Identitätsdiebstahl

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Als Identitätsdiebstahl (auch Identitätsbetrug, Identitätsmissbrauch; englisch identity theft) wird die missbräuchliche Nutzung personenbezogener Daten (der Identität) einer natürlichen Person durch Dritte bezeichnet.

Die Bezeichnung als „Identitätsdiebstahl“ ist zwar sehr häufig, trifft aber die Sachlage nicht so gut wie „Identitätsmissbrauch“, weil bei einem typischen Diebstahl dem Berechtigten etwas weggenommen wird, so dass er es anschließend selbst nicht mehr hat. Beim Identitätsdiebstahl kann der Berechtigte seine Identität aber weiter verwenden.

Ziel eines Identitätsdiebstahls kann es sein, einen betrügerischen Vermögensvorteil zu erreichen oder den rechtmäßigen Inhaber der Identität in Misskredit zu bringen (selten).

Bei einem Identitätsdiebstahl wird neben dem Namen eine Reihe persönlicher Daten wie beispielsweise Geburtsdatum, Anschrift, Führerschein- oder Sozialversicherungsnummern, Bankkonto- oder Kreditkartennummern genutzt, um die Feststellung der tatsächlichen eigenen Identität zu umgehen oder diese zu verfälschen. Je mehr zueinander passende Daten der Missbrauchende hat, desto sicherer wird ihm die Vorspiegelung gelingen.

Bereits erlangte Daten können zur Ermittlung weiterer Daten genutzt werden. So geriet z. B. die Versicherungswirtschaft in Erklärungsprobleme, weil ein Fernsehsender über zufällig im Straßenverkehr ausgewählte Kfz-Kennzeichen an die Versicherungsdaten der Halter – insbesondere die vollständigen Anschriften – gelangte und der Reporter dann bei den Fahrzeughaltern an der Tür erschien. Dabei wurde in den Telefongesprächen zunächst ein Unfall behauptet, mit dem man über den Zentralruf der Autoversicherer immer an den Namen der Versicherung und die Vertragsnummer kommt. Dann wurde bei der ermittelten Versicherung mit der Vertragsnummer angerufen und z. B. behauptet, man sei gerade umgezogen und wolle nur die Richtigkeit der Anschrift prüfen. In der Regel wurde dann von der betreffenden Versicherung der Name des Halters und die Anschrift genannt – im guten Glauben, dass man mit dem Halter spreche.

Die missbräuchliche Nutzung einer fremden Identität kann für die Opfer zur Verschuldung oder – wenn kriminelle Handlungen im Namen des Opfers des Identitätsdiebstahls durchgeführt werden – zu ungerechten Strafen führen. Wird der Missbrauch aufgedeckt, so wird der Täter nicht nur für den Missbrauch selbst bestraft, sondern muss den angerichteten finanziellen Schaden tragen und die Strafen für die im Namen des Opfers begangenen Taten übernehmen.

Insbesondere im E-Commerce, beispielsweise beim Durchführen von Transaktionen über das Internet-Auktionshaus eBay, das bisher keine rechtsverbindliche Identitätsfeststellung durchführt, kann Identitätsdiebstahl erhebliche Auswirkungen auf die Geschäftspartner haben. Nach den Urteilen des Oberlandesgericht Köln vom 6. September 2002[1] und des Amtsgerichts Erfurt vom 14. September 2001[2] muss bei Vertragsabschlüssen im Internet der Verkäufer beweisen, dass der Käufer identisch mit dem angeblichen Account-Inhaber ist. Geschädigte durch Identitätsdiebstahl wehren sich nach Bekanntwerden der Straftat am effektivsten durch eine Strafanzeige (auch gegen Unbekannt) bei einer Polizeidienststelle.

Illegal operierende Auskunfteien manipulieren durch Phishing, Pharming und Spoofing die Computer der jeweiligen Zielpersonen und verschaffen sich damit zunächst die Identität (zum Beispiel Nickname in Verbindung mit einem Kennwort). Mit dieser gestohlenen Identität verschaffen sie sich dann Zugang zu Daten bei Onlineberatungen, Kontaktportalen, Internet-Auktionshäusern und anderen (Informationsdiebstahl) und vermarkten die gewonnenen Daten an „interessierte Kreise“ (Kriminelle).

