Identity fraud

Unter identity fraud versteht man die rechtswidrige, virtuelle Aneignung einer fremden Identität zur Erlangung materieller und/oder immaterieller Güter in betrügerischer Absicht. Es existieren derzeit regional unterschiedliche Begriffsdefinitionen, die in ihrer Genauigkeit und ihrer rechtlichen Verbindlichkeit zum Teil stark voneinader abweichen. Weitere Begriffe, die Verwendung finden um den Tatbestand zu beschreiben sind u.a. identity theft, identity crime oder weiter gefasst cyber crime.

USA

• In den USA wurde der Begriff des 'identity theft' erstmalig im Identity Theft and Assumption Deterrence Act aus dem Jahre 1998 als eigenständige Straftat fixiert. (Paget 2007, S.5) Identitätsdiebstahl liegt dann vor, wenn eine Person

knowingly transfers or uses, without lawful authority, a means of identification of another person with the intent to commit, or to aid or abet, any unlawful activity that constitutes a violation of Federal law, or that constitutes a felony under any applicable State or local law. [1]

• Der Fair and Accurate Credit Transactions Act (FACTA) überarbeitete im Jahre 2003 den Fair Credit Reporting Act und konkretisierte somit den Rechtsbegriff des Identitätsdiebstahls:

The term “identity theft” means a fraud committed using the identifying information of another person, subject to such further definition as the Commission may prescribe, by regulation. (vgl. 15 U.S.C § 1681a(q)3 [2])

• Die identifying information wurden durch die US-amerikanische Handelskommission (The Federal Trade Commission (FTC)) kürzlich genauer beschrieben (zitiert nach Paget 2007, S.5):

(a) Der Begriff ‘Identitätsdiebstahl’ bezeichnet einen Betrug, der ohne rechtliche Grundlage mit der Hilfe identifizierender Informationen einer anderen Person versucht oder begangen wird.

(b) Der Begriff ‘identifizierende Informationen’ bezeichnet alle Namen oder Nummern, die einzeln oder in Verbindung mit anderen Informationen dazu verwendet werden können, eine bestimmte

Einzelperson zu identifizieren; dazu gehören

(1) Name, Sozialversicherungsnummer, Geburtsdatum, Lizenznummer des offiziellen Führerscheins, die Passnummer, ausländische Meldenummer,Arbeitgebernummer, Steuernummer.

(2) Eindeutige biometrische Daten wie Fingerabdruck, Stimmabdruck, Retina- oder Irisabbild oder andere eindeutige körperliche Merkmale.

(3) Eindeutige elektronische Identifizierungsnummer, Adresse oder Routing-Codes.

(4) Ruf- oder Kontaktnummer oder Zugangsgerät.

Australien

Europa

Identitätsdiebstahl, identity fraud oder vol d'identité sind alles gängige Bezeichnung in Europa um das Phänomen zu beschrieben. Dabei gilt allerdings zu beachten, dass Identitätsdiebstahl in (noch) keinem Mitgliedstaat der EU in die strafrechtliche Gesetzgebung eingeflossen ist und keinen eigenständigen Straftatbestand darstellt. (vgl. [3])

Großbritannien

• In Großbritannien wird überwiegend der Begriff identity fraud benutzt. Die Betonung liegt also eher auf dem strafrechtlich definierten Akt des Betrugs und nicht auf dem des Aneignens einer fremden Identität.

Frankreich

• In frankophonen Ländern exisitieren unterschiedliche Begriffe:
  • vol d'identité (Identitätsdiebstahl)
  • usurpation d'identité (Personifikation)

Deutschland

In Deutschland wird weitestgehend von Identitätsdiebstahl gesprochen.

Das Phänomen des Identitätsdiebstahls hat vor allem durch die starke Verbreitung des Internets (vgl.[1]) eine rasante Entwicklung genommen. Dabei gilt es zu beachten, dass der Begriff des Identitätsdiebstahl lediglich einen Oberbegriff darstellt, unter dem verschiedenartige Methoden der Identitätsaneignung subsumiert werden können.

