diese Daten bislang von Händlern, die nicht sorgfältig prüfen, akzeptiert.
Schützen kann sich der Anwender vor dieser Art des Identitätsdiebstahles, in dem er die Buchungsfunktion nur einschaltet, wenn er sie aktuell benötigt. Fachleute der Kreditwirtschaft gehen davon aus, dass eine spezielle Hülle für die Karte nicht notwendig ist.
II. Identitätsdiebstahl › 2. Strafrechtliche Relevanz
2. Strafrechtliche Relevanz
Einen eigenen Tatbestand des Identitätsdiebstahles gibt es nicht. Das „einfache“ Verschaffen von Identitäten, beispielsweise durch das Durchwühlen von Abfalleimern, ist nicht strafbewehrt. Hingegen die Datenschutzgrundverordnung (DSGVO) sowie das Datenschutzgesetz-neu zum Tragen, wenn personenbezogene Daten elektronisch verarbeitet werden.
Bei der DSGVO handelt es sich um EU-Recht (Verordnung (EU) 2016/679), das eine unmittelbare Entfaltung erlangt und keinerlei Umsetzung in nationales Recht bedarf (vgl. Art. 288 Abs. 2 und Abs. 3 Vertrag über die Arbeitsweise der Europäischen Union – AEUV). Beim BDSG-neu handelt es sich um nationales Recht. Damit hat der (deutsche) Gesetzgeber von seinem Recht Gebrauch gemacht, seinen gesetzgeberischen Spielraum in datenschutzrelevanten Bereichen, die nicht in der DSGVO geregelt sind, auszuschöpfen. Allerdings tritt das BDSG-neu dann hinter die DSGVO zurück, wenn dort Sachverhalte bereits geregelt sind.
Relevant sind hierbei sowohl für öffentliche wie auch für nicht öffentliche Stellen (vgl. §§ 1 Abs. 1 S. 2, Abs. 4 S. 2, 2, 22 Abs. 1 BDSG) die Vorschriften aus §§ 2, 3, 46 i. V. m. §§ 41, 42 BDSG bzw. Art. 4, 5, 6, 7 i. V. m. Art. 83 DSGVO. Ohne gesetzliche Grundlage bzw. ohne Einwilligung des Betroffenen dürfen elektronisch Daten erhoben bzw. verarbeitet werden (§ 3 BDSG bzw. Art. 6 DSGVO Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung).
Erlangt der Täter die Identitäten mit Hilfe gefälschter Mails oder Internetseiten oder setzt er Schadsoftware ein, sind grundsätzlich dieselben Strafvorschriften wie im Abschnitt „Phishing“ einschlägig. Für Vorbereitungshandlungen (das sich Verschaffen oder selbst Programmieren von Schadsoftware, um es zum Identitätsdiebstahl einzusetzen) ist § 202c StGB (Vorbereiten des Ausspähens und Abfangen von Daten) zu prüfen. Ebenfalls in Betracht kann § 303a StGB (Datenveränderung) kommen.
Werden zur Erlangung der Daten Gegenstände, wie zum Beispiel Festplatten, externe Laufwerke o. ä. entwendet, können auch Delikte nach §§ 242, 246, 253, 263 u. a. StGB vorliegen.
II. Identitätsdiebstahl › 3. Zivilrechtliche Relevanz
3. Zivilrechtliche Relevanz
Neben den genannten Strafvorschriften eröffnet das BGB zivilrechtliche Möglichkeiten gegen den Täter. Tangiert sein können insbesondere die Vorschriften des § 823 Abs. 1 BGB (Schadenersatzpflicht – allgemeine Haftungsgrundlagen) wie zum Beispiel der Nutzungsbeeinträchtigung bei Passwortänderung durch den Täter, und des § 823 Abs. 2 BGB (Schadenersatzpflicht – Verletzung von Schutzgesetzen; unter Schutzgesetz fällt beispielsweise ein vorsätzlicher Verstoß gegen das BDSG) sowie 1004 BGB (Beseitigungs- und Unterlassungsanspruch; soweit nicht speziellere gesetzliche Ansprüche greifen). In Haftung ist immer der so genannte Störer zu nehmen. Dies muss nicht unbedingt die Person sein, welche Identitäten gestohlen hat. So kann auch der Betreiber beispielsweise eines sozialen Netzwerkes verpflichtet werden, ein gefaktes Profil zu löschen oder diskreditierende Fotos aus einem regulären Profil zu nehmen.
