• Facebook
  • Twitter
  • Google Plus
  • Internetbetrug

Das geklaute Ich

, von Nils Kreimeier

Die Deutschen geben im Netz immer mehr von sich preis bei Facebook, auf Websites und beim Einkauf. Schon Name und Geburtsdatum sind eine Einladung für Betrüger. So schützen Sie sich

Finger tippen auf eine Tastatur © Getty Images
Persönliche Daten sind schnell im Netz - und sie werden schnell gefunden

An einem Junitag im Jahr 2016 verlor Marie Köhler (Name v. d. Red. geändert) die Kontrolle. Sie bekam einen Brief von ihrer Bank. Darin stand, ihr Dispokredit sei auf null gesetzt worden und die Kreditkarte werde bald gesperrt. „Das Erste, was ich dachte, war: Verdammt, wie kann das sein?“, sagt Köhler. Die Hebamme hatte vor Kurzem ihre Elternzeit beendet. Ihr Konto quoll nicht gerade über, aber sie war sich auch sicher, nicht mehr ausgegeben zu haben als normal. Die Berlinerin ließ sich von der Auskunftei Schufa eine Selbstauskunft schicken. Ihr Schufa-Score, also der Wert, mit dem ihre Kreditwürdigkeit bewertet wird, lag bei katastrophalen 22. Ein unverdächtiger Wert hätte bei 98 gelegen – auf einer Skala von eins bis hundert.

Köhler hätte keine neue Wohnung mieten und keinen Kredit mehr aufnehmen können. Sie hätte keinen Mietwagen bekommen und vermutlich auch keine Reise buchen können. Die junge Frau fragte nach. Es stellte sich heraus: Insgesamt 30 Firmen hatten bei der Schufa gemeldet, Köhler habe bestellte Waren nicht bezahlt. Motorradkleidung, Babyphones, Sex-Spielzeug, Möbel. Mal 500 Euro, mal 1000. Seit einem halben Jahr ging das schon so.

Die Fallzahlen steigen

Sie hingegen wusste nur eins: Nichts von alledem hatte sie bestellt. Jemand hatte ihren Namen benutzt, um damit einzukaufen. „Ich hatte keinen Plan, was ich machen sollte, und war erst mal völlig schockiert“, sagt Köhler. Ihren echten Namen möchte sie nun nicht mehr öffentlich preisgeben. Zu groß ist die Furcht, dass der Wahnsinn, der nun begann, sich wiederholen könnte.

Köhler war Opfer einer Art von Betrug geworden, die in Deutschland immer häufiger vorkommt: Identitätsdiebstahl. In einer aktuellen Onlinestudie der Unternehmensberatung PwC gab ein Drittel der Befragten an, diese Form von Kriminalität habe sie schon einmal erwischt. Oft geht es eher um kleine Beträge, aber die Schäden summieren sich. Es gibt ausgefeilte Varianten, in der persönliche Informationen mit Schadsoftware abgezogen oder Kreditkartendaten gestohlen werden. In kriminellen Internetforen im sogenannten Darknet läuft ein gut organisierter Handel mit solchen Daten. Manchmal aber reichen den Tätern – wie bei Köhler – auch ganz einfache Informationen wie der Name und vielleicht das Geburtsdatum des Opfers.

Daten gibt es überall

An diese Daten kommt man in der digital vernetzten Welt immer leichter heran. In vielen öffentlichen -Facebook-Profilen stehen neben dem Namen das Geburtsdatum und der Wohnort – und auch persönliche Vorlieben sind aus den Einträgen leicht erkennbar. Selbstständige stellen zudem mitunter ihre Kontoverbindung auf ihre Website und bieten damit eine weitere Angriffsfläche für Kriminelle. Das Internet, das Geschäfte oft so viel einfacher macht, erleichtert auch den Betrug.

Wie groß das Problem ist, lässt sich nur schwer mit offiziellen Zahlen beziffern. In einer Umfrage im Auftrag der Schufa sagten elf Prozent der Befragten, jemand habe bereits einmal unter ihrem Namen im Netz eingekauft. Also genau das, was auch Marie Köhler passierte. Der Kölner Rechtsanwalt Christian -Solmecke, dessen Kanzlei sich auf Hilfe für Opfer von Identitätsklau spezialisiert hat, spricht von „zwei bis drei Fällen pro Woche“, in denen es seine Leute mit Warenbetrug zu tun bekommen. Vieles aber werde gar nicht angezeigt. „Das Krasseste waren 80 Bestellungen auf eine Person“, sagt Solmecke. „Meist wird versucht, in einem kurzen Zeitraum bei vielen Unternehmen so viel wie möglich zu bestellen. Weil ab einem bestimmten Zeitpunkt die Adresse ja tot ist.“

