EI DI

Effektive Information nach digitalem Identitätsdiebstahl

Digitaler Identitätsdiebstahl betrifft nahezu alle Lebensbereiche.©EIDI-Projekt

Motivation

Digitale Identitätsdaten, Konto- oder Kreditkarteninformationen sowie E-Mail-Adressen und Passwörter werden in großen Mengen von (Cyber-) Kriminellen gesammelt. In den meisten Fällen bemerken betroffene Personen nicht einmal, dass sie Opfer einer Straftat geworden sind. Je nach krimineller Aktivität erfahren sie erst sehr viel später davon, dass sich die Täter unter Verwendung ihrer persönlichen Daten bereichert haben. Strafverfolgungsbehörden und IT-Sicherheitsforscher finden bei der Aufklärung von IT-Sicherheitsvorfällen und der Analyse von Schadsoftware häufig umfangreiche Sammlungen von Identitätsdaten, die Kriminelle angelegt haben. Bisher gibt es keine erprobte oder standardisierte Methode, mit der Opfer zuverlässig und proaktiv über den Missbrauch ihrer Daten informiert werden können. Reaktive Systeme, wie z. B. der BSI-Sicherheitstest, wurden zwar gut angenommen, setzen aber das Interesse und die Aktivität jeden Einzelnen voraus.

Ziele und Vorgehen

Eine angemessene, proaktive Information und effektive Warnung betroffener Personen nach der Identifikation ist das Kernziel dieses Projekts. Das erfordert zunächst eine technische Komponente, um die illegal angelegten Identitätsdaten-Sammlungen auf Aktualität und Validität überprüfen zu können. Dies geschieht durch die Erforschung technischer Verfahren, die Sensordaten analysieren, fusionieren und korrelieren können. Im Anschluss müssen die Betroffenen informiert werden. Die Herausforderung besteht hier zum einen in einer verständlichen Warnung, die es dem Empfänger ermöglicht, die Art des Missbrauchs seiner Daten zu verstehen und notwendige Schritte einzuleiten. Gleichzeitig dürfen solche Warnungen nicht zu häufig vorkommen, damit die nötige Aufmerksamkeit erhalten bleibt. Ein dritter, wesentlicher Punkt ist die Rechtssicherheit solcher Warn- und Überprüfungssysteme. Darum werden auch die Vereinbarkeit der Prozesse mit den rechtlichen Rahmenbedingungen und ihre Konformität mit den strengen Vorgaben des Datenschutzrechts der Bundesrepublik Deutschland analysiert und im Projektkontext berücksichtigt.

Innovationen und Perspektiven

Es ist denkbar, dass die Warnung der Opfer digitaler Identitätsdiebstähle im Rahmen des öffentlichen Auftrags einer Behörde durchgeführt werden können. Dafür ist aber auch zukünftig die Kooperation mit Providern, Banken oder sozialen Netzwerken notwendig. Nur so können die illegalen Datensammlungen zuverlässig bewertet werden und Betroffene über den Identitätsdiebstahl informiert werden – möglichst noch bevor ein Schaden entstanden ist.