II. Identitätsdiebstahl › 4. Checkliste für die Ermittlungspraxis
4. Checkliste für die Ermittlungspraxis
| ✓ Der erste Angriff erfolgt durch die Schutzpolizei, die Endsachbearbeitung durch die Kriminalpolizei. ✓ Vernehmung des Anzeigenerstatters (i.d.R. der Geschädigte) als Zeugen. ✓ „Einwilligung zur Weitergabe personenbezogener Daten“ (i.d.R. Formblatt) unterschreiben lassen. Damit erleichtern sich Anfragen des Sachbearbeiters bei entsprechenden Stellen. ✓ Sollte der Angriff mit Unterstützung elektronischer Kommunikationsmittel stattgefunden haben, ist die Mail nach Absprache mit dem betreffenden Sachbearbeiter zu sichern und an einen E-Mail-Account der Polizei weiterzuleiten. Unter Umständen genügt aber auch ein Ausdruck der Mail. ✓ Ebenfalls nach Absprache kann der Header ausgelesen bzw. gesichert werden. ✓ Auch ob die jeweilige Auswertung der betroffenen Hardware sinnhaft ist, sollte mit dem Endsachbearbeiter abgesprochen werden. |
II. Identitätsdiebstahl › 5. Präventionsmaßnahmen
5. Präventionsmaßnahmen
Wie in anderen Kapiteln ebenfalls beschrieben, ist es notwendig, dass sowohl PC, Tablet und Notebook als auch das Smartphone mit einer aktuellen Virensoftware ausgestattet sind. Allerdings sollte nicht allein auf den Echtzeitscan vertraut werden. Vielmehr sollte der Nutzer seine elektronischen Geräte selbst in regelmäßigen Zeitabständen von der Software nach Malware überprüfen lassen und den Vorgang manuell starten. Daneben sollten alle Geräte auch mit einer Firewall versehen sein.
Nicht extra erwähnt werden muss, dass ein WLAN-Router eine aktuelle Verschlüsselung benötigt. Für mobile Geräte gilt, sich nicht ohne weiteres in öffentliche WLAN-Netze oder Hotspots einzuwählen.
Zeitnahe Installation von Sicherheitsupdates für Betriebssysteme und Programme, welche von den Herstellern bereitgestellt werden. Zusätzlich regelmäßige Sicherung der Daten auf externen Speichermedien.
Niemals Anhänge von E-Mails öffnen oder auf angebotene Links in den Mails selbst klicken. Vorsicht ist auch geboten, wenn die Anrede in der Mail allgemein gehalten ist („Sehr geehrter Kunde/Kundin, Sehr geehrter Nutzer/Nutzerin, Sehr geehrte Dame/Herr“), persönliche Daten abgefragt werden (Kreditkarten- oder Kontonummern) oder Druck aufgebaut wird („Ihr Konto wird gesperrt“). Ebenfalls ist Achtsamkeit notwendig, wenn die Mail vermeintlich von einem „Freund“ eines sozialen Netzwerkes oder von der Hausbank kommt. Bei Zweifel gibt es immer die Möglichkeit beim Absender nachzufragen.
Einstellungen an der Systemsteuerung so vornehmen, dass die Endungen von Dateien vollständig angezeigt werden. Besondere Vorsicht ist bei Programmdateien mit den Endungen .exe, .com, .bat oder .vbs im Anhang einer E-Mail geboten. Zudem sollten die Einstellungen des E-Mailprogramms so konfiguriert sein, dass ein Script nicht automatisch ausgeführt wird.
Beim Besuch von Internetseiten auf sichere Seiten (Buchstaben https in der Adresszeile, Schloss- oder Schlüsselsymbol im Browser) achten. Das gilt insbesondere dann, wenn sensible Daten, beispielsweise zum Bezahlen von Bestellungen oder Buchungen eingegeben werden oder bei der Eingabe persönlicher Daten bei Anmeldung zur Nutzung von Dienstleistungen.
Daneben ist es wichtig, Papiere mit persönlichen Daten nicht achtlos wegzuwerfen bzw. in den Haus- oder Papiermüll zu geben. Um die Papiere unbrauchbar zu machen, reißt man diese in kleine Schnipsel oder lässt sie durch einen Reißwolf.
Vor dem Verkauf oder sonstiger Weitergabe elektronischer Kommunikationsgeräte ist die Löschung aller Daten und ggf. die Formatierung der Festplatte
