Identitätsdiebstahl: Wie moderne Technologie Online-Betrug verhindern kann

Als Phishing wird das gezielte Abgreifen von sensiblen Nutzerdaten bezeichnet. Die Methoden der Betrüger hierfür sind vielfältig und werden ständig ausgebaut. Um diesen Gefahren zu begegnen, lassen sich innovative und einfach einzusetzende Technologien gegen Daten- und Identitätsdiebstahl einsetzen. Dazu gehören eine digitale Identität, elektronische Signaturen und elektronische Siegel.

Identitätsdiebstahl: Zentrale Identität statt Account-Chaos

Bei jeder Online-Registrierung mit Nutzername und Passwort wird jeweils ein eigenständiger digitaler Account erzeugt. Das hat einerseits zur Folge, dass sich über die Jahre der Internetnutzung bei den meisten Anwendern unzählige Login-Kombinationen angesammelt haben. Aus Bequemlichkeit tendieren Nutzer dazu, dasselbe Passwort mehrfach, möglichst einfache Buchstaben-Zahlen-Kombinationen oder sogar beides gleichzeitig zu verwenden. Dieses Problem lässt sich zwar mit der Nutzung eines Passwort-Managers vermeiden, doch oftmals spielt hier der Datenschutz eine Rolle. Jeder der neu angelegten Accounts lässt sich wiederum dazu verwenden, Daten über die Nutzer zu sammeln. Diese können letztlich wieder in die Hände von Kriminellen gelangen.

Selbstverwaltete Identität auf Basis von Datensparsamkeit

Dieser Gefahr lässt sich mit einer selbstverwalteten Identität (Self Sovereign Identity, SSI) begegnen, da diese nach dem Grundsatz der Datensparsamkeit arbeitet. Hinter diesem Konzept steckt ein sogenanntes Vertrauensdreieck aus Herausgeber, Besitzer und Prüfer von Identitäten. Herausgeber bezeichnet die Quelle der Referenzen, beispielsweise staatliche Einrichtungen (Ausweise), Finanzinstitute (Kreditkarten), Universitäten (Abschlüsse), Unternehmen (Arbeitszeugnisse) oder NGOs (Mitgliedsausweise). Besitzer verfügen über diese Referenzen, bewahren sie in digitalen Wallets auf und können sie bei Bedarf vorlegen. Besitzer von Referenzen können Anfragen von Prüfern allerdings auch jederzeit ablehnen.

Außerdem müssen nicht die vollständigen Referenzen übermittelt werden, sondern es lassen sich daraus die relevanten Informationen extrahieren. Beispielsweise eine bestimmte Note in einem Zeugnis. Innerhalb des Vertrauensdreiecks findet keine direkte Kommunikation zwischen Herausgeber und Prüfer statt. Das wäre etwa bei Arbeitszeugnissen wichtig. Denn Arbeitnehmer möchten in bestimmten Fällen vermeiden, dass der (noch) aktuelle Arbeitgeber erfährt, an welches Unternehmen die nächste Bewerbung eingeschickt wird. 

Identitätsdiebstahl: Herkunft von Anschreiben verifizieren

Wie der Bitkom errechnet hat, bekam im Jahr 2021 jeder zweite Berufstätige in Deutschland über 26 Mails pro Tag. Bei allem technischen Aufwand, der betrieben wird, um Email-Virenfilter und Co. konsequent „up to date“ zu halten, ist und bleibt der Mensch das größte „Datenleck“ für einen Identitätsdiebstahl. Gerade für Unternehmen als Arbeitgeber gilt die traurige Realität, dass das größte Risiko für Cyberkriminalität von den Mitarbeitern selbst ausgeht. Daher fließt im Zuge von Spam- und Phishing-Aktivitäten viel kriminelle Energie in das Fälschen möglichst seriös wirkender Kommunikation zwischen Betrüger und potenziellem Opfer. Dabei gehen die Kriminellen immer professioneller vor und z.B. betrügerische Mails oder SMS sind nicht direkt erkennbar.       

