Kontakt zu unseren Cyber Experts
030 403 695 29

Was ist Identitätsdiebstahl?

Sie wollen Ihr Unternehmen gegen Cyber-Gefahren schützen und wünschen eine kostenlose Beratung?
Kontaktieren Sie uns

Cyber-Kriminelle können mittels verschiedener Techniken und Angriffsarten sensible Daten und Informationen stehlen und sie für kriminelle Zwecke missbrauchen. Dazu gehören auch persönliche Daten und Anmeldedaten von Mitarbeitenden, Kunden, Geschäftspartnern und von anderen mit dem Unternehmen in Verbindung stehenden Personen.

Das Stehlen von Daten und Informationen, die die digitale Identität von Personen betreffen, wird als Identitätsdiebstahl bezeichnet. Wie kommt es dazu? Was passiert bei Identitätsdiebstahl? Welche Folgen kann Identitätsdiebstahl für Unternehmen haben und wie können sie sich schützen?

Was versteht man unter Identitätsdiebstahl?

Identitätsdiebstahl ist eine Art von Cybercrime, bei der Kriminelle sich Zugriff auf persönliche Daten, Anmeldedaten und Passwörter verschaffen, um sich mithilfe der gestohlenen Daten als eine andere Person auszugeben und sich so einen finanziellen Vorteil zu verschaffen. 

So können Cyber-Kriminelle beispielsweise das Amazon-Konto der gehackten Person übernehmen und auf deren Kosten online Einkäufe tätigen. Oder sie nutzen ein gehacktes E-Mail-Konto, um E-Mails an Verwandte und Freunde des Opfers zu schicken und sie um finanzielle Hilfe zu bitten.

Neben Privatpersonen können auch Unternehmen von Identitätsdiebstahl betroffen sein. Durch Ausnutzen menschlicher Unachtsamkeit oder durch technisch komplexe Cyber-Angriffe wie bspw. Man-in-the-Middle-Attacken können die Daten von Kunden, Mitarbeitenden und Geschäftspartnern gestohlen und für kriminelle Zwecke missbraucht werden - und das mit weitreichenden Folgen.

Wie kommt es zu Identitätsdiebstahl?

Identitätsdiebstahl ist in der Regel die Folge einer oder mehrerer Cyber-Angriffsarten, über die sich Angreifer Zugang zu persönlichen Daten verschaffen. Zu den Arten von Cyber-Angriffen, die am häufigsten zu Identitätsdiebstahl führen, gehören:

  • Phishing: Beim Phishing versuchen die Angreifer, mithilfe von gefälschten E-Mails oder Webseiten Passwörter und Anmeldedaten zu stehlen.
  • Vishing: Vishing ist eine Unterart von Phishing. Hierbei versuchen Angreifer über Telefonanrufe, die betroffene Person dazu zu verleiten, persönliche Daten weiterzugeben. Zum Beispiel, indem sie sich als Bankangestellte ausgeben, die dringend einen Datenabgleich durchführen müssen.
  • Social Engineering: Bei einem Social Engineering-Angriff setzen Cyber-Kriminelle Manipulationstechniken ein, um ihre Opfer zu bestimmten Handlungen (z. B. die Weitergabe von Passwörtern oder sensiblen Daten) zu verleiten.
  • Doxing: Beim Doxing nutzen Kriminelle das Internet, um eine möglichst große Zahl von Daten und Informationen über eine Person zusammenzutragen und anschließend deren Identität online offenzulegen.
  • Spoofing: Spoofing ist der Oberbegriff für verschiedene Angriffstechniken, mit denen Cyber-Kriminelle in Netzwerke oder Systeme eindringen, um vertrauliche Daten zu stehlen. Was die verschiedenen Arten von Spoofing gemeinsam haben, ist, dass die Angreifer eine vertrauenswürdige Identität vortäuschen. Beispiele sind E-Mail-Spoofing (Versenden von E-Mails unter einem gefälschten Absender) und IP-Spoofing (Fälschen der IP-Adresse).
  • Social-Media-Hacking: Beim Social-Media-Hacking stehlen Angreifer die Zugangsdaten zu einem Social-Media-Konto des Opfers und hacken es. Entweder um detaillierte Informationen über die Person zu sammeln oder um das Konto zu missbrauchen und im Namen der Person Nachrichten z.B. an Kollegen oder Geschäftspartner zu schicken.
  • Man-in-the-Middle: Bei einem Man-in-the-Middle-Angriff schleusen sich Angreifer in die digitale Kommunikation zwischen zwei Personen oder in den Datenaustausch zwischen einem User und einer Anwendung ein, um Daten abzufangen, zu manipulieren oder zu löschen.
  • Datenlecks: Bei einem Datenleck nutzen Kriminelle Sicherheitslücken in Unternehmenssystemen aus, um die Daten einer Vielzahl von Nutzern abzugreifen und offenzulegen. Datenlecks haben oft zur Folge, dass die Daten und Identitäten einer großen Anzahl von Nutzern enthüllt werden.

