bluebit

Datenklau

Definition: Der Begriff Datendiebstahl (Databreach) oder umgangssprachlich Datenklau bezeichnet in Deutschland eine Straftat, bei der eine Person unerlaubt Zugang zu geheimen oder personenbezogenen Daten Dritter beschafft. Häufig kommt es auch dazu, dass ein Datendiebstahl mit einem Identitätsdiebstahl in Tateinheit verübt wird.

Aufgrund der teilweise abweichenden rechtlichen Situation bezieht sich dieser Artikel auf die in Deutschland geltenden Gesetze. Das "Ausspähen von Daten" ist laut §202a des Strafgesetzbuchs (StGB) strafbar.

§ 202a StGB - Ausspähen von Daten

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Das bereits 1986 in Kraft getretene Gesetz umfasst nur Daten die elektronisch, magnetisch oder sonst nicht wahrnehmbar gespeichert werden. Als Voraussetzung gilt außerdem, dass durch den Täter Daten die ursprünglich nicht für ihn bestimmt waren und gegen unberechtigten Zugriff geschützt waren entwendet wurden. Ein unberechtigter Zugriff auf ein fremdes Computersystem ist nach §202a StGB daher nicht strafbar, solange keine Daten ausgespäht wurden.

Datendiebstahl rechtlich der falsch Begriff

Auch der Begriff Datendiebstahl ist rechtlich gesehen eigentlich falsch.

§ 242 StGB - Diebstahl

(1) Wer eine fremde bewegliche Sache einem anderen in der Absicht wegnimmt, die Sache sich oder einem Dritten rechtswidrig zuzueignen, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

Die Definition sieht vor, dass eine fremde bewegliche Sache entwendet wird. Beim sogenannten Datendiebstahl wird durch den Täter üblicherweise jedoch eine Kopie erstellt und die Daten sind auch weiterhin beim eigentlichen Besitzer vorhanden. Da sich der Begriff Datendiebstahl im allgemeinen Sprachgebrauch jedoch bereits gefestigt hat wird er auch im Verlauf dieses Artikels weiter genutzt.

Datendiebstahl in Verbindung mit Computerbetrug

Im Tateinheit mit §202a StGB – Ausspähen von Daten kommt es häufig auch zu einem Computerbetrug. Sobald im Zuge des Datendiebstahls also nicht nur unerlaubt Daten kopiert wurden, sondern auch die Beeinflussung einer fremden Datenverarbeitung stattgefunden hat macht sich der Täter auch aufgrund des Vermögensdeliktes Computerbetrug strafbar.

§ 263a StGB – Computerbetrug

 (1) Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(2) § 263 Abs. 2 bis 6 gilt entsprechend.

(3) Wer eine Straftat nach Absatz 1 vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, feilhält, verwahrt oder einem anderen überlässt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(4) In den Fällen des Absatzes 3 gilt § 149 Abs. 2 und 3 entsprechend.

In der Praxis bedeutet dies, dass ein Krimineller der beispielsweise eine Sicherheitslücke ausnutzt, um auf einem fremden Computer ein Spionageprogramm zum Zwecke des Datendiebstahls installiert sich auch aufgrund eines Computerbetrugs strafbar macht.

Beliebte Methoden bei Datendiebstählen

Entwendet beziehungsweise unerlaubt kopiert werden können Daten auf verschiedenen Wege. Die beliebtesten Methoden für on- und offline Datendiebstähle sind:

Skimming

Der englische Begriff "Skimming" bedeutet auf Deutsch "Abschöpfen". Es handelt sich dabei um einen Datendiebstahl bei dem durch eine Man-in-the-Middle-Attacke unerlaubt Kredit- oder Bankkartendaten gestohlen werden. Der Diebstahl der relevanten Daten erfolgt meistens durch manipulierte Geldautomaten, bei denen Informationen auf dem Magnetstreifen bei der normalen Nutzung kopiert werden. Alternativ können die Daten auch beim Bezahlen in kürzester Zeit kopiert werden. Parallel dazu wird an Geldautomaten auch die PIN häufig über kleinste Kameras ebenfalls gestohlen.