Genau das geschah offenbar auch bei Köhler. Die Onlinebestellungen liefen auf ihren Namen und ihr Geburtsdatum. Geliefert wurde immer an eine Adresse in Brandenburg. Die Lieferanten: Otto, H & M oder Esprit. Ohne dass die angebliche Käuferin irgendetwas davon mitbekam. Als das Geld ausblieb, meldeten sich die Unternehmen bei der Schufa – und die wiederum suchte in ihren Daten nach einer Marie Köhler, geboren am 14. Januar 1972, und wurden fündig. Nun war Köhler plötzlich eine Frau, die wie besessen im Netz einkaufte, ohne zu bezahlen. Eine Betrügerin. „Man ist ja immer erst einmal schuldig und fühlt sich wie nackt“, sagt sie. „Dabei müssten die Unternehmen doch den Beweis erbringen, dass ich tatsächlich diese ganzen Dinge bestellt habe.“

[Seitenwechsel]

Die Schufa reagiert

Köhler, die inzwischen einen anderen Job angetreten hatte, stürzte sich in einen langwierigen Kampf. „Die Hälfte meiner Zeit war ich im Büro“, sagt sie. „Den Rest habe ich damit verbracht, meinen Namen zu retten.“ Die Schufa erwies sich dabei nach Darstellung Köhlers als wenig hilfreich. Nach einer Stunde Telefon-Warteschleife meldete sich eine Mitarbeiterin, die ihr als Erstes einen Onlinezugang zu ihrem Profil für 5 Euro im Monat anbot. Die Beschwerde nahm das Unternehmen zur Kenntnis. Aber es gab keinen -direkten Ansprechpartner, niemand bot seine Unterstützung an.

Schufa-Sprecher Ingo Koch sagt, er könne die Verbitterung von Betroffenen nachvollziehen. Sein Unternehmen habe jedoch selbst größtes Interesse an einer korrekten Datenbasis. „Alle unsere Mechanismen sind dazu da, Betrüger zu bekämpfen“, sagt er. „De facto wird der Betrug durch eine Schufa-Meldung ja erst offenbar. Und dann kann man handeln.“ Zunächst stoppe ein Eintrag den Missbrauch. „Und ist der Betrug dann offenkundig, wird auch der Eintrag rückstandsfrei gelöscht.“

Seit September vergangenen Jahres bietet die Auskunftei ein Modell an, mit dem sich zumindest verhindern lassen soll, dass einmal Betroffene erneut Opfer vom Missbrauch ihrer Daten werden. In den Schufa-Eintrag wird dann auf Wunsch der Warnhinweis „Identitätsbetrugsopfer“ aufgenommen. Will ein Onlinehändler oder eine Bank nun die Bonität prüfen, sieht er diesen Hinweis und kann sich absichern – zum Beispiel indem er Adresse und Telefonnummer des Käufers abgleicht oder um eine Kopie des Personalausweises bittet. „Wenn wir den ersten Betrug nicht verhindern können, dann wenigstens den Folgebetrug“, sagt Koch.

Der Kölner Anwalt Solmecke hält das für eine gute Idee. Die Gefahr eines wiederholten Betrugs sei groß. „Wenn dann rasch bekannt wird, dass jemand schon einmal Opfer war, ist das sicher hilfreich.“

Köhler allerdings hätte auch von dieser Methode nichts gehabt. Sie hatte ja, bis es schon zu spät war, von dem Diebstahl gar nichts mitbekommen. Eine Rechtsschutzversicherung besaß sie nicht, weshalb sie auch keinen Anwalt einschaltete. Sie musste ihr Problem selbst lösen. Und sie ging gründlich vor. Köhler legte eine Excel-Datei an, in der sie die Namen und Adressen jener Unternehmen notierte, die sich bei der Schufa gemeldet hatten. Darunter waren nicht nur die Händler, sondern auch Inkassofirmen, die den Auftrag hatten, das Geld einzutreiben.

Den eigenen Namen retten

Außerdem musste Köhler sich an andere Auskunfteien wenden, da es auch Unternehmen gab, die gar nicht in der Schufa-Auskunft vermerkt waren. Sie rief die Datenschutzbehörden der Bundesländer an, bis sie auf einen Vertreter in Hessen stieß, der mit ihr einen Schlachtplan aufstellte. Köhler verschickte etwa 300 Briefe, führte Telefonate und verbrachte Stunden in Warteschleifen. „Zwischendurch habe ich mich ernsthaft gefragt, ob mir irgendjemand etwas Böses will“, sagt sie.

