Identitätsdiebstahl

Als Identitätsdiebstahl (auch Identitätsbetrug, Identitätsmissbrauch) wird die missbräuchliche Nutzung personenbezogener Daten (der Identität) einer natürlichen Person durch Dritte bezeichnet.

Beschreibung

Ziel eines Identitätsdiebstahls kann es sein, einen betrügerischen Vermögensvorteil zu erreichen oder den rechtmäßigen Inhaber der Identität in Misskredit zu bringen (selten).

Bei einem Identitätsdiebstahl wird neben dem Namen eine Reihe persönlicher Daten, wie beispielsweise Geburtsdatum, Anschrift, Führerschein- oder Sozialversicherungsnummern, Bankkonto- oder Kreditkartennummern genutzt, um die Feststellung der tatsächlichen eigenen Identität zu umgehen oder diese zu verfälschen. Je mehr zueinander passende Daten der Missbrauchende hat, desto sicherer wird ihm die Vorspiegelung gelingen.

Bereits erlangte Daten – zum Beispiel die Telefonnummer – können zur Ermittlung weiterer Daten genutzt werden. Die missbräuchliche Nutzung einer fremden Identität kann für die Opfer zur Verschuldung oder – wenn kriminelle Handlungen im Namen des Opfers des Identitätsdiebstahls durchgeführt werden – zu ungerechtfertigten Strafen führen. Wird der Missbrauch aufgedeckt, so wird der Täter nicht nur für den Missbrauch selbst bestraft, sondern muss den angerichteten finanziellen Schaden tragen und die Strafen für die im Namen des Opfers begangenen Taten übernehmen.

Insbesondere im E-Commerce, beispielsweise beim Durchführen von Transaktionen über Anbieter im Internet, die oft keine rechtsverbindliche Identitätsfeststellung durchführen, kann Identitätsdiebstahl erhebliche Auswirkungen auf die Geschäftspartner haben. Nach den Urteilen des Oberlandesgerichts Köln vom 6. September 2002[1] und des Amtsgerichts Erfurt vom 14. September 2001[2] muss bei Vertragsabschlüssen im Internet der Verkäufer beweisen, dass der Käufer identisch mit dem angeblichen Account-Inhaber ist. Durch Identitätsdiebstahl Geschädigte wehren sich nach Bekanntwerden der Straftat am effektivsten durch eine Strafanzeige (auch gegen unbekannt) bei einer Polizeidienststelle.

Illegal operierende Auskunfteien manipulieren durch Phishing, Pharming und Spoofing die Computer der jeweiligen Zielpersonen und verschaffen sich damit zunächst die Identität (zum Beispiel den Nicknamen in Verbindung mit einem Kennwort). Mit dieser gestohlenen Identität verschaffen sie sich dann Zugang zu Daten bei Onlineberatungen, Kontaktportalen, Online-Marktplätzen usw. und vermarkten die gewonnenen Daten an „interessierte Kreise“.

Nicknapping

Ein besonderes Problem stellt das Nicknapping (zusammengesetzt aus Nick, als Abkürzung für Nickname und napping in Anspielung auf Kidnapping) dar: das Auftreten im Internet unter dem Namen oder Pseudonym eines anderen Diskussionsteilnehmers oder Benutzers. Bei Internetportalen und Diskussionsplattformen, die eine Registrierung erfordern, ist meist eine Zuordnung der entsprechenden Person zu einem Benutzerkonto und einer E-Mail-Adresse vorhanden.

Seit das Internet auch und verstärkt im öffentlichen Rahmen genutzt wird, ist es vielfach möglich, statt seines realen Namens einen beliebigen Namen zu verwenden. Dies gilt für Mailinglisten ebenso wie für das Usenet und Foren.

Dabei ist es möglich, nicht nur erfundene, sondern auch Namen real existierender Personen zu verwenden, die von der Verwendung durch Dritte nicht zwingend etwas mitbekommen müssen. Auch das Verwenden von Pseudonymen in sachlich ähnlichen Foren oder Portalen kann eine Form des Nicknappings darstellen, sofern keine Unabhängigkeit der beteiligten Personen gegeben ist und das Pseudonym in der entsprechenden Themengesellschaft einer bekannten Person zugeordnet wird, also einen hohen Wiedererkennungswert hat.

Strafrechtlich ist der Missbrauch eines echten Namens und der eines Nicknames sehr unterschiedlich zu bewerten. Während die Verwendung eines falschen Namens in Verbindung mit weiteren Daten und Fakten zur Person immer strafbar ist, kann die Verwendung desselben Nicks in unterschiedlichen Systemen nicht verfolgt werden, da Nicknames nicht geschützt sind und die Verwendung nur innerhalb des jeweiligen Systems kontrolliert werden kann. Rechtlich dem „bürgerlichen Namen“ gleichgestellt sind nur im Ausweis eingetragene Künstlernamen.