Arten von Identitätsdiebstahl, die Unternehmen betreffen

Während es bei Privatpersonen bei Identitätsdiebstahl im Internet um den Verlust persönlicher Daten geht, sind im Unternehmenskontext verschiedene Arten von Identitätsdiebstahl relevant. Hier ist ein Überblick.
ico

Identitäten von Mitarbeitenden:

Durch mehrere der oben beschriebenen Angriffsarten können Angreifer die digitale Identität von Mitarbeitenden stehlen und sich so Zugang zu Unternehmensnetzwerken verschaffen und Schaden anrichten.

ico

Identitäten von Kunden:

Durch das Ausnutzen von Sicherheitslücken können Cyber-Kriminelle sensible Kundendaten abgreifen, darunter Namen, E-Mail-Adressen, Geburtsdaten, Adressen und mehr, um diese für ihre kriminellen Zwecke zu missbrauchen.

ico

Identitäten von Geschäftspartnern:

Auch die Identitäten von Geschäftspartnern können in die Hände von Hackern fallen, die damit kriminelle Handlungen vollziehen können. Zum Beispiel, indem sie sich als einer der Geschäftspartner ausgeben und in dessen Namen gefälschte Rechnungen an das Partnerunternehmen verschicken.

ico

Identität des Unternehmens:

Unternehmen können auch selbst zum Opfer von Identitätsdiebstahl werden. Kriminelle können im Namen eines Unternehmens Fake-Profile im Internet anlegen und diese für verschiedene Betrugsmaschen nutzen.

Jede dieser Arten von Identitätsdiebstahl kann verheerende Folgen für Unternehmen haben. Schauen wir uns diese Folgen im Detail an.

Folgen von Identitätsdiebstahl für Unternehmen

Identitätsdiebstahl kann im Unternehmenskontext weitreichende Schäden nach sich ziehen. Dazu gehören nicht nur Reputationsschäden und finanzielle Verluste, sondern auch operative Schäden und strafrechtliche Konsequenzen.
ico

Finanzielle Schäden:

Durch mehrere der oben beschriebenen Angriffsarten können Angreifer die digitale Identität von Mitarbeitenden stehlen und sich so Zugang zu Unternehmensnetzwerken verschaffen und Schaden anrichten.

ico

Datenschutzverstöße:

Durch das Ausnutzen von Sicherheitslücken können Cyber-Kriminelle sensible Kundendaten abgreifen, darunter Namen, E-Mail-Adressen, Geburtsdaten, Adressen und mehr, um diese für ihre kriminellen Zwecke zu missbrauchen.

ico

Reputationsschäden:

Wird bekannt, dass es durch eine Sicherheitslücke oder einen anderen Cyber-Angriff auf ein Unternehmen zu Identitätsdiebstahl gekommen ist, kann das den Ruf des Unternehmens schädigen. Je nachdem, welche Parteien von der Offenlegung sensibler Daten betroffen sind, kann das den Verlust von Kunden und Geschäftsbeziehungen nach sich ziehen. Einen solchen Reputationsschaden wieder auszugleichen, kann ein sehr langwieriger und kostspieliger Prozess sein.

ico

Operative Auswirkungen:

