Studie: Technische und rechtliche Aspekte von Identitätsdiebstahl und Identitätsmissbrauch

Das Bundesinnenministerium hat eine Studie über Identitätsdiebstahl und Identitätsmissbrauch veröffentlicht. Neben aktuellen und zukünftigen Angriffsszenarien werden darin auch Vorbeugungsmaßnahmen und die rechtlichen Rahmenbedingungen dargestellt. Besondere Aufmerksamkeit bekommt der elektronische Personalausweis.

Mit der Identität ist es so eine Sache: Niemand weiß genau, was die Identität eines Menschen ausmacht. Die Autoren der im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) erstellten Studie (PDF) formulieren dann auch gleich zu Beginn: "Ein einheitlicher Begriff der Identität im rechtlichen Sinne existiert nicht."

Nichtsdestotrotz sind Identitätsmissbrauch – "unbefugtes Agieren unter einer Identität" – und Identitätsdiebstahl – "unbefugtes Sich-Verschaffen einer Identität" – Alltag, und das nicht nur im Internet. Allein durch Phishing entstehen jährlich Milliardenschäden beim Online-Banking und in Folge von Kreditkartenmissbrauch. Dabei gehen die Täter zunehmend professionell vor, stellen die Autoren der Studie fest.

Auf mehr als 400 Seiten werden in der Studie aktuelle Angriffsszenarien dargestellt - zum Beispiel Spoofing-Varianten (via Wikipedia), Passwort-/PIN-Diebstahl, TAN-Diebstahl (beispielsweise durch Keylogger) und Man-in-the-Middle-Angriffe sowie die künftige Entwicklung von Angriffen.

Der Mensch als Schwachstelle

Von den Möglichkeiten, sich davor zu schützen, zeichnen die Autoren ein trauriges Bild. Keine der gängigen Schutzmaßnahmen wie beispielsweise der Einsatz von Antivirenprogrammen, Personal Firewalls oder Browser-Plugins biete hinreichenden Schutz. Nicht zu vergessen sei schließlich die Schwachstelle vor der Tastatur, der PC-Nutzer selbst also, der immer häufiger zum Ziel von "Social Engineering" wird.

Besonders beunruhigend liest sich der Hinweis auf einen Beitrag zum 11. Deutschen IT-Sicherheitskongress des BSI im vergangenen Jahr, in dem zwei Sicherheitsforscher gezeigt haben, "dass der Aufwand, eine Malware zu entwickeln, die von keinem aktuellen Antivirenprogramm gefunden wird, sich in Grenzen hält." Auch die Umgehung von Personal Firewalls stelle für potenzielle Angreifer kein unüberwindbares Problem dar und die Autoren des Berichts gehen davon aus, dass "Schutzmaßnahmen wie Paketfilter-orientierte Personal Firewalls in Zukunft weiter an Bedeutung verlieren" werden. Wegen ihrer zunehmenden Komplexität bestehe sogar das Risiko, dass sie selbst zu Einfallstoren für Angriffe werden.

Smartphones und Spielkonsolen als Angriffsziele

Aber nicht nur die PCs von Internetnutzern sind gefährdet, auch die Server von Inhalts- und Dienstleistungsanbietern und die Netzwerke selbst. In Zukunft werden sich zudem Nutzer von Smartphones immer häufiger Angriffen ausgesetzt sehen, handelt es sich bei den Geräten doch um nichts anderes als Computer im Taschenformat.

Wegen ihrer großen Verbreitung werden auch Spielkonsolen zunehmend als Angriffsziele beliebt, stellen die Autoren fest. Dazu trägt nicht zuletzt der Umstand bei, dass von immer mehr Onlinespielen der Einsatz der Kreditkarte zum Erwerb von neuen Funktionen (Add-ons), Spielzeit und virtuellen Gütern selbstverständlich vorausgesetzt wird.

Neben der Diskussion der technischen Hintergründe liefert die Studie auch eine umfassende Darstellung der strafrechtlichen und zivilrechtlichen Rahmenbedingungen sowie der Folgen von Identitätsdiebstahl und -missbrauch einschließlich der Haftungsproblematik.

Der elektronische Personalausweis kann helfen

In der Diskussion der Optionen zum sicheren Nachweis von Identitäten kommt die gesetzeskonforme, sogenannte "qualifizierte" digitale Signatur eher schlecht weg, weil "mit Ausnahme des Online-Banking das Problem der sicheren Anzeige der Transaktionsdaten noch immer nicht gelöst [ist]". Erfolgversprechender scheint da schon der Einsatz des neuen elektronischen Personalausweises.

Allerdings äußern die Experten zugleich Zweifel an der Sicherheit der eingesetzten Verschlüsselungsverfahren für die vorgesehene Signaturfunktion, deren Haltbarkeit per Gesetz auf zehn Jahre festgelegt wurde. Das stelle, so die Autoren, "aus kryptologischer Sicht eine große Herausforderung dar, da viele kryptographische Systeme mit festen Parametern in der Vergangenheit nur zwischen 10 und 20 Jahre ihre Sicherheit bewahren konnten". Gelobt werden hingegen die vorgesehenen Datenschutzmaßnahmen auf der Basis von Berechtigungszertifikaten.

Zwar sind die Autoren überzeugt: "Der flächendeckende Einsatz des neuen Personalausweises allein wird Identitätsmissbrauch nicht verhindern können." Allerdings könnte er einen Beitrag dazu leisten, den Identitätsmissbrauch deutlich zu erschweren, indem er beispielsweise Phishing und Pharming unterbinde. Vor anderen Angriffen hingegen kann der neue Personalausweis allein nicht schützen. Dazu müsste unter anderem die Sicherheit von Webbrowsern und Browser-Plug-ins verbessert werden.