SPIEGEL ONLINE

SPIEGEL ONLINE

09. Dezember 2008, 11:14 Uhr

Datendiebstahl

So tickt der Schwarzmarkt

Von

Der illegale Handel mit Daten blüht, seine Umsätze liegen im Milliardenbereich. Die Web-Mafia offeriert Kreditkartendaten und mehr im Sonderangebot. Ein echtes Gegenmittel gibt es nicht - aber man kann es unwahrscheinlicher machen, zum Opfer zu werden.

Es ist alles ganz einfach. Das gefällig gestaltete Bestellformular muss nur ausgefüllt werden. Aktuell im Angebot: Kontozugänge inklusive aller nötigen Login-Daten. Privatkonten kosten 100 Dollar, sind aber auch schnell leergeräumt. Firmenkonten sind zum Schnäppchenpreis von 200 Dollar zu haben. Wer dagegen nur nach passenden Sicherheits-Codes für einen bereits vorliegenden Stapel geklauter Kreditkarten sucht, ist schon mit drei Dollar pro Karte dabei.

Als besonderer Service steht noch eine feste VPN-Verbindung für 50 Dollar im Jahr bereit, mit der man bei diversen Abzocken und Betrügereien bequem seine Internet-Adresse verschleiern kann. Zu zahlen sind diese komfortablen Dienste natürlich nicht per Banküberweisung - der vertraut der Anbieter aus irgendwelchen Gründen nicht. Stattdessen läuft das Geschäft über einen der etablierten, bargeldkontobasierten Internet-Zahldienste in Übersee ab. Man füttert sein Konto und lässt daraus abbuchen. Die Gefahr, bei all dem erwischt zu werden, ist dann nur noch gering.

Damit sind die Eckpunkte des Handels mit gestohlenen Kreditkartendaten und Bankverbindungen beschrieben. Der Kontakt zwischen den auf so verschiedene Dinge spezialisierten Betrügern kommt über das Web zustande. Wer weiß, nach was er suchen muss, wird binnen Minuten fündig. Datensammlungen und Kontozugänge sind keine Mangelware.

Die deutschen Skandale: Outing einer Branche

Das ist die verschärfte Variante der Datenbetrügereien, die in Deutschland in diesem Jahr gleich für mehrere Skandale sorgten. Wenn sich die Telekom 17 Millionen Datensätze stehlen lässt, wenn wie aktuell der "Wirtschaftswoche" 21 Millionen Datensätze deutscher Bürger angeboten werden, dann sind das zurecht Aufreger. Unaufgeregt könnte man aber auch sagen: Hier wird nur öffentlich, was seit Jahren läuft.

Denn Daten- und Adresssammlungen sind ein Milliardengeschäft mit einer illegalen, aber auch einer legalen Seite. Die Grenze verschwimmt, wenn legal erhobene Daten missbraucht werden. Viele davon sind ihr Geld wert, weil sie den Bürger nackt dastehen, sich für diverse Geschäfte missbrauchen lassen.

Was man tun sollte, um nicht in jeder Datensammlung dabeizusein:

Völlige Sicherheit schafft auch das nicht: Dazu müsste man zum Handschlaghandel mit Tauschgeschäft und Barzahlung zurückgehen. Aber es schränkt den Eifer der legal operierenden Sammler ein. Problematischer wird es, wenn es um Hacks und illegale Abzocke geht.

Kreditkartenhändler und Co-Falle Internet

Mit manchen Datensätzen kann man direkt einkaufen: In diesem Jahr kamen einem deutschen Ticketverkäufer über 66.000 Kreditkarten-Infosätze seiner Kunden abhanden und landeten in Abzockerhänden. Im konkreten Fall wurde das bemerkt und das Schlimmste verhindert. Wie hoch der Schaden für betroffene Kunden am Ende war, ist nicht bekannt. Meistens aber fallen solche Kreditkarten-Abfischereien gar nicht weiter auf, weil nur einzelne Kunden betroffen scheinen - allerdings sehr, sehr viele einzelne Kunden.

Glaubt man den Datenschützern, dann sind von gut jedem vierten Deutschen vollständige Datensätze inklusive Kontodaten in Umlauf. Gehandelt wird grundsätzlich mit den Daten jedes einzelnen Deutschen, die Branche setzt mit Datensatzgeschäften Schätzungen zufolge elf Milliarden Euro um.

Ein satter Batzen davon entfällt auf die legal operierenden Inkasso-Unternehmen, auf Finanzabwickler, auf Data-Mining-Firmen. Standarddatensätze aus Namen, Anschrift, Geburtsjahr und Beruf darf jeder zu Werbezwecken kaufen und verkaufen, solche Daten sind billig. Die "Wirtschaftswoche" sollte für ihre 21 Millionen Datensätze zwölf Millionen berappen, weil die Pakete mehr als das enthielten. Kein Sonderangebot - aber auch kein sonderbares.

Denn auf dem internationalen Markt sind die Daten billiger zu haben. In Deutschland, weiß das Bundeskriminalamt, kosten Kreditkartendatensätze zwischen sechs und zehn Euro. Im Web gibt es Rabatt und Schnäppchen. Hier ein Auszug aus einer aktuellen Preisliste eines illegalen Datenhändlers:

Erwischt werden die Windhunde nur selten. Spektakuläre Fälle von Zugriffen machen international Schlagzeilen, das Gros des Geschäftes aber läuft klammheimlich. Selbst ein vielfacher Erfolg fällt kaum auf, weil sich die Opfer in der Regel weltweit verteilen.

Denn dass CDs mit Millionen Datensätzen auf den Markt kommen, ist die Ausnahme. Die Regel ist, dass die Datensätze nicht aus einzelnen, relativ leicht zu identifizierenden Quellen kommen wie im Fall Telekom, sondern aus dem Web abgefischt werden. Früher durch das bekannte Phishing per E-Mail und gefälschter Bank-Login-Seite, heute zunehmend über spezialisierte Trojaner und Keylogger. Das ist tatsächlich einer der stärksten Trends auf dem Schadsoftware-Markt der letzten zwei Jahre: Viren und Trojaner stören und zerstören nicht mehr, sondern verhalten sich einfach still und sammeln Informationen.

Und sie sind damit erfolgreicher, als man denkt. Schon 2007 wurden allein in Deutschland Internet-Nutzer um rund 16,8 Millionen Euro erleichtert, indem man einfach Geld von ihrem Konto abhob. Dazu kommen die dokumentierten Schadensfälle, die sich an Kredit- und EC-Karten festmachen. Hier unterscheidet die Statistik bisher leider nicht zwischen Automatenmanipulationen, Kartendiebstählen oder Kreditkartenabzügen über das Internet. Zur Anzeige kamen 2007 jedenfalls über 72.000 Fälle.

Was man beachten sollte, um nicht zum Opfer zu werden:

Zurück zur Übersicht

URL:

Verwandte Artikel:


© SPIEGEL ONLINE 2008
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung