Identitätsdiebstahl

missbräuchliche Nutzung personenbezogener Daten durch Dritte
(Weitergeleitet von Nicknapping)

Als Identitätsdiebstahl (auch Identitätsbetrug, Identitätsmissbrauch) wird die missbräuchliche Nutzung personenbezogener Daten durch Vortäuschung einer (fremden) Identität einer anderen natürlichen Person durch Dritte bezeichnet.[1]

Merkmale

Bearbeiten

Unter Identitätsdiebstahl und -missbrauch wird der (zunächst) missbräuchliche Erwerb und die (darauf folgende) missbräuchliche Nutzung personenbezogener Daten durch dazu nicht berechtigte Dritte verstanden.[1] Teilweise werden hierfür eigene „Geschäftsmodelle“ aufgesetzt.[2]

Der Identitätsdiebstahl kann digital oder analog durchgeführt werden, z. B. durch Sammeln personenbezogener Daten im Müll oder Altpapier, durch Diebstahl eines Portemonnaies[3][4] oder durch das Abgreifen von Kreditkartendaten über die früher verwendeten Magnetstreifen an einem manipulierten Geldautomaten einer Bank.

Ziel eines Identitätsdiebstahls kann es sein, einen betrügerischen Vermögensvorteil zu erreichen, z. B. durch Bestellung von Waren und Dienstleistungen, durch den Abschluss von Kreditverträgen, durch Erpressung der Opfer oder Schädigung von Angehörigen („Enkeltrick“).[5][6]

Teilweise besteht das alleinige Motiv darin, den rechtmäßigen Inhaber der Identität in Misskredit zu bringen, so nach Ende einer Beziehung oder eines Arbeitsverhältnisses. Der Täter kann beabsichtigt, unter Verwendung der fremden Identität ein Nutzerprofil in sozialen Netzwerken anzulegen oder sich in die bestehenden einzuhacken. Den Zugang verwendet er dann, um den Betroffenen z. B. durch Verbreitung extremistischer Ansichten oder Cybermobbing zu schädigen und diskreditieren.[7]

In seltenen Fällen missbrauchen Täter fremde Identitäten, um ihre kriminelle Vergangenheit zu verschleiern.[8]

Bei einem Identitätsdiebstahl werden zunächst personenbezogene Daten wie Name, Geburtsdatum, Adresse, Telefonnummern, E-Mail-Adressen, IP-Adresse, Führerschein-, Personalausweis- oder Sozialversicherungsnummern, Bankdaten oder Kreditkartennummern, Zugangsdaten und Fotos gesammelt.[9]

Begehungsformen

Bearbeiten

Identitätsdiebstähle können in vielen unterschiedlichen digitalen und analogen Formen vorkommen. Aufgrund des digitalen Fortschritt sind die Ausführungsformen dynamisch. So sind aufgrund der Digitalisierung der Verwaltung weitere Gefahrenquellen durch die missbräuchliche Verwendung fremder Identitäten bei digitalen Behördendienstleistungen (E-Government) entstanden.

Teilweise werden diese Daten von den (späteren) Opfern vermeintlich freiwillig zur Verfügung gestellt, z. B. durch Ausfüllen von Fragenbögen anlässlich einer vermeintlichen Wohnungsangebots oder durch Eingabe auf eine Internetseite, die vorgibt, ein seriöses Unternehmen zu sein. Diese Phishing genannte Methode kann beispielsweise durch den Nachbau einer Website eines bekannten Online-Shops oder durch die Versendung von gefälschten E-Mails im vermeintlichen Namen einer Bank erfolgen.☃☃ Über die Nutzung eines Links und die Eingabe von Daten in Formularen auf den Websites werden dann die eingegebenen Daten abgegriffen.

Durch Phishing, Pharming und Spoofing verschaffte Identitäten verschaffen sich dann die Täter Zugang zu Daten bei Onlineberatungen, Kontaktportalen, Online-Marktplätzen usw. und vermarkten die gewonnenen Daten an „interessierte Kreise“. Auf Kosten der Täter werden dann Verträge abgeschlossen oder andere der zuvor aufgezeigten kriminellen Aktivitäten (Erpressung der Opfer, Schädigung der Angehörigen, Bloßstellung der Betroffenen) vorgenommen.