Aus den gestohlen Bank- beziehungsweise Kreditkartendaten wird anschließend eine neue Karte erstellt, indem die Daten auf einen sogenannten Kartenrohling (White-Plastik) geschrieben werden. Die Kriminellen nutzen die so erstellen Karten entweder um an Geldautomaten Bargeld abzuheben oder um teure Luxusgegenstände zu kaufen, die sich leicht weiterverkaufen lassen.

Aufgrund der hohen Sicherheitsstandards in den meisten westlichen Ländern werden die so erstellten Karten meistens im Ausland eingesetzt. Professionelle Banden stehlen die Daten also in Mitteleuropa oder Nordamerika, um sie häufig anschließend in Osteuropa zu verwenden.

Opfer die nachweisen können, dass der Datendiebstahl nicht aufgrund grober Fahrlässigkeit erfolgte, bekommen den entstandenen Schaden in den meisten Fällen von ihrer Bank erstattet.

Phishing

Der Begriff Phishing leitet sich vom englischen "fishing" also "Angeln ab. Er fasst alle Versuche zusammen bei denen Kriminelle es versuchen über gefälschte E-Mails, Kurznachrichten oder Webseiten versuchen geheime Daten von Personen zu erlangen.

Phishing ist eine Möglichkeit des Social Engineering, also eine Möglichkeit an Daten zu gelangen indem die Gutgläubigkeit und das geringe technische Verständnis der Opfer ausgenutzt wird. Im Gegensatz zu anderen Formen des Datendiebstahls geben die Opfer hier ihre Daten selbst heraus, da sie davon ausgehen, dass die erhaltenen Nachrichten tatsächlich von legitimen Absendern stammen.

In der Praxis werden über Phishing vor allem Accounts bei Banken, Onlinezahlungsdienstleistern wie Paypal und andere Accounts von großen Internetportalen wie Facebook, Twitter und Co. entwendet. Dies geschieht meistens über E-Mails die vorgeben, dass der Nutzer seine Daten aktualisieren oder abgleichen soll, umso einen möglichen Schaden abzuwenden. Anschließend wird der Nutzer auf eine Webseite geleitet, deren Domain und Design mit dem offiziellen Onlineauftritt der betroffenen Dienste nahezu identisch ist. Nutzer die dort ihre Daten eingeben werden häufig Opfer von Identitätsdiebstählen oder erleiden finanzielle Verluste, indem Kriminelle ihre Zahlungsdienste missbrauchen.

Phishing erfolgt entweder über kaum personalisierte Spam-Kampagnen, bei denen Millionen Nutzer angeschrieben werden, unabhängig davon ob sie tatsächlich bei dem Dienst dessen Zugangsdaten gestohlen werden sollen einen Account haben. Es gibt aber auch Phishing-Kampagnen die deutlich persönlichere E-Mails schicken und den Nutzer mit den korrekten Namen und sogar Adressdaten anschreiben. Dieses personalisierte Phishing nutzt häufig Datenbestände aus früheren Diebstählen, um an weitere Daten der Nutzer zu gelangen und hat aufgrund der überzeugenderen Aufmachung wesentlich höhere Erfolgsaussichten.

Snarfing

Unter dem Begriff Snarfing fallen alle Datendiebstähle bei denen Daten in ungeschützten kabellosen Netzwerk mitgeschnitten werden. Dies findet beispielsweise in öffentlichen WLAN-Netzwerken statt, bei denen nicht nur die Betreiber sondern auch Dritte die im Netzwerk übertragenen Daten mitschneiden können. In der Praxis wird Snarfing vor allem genutzt um Daten von nicht geschützten Bluetooth-Verbindungen und öffentlichen WLAN-Hotspots zu stehlen.

Um sich vor Snarfing zu schützen ist es ratsam sich in ungeschützten öffentlichen Netzwerken nicht in Accounts einzuloggen oder persönliche Daten zu übertragen. Nutzer die darauf angewiesen sind auch mobil sensible Daten zu übertragen, können sich vor dem Datendiebstahl durch unbefugtes mitschneiden schützen, indem sie ein Virtuelles-Privates-Netzwerk (VPN) einsetzen.

