Der raubkopierte Bürger

13.12.2007

Identitätsbetrug ist in den USA dabei, an die Spitze aller kriminellen Delikte aufzusteigen. Die Daten dafür werden von Behörden und Privatfirmen en gros "geliefert". Von Firmen-Laptops und über Sicherheitslücken gestohlene Datensätze landen auf einem boomenden Schwarzmarkt.

Bei der Beschwerdekommission des US-Handelsministeriums ist das Delikt des Identitätsbetrugs inzwischen auf Platz eins der Beschwerdeliste vorgerückt und dabei, an die Spitze der allgemeinen Kriminalitätsstatistik aufzusteigen.

Die neuesten Schätzungen, die auf Statistiken von Mitte 2005 bis Mitte 2006 basieren, gehen von 15 Millionen geschädigten US-Bürgern aus.

Herkunft Versandhandel

Der typische Identitätsbetrüger benutzt die Stammdaten seines Opfers, um bestehende Konten zu plündern, neue zu eröffnen, Kredite aufzunehmen und dergleichen mehr.

Die Betrugsform selbst kam mit dem Aufschwung des Versandhandels auf, die stärksten Zuwachsraten machen sich aber erst seit 2001 in den Statistiken bemerkbar.

Verlorene Bonitäten

Die hochgerechneten Schadenszahlen der Analysten bewegen sich zwischen 30 und 60 Milliarden Dollar jährlich alleine in den USA.

Die tatsächlich gestohlene Summe macht darunter noch den geringsten Anteil aus, der größte Teil besteht aus Versicherungsentschädigungen, entgangenen Arbeitsstunden und Anwaltskosten. In der Regel dauert es mehrere Monate, bis die Bonität eines Opfers wiederhergestellt ist.

Jeder vierte US-Haushalt

In Europa fällt - außer in Großbritannien - Identitätsbetrug in den Kriminalstatistiken offensichtlich viel weniger ins Gewicht. Die Anzahl der öffentlich bekanntgewordenen Fälle ist mit jenen in den USA nicht zu vergleichen, ebenso wenig wie die Zuwachsraten der Delikte vergleichbar sind.

2003 schon schätzte die US-Handelskommission Federal Trade Commission [FTC] die Anzahl geschädigter US-Bürger auf zehn Millionen jährlich. Für das Jahr 2007 gehen die Berater der Gartner Group bereits von 15 Millionen Opfern aus. Jeder vierte US-Haushalt soll demnach bereits irgendwann einmal Opfer von Identitätsdiebstahl geworden sein, immer mehr Anwaltskanzleien spezialisieren sich auf das Delikt.

Nutzlose Initiativen

Auch wiederholte Initiativen seitens Regierung und Behörden konnten den Anstieg in den vergangenen Jahren nicht bremsen.

Sowohl bei der FTC wie auf den Websites der US-Polizei und anderer Behörden wie bei privaten Anbietern von Schutzmaßnahmen werden mehr oder weniger dieselben Ursachen genannt.

Wovor gewarnt wird

Der generell immer noch sorglose Umgang der Menschen mit ihren persönlichen Daten steht bei den Warnungen der Behörden zumeist an erster Stelle.

Auch auf die altbekannten Betrugsformen mit verlorenen, gestohlenen oder von Kriminellen im Hinterzimmer kopierten Kreditkarten weisen die Strafverfolger gerne hin.

Für das Leben im Netz sind Passwort-Diebstahl, Phishing und Kriminelle relevant, die mit Trojanern Kreditkartentransaktionen ausspionieren.

Ursachenforschung

Einen möglichen Grund, warum dieses Betrugsmodell so rasant in der US-Kriminalitätsstatistik auf die oberen Ränge gestiegen ist, liefern die Strafverfolger jedoch nicht. Die kriminelle Datenbeschaffung via Schadsoftware allein kann dafür nicht verantwortlich sein.

Dann nämlich müsste sich derselbe starke Trend auch in Europa statistisch manifestieren, was aber nicht der Fall ist.

Einen Hinweis auf die wahren Ursachen der zunehmenden Kriminalität mit Identitätsdiebstahl gibt ein Blick auf die Anzahl der Datensätze, die in jüngster Zeit den US-Behörden auf die eine oder andere Weise abhanden gekommen sind.

Der Großhandel

Mussten die Daten der potenziellen Opfer von den Kriminellen früher mehr oder weniger mühsam einzeln zusammengetragen werden, so besteht mittlerweile ein illegaler Großmarkt, auf dem bereits aggregierte Sätze persönlicher Daten gehandelt werden.

Auf dem Identitätsschwarzmarkt werden veruntreute, gestohlene oder bei einem anderen Delikt miterbeutete Datensätze im großen Stil verkauft. Es handelt sich dabei um einen weit höherwertigen Markt als etwa die Mail-Adressen-Börsen der Spammer.

Kleinbetrüger, Firmen, Dienste

Anders als dort kaufen ambitioniertere Kleinbetrüger, aber auch Firmen und Geheimdienste auf dem Datenschwarzmarkt ein.

Die einen tun das, um eine Zeitl ang effizient dem Kleinbetrug nachzugehen. Firmen sowie die Dienste vergleichen hingegen den Einkauf mit dem eigenen Material und versuchen, über die Datenstruktur die Herkunft der Schwarzmarktware zu eruieren.

