Neues Jahr und neue Anfrage: Identitätsdiebstahl in der Praxis lautet die Aufgabe. Natürlich nicht wirklich, sondern eine Simulation dessen. Am Ende ist das Ziel, einen Artikel in einem Magazin Mitte März zu publizieren. Dabei sollen insbesondere folgende zwei Fragestellungen betrachtet werden: 

Wie einfach kann ich eine fremde Identität übernehmen bzw. stehlen? 

Im Internet wird der Begriff Diebstahl sehr kontrovers diskutiert. Manche behaupten, Diebstahl sei dafür der falsche Begriff, denn es wird ja niemanden etwas gestohlen. Wobei das nicht ganz stimmt, denn zumindest wird jemanden die Möglichkeit genommen, selbstbestimmt über die Verwendung und Verfügung seiner Identität zu entscheiden. Teilweise wird vorgeschlagen, den Begriff Identitätsmissbrauch zu verwenden. Bewusst habe ich mich entschieden, die nähere Begriffsklärung auf das Ende des Experimentes zu legen. 

Welchen Schaden kann jemand mit meiner gestohlenen Identität anrichten?

Eine interessante Frage bleibt, ob ich den Diebstahl oder den Missbrauch meiner Identität überhaupt im Ernstfall verhindern kann. Die oft sehr schnell gegebenen Tipps und Hinweise, wie Datensparsamkeit und Achtsamkeit bei der Auswahl der Anbieter, die zugegeben sehr nützlich sind, scheinen aber zu kurz gedacht. Vielleicht sollten wir uns der – in der IT Security bereits angenommen – Realität „jeder wird irgendwann gehackt“ stellen und versuchen, den möglichen Schaden zu minimieren und den Ernstfall zu managen. 

Auf jeden Fall werden die nächsten Tage spannend: ein potenzielles Opfer hat sich freiwillig gemeldet und wir haben uns bisher auf die folgende Vorgehensweise geeinigt:

• Sammlung aller öffentlich verfügbaren Informationen aus verschiedenen Quellen
• Beziehungen zwischen den Informationen herstellen und mögliche Angriffsvektoren ableiten
• Profil erstellen und eine Risikoanalyse durchführen
• Simulation eines Testangriffs

Die Vorgehensweise scheint uns aktuell geeignet, da wir bei der Auswertung bestehender Missbrauchs- oder Diebstahlfälle Parallelen erkennen konnten. In den nächsten 3 Artikeln geht es darum, die Methodik bzw. mögliche Quellen und Tools zu beschreiben. Diese sollen keine Anleitungen darstellen, sondern beschreiben, wie potentielle Kriminelle vorgehen und Ihnen die Möglichkeit geben,einen Einblick zu bekommen und für sich selbst eine Einschätzung des möglichen eigenen Risikos vorzunehmen. 

Wir haben uns darauf verständigt, über eine mögliche Veröffentlichung von Ergebnissen anhand der gefundenen Daten und des Risikos später zu entscheiden.