Identitätsdiebstahl & Identitätsbetrug

So schützen sich Unternehmen vor den rechtlichen, finanziellen und reputationsbezogenen Folgen

Cyberkriminalität ist längst nicht mehr nur ein Problem für Privatpersonen. Auch Unternehmen sind verstärkt Zielscheibe von Identitätsdiebstahl und Identitätsbetrug – mit teils massiven finanziellen, rechtlichen und reputationsbezogenen Folgen. Während die Digitalisierung neue Chancen eröffnet, wächst gleichzeitig die Angriffsfläche für gezielte Täuschung, Datendiebstahl und Betrug im Namen Dritter.

Begriffsklärung: Identitätsdiebstahl versus Identitätsbetrug

• Identitätsdiebstahl bezeichnet die unbefugte Aneignung personenbezogener oder unternehmensrelevanter Daten – etwa von Privatpersonen, Mitarbeitenden, Führungskräften oder sogar ganzen Firmenprofilen.
• Identitätsbetrug hingegen bezeichnet die darauffolgende missbräuchliche Verwendung dieser Informationen. Da gibt sich also jemand gegenüber Dritten als eine andere Person oder Organisation aus, um sich mit einer zuvor gestohlenen Identität beispielsweise Aufträge zu erschleichen, Zahlungsdaten für Käufe zu manipulieren oder Zugriff auf Systeme zu erhalten.

Was sind die Folgen von Identitätsdiebstahl für Unternehmen?

Unabhängig von der Branche, in der ein Unternehmen oder eine Organisation tätig ist, sind die Auswirkungen von Identitätsdiebstahl und Identitätsbetrug oft komplex und tiefgreifend. Neben dem für sich allein betrachtet schon bedrohlichen Datendiebstahl entstehen weitere Risiken, beispielsweise in Bezug auf mögliche Lieferketten, Kundenbeziehungen, Vertragsabschlüsse und Compliance.

Typische ID-Fraud-Szenarien in Unternehmen

Leider sind die Missbrauchsmöglichkeiten ebenso vielfältig wie die Methoden, mit denen Kriminelle an die Daten kommen – Phishing, Spam-SMS und andere Formen des Social Engineerings sind dabei die Gängigsten, mit denen sie Identitäten ergaunern. Und die Szenarien, die mit Identitätsdiebstahl und Identitätsbetrug denkbar sind, geben einen Eindruck von den Dimensionen, die mit ID-Fraud erreicht werden können:

• CEO-Fraud
  Bei dieser „Chef-Masche“ geben sich Kriminelle per E-Mail als Geschäftsführerin oder Geschäftsführer aus und veranlassen Mitarbeitende zum Beispiel zur Überweisung hoher Summen auf – natürlich – gefakte Konten.
• Fake-Bewerbungen
  Der HR-Bereich in Unternehmen kann ebenfalls betroffen sein, wenn beispielsweise über gefälschte Bewerbungsunterlagen Schadsoftware eingeschleust wird, mit der Kriminelle Zugriff auf die internen Netzwerke erlangen wollen.
• Phishing bei Mitarbeiteraccounts
  Phishing als eine der gängigsten Betrugsmaschen ist hinreichend bekannt, allerdings sind die verdächtigen Erkennungsmerkmale aus früheren Zeiten inzwischen kaum noch vorhanden. Auch dank KI sind Phishing-E-Mails derart „professionalisiert“, dass es für Kriminelle ein Leichtes ist, im großen Stil Zugangsdaten (auch) von Mitarbeitenden abzugreifen und diese anschließend zum Einloggen in Unternehmenssysteme missbräuchlich zu nutzen.
• Kundentäuschung
  Wenn sich Kriminelle als Unternehmen ausgeben und mit ihrem gefakten Account gefälschte Rechnungen an die Kundinnen und Kunden eines Unternehmens senden, kann dies erhebliche Reputationsverluste nach sich ziehen, erst recht, wenn Zahlungen auf betrügerische Konten angewiesen und nicht zurückzuverfolgen sind.
• Angriffe auf Dienstleister und/oder Partnerunternehmen
  Und auch mit kompromittierten Identitäten, die weitreichende Zugriffe auf die Unternehmenssysteme und mögliche Lieferketten erlangten, sollten die Folgen ebenfalls nicht unterschätzt werden.