Ausmaß

Obwohl auf seiten der "Identitätsdiebe" durch Umstände wie der technischen Übermittlung der Eindruck entstehen kann, es würde sich bei Identity Fraud um ein opferloses Delikt handeln, so hat die Organisation CIFAS allein im Jahr 2007 65.000 Opfer von Identitätsdiebstahl registriert und vertreten.

USA

Die FTC geht davon aus, dass jährlich ca. 10 Millionen Amerikaner von Identitätsdiebstahl betroffen sind.(vgl. [4])

Europa

Deutschland

Hoofnagle unterteilt Identitätsdiebstahl in zwei Gruppen: Zum einem dem New Account Fraud, zum anderen den Account Takeover. New Account Fraud tritt dann auf, wenn [...] an imposter opens lines of credit using the personal information of another. (Hoofnagle 2007, S.100) Vom Täter wird also eine neue Identität geschaffen, um Kredite in Form von Hypotheken oder neuen Kreditkonten zu eröffnen. Dazu benötigt man in den USA allerdings eine Sozialversicherungsnummer, die in den USA - wie in Deutschland - einzigartig ist. Eben diese Sozialversicherungsnummer wird den Opfer "gestohlen"; d.h. der Täter benutzt die Sozialversicherungsnummer des potentiellen Opfers, generiert aber um diese Nummer eine neue Identität herum. Diese Identität weisen teilweise eindrucksvoll detailliert ausgestaltete Bonitätsgeschichten auf, sodass man sie schwer von echten unterscheiden kann. Diesen Diebstahl stellt nach Hoofnagle die Untergruppe des synthetic identity theft dar.

Traditionelle physische Methoden

Paget bennent zahlreiche Methoden, die es Tätern ermöglichen sich einer fremden Identität zu bemächtigen. Dabei variiert die Wahl des eingesetzten modus operandi von, als raffiniert zu bezeichnenden Methoden, bis hin zu simplen Eigentumsdelikten, die den Identitätsdiebstahl einleiten. Dabei scheint eine gewisse Unachtsamkeit bzw. Unwissen über mögliche Gefahren im Umgang mit personenbezogenen Daten seitens der Opfer ein Charakteristikum von Identitätsdiebstählen darzustellen. (Vgl. zur folgenden Aufzählung Paget 2007, S. 6)

• Diebstahl von Computern und gesicherten Daten: Dies stellt die am häufigsten benutzte Methode dar. Die sensiblen Daten des Opfers werden dabei nicht nur, wie man vielleicht anfangs denken mag, nur von Computern in Privathaushalten gestohlen; vielmehr ist es auch durch die zunehmende Verbreitung von - meist ungesicherten - drahtlosen Internetverbindungen (W-LAN) in Hotels und Gaststätten möglich, Zugang zu derartigen Daten zu erhalten. Potentielle Opfer sind nicht nur Privatpersonen, sondern auch Wirtschaftsunternehmen
• Direktzugang zu Information: Personen, die in einem ständigen und unmittelbaren Kontakt zueinander stehen, haben häufig legtimen Zugang zu Wohnungen oder Geschäftsräumen, in denen personenbezogene Daten vorhanden sind. Zu denken wäre da z.B. an professionelle Dienstleister wie Reinigungskräfte, Babysitter, aber auch Freund und Mitbewohner.
• Durchsuchen von Müll oder Mülltonnen: Durch unachtsames Wegwerfen von personenbezogenen Daten können Fremde unbefugten Zugang zu sensiblen (Geschäfts-)Bereichen erlangen.
• Diebstahl von Brieftaschen und Geldbörsen
• Diebstahl und Umleiten von Post: Mittels gestohlener Post (z.B. eines Kreditkartenunternehmens) und der darin enthaltenen Kundendaten ist es möglich eine Adressänderung zu beantragen und somit den Briefverkehr auf eine falsche Adresse umzuleiten.
• Über die Schultern schauen
• Gefälschte oder manipulierte Bankautomaten :
   