Accounts

Insbesondere auf Online-Plattformen, wie zum Beispiel Facebook, XING oder StudiVZ, gibt es zahlreiche Fälle, bei denen Accounts (oder „Profile“) unter dem Namen von Kollegen oder Kommilitonen angelegt wurden. Da zumeist auch Fotos der Opfer verfügbar sind, können sehr realistisch wirkende Profile erstellt werden, mit Hilfe derer Falschinformationen an Dritte weitergetragen oder Informationen von Dritten in gutem Glauben erfragt werden können. In einigen Fällen werden diese Accounts jedoch im Auftrag angelegt und betrieben (zum Beispiel bei bekannten Politikern). Facebook hat dazu die Möglichkeit geschaffen, Seiten für bekannte Persönlichkeiten anzulegen, die besonders gekennzeichnet sind.[3]

Es liegt aus rechtlicher Sicht ein Identitätsdiebstahl vor, wenn der Account mit persönlichen Daten ohne Zustimmung des Inhabers angelegt wurde. Bei Plattformen, die für dieselben Daten nur eine Registrierung erlauben, kann der Inhaber der Identität meist keinen Account mehr anlegen. Ein Identitätsdiebstahl liegt auch dann vor, wenn ein bestehender Account gehackt und von unbefugten Dritten beispielsweise für Betrug verwendet wird.[4]

Häufige Kombinationen aus Vor- und Zuname stellen dagegen keinen Identitätsdiebstahl dar.

Deutschland

Statistik

Eine Studie aus dem Jahr 2016 von PwC gibt an, dass jede dritte deutsche Person bereits von Identitätsdiebstahl betroffen war.[5] 30 % hiervon haben einen wirtschaftlichen Schaden, im Schnitt 1.366 €, erlitten. Als häufigste Form des Identitätsdiebstahls beziffert die Studie den Spam-Versand von E-Mails, gefolgt von der Erstellung von Fake-Accounts und dem Diebstahl von Kreditkarten-Daten.

Für das Jahr 2020 weist das Bundeskriminalamt (BKA) missbräuchliche Transaktionen in Höhe von 85.000 € aus, die im Zusammenhang mit digitalem Identitätsdiebstahl stehen.[6] Mit Verweis auf die Plattform HaveIBeenPwnd und das Hasso-Plattner-Institut beziffert das BKA die Anzahl kompromittierter Accounts auf 11–12 Milliarden. Zum 15. April 2023 weist HaveIBeenPwnd etwa 12,5 Milliarden kompromittierte Accounts aus.[7]

Die Aufklärungsquote für Identitätsdiebstahl liegt im Jahr 2020 bei 30 %.[8]

Rechtliche Situation in Deutschland

Der Schutz des Pseudonyms ist durch § 12 BGB gewährleistet. Die Erlangung oder Verwendung der Daten kann je nach Einzelfall durchaus unter verschiedene Strafrechtsnormen fallen.[9] Dies betrifft vorrangig die einschlägigen Normen der Computerkriminalität, wie sie beispielsweise im Bundeslagebild Cybercrime des Bundeskriminalamtes[10] verwendet werden, aber auch klassische Delikte wie Betrug (§ 263 StGB) oder Erpressung (§ 253 StGB). Häufig relevante Computerdelikte sind: Computerbetrug (§ 263a StGB), Ausspähen von Daten, Abfangen von Daten und Datenhehlerei (§§ 202a, 202b, 202c, 202d StGB), Fälschung beweiserheblicher Daten und Täuschung im Rechtsverkehr bei Datenverarbeitung (§ 269 und § 270 StGB) sowie bestimmte Delikte im Zusammenhang mit körperlichen unbaren Zahlungsinstrumenten (siehe § 152c).

Eine besonders häufige Form des Datenmissbrauchs ist der sogenannte Waren- oder Leistungskreditbetrug. Hierbei werden meist online oder per Telefon, aber auch in Ladengeschäften unter Angabe fremder Personen- und/oder Zahlungsdaten Bestellungen aufgegeben, mit dem Ziel die Ware oder Leistung ohne Leistung der Zahlung für sich oder Dritte zu erlangen.

Hinsichtlich der Frage, ob der Identitätsdiebstahl/-missbrauch als eigenständiger Straftatbestand aufgenommen werden sollte, äußert sich der Wissenschaftliche Dienst des Bundestages in einer Sachstandsanfrage im September 2014 wie folgt: „Im Schrifttum wird unter anderem konstatiert, dass nach geltendem Recht keine Strafbarkeitslücken bestünden, so dass insoweit kein Bedarf für eine Gesetzesänderung bestünde. Zwar wird konzediert, ein gesonderter Straftatbestand könne dazu dienen, den spezifischen Unrechtscharakter hervorzuheben –ein Bedürfnis hierfür sei jedoch derzeit ebenfalls nicht gegeben.“[11]

Aus zivilrechtlicher Sicht ergeben sich unterschiedliche Ansprüche z. B. auf Unterlassung oder Schadensersatz gegen die Person, welche die Daten missbräuchlich verwendet. Abgesehen von Beziehungstaten, bei welchen ein (ehemaliger) Lebensgefährte widerrechtlich die Daten verwendet, ist oftmals jedoch nicht klar, wer die Daten verwendet, sodass das Durchsetzen der Ansprüche fraglich ist.