Nicknapping[Bearbeiten | Quelltext bearbeiten]

Eine besondere Form des Identitätsdiebstahls stellt das Nicknapping (zusammengesetzt aus Nick, als Abkürzung für Nickname und napping in Anspielung auf Kidnapping) dar: das Auftreten im Internet unter dem Namen oder Pseudonym eines anderen Diskussionsteilnehmers oder Benutzers.

Seit das Internet auch und verstärkt im öffentlichen Rahmen genutzt wird, ist es vielfach möglich, statt seines realen Namens einen beliebigen Namen zu verwenden. Dies gilt für Mailinglisten ebenso wie für das Usenet und Foren.

Dabei ist es möglich, nicht nur erfundene, sondern explizit die Namen real existierender Personen zu verwenden, die von der Verwendung durch Dritte nicht zwingend etwas mitbekommen müssen. Bei Diskussionsplattformen, die eine Registrierung erfordern, ist es notwendig, dass die entsprechende Person entweder selbst noch kein Benutzerkonto hat oder aber eine doppelte Registrierung möglich ist. Auch das Verwenden von Pseudonymen in sachlich ähnlichen Foren oder Portalen stellt eine Form des Nicknappings dar, sofern keine Unabhängigkeit der beteiligten Personen gegeben ist und das Pseudonym in der entsprechenden Themengesellschaft einer bekannten Person zugeordnet wird, also einen hohen Wiedererkennungswert hat.

Strafrechtlich ist der Missbrauch des echten Namens und der eines Nick unterschiedlich zu bewerten. Während die Verwendung eines falschen Namens in Verbindung mit weiteren Daten und Fakten zur Person immer strafbar ist, kann die Verwendung desselben Nicks in der Regel nicht verfolgt werden, da Nicks nicht geschützt sind. Rechtlich dem „bürgerlichen Namen“ gleichgestellt sind nur im Ausweis eingetragene Künstlernamen.

Accounts[Bearbeiten | Quelltext bearbeiten]

Insbesondere auf Plattformen, wie zum Beispiel XING oder StudiVZ ist das Anlegen von Accounts (oder „Profilen“) unter dem Namen von Kollegen oder Kommilitonen zu einer problematischen Angelegenheit für die betroffenen Personen geworden. Da zumeist auch Fotos der Opfer verfügbar sind, können sehr realistisch wirkende Profile erstellt werden, mit Hilfe derer Falschinformationen an Dritte weitergetragen oder Informationen von Dritten in gutem Glauben erfragt werden können.

In diesem Sonderfall ist ein echter Identitätsdiebstahl denkbar, weil bei Plattformen, die für dieselben Daten nur eine Registrierung erlauben, der Inhaber der Identität keinen Account mehr anlegen kann, wenn jemand missbräuchlich seine Daten zur Anlage eines Accounts verwendet hat.

Deutschland[Bearbeiten | Quelltext bearbeiten]

Der Identitätsdiebstahl im Internet nimmt massiv zu. In Deutschland wurden allein in einem Vierteljahr 250.000 Fälle registriert. Einige Auskunfteien speichern Daten über gestohlene Identitäten, um weiteren Missbrauch zu verhindern. Dies setzt die Meldung seitens des Betroffenen voraus.[3]

Rechtliche Situation in Deutschland[Bearbeiten | Quelltext bearbeiten]

Während der Gesetzgeber aktuell den Missbrauch persönlicher Daten durch Privatpersonen allgemein nicht als Tatbestand im Strafrecht normiert hat, kann jedoch die Erlangung oder Verwendung der Daten je nach Einzelfall durchaus unter verschiedene Strafrechtsnormen fallen.[4] Dies betrifft vorrangig die einschlägigen Normen der Computerkriminalität, wie sie beispielsweise im Bundeslagebild Cybercrime des Bundeskriminalamtes[5] verwendet werden, aber auch klassische Delikte wie Betrug (§ 263 StGB) oder Erpressung (§ 253 StGB). Häufig relevante Computerdelikte sind: Computerbetrug (§ 263a StGB), Ausspähen und Abfangen von Daten und Datenhehlerei (§§ 202a, 202b, 202c, 202d StGB), Fälschung beweiserheblicher Daten und Täuschung im Rechtsverkehr (§§ 269, 270 StGB).

Eine besonders häufige Form des Datenmissbrauchs ist der sogenannte Waren- oder Leistungskreditbetrug. Hierbei werden meist online oder per Telefon, aber auch in Ladengeschäften unter Angabe fremder Personen- und oder Zahlungsdaten Bestellungen aufgegeben, mit dem Ziel die Ware oder Leistung ohne Leistung der Zahlung für sich oder Dritte zu erlangen.

