olly - Fotolia
Mit Datenschutz dem Identitätsdiebstahl vorbeugen
Datenschutz gilt nicht nur personenbezogenen Daten, sondern auch digitalen Identitäten. Nur wenn Identitäten geschützt sind, lassen sich auch personenbezogene Daten absichern.
Wenn Datenschützer über das richtige Vorgehen bei Identitätsdiebstahl informieren, dann scheinen die Gründe dafür auf der Hand zu liegen. Immerhin sind digitale Identitäten oftmals eng mit personenbezogenen Daten verknüpft, wenn für die Identitäten keine anonymisierten Daten verwendet werden.
Selbst bei Pseudonymen greift bekanntlich der Datenschutz, denn man kann bei Pseudonymen ja unter bestimmten Umständen Rückschlüsse auf die dahinterliegenden Identitäten ziehen. Entsprechend sind pseudonyme Kennungen für Nutzende ein Fall für den Datenschutz.
Doch es gibt weitere Gründe, warum der Schutz digitaler Identitäten immer auch ein Thema für den Datenschutz ist: Datenschutz und Identitätsschutz gehören zwingend zusammen.
Datenrisiko Identitätsdiebstahl
Um diese enge Beziehung zwischen Identitätsschutz und Datenschutz zu sehen, muss man sich nur vorstellen, Angreifenden gelingt es, digitale Identitäten zu stehlen und erfolgreich zu missbrauchen. Das kann über klassisches Phishing sein, über Spear Phishing, Deepfakes oder eine der vielen anderen Angriffsformen, um eine digitale Identität übernehmen zu können.
Mit der gestohlenen oder gefälschten, digitalen Identität erlangen die Internetkriminellen Zugang und Zugriff auf Systeme, die personenbezogene Daten vorhalten und verarbeiten. Ohne Zweifel ist also der Identitätsdiebstahl der goldene Weg hin zu einem Datendiebstahl.
Deshalb ist es auch für den Datenschutz zentral, neben den zu schützenden Daten und den unerlaubten Zugriffen darauf auch die Schwachstellen und Angriffe bei digitalen Identitäten in den Blick zu nehmen. Bislang wird zwar noch nicht ausgiebig im Datenschutz über ITDR (Identity Threat Detection and Response) gesprochen, aber das sollte und wird sich ändern.
Identitätsrisiko Datendiebstahl
Betrachtet man die andere Situation, dass personenbezogene Daten gestohlen oder ausgespäht wurden, dann liegt die Gefahr sehr nahe, dass digitale Identitäten damit vorgetäuscht und missbraucht werden können. Ein Beispiel kann hier das Social Engineering sein. Mit Hilfe einer vorgespielten Identität werden ahnungslose Opfer zum Beispiel dazu verleitet, weitere, vertrauliche Daten preiszugeben.
Offensichtlich müssen personenbezogene Daten nicht nur deshalb besser geschützt werden, weil es der Datenschutz nach DSGVO (Datenschutz-Grundverordnung) verlangt, sondern weil ausgespähte personenbezogene Daten ein Sicherheitsrisiko sind, in erster Linie ein Identitätsrisiko, das dann weitere Cyberrisiken nach sich zieht.
Datenschutz für digitale Identitäten
Auf dieser Grundlage ist es also mehr als nachvollziehbar, dass nicht nur das BSI (Bundesamt für Sicherheit in der Informationstechnik) sondern eben auch Datenschutzaufsichtsbehörden Themen wie Erkennen, Reagieren und Vorbeugen mit Blick auf einen Identitätsdiebstahl ansprechen. So warnt zum Beispiel der Hessische Beauftragte für Datenschutz und Informationsfreiheit explizit vor Risiken wie den digitalen Enkeltrick, der bei Unternehmen dem CEO Fraud entspricht.
Ebenso erklärt der Landesdatenschutzbeauftragte Anzeichen für Identitätsdiebstahl und für mögliche Phishing-Attacken. Interessant ist auch der Hinweis der Aufsichtsbehörde, dass man bestimmte Dienste nutzen kann, um zu prüfen, ob die eigene E-Mail-Adresse bereits Teil eines Identitätsdiebstahls geworden ist. Genannt wird hier insbesondere HPI Identity Leak Checker.
An dieser Stelle sei der Hinweis gegeben, dass man nicht jeden Dienst verwenden sollte, um die eigenen Daten auf Identitätsdiebstahl zu prüfen. So sind Internetkriminelle durchaus raffiniert genug, entsprechende Dienste vorzutäuschen, um in Wirklichkeit genau darüber Daten zu stehlen.
Der HPI Identity Leak Checker dagegen erklärt: „Die von Ihnen eingegebene E-Mail-Adresse wird lediglich zur Suche in unserer Datenbank und das anschließende Versenden einer Benachrichtigungs-E-Mail benutzt. Sie wird von uns in verschleierter Form gespeichert, um Sie vor E-Mail-Spam zu schützen. Die Weitergabe an Dritte ist dabei ausgeschlossen.“
Datenschutz, um Identitätsdiebstahl vorzubeugen
Schließlich nennt die Aufsichtsbehörde auch mehrere Maßnahmen, die zum technischen Datenschutz gehören und die auch dabei helfen, Identitätsdiebstählen vorzubeugen, wie die verschlüsselte Übertragung von Daten oder die Mehr-Faktor-Authentifizierung (MFA).
Nicht zuletzt der Hinweis auf die dem Datenschutz wichtige Forderung nach Datenminimierung unterstreicht nochmals den Zusammenhang zwischen Identitätssicherheit und Datenschutz: „Ein sparsamer und bedachter Umgang mit den eigenen Daten im Internet ist die beste Vorbeugung gegen Identitätsdiebstahl und Identitätsmissbrauch. Generell gilt: Daten, die Nutzerinnen und Nutzer von sich nicht preisgeben, können auch nicht missbraucht werden“, so die Datenschutzaufsicht von Hessen.
Es zeigt sich: Datenschutz hilft gegen Identitätsdiebstahl, und Identitätsschutz hilft gegen Datendiebstahl. Das sind durchaus Argumente, warum sich der Aufwand für den Datenschutz gleich mehrfach lohnt.