Ein Cyber-Vorfall, der Identitätsdiebstahl zur Folge hat, kann beträchtliche Auswirkungen auf das Geschäft haben. Je nachdem, über welchen Angriffsvektor sich die Kriminellen Zugang zu den Identitäten verschafft haben, kann es zu Einschränkungen im Geschäftsbetrieb kommen, bis die Sicherheitslücken behoben sind und alle Systeme und Netzwerke wieder so funktionieren, wie sie sollen. Gelingt es Cyber-Kriminellen, die Identität von Mitarbeitenden in hohen Führungspositionen zu stehlen, können sie deren Autorität und Position zudem ausnutzen, um in ihrem Namen falsche Anweisungen an Mitarbeitende zu schicken, um Produktionsabläufe zu stören oder den Betrieb sogar komplett zu unterbrechen.

ico

Unentdeckter Zugang zu Netzwerken und Systemen:

Mit gestohlenen Identitäten von Mitarbeitenden können Cyber-Kriminelle in Unternehmensnetzwerke eindringen, ohne entdeckt zu werden. Diesen Zugang können sie nutzen, um weitere Angriffe durchzuführen. Zum Beispiel könnten sie Malware ins System einschleusen, einen Ransomware-Angriff starten oder ihren Systemzugriff systematisch so weit ausdehnen, bis sie Zugang zu weiteren sensiblen Daten, Geschäftsgeheimnissen und mehr haben.

Schutz vor Identitätsdiebstahl: Maßnahmen für Unternehmen

Es gibt viele verschiedene Arten von Cyber-Angriffen, die zu Identitätsdiebstahl führen können. Um sich zu schützen, sollten Unternehmen ihre Cyber-Sicherheit erhöhen und für das Unternehmen geltende IT-Sicherheitsstandards einführen. Außerdem sollten alle Mitarbeitenden für Cyber-Risiken sensibilisiert werden. Hier sind die wichtigsten technischen und organisatorischen Maßnahmen in der Übersicht.
ico

Starke Passwörter und Multi-Faktor-Authentifizierung:

Die Vergabe starker Passwörter und das Einrichten einer Zwei- oder Multi-Faktor-Authentifizierung sollten in Unternehmen ein grundlegender Standard sein, da es für Hacker so schwieriger wird, sich Zugang zu den Benutzerkonten von Mitarbeitenden zu verschaffen.

ico

Mitarbeiterschulungen:

Der Faktor Mensch stellt nach wie vor ein großes Cyber-Sicherheitsrisiko dar. Um zu verhindern, dass Kriminelle es schaffen, mit Phishing und anderen manipulativen Betrugsmaschen technische Schutzmaßnahmen zu umgehen und sich Zugriff auf Systeme und Netzwerke zu verschaffen, sollten Mitarbeitende sorgfältig im Umgang mit Cyber-Risiken geschult werden. Zum Beispiel mit einem Phishing-Simulationstest.

ico

Regelmäßige Updates und Patches:

Um zu verhindern, dass Cyber-Kriminelle Schwachstellen und Sicherheitslücken ausnutzen und sich so unbefugten Zugang zu Unternehmenssystemen verschaffen, sollten Patches und Systemaktualisierungen schnellstmöglich eingespielt werden.

ico

Penetrationstests und IT-Sicherheits-Audits:

Die IT-Sicherheit des Unternehmens sollte in regelmäßigen Abständen im Zuge eines umfangreichen Audits geprüft werden. Dazu gehören auch Penetrationstests, um die allgemeine Sicherheit der Systeme und Netzwerke gegen Angriffe zu überprüfen.

ico

IT-Sicherheitsrichtlinien:

Sicherheitsrichtlinien legen fest, wie die Mitarbeitenden mit IT-Systemen und -Ressourcen des Unternehmens umgehen sollen. Solche Sicherheitsrichtlinien sollten eine Vielzahl von Bereichen abdecken, von Vorschriften zur Nutzung privater Geräte bis hin zur Verwaltung von Zugriffsrechten und Benutzerrollen.

Vorheriger Artikel Nächster Artikel

Dieser Artikel dient ausschließlich Informationszwecken und ist nicht als Beratung zu verstehen. Die CyberDirekt GmbH lehnt jegliche Haftung für Handlungen ab, die Sie aufgrund der in diesem Artikel enthaltenen Inhalte vornehmen oder unterlassen.

SOS