In einer großangelegten Studie der Universität Kalifornien ist erstmals die Gefahr von Identitätsdiebstahl bei us-amerikanischen Banken und Telekomdienstleistern verglichen worden. Verfasser Chris Hoofnagle möchte mit der Studie Vergleichsmöglichkeiten für Verbraucher, Unternehmen und Regulierungsbehörden schaffen. Bisher gäbe es keine Möglichkeit, anhand von Datensicherheit zwischen Anbietern von Finanz- oder Webdienstleistungen zu wählen, so die Studie.
Dabei haben die Bank of America und der Telekomriese AT & T gemessen an der absoluten Anzahl an Vorfällen am meisten mit Identitätsbetrügern zu kämpfen. In einer ersten Stellungnahme verwies eine Sprecherin der Bank of America darauf, dass einem Identitätsdiebstahl nicht notwendigerweise ein Versagen der Bank zugrunde läge.
Wenn genauere Daten über Identitätsbetrug verfügbar wären, so hätten Verbraucher mehr Auswahlmöglichkeiten, Strafverfolgungsbehörden könnten sich auf die am meisten betroffenen Einrichtungen konzentrieren und die Unternehmen selbst könnten auf einer verlässlichen Grundlage um die Auszeichnung der höchsten Datensicherheit konkurrieren, so Hoofnagle.
Daten zum Identitätsbetrug angefordert
Auf Grundlage des „Freedom of Information Act“ hatte er Daten über Identitätsbetrug angefordert. Das Gesetz berechtigt jeden US-Bürger, Zugriff auf Dokumente der Exekutive zu verlangen. Die untersuchten Daten wurden 2006 an die us-amerikanische Handelskommission übermittelt. Diese fungiert als Verbraucherschützer und Wettbewerbsbehörde.
Aus drei zufällig ausgewählten Monaten flossen Daten in die Studie ein. Ingesamt lagen Hoofnagle fast 90.000 Beschwerdefälle vom Januar, März und September 2006 vor.
Nicht alles landet bei Behörden
Doch die Studie erfasst keinesfalls alle Vorfälle der untersuchten Monate. Die meisten Bankkunden etwa würden das Problem mit einem Anruf beim Kundenservice lösen und den Vorfall nicht der Behörde melden, so Hoofnagle.
Während die Studie einige Schwierigkeiten beim Strukturieren der vorliegenden Daten eingesteht liefert sie doch wertvolle Informationen:
Sie stellt einen ersten Versuch dar, Datensicherheit als Qualitätsmerkmal für sensible Dienstleistungen zu etablieren. Dabei ist die Genauigkeit der eingereichten Beschwerden teilweise für eine weitergehende Analyse der Situation unzureichend. Auch unterscheidet die Studie nicht zwischen Online- und Offlinebetrug.
Lage in Deutschland
In Deutschland steige derweil die offizielle Zahl der Kontodatenklaus via Internet, des sogenannten Phishings, rasant an, wie BKA-Chef Jörg Ziercke der Neuen Osnabrücker Zeitung berichtete. 2007 registrierte seine Behörde 4.200 Fälle und damit 20 Prozent mehr als im Vorjahr. Die Dunkelziffer liege jedoch deutlich darüber.
Ziercke forderte Internetnutzer zu einem sensibleren Umgang mit dem Internet auf. Auf Schutzmechanismen zu verzichten oder diese nicht zu aktualisieren bedeute, früher oder später in die Fänge von Kriminellen zu geraten.
Schutzmechanismen
Konventionelle Maßnahmen wie die Ablehnung aller HTML-EMails oder eine Deaktivierung von Javascript können dabei mit fortgeschritteneren Methoden ergänzt werden. HBCI in Kombination mit einer Chipkarte und iTAN sind zwei Technologien, die sich bei Banken steigender Beliebtheit erfreuen. HBCI wird als gemeinsamer Standard fuer Homebanking bereits seit 1995 kontinuierlich weiterentwickelt. Bei etwa einer Ueberweisung mit indizierten Transaktionsnummern (iTAN) wird von der Bank eine zufällig ausgewählte Transaktionsnummer verlangt, was die Chance eines erfolgreichen Phishingangriff verringern soll.
Allerdings bleibt Deutschland international dabei vergleichsweise unattraktiv für ID-Banditen. Denn aufgrund gesetzlich vorgeschriebener strengerer Authentifizierung für Online-Banking sind Phishingversuche weniger effektiv, so eine aktuelle Untersuchung.