MÜNCHEN (COMPUTERWOCHE) - Die Anzahl der Diebstähle von persönlichen Daten im Internet wird bislang unterschätzt, sagen die Marktforscher von Gartner. In einer Studie ermittelten sie, dass schätzungsweise bereits sieben Millionen Amerikanern mindestens einmal persönliche Daten gestohlen wurden. Dabei bewegen sich die Täter offenbar auf relativ sicherem Terrain - im Durchschnitt komme nur einer von 700 Fällen zur Anklage.

Gartner befragte im Mai dieses Jahres 2400 US-Bürger, von denen 3,4 Prozent angaben, bereits einmal Opfer eines Identitätsdiebstahls geworden zu sein. Hochgerechnet auf die erwachsene US-Bevölkerung ergibt sich die Zahl von sieben Millionen. Bei den gestohlenen Daten handelte es sich um Kennummern von Sozialversicherungsnachweisen, Führerscheinen, Online-Banking-Konten, Kreditkarten und um Adressen.

Das bloße Abgreifen von Kreditkartennummern zählen die Gartner-Analysten nicht zum Identitätsdiebstahl, da aus dieser Information alleine noch keine Rückschlüsse auf den Besitzer zu ziehen seien. Allerdings greife der Missbrauch der Nummern wesentlich weiter um sich als der anderer persönlicher Daten. Laut Studie wurden bereits elf Millionen US-Bürger Opfer von Kreditkartenbetrügereien im Web.

Die Täter gehen beim Diebstahl von Identitäten immer nach dem gleichen Muster vor, sagen Experten. Demnach werden Opfer dazu verleitet, ihre Daten in Formulare auf gefälschten E-Mails oder auf manipulierten Web-Seiten einzutragen. Die Mails erwecken dabei oft den Anschein, von seriösen Anbietern wie zum Beispiel Best Buy oder Ebay zu stammen.

Besonders fies ging ein Cracker in Südafrika zu Werke. Er stahl Zugangscodes zu Online-Konten der größten Bank des Landes, Absa, indem er trojanische Pferde auf die Rechner der Anwender schleuste. Ein so genannter Keylogger protokollierte daraufhin die Tastenanschläge der Opfer und schickte die Daten an einen unter falschem Namen eingerichteten Hotmail-Account. So bekam der Täter nach und nach Zugangsdaten und PINs der Anwender. Über einen Echtzeitzugang griff der Täter dann TANs ab und räumte damit die Konten leer, ohne die Server der Bank geknackt zu haben. Schlecht ist das für die betroffenen Kunden in zweierlei Hinsicht. Neben leeren Konten haben sie kaum Möglichkeiten, Schadensersatzansprüche gegenüber der Bank geltend zu machen, da der Cracker nicht in das Banksystem eingebrochen, sondern den Anwendern lediglich ihre Identitäten gestohlen hat. (lex)