  Skimmer

Hierbei handelt es sich um eine raffiniertere Methode des Datendiebstahles, da Bankautomaten mittels eines eigens für diesen Zweck angefertigten Aufsatz, sog. Skimmer, manipuliert werden können. Dieser Aufsatz wird auf den eigentlichen Karteneinzug montiert; somit ist das Gerät dem Karteneinzug vorgeschlatet und als solches nicht zu erkennen. Wird nun eine EC- oder Kreditkarte in das Gerät eingeführt, kopiert es die Karteninformationen, sodass diese vervielfältigt werden können. Zusätzlich wird noch eine kleine Videokamera am Automaten installiert, um die Eingabe der PIN zu filmen. Die Kamera wird meist in einem Kasten mit Infomaterial der Bank in unmittelbarer Sichtnähe des Tastenfeldes angebracht. Alternativ dazu kann auch eine sogenannte Kameraleiste benutzt werden; also eine angeklebte Kunsstoffleiste mit integrierter Funkkamera, die überhalb des Tastenfeldes angebracht wird. Der gesammte Vorgang wird auch als skimming bezeichnet. Der modus operandi des skimmings wird allerdings, durch die fortschreitenden technischen Möglichkeiten immer variationsreicher: So ist es auch möglich bereits beim Eintreten in die Bank - mittels der Bankkarte - Opfer von skimming zu werden, da bereits das Lesegerät am Eingang manipuliert worden sein kann.

• Verkauf von personenbezogenen Daten: Diesen Punkt, auf den sich Paget nicht bezieht, kommt nicht zuletzt durch die aktuellen Meldungen über den Handel von Kundendaten größere Bedeutung zu. So gelang es den Bundesverband der Verbraucherzentralen (vzbv), mittels eines Rechercheurs, im Internet vier Millionen deutsche Kontodaten für 850 Euro zu erwerben.[5] Auch die deutsche Telekom [6] und die DAK [7] sind in der letzten Zeit durch einen defizitären Umgang mit Kunden- bzw. Patientendaten aufgefallen.

Internetbezogene Methoden

• Hoofnagle, Chris Jay (2007): Identity Theft: Making The Known Unknowns Known. In: Harvard Journal of Law & Technology, Volume 21, Number 1, Fall 2007. Im Internet abrufbar unter:[8]

Recherche: 19.07.2008 Letztes Update: unbekannt

• Paget, François (2007): Identitätsdiebstahl. McAfee Whitepaper Januar 2007. Im Internet abrufbar unter: [9]

Recherche: 19.07.2008 Letztes Update: unbekannt

• Schneider, David (2007): Phishing, Pharming und Identitätsdiebstahl - von Postbank bis Paypal. Informationstechnische Grundlagen und strafrechtliche Beurteilung der Internetkriminalität. Im Internet abrufbar unter: [10]

Recherche: 19.07.2008 Letztes Update: unbekannt

• http://www.cifas.org.uk/
• http://www.computerworld.cz/cw.nsf/id/CDC9ECF819BAAACCC125726A0069222E/$File/McAfee_wp_id_theft_de.pdf
• http://www.focus.de/finanzen/versicherungen/krankenversicherung/krankenkasse-dak-gibt-patientendaten-weiter_aid_325837.html
• http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2007:0267:FIN:DE:PDF
• http://www.ftc.gov/os/statutes/itada/itadact.htm
• http://www.heise.de/newsticker/Vier-Millionen-deutsche-Kontendaten-fuer-850-Euro--/meldung/114401
• http://www.identity-theft.org.uk/
• http://ssrn.com/abstract=969441
• http://www.tagesspiegel.de/wirtschaft/Unternehmen-Telekom-Bespitzelung;art129,2539392
• http://www.usdoj.gov/criminal/fraud/websites/idtheft.html#whatis