Hacking

Unter dem Begriff Hacken sind alle Möglichkeiten zusammengefasst durch die sich Kriminelle Zugriff auf fremde Computersysteme verschaffen, um dort Daten zu stehlen oder anderweitig Schäden anzurichten. Dazu nutzen die Kriminellen entweder Sicherheitslücken in Software aus, die ihnen den Zugriff auf das System ermöglichen oder menschliches Versagen wie beispielsweise schwache Passwörter oder leichtgläubige Mitarbeiter, die beispielsweise in E-Mails verschickte Schadsoftware installieren.

Mengenmäßig werden durch Hacks die meisten Daten gestohlen. Dies hängt damit zusammen, dass ein einziger erfolgreicher Hack beispielsweise bei einem großen Onlineshop dafür sorgen kann, dass Kriminelle an Millionen von Kundendaten gelangen. Da diese neben Name und Anschrift häufig auch bereits Daten von Banken und anderen Zahlungsdienstleistern beinhalten sind Datendiebstähle in dieser Form besonders profitabel.

Mitarbeiter

Eine besondere Form des Datendiebstahls erfolgt unternehmensintern durch Mitarbeiter. Auch in Deutschland kommt es besonders bei Kündigungen häufig dazu, dass Mitarbeiter beispielsweise Kundendaten entwenden, um sie bei ihrem neuen Arbeitgeber einzusetzen.

Laut einer Studie der Unternehmensberatung KPMG liegt der durchschnittliche Schaden bei einem Datendiebstahl durch einen Mitarbeiter bei rund 100.000 Euro.

Datenmissbrauch – Die Nutzung der entwendeten Daten

Der Begriff Datenmissbrauch umfasst sämtliche Vorgänge bei denen Daten ohne das Einverständnis der eigentlichen Eigentümer genutzt werden. Die häufigste Form des Datenmissbrauchs ist der Identitätsdiebstahl bei dem die entwendeten Daten dazu genutzt werden, um in Namen des Opfers Dienstleistungen und Waren zu bestellen. Besonders häufig werden gestohlen Daten genutzt, um Kreditkarten zu eröffnen.

Unter dem Sammelbegriff sind neben personenbezogenen Daten aber auch Wirtschaftsdaten wie beispielsweise Baupläne oder Kundendaten zusammengefasst, die wenn sie in die Hände der Konkurrenz geraten von enormen Wert seien können.

Neben der kriminellen Nutzung gibt es auch Personen die durch Datenklau entwendete Informationen mit Behörden und der Presse teilen, um so Aufmerksamkeit auf Probleme zu lenken. Im rechtlichen Sinne handelt es sich dabei jedoch auch um Straftaten.

Schutz vor Datendiebstahl

Ein hundertprozentiger Schutz vor Datendiebstahl ist auch für erfahrene und sicherheitsaffine Nutzer nicht möglich. Einige Grundregeln erhöhen die eigene Sicherheit in der digitalen Welt jedoch deutlich.

  • Sichere Kennwörter – Passwörter sollten möglichst komplex seien und regelmäßig geändert werden. Außerdem sollte nicht dasselbe Passwort bei unterschiedlichen Diensten genutzt werden. Häufig gelangen Kriminelle über einen Datenklau bei Dienst A auch an Daten von Dienst B und C, weil das Opfer aus Bequemlichkeit bei allen Diensten dasselbe Passwort angegeben hat.
  • Öffentliche WLAN-Netzwerke sollte nur dann zur Übertragung sensibler Daten genutzt werden, wenn die Verbindung zusätzlich per VPN geschützt ist
  • Falls es möglich ist sollte bei Online-Diensten die Zwei-Faktor-Authentifikation genutzt werden, bei der neben dem Passwort noch ein weiterer Sicherheitsfaktor implementiert wird.
  • Geldautomaten prüfen – Um Skimming zu vermeiden sollten Geldautomaten vor der Nutzung stets auf unregelmäßigen geprüft werden.

Um zu überprüfen ob die eigene E-Mail-Adresse bereits Teil eines Datendiebstahls war kann über die Webseite haveibeenpwned.com ein Abgleich mit den bei Datendiebstählen in der Vergangenheit gestohlenen Datenbanken erfolgen.

Mehr zum Thema: Datenklau