig ist vor allem die Wahl eines sicheren Passwortes. Dies ist jedoch nicht die einzige Möglichkeit, ein Konto zu schützen, weshalb eine Multi-Faktor-Authentifizierung immer zu empfehlen ist. Es ist auch wichtig, gängige Angriffsarten wie Phishing zu kennen, um sie rechtzeitig zu erkennen und handeln zu können.

Experten kontaktieren

Sie haben weitere Fragen zum Thema oder benötigen konkrete Hilfe? Schreiben Sie uns eine Nachricht oder vereinbaren Sie direkt einen Termin für ein Gespräch.

Weiterlesen

Zum Blog