USA

Die am häufigsten auftretenden Formen von Identitätsdiebstahl sind Kreditkartenbetrug, Kontenraub und Bankbetrug; in den USA sollen diese Straftaten nach einer Studie der Federal Trade Commission (FTC) im Jahr 2002 einen Schaden von insgesamt rund 37 Milliarden US-Dollar verursacht haben – 33 Milliarden US$ für Geschäftskunden und knapp 4 Milliarden US$ bei Privathaushalten.[12] Auch wurde ein Anstieg der Schadenssumme festgestellt – im Jahr 2005 belief sie sich auf rund 57 Milliarden US$.[13]

Identitätsdiebstahl ist eine der am stärksten zunehmenden Kriminalitätsformen in hochtechnisierten Ländern. Bei der US-amerikanischen Handelsaufsicht Federal Trade Commission gingen beispielsweise im Jahr 2002 168.000 Meldungen sowie 380.000 Beschwerden wegen Identitätsdiebstahls ein.

Im Jahr 2007 war die kalifornische Stadt Napa mit 300 Beschwerden pro 100.000 Einwohnern die Stadt mit den meisten Beschwerden wegen Identitätsdiebstahl in den USA.

2017 wurden auf der FCC-Website zahlreiche Kommentare mit gestohlenen Identitäten gepostet, die sich gegen die Netzneutralität aussprachen – mutmaßlich, um das öffentliche Meinungsbild zu verfälschen.[14]

Identitätsdiebstahl als Filmthema

Siehe auch

Literatur

  • Chris Jeff Hoofnagle: Identity Theft: Making the Known Unknowns Known, 1. März 2007, Social Science Research Network (SSRN),
  • T. Coraghessan Boyle: Talk Talk. Roman. Hanser, München u. a. 2006, ISBN 3-446-20758-9 (Das Thema „Identitätsdiebstahl“ wird in Romanform beschrieben).
  • James W. Bennetts: Tricky. Thriller (= Fischer 17392). Fischer-Taschenbuch-Verlag, Frankfurt am Main 2007, ISBN 978-3-596-17392-1 (Fiktiver Roman über Identitätsdiebstahl in den USA).
  • Stefan Bartz: Identitätsdiebstahl: Zur Frage der Strafbarkeit des Identitätsdiebstahls und der Notwendigkeit eines eigenen Straftatbestandes im deutschen Recht. Peter Lang Verlag, Hamburg 2017, ISBN 978-3-631720493 (Dissertation)

Einzelnachweise

  1. OLG Köln, Urteil vom 6. September 2002, Az. 19 U 16/02, Volltext.
  2. AG Erfurt, Urteil vom 14. September 2001, Az. 28 C 2354/01, Volltext.
  3. Bei Facebook anmelden. Abgerufen am 7. Februar 2022.
  4. Welche Folgen Identitätsdiebstahl im Internet haben kann. In: Verbraucherzentrale.de. Verbraucherzentrale NRW e.V., 20. Dezember 2021, abgerufen am 29. März 2022.
  5. PwC: Identitätsklau - die Gefahr aus dem Netz. Oktober 2016 (pwc.de [PDF]).
  6. Bundeskriminalamt: Cybercrime Bundeslagebild 2020. April 2021, S. 12,17–18 (bka.de [PDF]).
  7. Have I Been Pwned: Check if your email has been compromised in a data breach. Abgerufen am 15. April 2023.
  8. Anna Schmid: Betrüger bestellten Waren im Wert von 10.000 Euro - Mario sollte zahlen. In: Focus. Focus, 1. März 2023, abgerufen am 15. April 2023.
  9. Marco Gercke: Die Strafbarkeit von „Phishing“ und Identitätsdiebstahl. In: Computer und Recht. Band 21, Nr. 8, Januar 2005, ISSN 2194-4172, doi:10.9785/ovs-cr-2005-606.
  10. Bundeskriminalamt 65173 Wiesbaden (Hrsg.): Cybercrime. Bundeslagebild 2017. Wiesbaden Juli 2018 (bka.de).
  11. WD 7: WD 7 - 3000 -183/14 - „Identitätsdiebstahl“ im Internet - Überblick und rechtliche Implikationen. Hrsg.: Wissenschaftlicher Dienst des Deutschen Bundestages. Berlin, S. 5–6 (bundestag.de [PDF]).
  12. silicon.de: Identity-Diebstahl zieht weite Kreise
  13. Web spielt nur kleine Rolle bei ID-Klau
  14. FCC stonewalled investigation of net neutrality comment fraud, NY AG says — Ars Technica. In: arstechnica.com. Abgerufen am 24. November 2017.