Nur ein kurzer Hinweis auf eine Geschichte bei Zeit Online, auf die ich gestern schon per Twitter hingewiesen habe. Wer noch einen überzeugenden Beleg dafür braucht, wie wichtig es ist, seine persönlichen Daten nicht überall preiszugeben, dem sei dieser Artikel von Tina Groll ans Herz gelegt.

Sie beschreibt ihren ganz persönlichen Horrortripp (der immer noch andauert), nachdem Betrüger mit ihren Daten (Name, Geburtstag, Beruf, so einfach) auf Einkaufstour gingen.

“Es klingt lächerlich, aber: Ich habe Angst, den Briefkasten zu öffnen. Beinahe täglich flattern mir derzeit Mahnungen und Drohschreiben von Inkassounternehmen ins Haus. “Weil Sie auf die vorbenannten Forderungen noch immer nicht reagiert haben, leiten wir jetzt das Mahnverfahren ein”, steht da zum Beispiel. Schulden soll ich gemacht und Waren bezogen haben von Unternehmen, deren Namen ich noch nie gehört habe. Die Sachen wurden an Adressen geliefert, die nie die meinen waren. Dort soll es sogar Menschen geben, die “zweifellos bezeugen können, dass Sie, Tina Groll, dort gewohnt haben”, schreibt mir eine Inkassofirma. Sogar Haftbefehle gibt es gegen mich – und das völlig unverschuldet. Ich bin Opfer eines Identitätsdiebstahls geworden.”

Lesepflicht, finde ich.

Nachtrag 20.2.:
Auf DRadio Wissen (im Zeit Online Talk) erklärt Tina Groll ihren Fall, gleichzeitig gibt es eine interessante Diskussion über Daten im Internet und den Selbstdatenschutz (Welche Daten sollte ich angeben? usw.)

Kommentare (15)

  1. #1 Thilo Kuessner
    12. Februar 2010

    Literarisch überhöht kann man solche Geschichten in Daniel Kehlmanns “Ruhm” nachlesen.

  2. #2 rolak
    12. Februar 2010

    Ha, endlich mal eine schöne url, die man all denen zuschicken kann, die sich bei mir völlig verwundert und leicht beschwerend melden mit “Dich kann man im Netz so gut wie garnicht finden”. Paranoiaverdacht ade ;-)

  3. #3 Ronny
    12. Februar 2010

    Jaja, ein bisl paranoid ist schon ok :)

    Aber sowas kann einem auch anderswo passieren. EIn Bekannte musste sich mit der Firma Maestro herumschlagen, weil irgendwo in Kanada jemand mit ihrer Bankomatkarte Geld behoben hat. War interessant, vor allem weil sie noch nie in Kanada war.

    Oder meine Oma musste vor Jahren mal zu einem Betrugsprozess als Beschuldigte. Bei der Verhandlung meinte dann der Geschädigte, dass es sich um die falsche Person handle, obwohl alle Daten korrekt waren.

    Wie gesagt, gibts überall, aber wenn man natürlich alles freiwillig ins Inet stellt dann steigt die Wahrscheinlichkeit.

  4. #4 Alex
    12. Februar 2010

    Wobei das nicht unbedingt ein Problem des Internets ist. Name und Geburtsdaten findet man auf den “Wir gratulieren”-Seiten jeder Lokalzeitung, die passenden Adressen und Berufe liefert das Telefonbuch. Trotzdem erschreckend.

  5. #5 Marcus Anhäuser
    12. Februar 2010

    @Alex
    naja, nur kann man die nicht so automatisiert abgreifen wie im Internet, und dann gleich per Internet bestellen. Mich hat ein wenig schockiert, wie einfach das offenbar ist.

  6. #6 Sven Türpe
    12. Februar 2010

    Ha, endlich mal eine schöne url, die man all denen zuschicken kann, die sich bei mir völlig verwundert und leicht beschwerend melden mit “Dich kann man im Netz so gut wie garnicht finden”.