Hinsichtlich der Frage, ob der Identitätsdiebstahl/-missbrauch als eigenständiger Straftatbestand aufgenommen werden sollte, äußert sich der Wissenschaftliche Dienst des Bundestages in einer Sachstandsanfrage im September 2014 wie folgt: "Im Schrifttum wird unter anderem konstatiert, dass nach geltendem Recht keine Strafbarkeitslücken bestünden, so dass insoweit kein Bedarf für eine Gesetzesänderung bestünde. Zwar wird konzediert, ein gesonderter Straftatbestand könne dazu dienen, den spezifischen Unrechtscharak-ter hervorzuheben –ein Bedürfnis hierfür sei jedoch derzeit ebenfalls nicht gegeben."[6]

Aus zivilrechtlicher Sicht ergeben sich unterschiedliche Ansprüche z. B. auf Unterlassung oder Schadensersatz gegen die Person, welche die Daten missbräuchlich verwendet. Abgesehen von Beziehungstaten, bei welchen ein (ehemaliger) Lebensgefährte widerrechtlich die Daten verwendet, ist oftmals jedoch nicht klar, wer die Daten verwendet, sodass das Durchsetzen der Ansprüche fraglich ist.

USA[Bearbeiten | Quelltext bearbeiten]

Die am häufigsten auftretenden Formen von Identitätsdiebstahl sind Kreditkartenbetrug, Kontenraub und Bankbetrug; in den USA sollen diese Straftaten nach einer Studie der Federal Trade Commission (FTC) im Jahr 2002 einen Schaden von insgesamt rund 37 Milliarden US-Dollar verursacht haben – 33 Milliarden US$ für Geschäftskunden und knapp 4 Milliarden US$ bei Privathaushalten.[7] Auch wurde ein Anstieg der Schadenssumme festgestellt – im Jahr 2005 belief sie sich auf rund 57 Milliarden US$.[8]

Identitätsdiebstahl ist eine der am stärksten zunehmenden Kriminalitätsformen in hochtechnisierten Ländern. Bei der US-amerikanischen Handelsaufsicht Federal Trade Commission gingen beispielsweise im Jahr 2002 168.000 Meldungen sowie 380.000 Beschwerden wegen Identitätsdiebstahls ein.

Im Jahr 2007 war die kalifornische Stadt Napa mit 300 Beschwerden pro 100.000 Einwohnern die Stadt mit den meisten Beschwerden wegen Identitätsdiebstahl in den USA.

2017 wurden auf der FCC-Website zahlreiche kommentare mit gestohlenen Identitäten gepostet, die sich gegen die Netzneutralität aussprachen — mutmaßlich, um das öffentliche Meinungsbild zu verfälschen.[9]

Identitätsdiebstahl als Filmthema[Bearbeiten | Quelltext bearbeiten]

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Literatur[Bearbeiten | Quelltext bearbeiten]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. OLG Köln, Urteil vom 6. September 2002, Az. 19 U 16/02, Volltext.
  2. AG Erfurt, Urteil vom 14. September 2001, Az. 28 C 2354/01, Volltext.
  3. Schufa erfasst ab sofort Identitätsdiebstahl, heise online vom 2. September 2016
  4. Marco Gercke: Die Strafbarkeit von „Phishing“ und Identitätsdiebstahl. In: Computer und Recht. Band 21, Nr. 8, Januar 2005, ISSN 2194-4172, doi:10.9785/ovs-cr-2005-606.
  5. Bundeskriminalamt 65173 Wiesbaden (Hrsg.): Cybercrime. Bundeslagebild 2017. Wiesbaden Juli 2018 (bka.de).
  6. WD 7: WD 7 - 3000 -183/14 - „Identitätsdiebstahl“ im Internet - Überblick und rechtliche Implikationen. Hrsg.: Wissenschaftlicher Dienst des Deutschen Bundestages. Berlin, S. 5–6 (bundestag.de [PDF]).
  7. silicon.de: Identity-Diebstahl zieht weite Kreise
  8. Web spielt nur kleine Rolle bei ID-Klau
  9. FCC stonewalled investigation of net neutrality comment fraud, NY AG says — Ars Technica. In: arstechnica.com. Abgerufen am 24. November 2017.