Keine Straftat ohne Täter - doch was, wenn ein vermeintlicher Mensch nicht existiert? Cyberkriminelle nutzen zunehmend «synthetische» Identitäten.
München - Die weltweite Welle der Online-Kriminalität wird nach Einschätzung von Cyberexperten in den kommenden Jahren noch an Wucht und Dynamik gewinnen. Einer wachsenden Zahl von Tätern gelingt es demnach, ihre wahre Identität hinter erfundenen Persönlichkeiten zu verbergen.
Nach der Werbung weiterlesen
"Synthetische Identitäten sind international ein wachsender Trend", sagt Stephen Topliss, Fachmann für Betrug und Identität beim US-Cybersicherheitsdienstleister Lexis Nexis Risk Solutions.
Die Cyberfachleute des Rückversicherers Munich Re gehen von weiter steigender "Schadenfrequenz" aus, nicht zuletzt, weil künstliche Intelligenz auch Cybertätern die kriminellen Geschäfte erleichtert. Der Handelsverband Deutschland berichtet von steigendem Betrugsrisiko für seine Unternehmen.
Doch was ist eine synthetische Identität überhaupt? "Die Täter kombinieren üblicherweise eine erfundene Identität mit realen Daten: echte Kreditkartennummern, Postadressen, Mailkonten oder Telefonnummern, in den USA auch häufig gestohlene Sozialversicherungsnummern", sagt Topliss. Die Daten stammen aus Datenlecks und werden im Darkweb gehandelt.
Daneben existieren zwei weitere Methoden, mit denen die Täter sich falsche Identitäten zulegen: "Es gibt - vor allem auch KI-getrieben - komplett synthetische Identitäten, die zu hundert Prozent erfunden sind", sagt Martin Kreuzer, Cyber-Fachmann der Munich Re und ehemaliger Ermittler. Und in der dritten Version werden "verschiedene existierende Identitäten digital gestückelt und zusammengesetzt".
Das Ergebnis ist jedoch in jedem Fall identisch: Es wird schwieriger, die Täter zu entdecken. Seit der Corona-Pandemie beobachtet nicht nur Lexis Nexis Risk Solutions ein kontinuierliches Wachstum des Online-Betrugs und anderer Straftaten im Internet.
Noch vor einigen Jahren hätten viele Täter komplett gestohlene Identitäten genutzt, sagt Topliss. "Aber mittlerweile sehen wir sehr viel mehr dieser synthetischen Identitäten. Diese können auf verschiedene Arten und Weisen genutzt werden: zur Einrichtung von Kundenkonten im Online-Handel oder für die Beantragung von Kreditkarten."
Eine gestohlene Identität birgt für Kriminelle das Risiko, dass der dazugehörige echte Mensch schnell bemerkt, wenn in seinem Namen eingekauft oder Geld überwiesen wird.
"Im Bankwesen nutzen die Täter synthetische Identitäten, um "Maultier-Konten" einzurichten, die für Geldwäsche genutzt werden", sagt Topliss. "Es gibt erst einmal kein Opfer, dem das auffallen könnte, weil die Person, die das Konto eingerichtet hat, gar nicht existiert."
Ein großes Betätigungsfeld für die Täter ist Betrug beim Online-Shopping. "Identitätsbetrug in verschiedenster Form gehört zu den häufigsten Betrugsmaschen im Onlinehandel", sagt ein Sprecher des Handelsverbands HDE unter Verweis auf eine Erhebung der Wirtschaftsauskunftei Crif.
Demnach waren 92 Prozent der deutschen E-Commerce-Unternehmen schon einmal damit konfrontiert, dass sich ein Kunde unter einer falschen oder fremden Identität ausgegeben hat. "So bestellen Betrüger etwa mit gestohlenen Daten auf Rechnung und lassen die Ware an Paketstationen oder leerstehende Wohnungen liefern."
Oft genügen demnach schon wenige echte Datenfragmente - etwa Name und Geburtsdatum oder gehackte Login-Daten - um eine synthetische Identität zu erschaffen, die bei der Registrierung im Online-Shop echt wirkt. "Für Onlinehändler ist der technische und finanzielle Aufwand, Kundenidentitäten zu verifizieren und Betrüger auszusieben, in den letzten Jahren deutlich gestiegen", sagt der Sprecher.
Betrug im Online-Handel ist der größte Schadentreiber im Cyber-Versicherungssegment für Privatpersonen, wie Munich-Re-Experte Kreuzer sagt. "Im Bereich der Cyberkriminalität sind Identitätsklau und die damit verbundenen Betrugsmaschen eine Art Einstieg. Anfänger probieren sich da aus und kaufen sich mitunter von deutlich professionelleren Organisationen Anleitungen und Tools."
KI schaffe Skaleneffekte und könne beispielsweise für die automatisierte Verteilung von Phishing-Mails genutzt werden. "Skaleneffekt" bedeutet, dass die Produktion für - in diesem Falle kriminelle - Unternehmen immer günstiger wird, je mehr von einem Produkt hergestellt wird.
"KI kann auch genutzt werden, um neue Schadsoftware zu kreieren", sagt Kreuzer. "Das spricht für eine erhöhte Schadenfrequenz in der Zukunft." Bei den von betrügerischen Kunden heimgesuchten Unternehmen könnten die Belastungen bis zur Insolvenz führen. "Gerade für Unternehmen, die schon in wirtschaftlicher Schieflage sind, ist dann häufig ein Cyberangriff der berühmte Tropfen, der das Fass zum Überlaufen bringt."
Die genaue Höhe der von Cybertätern verursachten Schäden ist unbekannt. Schätzungen gehen in die Milliarden, Tendenz steigend. Polizei und Justiz erfassen in ihren Statistiken nicht separat, ob eine Tat online begangen wurde.
Ebenfalls geschätzt ist die Quote der betrügerischen Online-Bestellungen im Einzelhandel: im Schnitt rund drei Prozent, wie der Sprecher des Handelsverbands sagt. In der Crif-Umfrage bezifferten 43 Prozent der deutschen Online-Händler ihre betrugsbedingten Schäden auf Summen zwischen 10.000 und 100.000 Euro; ein gutes Fünftel erlitt sogar Einbußen von über 100.000 Euro.
Im Bereich der Cyberkriminalität verschwimmen nationale Grenzen, da die Täter oft nicht in dem Land wohnen, in dem sie ihre Taten begehen. "Ein Hauptproblem ist, dass es keinen internationalen Standard für die Authentisierung und Verifizierung von Identitäten gibt", sagt Ralf Wintergerst, Vorstandschef des Münchner Sicherheitstechnikherstellers Giesecke+Devrient und Präsident des Digital-Branchenverbands Bitkom.
"Wenn jedes Land eine kleine Lösung für sich selbst baut, sind diese oft international nicht interoperabel." Die Finanzflüsse hingegen sind international. "Eine Einigung auf einen Standard ist schon innerhalb der Europäischen Union schwer, international dann umso mehr", sagt der Spitzenmanager.
