Identitätsklau ist kein Internet-Problem
Artikel erschienen in Swiss IT Magazine 2005/06
Wenn über den Diebstahl von Identitäten, auf neu-deutsch «Identity Theft» gesprochen wird, wird dies meist mit allerlei Technik in Verbindung gebracht: Identity Theft wird gemeinhin als Übel des Internet-Zeitalters betrachtet. Die Palette der Vorfälle reicht von «Phishing»-Mails, mit denen irgendwelche Betrüger an fremde Kontodaten zu gelangen versuchen, über das Registrieren von Mail-Adressen unter falschem Namen bis hin zu Computerviren und -würmern, die ihre böse Fracht automatisch mit fremden Absendern versehen.
Die Realität ist freilich eine andere. Identitätsklau hat nicht primär mit Technik zu tun, sondern mit den Menschen, die sie einsetzen. In den USA, wo das Problem grassiert, findet der Identitätsdiebstahl zur überwiegenden Mehrheit offline statt, wie eine jüngst durchgeführte Studie ergab. Zwar gibt es immer mehr Datenbanken mit vielerlei persönlichen Informationen, die für einen Identitätsdieb eine Goldgrube wären. Denn um unter fremdem Namen Kreditkarten beantragen oder Bestellungen auf anderer Leute Rechnung tätigen zu können, braucht der Identitätsdieb möglichst viele Informationen über sein Opfer. Doch technisch sind diese Systeme heute meist gut von Zugriffen Dritter geschützt.
Ganz anders verhält es sich mit dem Sicherheitsniveau der Anwender, die diese Systeme erlaubterweise einsetzen. Über geschicktes «Social Engineering» lässt sich mit einigen Anrufen und einer passenden Geschichte oft sehr viel mehr in Erfahrung bringen als mit aufwendigen Suchläufen im Internet oder in Bezahldatenbanken. Geht es dem Täter daraufhin um den Einsatz der gewonnenen Informationen, verhält es sich bezeichnenderweise genau gleich. So ist es heute zwar zum Beispiel Pflicht, ein Prepaid-Handy unter dem eigenen Namen und der eigenen Adresse zu registrieren. Offenbar ist es aber problemlos möglich, sich als Einwohner von «Entenhausen» auszugeben, wie jüngst der Sonntagspresse zu entnehmen war. Noch viel einfacher dürfte es sein, ein Handy auf eine reell existierende fremde Person zu registrieren.
Die Ursache für solche Identitätsdiebstähle liegt denn auch, wie in manchen Sicherheitsfragen, nicht in mangelndem technischen Schutz, sondern im Vertrauensvorschuss, den wir Menschen anderen Menschen zu geben bereit sind. Wer keine schlechten Erfahrungen macht, fühlt sich sicher, und wer schlechte Erfahrungen gemacht hat, vergisst diese gerne schnell. Dabei hat dies nichts mit Dummheit und auch nur
beschränkt etwas mit Bequemlichkeit zu tun. Darum können Sensibilisierungs- und Aufklärungsmassnahmen zwar helfen, Identitätsdiebstähle und andere Sicherheitsprobleme zu bekämpfen. Doch die Wirksamkeit dieser Massnahmen ist durch die Natur des Menschen sehr begrenzt, wie zum Beispiel auch die stark wachsende Zahl von Computerviren und -würmern zeigt, die mit den immer gleichen Vorgehensweisen Erfolg haben. Attachments werden nach wie vor unbekümmert geöffnet, obwohl die Gefahren seit dem «I Love You»-Wurm hinlänglich bekannt sind.
Wird dies akzeptiert, kommt unweigerlich der Ruf nach mehr technischem Schutz. Die traditionelle IT-Security, die sich mit Konzepten wie Firewalls, Antivirensoftware und Authentifikation beschäftigt, kann diesen aber nicht wirklich bieten. Gefragt sind vielmehr Massnahmen, die an den kritischen Stellen den Menschen daran hindern, allzu vertrauensselig und unaufmerksam zu sein: Wenn ein Prepaid-Handykunde als Wohnort «Entenhausen» angibt, müsste die Registriersoftware eine solche Eingabe nicht nur verweigern, sondern den Verkäufer aktiv auffordern, diesen Kunden besonders genau unter die Lupe zu nehmen. Ob der Handy-Verkäufer in einem vollen Ladengeschäft dies dann auch tut, ist zwar eine andere Frage. Er unterlässt dies dann aber mit vollem Wissen und kann auch zur Verantwortung gezogen werden.