Ein Identitätsdiebstahl liegt auch dann vor, wenn ein bestehender Account gehackt und von unbefugten Dritten beispielsweise für Betrug verwendet wird.[10]

Schäden

Bearbeiten

Die missbräuchliche Nutzung einer fremden Identität kann für die Opfer zu finanziellen Schäden bis hin zu einer Verschuldung führen.

Wenn kriminelle Handlungen im Namen des Opfers des Identitätsdiebstahls durchgeführt werden, kann dies zu ungerechtfertigten Strafverfolgungsmaßnahmen und Strafen führen. Der Diebstahl einer Identität kann auch Karrieren, Beziehungen und ganze Leben zerstören.[11]

Rechtslage

Bearbeiten

Deutschland

Bearbeiten

Strafrecht

Bearbeiten

Der Identitätsdiebstahl ist in Deutschland kein eigenes strafbewehrtes Delikt.[11] Jedoch sind die kriminelle Erhebung und Verwendung einer fremden Identität strafbar.

Die unbefugte Erhebung ist unter den Tatbestandsvoraussetzungen des Ausspähen von Daten (§ 202a StGB), Abfangen von Daten (§ 202b StGB) oder der Vorbereitung hierzu (§ 202c StGB) und der Weitergabe als Datenhehlerei (§ 202d StGB) strafbar. Auch das Bundesdatenschutzgesetz enthält in § 42 BDSG eine eigene Strafvorschriften für die unbefugten gewerbsmäßigen Erhebung und Verarbeitung großer Mengen personenbezogener Daten. Verändert der Täter nach der Erhebung die Daten, z. B. um den Betroffenen von dem Zugang auszusperren, fällt dies unter den Tatbestand der Datenveränderung (§ 303c StGB). Bei der Verwendung können die folgenden Straftatbestände betroffen sein: Fälschung beweiserheblicher Daten und Täuschung im Rechtsverkehr bei Datenverarbeitung (§ 269StGB und § 270 StGB), Betrug (§ 263 StGB), Computerbetrug (§ 263a) oder Erpressung (§ 253 StGB).

Eine besonders häufige Form des Datenmissbrauchs ist der sogenannte Waren- oder Leistungskreditbetrug. Hierbei werden meist online oder per Telefon, aber auch in Ladengeschäften unter Angabe fremder Personen- und/oder Zahlungsdaten Bestellungen aufgegeben, mit dem Ziel, die Ware oder Leistung ohne Leistung der Zahlung für sich oder Dritte zu erlangen.

Verwendet der Täter ein Portraitbild seines Opfers stellt dies nach dem Kunsturhebergesetz (§ 33 KUG) ebenfalls eine Straftat dar.

Im Zusammenhang mit Stalking kann das Bestellen von Waren und Dienstleistungen den Straftatbestand der Nachstellung gem. § 238 Abs. 1 Ziff. 3 bis 8 StGB erfüllen.

Bei dem Begehung zwecks Diskreditierung des Opfers kann eine Üble Nachrede gem. § 186 StGB oder Verleumdung gem. § 187 StGB erfüllt sein.[12]

Die Erlangung oder Verwendung der Daten kann, je nach Tatbegehung, unter mehrere Rechtsnormen fallen.[13]

Zivilrechtliche Ansprüche

Bearbeiten

Aus zivilrechtlicher Sicht ergeben sich unterschiedliche Ansprüche z. B. auf Unterlassung, oder Schadensersatz wegen Verletzung der Persönlichkeitsrecht.

Der Verwender eines durch § 12 BGB geschützten Namen hat bei Verwendung nach einem Identitätsdiebstahl ein Unterlassungsanspruch. Darunter kann auch der Schutz des Pseudonyms fallen. Erfolgt die Verwendung auf einer Plattform kann der Unterlassungsanspruch nicht nur gegen den Täter, sondern auch gegen den Betreiber einer Plattform geltend gemacht werden. Allerdings trifft den Geschädigten die Beweislast, dass es dem Betreiber technisch möglich und zumutbar war, Verletzungen zu verhindern (BGHZ 158, 236 – Internetversteigerung I; BGH NJW 08, 3714 – eBay (Urteil des BGH vom 10.04.2008 - I ZR 227/05).[14]