Dabei hatte die Berlinerin womöglich noch Glück im Unglück. Es kamen keine weiteren Bestellungen hinzu, sodass sie sich auf das konzentrieren konnte, was schon geschehen war. Und es gibt Fälle von Identitätsklau, die deutlich schwieriger zu bereinigen sind. Experten nennen drei Methoden, mit denen sie es häufig zu tun bekommen:

Feindliche Übernahme von Facebook-Profilen: Die Täter nehmen sich einen halb öffentlichen Facebook-Account vor und laden sich sämtliche Fotos und Texte herunter. Mit diesen Daten wird ein neues Profil unter einem sehr ähnlichen Namen angelegt. Nun gehen Nachrichten an sämtliche Freunde des Betroffenen – mit dem Hinweis, man habe sein Passwort verloren und müsse daher den Account neu anlegen. Fallen die Freunde darauf herein, werden sie gebeten, Handynummern und andere persönliche Daten zu schicken, mit denen dann die eigentliche Straftat beginnt. Zum Beispiel indem betrügerische SMS verschickt werden. Den Schaden trägt dann nicht derjenige, dessen Profil gekapert wurde, sondern dessen Freunde. „Die Leute gehen davon aus, dass sie es mit einem wirklich guten Kumpel zu tun haben“, sagt Solmecke. „Dann geben sie viel mehr Daten preis, als sie es sonst tun würden.“ Eine Variante dieser Betrugsform ist ein Spiel, das eher unter Jugendlichen verbreitet ist und bei dem es meist nicht um Geld geht: Ein Facebook-Account wird unter fremdem Namen angelegt, um dem angeblichen Inhaber mit peinlichen Postings zu schaden.

Bestellung von Waren mit einer fremden Identität: Besorgt werden zunächst der Name, das Geburtsdatum und möglichst viele weitere persönliche Daten einer Person. Zum Beispiel indem sich die Täter in sozialen Netzwerken wie Facebook oder Xing bedienen. Dann bestellen sie mit diesen Daten auf Rechnung Waren und lassen sie an eine andere Adresse schicken. Dort nimmt dann unter Umständen „ein Nachbar“ die bestellte Lieferung entgegen. Auch die Mahnbescheide gehen an die falsche Adresse, weshalb der Betroffene erst einmal gar nichts merkt – bis sich die Bank bei ihm meldet. Es ist eine vergleichsweise simple Form des Betrugs, die allerdings großen Schaden anrichten kann. „Sogar mir ist schon passiert, dass auf meinen Namen Dinge bestellt wurden“, sagt Anwalt Solmecke.

Gekaperte Packstationen oder Kreditkarten: die technisch versiertere Variante des Warenbetrugs. Im Darknet, der zwielichtigen Hälfte des Internets, können Kreditkartendaten oder auch Zugänge zu DHL-Packstationen für vergleichsweise wenig Geld gekauft werden. Vorausgegangen ist meist ein Cyberangriff auf ein Internetunternehmen, bei dem in großem Stil solche Daten gestohlen wurden. Nun können sich die Täter ihre Einkäufe auf fremde Kreditkarten an fremde Packstationen schicken lassen. Die Opfer haben es in diesem Fall deutlich schwerer, ihre Unschuld zu beweisen, als im Fall eines „einfachen“ Warenbetrugs. Es sieht ja zunächst alles danach aus, dass sie selbst die Bestellung aufgegeben haben.

Täter bleiben unerkannt

Eines haben all diese Methoden gemeinsam: Die Täter werden fast nie gefasst. Da es sich oft um kleinere Beträge handelt, wird in vielen Fällen gar keine Anzeige erhoben. Und wenn, dann stellen die Behörden die Ermittlungen schon bald wieder ein. Es gibt einfach zu viele Fälle. Auch im Fall von Marie Köhler wird wohl nie herauskommen, wer auf ihren Namen eingekauft hatte. Der Fall liegt beim Landeskriminalamt Berlin, doch von dem hat sie nichts mehr gehört. Sie hat sogar den Namen der Leute in Erfahrung gebracht, die in dem Brandenburger Dorf die Pakete entgegengenommen haben. Ob die jemals von der Polizei befragt wurden, weiß sie nicht.

Ein halbes Jahr nach der verhängnisvollen Nachricht der Bank hat sich Köhlers Leben beruhigt. Sie kann ihre Kreditkarte wieder nutzen, und der Schufa-Eintrag wurde bereinigt. Bestellungen von Fremden kommen keine mehr. Allerdings schützt Köhler ihre persönlichen Daten nun entschiedener als je zuvor. Wer ihren wirklichen Namen bei Facebook eingibt, sieht nur noch eine weitgehend blanke Seite ohne persönliche Daten. Die eigene Website, die sie als Hebamme betrieben hatte, ist offline. Köhler weiß jetzt so viel über Betrug, dass sie fast eine Opferberatung aufmachen könnte.

Der Beitrag ist zuerst in Capital 03/2017 erschienen. Interesse an Capital? Hier geht es zum Abo-Shop, wo Sie die Print-Ausgabe bestellen können. Unsere Digital-Ausgabe gibt es bei iTunes, GooglePlay und Amazon


Artikel zum Thema