Behörden, Datenschwund

Fast immer führt diese Spurensuche nicht zu "chinesischen Hackern", sondern direkt in eine Behörde im eigenen Staat zurück.

Die Liste der aktuellen Fälle von international bekanntgewordenen Datenverlusten auf der Website von Attrition.org spricht eine eindeutige Sprache.

Von über 300 bis jetzt dokumentierten Fällen massenhaften Datenschwunds im Jahr 2007 kommen bei weitem die meisten aus den USA, sehr weit dahinter folgt Großbritannien auf Platz zwei.

Obacht auf den Kontostand

Am vergangenen Montag meldete die "US Air Force Times", dass Datensätze samt den Sozialversicherungsnummern von US-Armeeangehörigen über eine mangelhaft konfigurierte Datenbank von außen jahrelang zugänglich waren.

Das Datenloch irgendwo in einem europäischen Rechenzentrum des Dienstleisters EDS soll bereits seit 2004 bestanden haben. 4.700 Armeeangehörige wurden von Tricare, einer Abteilung der Armee-Krankenversicherung, informiert und gebeten, auf ihren Kontostand zu schauen.

Sozialversicherungsnummern

Dem kalifornischen Sutter Lake Side Hospital gingen mit dem Laptop einer Vertragsfirma unlängst 45.000 Stammdatensätze samt Sozialversicherungsnummern von Patienten wie Personal verloren.

Ende November war bekanntgeworden, dass 1,8 Millionen Sozialversicherungsnummern, die aus dem U.S. Department of Veteran Affairs stammten, auf dem Heim-PC eines ehemaligen Vertragsnehmers gelandet waren.

25 Millionen Sozialversicherte

Knapp davor hatte das britische Finanzministerium den Knalleffekt des Jahres 2007 gesetzt.

Ausgerechnet auf dem Weg zu einem Audit, also einer Prüfung von Datensicherheit und -integretät, kam die größte bisher bekanntgewordene Ansammlung von personenbezogenen Datensätzen auf einmal "abhanden". 25 Millionen Sozialversicherte sind betroffen, deren detaillierte persönliche Datensätze nun auch in Händen von Unbekannten sind.

Verschwunden = vervielfältigt

Im anbrechenden Zeitalter immaterieller Güter bezeichnet "Abhandenkommen" nämlich grundsätzlich das Gegenteil dessen, was ein Diebstahl in der analogen Welt bedeutet hat: Geklautes kommt nicht abhanden, sondern es vervielfältigt sich und taucht an anderen Orten wieder auf.

Mit diesem Material, das in Form von umfangreichen Datensätzen Behörden aller Art, Militärs, Dienstleistern, Beraterfirmen, Kreditkartenunternehmen und Datenhändlern "entkommt", wird der Schwarzmarkt beliefert.

Paketangebote

Dort werden die Daten neu strukturiert und nach marktgängigen Kriterien paketweise offeriert.

Alle Namen und Wohnadressen von medizinischem Personal in einem US-Bundesstaat sind da ebenso zu haben wie Kreditkarten-Datensätze, die nach bestimmten anderen Kategorien geordnet sind.

Großbritannien

Während in Kontinentaleuropa - abgesehen von auffälligen, aber sehr einfach gestrickten Phishing-Attacken - bis jetzt wenig los ist, erheben die Behörden in Großbritannien bereits Zahlen zu diesem Problem.

Die britische Behörde zur Betrugsvorbeugung meldete für das Jahr 2006, dass Identitätsdiebstahl die britische Wirtschaft umgerechnet 2,36 Milliarden Euro jährlich kostet.

Multiple Bloombergs

Anders als dem bestohlenen US-Normalbürger dürfte es New Yorks Bürgermeister Michael Bloomberg deutlich leichter gefallen sein, mit diesem Problem umzugehen.

Der Milliardär war ab Mai ebenfalls Opfer von zwei Identitätsdieben geworden, die mutmaßliche zweite Tätergruppe wurde im Oktober sogar erwischt. Diese war mit mit der versuchten Abbuchung von Summen im sechstelligen Bereich der internen Sicherheit aufgefallen.

Bei der Gelegenheit fiel auch ein weiterer Pseudo-Bloomberg auf, der sich Monate davor moderate 10.000 US-Dollar genehmigt hatte.

Umgang mit Datenschutz

An höherem Druck der Öffentlichkeit in den USA, Datenverluste publik zu machen, alleine kann es nicht liegen, dass sich diese Art von Delikten dort statistisch so überproportional schnell entwickelt.

Die Hauptursache dürfte vielmehr sein, dass der Stellenwert des Schutzes persönlicher Daten generell auf beiden Kontinenten unterschiedlich ist.

In den 80er Jahren des vergangenen Jahrhunderts hatten die meisten europäischen Staaten auf mögliche Begleiterscheinungen des technischen Fortschritts mit dem Erlass von Datenschutzgesetzen reagiert.

In den USA hingegen wurden die neu entstandenen Datensätze als Handelsware angesehen, als eine "digitale Dividende", die der Einsatz elektronischer Datenverarbeitung so nebenbei erbrachte.

(futurezone | Erich Moechel)