Bei Verletzung von personenbezogenen Daten können sich Schadensersatz- und Schmerzensgeldanspruch aus dem Datenschutzrecht (DSGVO und BDSG) ergeben.[15]

Seit dem 1. September 2023 steht in der Schweiz der Missbrauch einer fremden Identität (gem. Art. 179decies StGB) unter Strafe.[16] Hiernach macht sich strafbar, wer die Identität einer anderen Person ohne deren Einwilligung verwendet, um dieser zu schaden oder um sich oder einem Dritten einen unrechtmässigen'Vorteil zu verschaffen. Die Strafandrohung liegt bei einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe.[17]

Statistiken

Bearbeiten

Deutschland

Bearbeiten

Eine Studie aus dem Jahr 2016 von PwC gibt an, dass jede dritte deutsche Person bereits von Identitätsdiebstahl betroffen war.[18] 30 % hiervon haben einen wirtschaftlichen Schaden, im Schnitt 1.366 €, erlitten. Als häufigste Form des Identitätsdiebstahls beziffert die Studie den Spam-Versand von E-Mails, gefolgt von der Erstellung von Fake-Accounts und dem Diebstahl von Kreditkarten-Daten.

Für das Jahr 2020 weist das Bundeskriminalamt (BKA) missbräuchliche Transaktionen in Höhe von 85.000 € aus, die im Zusammenhang mit digitalem Identitätsdiebstahl stehen.[19] Mit Verweis auf die Plattform HaveIBeenPwnd und das Hasso-Plattner-Institut beziffert das BKA die Anzahl kompromittierter Accounts auf 11–12 Milliarden. Zum 15. April 2023 weist HaveIBeenPwnd etwa 12,5 Milliarden kompromittierte Accounts aus.[20]

Die Aufklärungsquote für Identitätsdiebstahl liegt im Jahr 2020 bei 30 %.[21]

Die am häufigsten auftretenden Formen von Identitätsdiebstahl sind Kreditkartenbetrug, Kontenraub und Bankbetrug; in den USA sollen diese Straftaten nach einer Studie der Federal Trade Commission (FTC) im Jahr 2002 einen Schaden von insgesamt rund 37 Milliarden US-Dollar verursacht haben – 33 Milliarden US$ für Geschäftskunden und knapp 4 Milliarden US$ bei Privathaushalten.[22] Auch wurde ein Anstieg der Schadenssumme festgestellt – im Jahr 2005 belief sie sich auf rund 57 Milliarden US$.[23]

Identitätsdiebstahl ist eine der am stärksten zunehmenden Kriminalitätsformen in hochtechnisierten Ländern. Bei der US-amerikanischen Handelsaufsicht Federal Trade Commission gingen beispielsweise im Jahr 2002 168.000 Meldungen sowie 380.000 Beschwerden wegen Identitätsdiebstahls ein.

Im Jahr 2007 war die kalifornische Stadt Napa mit 300 Beschwerden pro 100.000 Einwohnern die Stadt mit den meisten Beschwerden wegen Identitätsdiebstahl in den USA.

2017 wurden auf der FCC-Website zahlreiche Kommentare mit gestohlenen Identitäten gepostet, die sich gegen die Netzneutralität aussprachen – mutmaßlich, um das öffentliche Meinungsbild zu verfälschen.[24]

Identitätsdiebstahl als Filmthema

Bearbeiten

Siehe auch

Bearbeiten

Literatur

Bearbeiten
  • Chris Jeff Hoofnagle: Identity Theft: Making the Known Unknowns Known, 1. März 2007, Social Science Research Network (SSRN),
  • T. Coraghessan Boyle: Talk Talk. Roman. Hanser, München u. a. 2006, ISBN 3-446-20758-9 (Das Thema „Identitätsdiebstahl“ wird in Romanform beschrieben).
  • James W. Bennetts: Tricky. Thriller (= Fischer 17392). Fischer-Taschenbuch-Verlag, Frankfurt am Main 2007, ISBN 978-3-596-17392-1 (Fiktiver Roman über Identitätsdiebstahl in den USA).
  • Stefan Bartz: Identitätsdiebstahl: Zur Frage der Strafbarkeit des Identitätsdiebstahls und der Notwendigkeit eines eigenen Straftatbestandes im deutschen Recht. Peter Lang Verlag, Hamburg 2017, ISBN 978-3-631720493 (Dissertation)
Bearbeiten

