Identitätsdiebstahl. Das kann mir doch nicht passieren. Oder doch? Leider ja. Und die Maschen der Betrügerinnen und Betrüger werden immer perfider. Die Angriffe kommen nicht mehr nur als Phishing Mails in unseren E Mail Postfächern an, sondern landen auch bei uns zu Hause in den Briefkästen. Unter falschem Vorwand und mit erfundenen Informationen soll unser Vertrauen geweckt werden. Das Ziel: Mit falschen Informationen an unsere Identitäten zu kommen. Sie wollen unseren Namen, unsere Bankdaten, unsere Adresse und sogar unseren Ausweis. 11 Prozent der Menschen in Deutschland sind damit schon konfrontiert worden und wissen, was es heißt, wenn Kriminelle ihre persönlichen Daten klauen. Doch nur die wenigsten sprechen gerne darüber. Wer deine Daten ein Bild von dir und vielleicht noch ein Bild von deinem Personalausweis hat, kann online so gut wie alles in deinem Namen machen. Wolfgang Eck und Mirko Lange hatten dieses personalisierte Anschreiben in ihrem Briefkasten. Der Brief ein sogenannter Quishing Angriff. Beide Briefe sind von der Optik unterschiedlich, aber der Inhalt ist eigentlich ziemlich gleich. Denn bei beiden soll es um eine unterschiedliche Art von Identitätsprüfung gehen. Laut Brief soll die Registrierung vor Betrug schützen. Doch in Wahrheit findet genau das hier statt. Die beiden sind nicht auf die Masche reingefallen. Im Gegenteil, sie haben den Betrugsversuch sogar öffentlich gemacht, um andere davor zu warnen. Damit auch wir bei RTL nicht auf Fehl- und Desinformationen reinfallen, haben wir ein Verifizierungsteam und zudem gehörst auch Sergej Maier. Er ordnet die Briefe wie folgt ein: „Bei dem Brief von Herrn Eck gibt es ein paar sprachliche Auffälligkeiten. Also in der Formulierung, die ich so aus Briefen von Konzernen nicht kenne. Dann ein paar grafische Merkmale: Der QR-Code überlappt so ein bisschen in die Anschrift mit rein. Hier oben. Und die ist übrigens auch falsch. Und im Vergleich dazu den Brief von Herrn Lange, der ist tatsächlich sehr viel professioneller aufgebaut. Da ist das aktuelle Logo noch aufgelistet. Auch der QR-Code sieht sehr professionell gemacht aus. Was mir aber auffällt ist, dass zum Beispiel die beiden Personen, die hier unterschrieben haben, der Herr Arno, Walter und Aydin Schein, beide aktuell gar nicht mehr bei der Commerzbank tätig sind.“ Das ist das Problem: „Wenn ich diesen QR Code aber scanne, komme ich auf einen sehr dubiosen Link, der zwar am Anfang wie ein Commerzbanklink aussieht, aber danach kommt so eine lange Reihe alphanumerischer Zeichen. Was auffällt ist, dass sie zum Beispiel nicht auf .de endet, was man bei einer Commerzbank in Deutschland erwarten würde, sondern auf .com. Und es sieht für mich halt so aus, dass man quasi den ersten Teil der URL einfach modifiziert hat und dann noch was dran gepackt hat, um die Kunden dann auf diese falsche Seite zu leiten.“ Innerhalb von wenigen Sekunden kann jeder und jede einen QR-Code generieren. Auch Logos können ganz einfach hinzugefügt werden. Hinter einer professionell ausehenden Grafik kann also wirklich jeder stecken. Auf Facebook und in vielen anderen sozialen Netzwerken haben wir noch von Menschen gelesen, die auch solche Fakebriefe erhalten haben. Zum Beispiel von der Commerzbank, der Targo-Bank, aber auch der Deutschen Bank. In den zwei von uns untersuchten Fällen waren die Briefe jeweils mit 0,85 € Onlinebriefmarken versehen. Das Ganze scheint also deutlich teurer zu sein als so eine einfache Phishing-Mail. Das Ganze muss sich also lohnen. Ob diese Betrugsmasche System hat, darüber spreche ich jetzt mit Ralf Scherfling von der Verbraucherschutzzentrale Nordrhein-Westfalen: „Grundsätzlich ist Phishing erst einmal nichts Neues. Das haben wir seit einigen Jahren, beispielsweise in Mails. Was allerdings neu ist, ist diese Kombination von digitalem Betrug mit einem analogen Kommunikationsweg. Das heißt ein Brief per Post, und dann soll man digital handeln. Das ist in der Tat neu“, sagt Scherfling. „Wir haben auch schon Fälle gehabt, da wurden Ladesäulen da wo der QR-Code überklebt von den Kriminellen. Es gab auch die Fälle, dass echte Falschparker falsche Strafzettel bekommen haben. Also, da gibt es nichts, was es nicht gibt und der Fantasie der Kriminellen, da sind auch mit Sicherheit keine Grenzen gesetzt. Und ich denke mal, dass mit Qushing wird so sein wie vor zehn Jahren bei Phishing: Jetzt sind sozusagen die ersten Versuche, wie man damit Erfolg macht und dann werden die Methoden in den nächsten Jahren mit Sicherheit verfeinert werden. Und deswegen ist es wichtig, dass die Menschen hier auch sensibilisiert werden.