    Wobei das Kernproblem weniger in der Zugänglichkeit von Daten liegt, die man vielleicht nicht jedem erzählt, die aber auch nicht ausgesprochen geheim sind. Das eigentliche Problem ist, dass frei wählbare Daten aus unbekannten Quellen zur Grundlage von Prozessen werden, die weitgehend automatisch ablaufen und auf Robustheit getrimmt sind.

  7. #7 rolak
    12. Februar 2010

    dass frei wählbare Daten aus unbekannten Quellen zur Grundlage von Prozessen werden, die weitgehend automatisch ablaufen und auf Robustheit getrimmt sind

    Ein psychologisch fundiertes VT-Erklärungsmodell?
    Denn mit dem Thema kann es nicht viel zu tun haben: Wenn sie nicht von der Zugänglichkeit der Daten abhängen, warum sind derartige Erscheinungen extrem vermehrt seit der Akzeptanz des www, speziell 2.0, zu vernehmen? Denn Adressbücher und Versandhandel gibt es schon urlange; von frei phantasierten Daten ist im thread gar nicht die Rede… Oder glaubst Du, daß sich die virtuellen Personen aus der Legion meiner email-Konten-Pseudonyme jemals von ungerechtfertigten Forderungen belästigt fühlen?

  8. #8 Sven Türpe
    12. Februar 2010

    Wenn sie nicht von der Zugänglichkeit der Daten abhängen, warum sind derartige Erscheinungen extrem vermehrt seit der Akzeptanz des www, speziell 2.0, zu vernehmen?

    Weil das Netz die Verwendung der Daten erleichtert, insbesondere ihre Verwendung über Landesgrenzen hinweg. Und weil das Netz als Marktplatz die arbeitsteilige Umsetzung von Geschäftsmodellen einfacher und billiger macht, ob sie nun legal sind oder nicht. Kriminelle auf können sich so auf einen Aspekt der Wertschöpfungskette spezialisieren. Und weil es das Netz einfacher macht, die Daten an der Quelle zu sammeln, nämlich mit Schadsoftware auf dem PC des Opfers. Ob man die Daten googeln kann, ist dabei gleichgültig.

    Der Begriff Identitätsdiebstahl wurde übrigens lange vor dem Siegeszug des Internet geprägt.

  9. #9 Sven Türpe
    12. Februar 2010

    Weil’s gerade passt, noch zwei aktuelle Links zum Thema:

    1. Bruce Schneier zitiert und verlinkt aktuell ein Interview mit einem Vertreter die Nigeria-Connection. Die fangen bekanntlich erst einmal mit Spam an und gehen dann bei denen in die Tiefe, die darauf anspringen. Und sie holen sich bei einem Opfer Identitätsmerkmale, die sie beim nächsten dann als Teil ihrer Story benutzen.
    2. Die Kundenidentifizierungspflicht, die man Telekommunikationsanbietern vor einigen Jahren für die “öffentliche Sicherheit” aufgebürdet hat, erweist sich gerade als Bumerang. Statt anonymer Prepaid-Karten gibt es jetzt Prepaid-Karten mit falschen Angaben in der Datenbank. De facto hat man den Missbrauch von Identitätsmerkmalen damit attraktiver gemacht.
  10. #10 Marcus Anhäuser
    12. Februar 2010

    pardon sven, spam filter sponn mal wieder

  11. #11 Webbaer
    25. Februar 2010

    Nun ja, was man nicht gekauft hat, das muss man nicht bezahlen. Rechnungen und Mahnungen können in den Mülleimer. Auf Bescheide des Amtsgerichts reagiert man. Punkt.
    Oder man instruiert seinen Anwalt, der macht das auch gerne, es gibt dann auch Mengenrabatt.

    Wenn der Händler oder Gewerbetreibende keine Identitätskontrolle durchführt und sich auf Angaben verlässt, die sogar öffentlich zugänglich sind, hat er Pech gehabt.