Einzelnachweise

Bearbeiten
  1. a b Andrea Estermeier: Identitätsdiebstahl: Was ist das und wie schützt man sich? Verbraucherportal Bayern, 30. November 2022, abgerufen am 17. November 2024.
  2. Das Digitale Ich - Identitätsdiebstahl. Deutschland sicher im Netz (DsiN), abgerufen am 18. November 2024.
  3. Was ist Identitätsdiebstahl? In: proofpoint. Abgerufen am 18. November 2024.
  4. #GemeinsamGegenBetrug: Was Opfer von Identitätsmissbrauch tun sollten. In: schufa.de. 16. August 2023, abgerufen am 19. November 2024.
  5. Ben Lutkevich: Identitätsdiebstahl. In: computerweekly.com. Juni 2024, abgerufen am 18. November 2024.
  6. Überblick Umgang mit Identitätsdiebstahl – Erkennen, Reagieren, Vorbeugen. In: datenschutz.hessen.de. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit IT und Datenschutz, abgerufen am 19. November 2024.
  7. Identitätsdiebstahl und Identitätsmissbrauch: So schützen Sie Ihre Daten. In: DEVK. Abgerufen am 19. November 2024.
  8. Alexander Ingelheim: Identitätsdiebstahl – Datenklau mit Folgen. In: Datenschutz Experte. 28. März 2023, abgerufen am 19. November 2024.
  9. Identitätsdiebstahl im Internet: Wie die Betrüger vorgehen. In: Europäisches Verbraucherzentrum Deutschland. 30. August 2024, abgerufen am 18. November 2024.
  10. Welche Folgen Identitätsdiebstahl im Internet haben kann. In: Verbraucherzentrale.de. Verbraucherzentrale NRW e.V., 20. Dezember 2021, abgerufen am 29. März 2022.
  11. a b Andreas M. Krohn: Identitätsdiebstahl. Abgerufen am 18. November 2024.
  12. Identitätsdiebstahl: Was sind die rechtlichen Folgen? In: jurawelt.de. Abgerufen am 19. November 2024.
  13. Marco Gercke: Die Strafbarkeit von „Phishing“ und Identitätsdiebstahl. In: Computer und Recht. Band 21, Nr. 8, Januar 2005, ISSN 2194-4172, doi:10.9785/ovs-cr-2005-606.
  14. Urteil des I. Zivilsenats des Bundesgerichtshof vom 10.4.2008 - I ZR 227/05
  15. Andreas Föhr: Alles Wichtige zum Identitätsdiebstahl. In: roland-rechtsschutz.de. 2. August 2023, abgerufen am 19. November 2024.
  16. Neue Strafbestimmung : Identitätsdiebstahl. In: Finsom. 1. September 2023, abgerufen am 19. November 2024.
  17. Daniel S. Weber, Loris Baumgartner, Marco Hurni: Identitätsmissbrauch – mit dem Strafrecht gegen Persönlichkeitsverletzungen. In: Hochschule Luzern. 22. November 2024, abgerufen am 19. November 2024.
  18. PwC: Identitätsklau - die Gefahr aus dem Netz. Oktober 2016 (pwc.de [PDF]).
  19. Bundeskriminalamt: Cybercrime Bundeslagebild 2020. April 2021, S. 12,17–18 (bka.de [PDF]).
  20. Have I Been Pwned: Check if your email has been compromised in a data breach. Abgerufen am 15. April 2023.
  21. Anna Schmid: Betrüger bestellten Waren im Wert von 10.000 Euro - Mario sollte zahlen. In: Focus. Focus, 1. März 2023, abgerufen am 15. April 2023.
  22. silicon.de: Identity-Diebstahl zieht weite Kreise
  23. Web spielt nur kleine Rolle bei ID-Klau
  24. FCC stonewalled investigation of net neutrality comment fraud, NY AG says — Ars Technica. In: arstechnica.com. Abgerufen am 24. November 2017.