Rechtliche Rahmenbedingungen

DSGVO & B2B

Auch im B2B-Umfeld gelten strenge Anforderungen an den Datenschutz. Unternehmen sind verpflichtet, personenbezogene Daten ihrer Kundinnen und Kunden, Mitarbeitenden und Partner zu schützen – und bei Verstößen drohen selbst bei einem unverschuldeten Datenverlust hohe Bußgelder.

Mit der europaweit geltenden (EU-)DSGVO (Datenschutzgrundverordnung) sind bereits sehr viele Regelungen vorgenommen worden, mit denen der Schutz digitaler Identitäten gewährleistet werden soll. So muss beispielsweise jedes Unternehmen seinen Kundinnen, Kunden und Vertragspartnern auf Nachfrage Auskunft darüber erteilen, welche Personendaten es gespeichert hat. Im Rahmen der gesetzlichen Möglichkeiten können Nutzerinnen und Nutzer die auf den Unternehmensdatenbanken gespeicherten Daten auch löschen lassen. Ausnahmen sind etwa behördensseitig gespeicherte Daten (beispielsweise strafrechtliche Verurteilungen) oder medizinische Daten.

Und bei Verletzung von Datenschutzrechten kann sich theoretisch auch ein Schadensersatzanspruch ergeben. Allerdings lässt sich hier nicht pauschal sagen, ob und wann ein solcher Anspruch vielleicht besteht.

Strafgesetzbuch (StGB)

Die Tatbestände „Identitätsdiebstahl“ und „Identitätsbetrug“ werden im Strafgesetzbuch (StGB) bisher noch nicht explizit definiert. Einzelne Aspekte wie etwa das Ausspähen von Daten (§ 202a StGB), Fälschung beweiserheblicher Daten (§ 269 StGB), Betrug (§ 263 StGB) oder Computerbetrug (§ 263a) können jedoch unter diese definierten Tatbestände subsumiert werden.

Außerdem gehen solche Taten in den meisten Fällen mit weiteren Straftaten einher, die verfolgt werden können. Das fängt etwa bei der Verletzung des Briefgeheimnisses (§ 202 StGB) an. Gemäß dieser Vorschrift wird bestraft, wer fremde Briefe ohne Erlaubnis öffnet. Etwas moderner ist da die Vorschrift des § 202a StGB. Hier wird das Ausspähen von Daten unter Strafe gestellt. Das betrifft vor allem diejenigen Fälle, in denen Daten erbeutet werden, indem sich Cyber-Kriminelle in Systeme hacken. Schließlich begehen sie dann auch regelmäßig einen Betrug (§ 263 StGB) gegenüber denjenigen, denen sie eine fremde Identität vortäuschen.

Maßnahmen zum Schutz vor Identitätsdiebstahl für Unternehmen

Für Unternehmen ist es besonders wichtig, geeignete Maßnahmen zum Schutz vor Identitätsdiebstahl und Identitätsbetrug zu implementieren: Einerseits könnten Kriminelle unter Verwendung einer gestohlenen Identität als Kundin oder Kunde in Erscheinung treten und Dienstleistungen oder Produkte erwerben. Und andererseits könnten sie die Identität von Mitarbeitenden entwenden und so möglicherweise auf interne Datenbanken und Server zugreifen – und hier noch weit größeren Schaden verursachen