Elektronische Signaturen für die digitale Kommunikation

Um digitale Kommunikation zweifelsfrei einer Person oder einem Unternehmen zuzuordnen, können elektronische Signaturen (FES – fortgeschrittene elektronische Signatur beziehungsweise QES – qualifizierte elektronische Signatur) oder elektronische Siegel zum Einsatz kommen. Die Signatur ist dabei an eine natürliche Person geknüpft – etwa einem Mitarbeiter im Unternehmen, während ein Siegel einer juristischen Person oder Institution zugeordnet ist, sprich dem Unternehmen selbst. Das Funktionsprinzip hinter beiden Varianten, die sogenannte asymmetrische Kryptografie, klingt zuerst sehr kompliziert, lässt sich aber einfach darstellen.

Für die Erstellung einer QES oder eines elektronischen Siegels (Verschlüsselung) benötigen User einen privaten Schlüssel. Zum Prüfen dieses Nachweises (Entschlüsseln) dient ein öffentlicher Schlüssel. Der Zusammenhang zwischen den Schlüsselpaaren lässt sich über eine schwer umkehrbare mathematische Operation herstellen, die einen enormen Rechenaufwand bedeutet. Das heißt: wer vom öffentlichen Schlüssel auf den privaten Schlüssel schließen will, müsste über einen Supercomputer und sehr viel Zeit verfügen. Daher lohnt es sich in der Praxis schlicht nicht, dieses System anzugreifen. Das macht die asymmetrische Kryptografie so sicher. Denn grundsätzlich gilt: qualifizierte elektronische Signaturen sind einer Unterschrift auf Papier rechtlich in vielen Fällen gleichgestellt, was allen involvierten Parteien nicht nur ein Gefühl von Sicherheit gibt.

Nicht zu verwechseln sind die hier beschriebenen elektronischen Signaturen im Zuge von E-Mail-Verkehr mit der oftmals üblichen E-Mail-Signatur unter dem geschriebenen Email-Text, wie sie meist in der beruflichen Kommunikation stattfindet. Diese gilt als einfache elektronische Signatur (EES) und enthält lediglich Kontaktinformationen des Absenders, erfüllt aber keine Funktion im Sinne einer sicheren digitalen Kommunikation.                                          

Flächendeckende Anwendung notwendig

Wer eine dienstliche E-Mail elektronisch signiert, zeigt Kunden, Partnern und Kollegen, dass das Thema Sicherheit in der Geschäftskommunikation die notwendige Beachtung findet. Das schafft letztlich Sicherheit und damit beiderseitiges Vertrauen. Wer zusätzlich noch seine Login-Daten mit einer selbstverwalteten Identität schützt, tut viel, um den Herausforderungen im Zuge der Daten- und Identitätssicherheit zu begegnen. Denn diese innovativen Technologien helfen sowohl Unternehmen als auch Privatpersonen, um Betrügern einen Schritt voraus zu sein.

Über den Autor: Dr. Paul Muntean ist Senior Cyber Security Solution Architect bei der Swisscom Trust Services AG, einem Tochterunternehmen der Swisscom. Swisscom Trust Services stellt eine qualifizierte elektronische Signatur in den Rechtsräumen EU (eIDAS Signaturverordnung) und Schweiz (ZertES Signaturgesetz) bereit. Als Anbieter von Vertrauensdiensten ermöglicht Swisscom Trust Services Unternehmen, innovative Geschäftsmodelle durch die Bereitstellung identitätsbasierter Services umzusetzen. Der Signing Service ermöglicht eine Erweiterung der eigenen Business-Lösungen um eine elektronische Signatur unter Berücksichtigung branchenspezifischer Anforderungen und Compliance-Vorschriften. Der Smart Registration Service ist die zentrale Komponente für Identifikation und Registrierung von Nutzern. (sg)

Lesen Sie auch: Social Engineering: 8 wichtige Tipps gegen Betrug und Identitätsdiebstahl

Aufmacherbild: putilov_denis – Adobe Stock