“ Laut Süddeutscher Zeitung wurde übrigens ein Fall bekannt, bei dem Ermittler und Ermittler einen auf über 40.000 versendete Betrugsbriefe gestoßen sind. Also, Achtung vor QR-Codes, auch wenn sie mit der Post kommen. Und wenn, dann immer einmal checken, was auf diesem kleinen Webseitenlink steht, bevor man final draufklickt. Dass sich hinter QR-Codes ungefähr jede Website verstecken kann, das wissen wir jetzt. Aber trotzdem ist Identitätsdiebstahl ziemlich gefährlich, auch wenn unsere beiden Betroffenen Glück hatten. Ich will wissen: Welche Zielgruppe nehmen die Kriminellen ins Visier und wie gehe ich vor, wenn ich selbst betroffen bin? „Es gibt keine Gruppe, die davor geschützt ist“, sagt Hans Hülsbeck, Kriminalhauptkommissar vom Landeskriminalamt NRW. „Diese Form von Kriminalität kann jeden treffen. Sie ist zielgruppengerecht, durchaus durch sehr geschickte Taktiken, teilweise auch perfide Techniken, muss man deutlich sagen. Und da sollte auch die Botschaft sein, wenn man Opfer einer solchen Straftat ist, nicht in sich hinein versinken, nicht irgendwo den Kopf in den Sand stecken, sondern sich Hilfe holen. Und ich bleibe dabei: Polizei ist ein sehr guter Ansprechpartner, weil wir kennen Opferschutzeinrichtungen. Das kann bis hin zum Trauma auch kommen, weil man sich einfach schämt. Das nennt man Victim-Blaming. Das wollen wir auf keinen Fall. Das ist ganz, ganz wichtig. Sprechen Sie darüber und holen sich Hilfe.“ Laut einer Yougov-Umfrage wurde jeder zehnte Mensch in Deutschland schon Opfer von Identitätsbetrug und jeder Dritte hat bereits im Bekanntenkreis oder persönlich damit Erfahrungen machen müssen. Wie ich meine Daten am besten vor Identitätsdiebstahl schützen kann. Darüber spreche ich jetzt mit Frau Dr. Ayten Öksüz von der Verbraucherzentrale Nordrhein-Westfalen. „Grundsätzlich raten wir Verbraucherinnen immer sehr datensparsam vorzugehen, also da eigenen Daten zu geizen, und zwar überall, wo man online unterwegs ist. Sei es beim Onlineshopping zum Beispiel, soweit es möglich ist, als Gast zu bestellen, wenn das Geburtsdatum beispielsweise abgefragt wird und ich dann einen Gutschein bekomme zu meinem Geburtstag, dann sollte man vielleicht zweimal überlegen, ob das das einem dann wert ist. Je mehr Daten, desto mehr Daten können Kriminelle dann auch abgreifen. Und auch Stichwort soziale Netzwerke bei Social Media: Wenn man das macht, dann sollte man auch immer so ein bisschen überlegen: Was poste ich da über über mich? Ein zweiter Punkt sind starke Passwörter. Dass man auf jeden Fall für jeden Onlineaccount, den man hat – und ja, es sind viele heutzutage – dass man die mit starken Passwörtern schützt und auch mit einem zweiten Faktor, soweit das möglich ist. Je mehr Kriminelle über mich wissen, desto besser und einfacher können sie ihr Vertrauen erwecken und mich dazu bringen, in ihre Falle zu tappen.“ Identitätsdiebstahl ist nur eine Form von Cyberkriminalität und das Bundeskriminalamt hat zur Bekämpfung davon sogar eine ganze eigene Abteilung. Die Suche nach den Tätern dahinter gestaltet sich allerdings ziemlich schwierig. „Cybercrime ist ein Phänomen. Da brauchen sie einen Rechner, einen Stromanschluss und einen Internetanschluss. Und dann können Sie von jedem Ort dieser Welt Straftaten begehen“, sagt Carsten Meywirth, Leiter der Abteilung Cybercrime im BKA. „Straftaten werden da in der Tat häufig aus dem Ausland organisiert. Wir stellen seit spätestens 2015 fest, dass sich so eine Underground Economy gebildet hat, also ein kriminelles Ecosystem, das arbeitsteilig und hocheffizient analog zu legalen Wirtschaftsstrukturen funktioniert. Machen sie hier allerdings Fehler, haben wir gute Möglichkeiten, sie zu identifizieren. Cyberkriminalität ist natürlich ein Megatrend. Das heißt, dass immer mehr Straftäter auch aus der analogen Welt heraus diesem folgen und immer mehr Internet verbundene Infrastrukturen zur Begehung ihrer Straftaten benutzen. Das heißt: Polizei, Gesellschaft insgesamt muss sich technisch weiterentwickeln und muss hier Schritt halten.“ Die analysierten Fälle zeigen, wie schwierig es ist, online Identitäten zu überprüfen und wie weitflächig Betrüger mit diesen online Identitäten agieren. Auf die echten Menschen, die dahinter stehen, nehmen die Kriminellen keine Rücksicht. Identitätsdiebstahl kann in einem Albtraum enden. Aber unsere Fälle zeigen, dass man mit einem kritischen Blick und Nachforschung auch die neuesten kriminellen Maschen entlarven kann. Wir sollten offen über unsere Erfahrungen mit Internetkriminalität sprechen, damit wir alle gemeinsam davon lernen können.