• Sensibilisierung und Awareness-Trainings für Mitarbeitende
  Die Mitarbeitenden als erste „Verteidigungslinie“ hinsichtlich möglicher Anzeichen betrügerischer Vorgänge zu sensibilisieren, gehört mit zu den wichtigsten Maßnahmen, die ein Unternehmen ergreifen muss. Da je nach Branche ohnehin Systeme zur sicheren Identitätsverifikation rechtlich vorgeschrieben sind, gehören regelmäßige Schulungen der Mitarbeitenden zu den obligatorischen Maßnahmen.
• Sichere Identifikationsverfahren implementieren
  Täuschungsversuche sind so alt wie die Menschheit – und auch im Web ist dieses Thema längst angekommen. Ein unbedachter Klick an der falschen Stelle kann da schon genügen, um sensible Daten – und damit die Identität – in die Hände von Hackern zu bringen.
• Konsequente Überprüfung und Aktualisierung aller Systeme
  Alle unternehmensintern genutzten Systeme müssen konsequent auf mögliche Sicherheitsrisiken hin geprüft und aktualisiert werden. Und auch Komponenten, die durch Drittanbieter Teil der technischen Infrastruktur sind, müssen den jeweils aktuellen rechtlichen Vorgaben entsprechen.

Lösungen zum Schutz vor Identitätsdiebstahl und Identitätsbetrug

Es gibt verschiedene Lösungen, mit denen Unternehmen und Behörden die Identität ihrer Nutzer und Nutzerinnen sicher nachweisen und dabei unter anderem die Compliance-Vorgaben erfüllen können. Dazu gehören beispielsweise Video-Ident-Verfahren, biometrische Verfahren und Lösungen zum Auslesen des Chips in Ausweisdokumenten.

Prüfung von Ausweisdokumenten

Es gibt eine Reihe von Anbietern, die Verfahren zur Prüfung von Ausweisdokumenten im Rahmen einer Online-Identitätsprüfung bereitstellen.
WebID beispielsweise gilt als Pionier im Bereich Digitaler Identifikation und verfügt über ein breites Portfolio an Lösungen, die GwG-/AML- und datenschutzkonform sind. Bei den folgenden Produkten ist eine Prüfung von Ausweisdokumenten Bestandteil des Identifikationsverfahrens.

• Das Produkt VideoID von WebID ermöglicht eine Geldwäschegesetz-konforme Identifikation von Personen. Dabei lädt die Person zunächst ein geeignetes Ausweisdokument hoch. Anschließend erfolgt die Verifikation während eines Video-Calls mit einem eigens hierfür geschulten Agenten.
• AccountID ermöglicht die Online-Identifikation mittels einer Referenzüberweisung: Nachdem ein Ausweisdokument sowie ein Selfie vom Kunden oder der Kundin hochgeladen und automatisiert mittels Live Detection und biometrischem Abgleich geprüft wurde, erfolgt eine Referenzüberweisung übers Online-Banking. Abschließend wird der Identifikationsprozess durch die Eingabe einer Transaktionsnummer (SMS-TAN) abgeschlossen.
• eID ist ebenfalls GwG-konform. Diese Lösung ermöglicht die Personen-Identifikation per Online-Ausweisfunktion und ist das präferierte Verfahren in öffentlichen Verwaltungen, weil sie das fehlerfreie Auslesen und das Weiterleiten der Daten des aktivierten Chips in Ausweisdokumenten ermöglicht.
• Biometrische Identifikation
  Biometrische Merkmale wie Fingerabdrücke, Gesichtserkennung oder Iris-Scans werden als nahezu fälschungssicher betrachtet, da sie für jede Person einzigartig sind und eine Fälschung nur mit erheblichem Aufwand möglich ist. WebID stellt außerdem Lösungen zur digitalen Identifikation bereit, die auf biometrischen Daten basieren.
  Neben AccountID, das bereits einen biometrischen Abgleich und Live Detection nutzt, werden diese Verfahren auch für AutoID zum Einsatz gebracht. AutoID vergleicht im Rahmen eines vollständig automatisierten Verfahrens das Gesicht (Selfie) der Kundin oder des Kunden biometrisch mit dem Bild, das in einem amtlichen Dokument hinterlegt ist, wie beispielsweise auf einem Personalausweis.