    Im Kreditkartenbereich läuft hier ziemlich viel. Man wundert sich – so zu sagen als Laie – über die nicht implementierte Sicherheit.

    Dem ZEIT-Artikel kann der Webbaer also nicht viel abgewinnen, statt des blöden Wortes “Identitätsdiebstahl” (dieser liegt ja gerade nicht vor, den Identitäten, also bspw. ausgetrickste Authentifizierungsverfahren sind ja nicht im Spiel) hätte auch das Wort “Betrug” fallen können. Es ist Betrug; wie es sich so darstellt, liefern viele gegen Rechnung und die Täter nehmen die Ware entgegen. Richter geben sogar Strafnachlass wegen Einfachheit der Tat.

    Machen kann man da nüscht (ausser eben Sicherheit implementieren und diese Nachlässigkeiten lassen). Die deutsche Kultur basiert recht stark auf Vertrauen. Es wird hier Anpassungen geben.

    MFG
    WB

    PS: “Wer noch einen überzeugenden Beleg dafür braucht, wie wichtig es ist, seine persönlichen Daten nicht überall preiszugeben…” überzeugt nicht, security by obscurity ist Mist.
    Das Internetgeschäft wird sich ändern müssen.

  12. #12 Webbaer
    25. Februar 2010

    @Sven

    Das eigentliche Problem ist, dass frei wählbare Daten aus unbekannten Quellen zur Grundlage von Prozessen werden, die weitgehend automatisch ablaufen und auf Robustheit getrimmt sind.

    Das mit der Robustheit versteht der Webbaer jetzt explizit nicht, aber Du sagst es.

    Beste Grüße!
    WB

  13. #13 Sven Türpe
    25. Februar 2010

    Das mit der Robustheit hat der Webanwalt neulich im Lawblog erklärt, unter der Überschrift: Grenzen für den Mahnterror. Die Kurzfassung: Mahnungen sollen nerven und sich nicht einfach unterdrücken lassen. Das ergibt ja auch einen Sinn, wenn die Mahnung berechtigt ist.

  14. #14 Webbaer
    25. Februar 2010

    @Sven:
    Mahnungen sind nicht robust, jedenfalls nicht als Teil der Geschäftslogik, wenn die anvisierten Zahlungsfolgen unbestimmt bleiben. Robust wäre hier eine zuvor stattfindende ID-Kontrolle, die ihren Namen verdient (OK, die jur. Lage ist nicht dementsprechend, überhaupt, die hier im Blogartikel geäusserte Kritik ist Systemkritik – sehr progressiv sogar, wenn man den “sec by obsc”-Teil ausklammert).

    These: Niemanden nerven unberechtigte Mahnungen.

    Robust im IT-Sinne sind Abläufe, die jede denkbare Eventualität berücksichtigen.

    Aber s-egal, Sie haben es schon auf den Punkt gebracht. Der genannte Lawblogger, der “Anwalt der Entrechteten”, ist übrigens eher einer, der Lücken offen halten und Geschäft generieren will. Das ist wb-geprüft. :)

    MFG
    WB

  15. #15 Marek
    26. Februar 2010

    Ebenso, wie Betrüger das Zwischennetz nutzen, kann man sich dort informieren, was bei solchen Dingen zu tun ist.
    Fakt ist, dass Inkassounternehmen keine Behörde sind. Unberechtigte Mahnschreiben kann man gleich in den Müll hauen. Ernstzunehmen ist ein gerichtlicher Mahnbescheid, dem man widerspricht und gut. Kommt es zu einer Verhandlung, muss das Unternehmen nachweisen, dass ein Vertrag zustande gekommen ist. Da hängt´s dann schon.

    Nun gut, in dem geschilderten Fall bestanden berechtigte Forderungen, nur eben nicht gegen T. Groll. Da ist es natürlich sinnvoll, vorher mal Bescheid zu sagen, bevor ein Richter feststellt, wie es sich verhält. Das ist nervig, klar. Nur muss niemand sich fürchten, dass gepfändet oder man sogar verhaftet wird.