zusammen und sehe die Entwicklung auf dem richtigen Weg. Ich hoffe, im nächsten Tätigkeitbericht über wei tere Erfolge berichten zu können.
5.14.3 Identitätsdiebstahl wird zur Regel
Im Berichtszeitraum hat die Presse vermehrt über Identitätsdiebstähle großen Ausmaßes berichtet. In einem
Strafverfahren wurde das BSI eingebunden, um einen Warndienst zu entwickeln, der Internetnutzern die Prüfung ermöglichen sollte, inwieweit sie von den Identitätsdiebstählen betroffen waren.
Identitätsdiebstähle sind an sich nichts Neues. Als PC-, Smartphone- oder Tablet-Nutzer sollte man deswegen
gewisse Regeln bei der Geräte- und Internetnutzung beachten, damit die eigenen Identitätsdaten ausreichend vor
Dritten geschützt sind. Durch raffinierte Angriffsmethoden und Ausnutzung von Sicherheitslücken in IT-Systemen gelingt es unbekannten Dritten aber dennoch oft, ganze Systeme zu kapern und diese in ein automatisiertes
Netz (sog. Botnetz) von Computern zusammenzuschließen. Über diese können dann umfassend elektronische
Identitäten gestohlen und die PCs von Nutzern für eigene Zwecke missbraucht werden, z. B. für den Versand
von Spam. Die so gestohlenen Daten setzen sich dabei oft aus Benutzernamen (Login) und Passwort,
PIN-TAN-Kombinationen, Bank- oder Kreditkartendaten usw. zusammen. Diese können lukrativ auf dem
Schwarzmarkt gegen Bezahlung veräußert werden. Fehlende oder schlecht gewartete Virenscanner erleichtern
Dieben zudem ihr Handwerk, und Schadprogramme bleiben so auf den Systemen der Nutzer viel zu oft unent deckt.
Im Jahr 2014 wurde das BSI im Zuge strafrechtlicher Ermittlungen in zwei Fällen über das Aufdecken umfas sender Datensätze mit gestohlenen Identitäten informiert. Es handelte sich zum einen um einen Datensatz mit
16 Millionen Identitäten, der bei einer Analyse von Botnetzen durch Forschungseinrichtungen und Strafverfolgungsbehörden gefunden worden war. Im zweiten Fall waren es weitere 18 Millionen Identitäten, die bei Ermittlungen durch die Staatsanwaltschaft im Rahmen eines laufenden Verfahrens gefunden wurden. Diese Daten
wurden dem BSI zur Verfügung gestellt, damit es die Betroffenen entsprechend informiere.
Das BSI hat daraufhin einen Warndienst für Internetnutzer zur Abfrage der eigenen Betroffenheit auf einer spe ziell hierfür vorgesehen Website www.sicherheitstest.bsi.de entwickelt und bereitgestellt. Um eigene Identitäten
zu überprüfen, werden hierbei lediglich sogenannte Hashwerte der gefundenen Datensätze herangezogen und
mit dem Hashwert der abgefragten Identität verglichen. Wird ein Datum erkannt, so wird der Nutzer mittels ei ner E-Mail hierüber informiert. Das BSI hat diese Art der Meldeverfahren vorab mit mir abgestimmt. Nutzer
großer Internetprovider und E-Mail-Dienste in Deutschland wurden im zweiten genannten Fall auch direkt informiert. Zukünftig ist mit weiteren Berichten über Identitätsdiebstähle zu rechnen, und auch bei diesen werden
die Internet- und E-Mail-Anbieter voraussichtlich ihre Nutzer entsprechend informieren. Hier ist allerdings zu
beachten, dass sich ggf. auch Dritte mit gefälschten Meldungen an Nutzer wenden könnten; Vorsicht ist insbe sondere dann geboten, wenn die Meldung fordert, der Nutzer solle (weitere) Daten von sich zur Behebung des
vermeintlichen Problems preisgeben. Nutzer sollten solche Meldungen deshalb kritisch hinterfragen und Hinweise in der einschlägigen Fachpresse beachten.
Generell ist es zur Vorbeugung von Missbrauch erforderlich, alle Passwörter bei Internetportalen regelmäßig zu
wechseln. Auch wird immer wieder dazu geraten, ein sicheres und ausreichend komplexes, mindestens acht Zeichen langes Passwort, bestehend aus Zeichen, Sonderzeichen und Ziffern zu wählen. Weitere Hinweise hierzu
bietet das BSI z. B. unter www.bsi-fuer-buerger.de.
Zum Thema „Sicheres Surfen“ habe ich ein Faltblatt erstellt, welches in meinem Internetangebot unter
www.datenschutz.bund.de abgerufen werden kann.
– 102 –
BfDI 25. Tätigkeitsbericht 2013-2014