Identität und Identifizierung
On the Internet nobody knows you´re a dog. – Dieser berühmte Satz beschreibt die charakteristische Schwierigkeit und ein zentrales Problem der Kommunikation per Internet und insbesondere des elektronischen Geschäftsverkehrs: die sichere Identifizierung der handelnden Person. Diese ist für den Geschäftsverkehr unabdingbar, wenn dem Handeln der Person Rechtsfolgen zugeordnet werden sollen.
Das zentrale Mittel zur Feststellung der Identität im Internet sind elektronisch übermittelte Identifizierungsdaten. Dazu gehören personenbezogene, nichtgeheime Daten, wie Name, Anschrift, Geburtsdatum, Sozialversicherungs- und Steuernummer etc. und solche Daten, die aus biometrischen Merkmalen abgeleitet werden, wie die Iriskennung oder Fingerabdrücke. Weiterhin zählen dazu auch geheime Identifizierungskennzeichen wie Passwörter, PIN, TAN und solche Daten, die aus bestimmten Speichermedien – z.B. EC-Karte oder Signaturkarte –, die ihrerseits besonders gegen Kenntnisnahme geschützt sind, entnommen werden.
Identitätsmissbrauch
Im Internet bestehen weitreichende Möglichkeiten, fremde Identitäten und Identifizierungsdaten missbräuchlich zu verwenden.
Phishing, Pharming & Co.
Phishing und andere Formen der Internetkriminalität (Pharming, Trojaner-Angriffe) zielen meist darauf ab, geheime Identifizerungskennzeichen (PIN, TAN, Passwörter) auszuspähen, um sie für betrügerische Transaktionen im Internet zu missbrauchen. In den meisten Fällen verwenden die Täter die ausgespähten Daten des Dritten für einmalige Transaktionen, wie z.B. eine Online-Überweisung. Zunehmend dienen diese Methoden aber auch dem Identitätsdiebstahl.
Identitätsdiebstahl
Beim Identitätsdienstahl verwendet der Täter Identifizierungsdaten eines Dritten, um dessen Identität anzunehmen. So verschafft sich der Täter Zugang zu Web-Angeboten, wie z.B. einem eBay-Account, und wickelt dort unter fremden Namen Geschäfte ab. Dem Identitätsdiebstahl kann Phishing oder ein ähnlicher Angriff vorausgehen. Möglich ist aber auch, dass sich der Täter nichtgeheime Daten eines Dritten aus anderer Quelle verschafft hat.
Scheinidentitäten
Weiter sind auch Fälle denkbar, in welchen die Täter nicht die Identität eines Dritten verwenden, sondern unter Angabe falscher Identifizierungsdaten eine nichtexistierende Scheinidentität aufbauen.
Allen Fällen ist gemeinsam, dass über den Urheber einer elektronischen Nachricht – z.B. einer Überweisung oder einer Bestellung – getäuscht werden kann.
Identitätsschutz – Maßnahmen der a-i3
Der elektronische Geschäftsverkehr benötigt Schutz vor dem Missbrauch von Identifizierungsdaten und Identitäten. Schutzbedürftig sind vor allem deren Inhaber, die durch den Missbrauch dem Risiko ausgesetzt sind, dass ihnen Handlungen Dritter zugeordnet werden, z.B eine von einem Dritten vorgenommene Überweisung oder Bestellung im Internet. Schutzbedürftig sind andererseits die Kommunikationspartner, die über die Identität des Handelnden getäuscht werden, wie z.B. eine Bank, die die Überweisung getätigt hat, der Versandhändler, der auf eine gefälschte Bestellung hin geliefert hat. Zur Thematik gehört auch die Untersuchung der sog. virtuellen Identität und der Schutz des einzelnen gegen Erhebung und Speicherung von Identifizierungsdaten, insbesondere personenbezogenen Daten.
Die a-i3 hat es sich zur Aufgabe gemacht, den Schutz der Internet-Nutzer gegen alle Formen des Identitätsmissbrauchs zu verbessern. Die a-i3 kooperiert mit Behörden und Unternehmen und stellt verschiedene Dienste für die Öffentlichkeit bereit.
Gegen Phishing, Pharming und ähnliche Angriffe geht die a-i3 mit der Dokumentation von Phishing-Angriffen und Geldwäsche, der Entwicklung von Schutzmaßnahmen und Forschung, der Beratung von Betroffenen, der Bereitstellung von Informationen und Schutzinstrumenten vor. Die a-i3 untersucht die rechtlichen Probleme des Phishing und entwickelt Konzepte zur Lösung (z.B. Strafbarkeit des Phishing, Pflichten von Banken und Kunden, Beweisregeln).
Die a-i3 informiert über Identitätsdiebstahl, erforscht diese Problematik und sucht nach technischen und rechtlichen Lösungen (z.B. technische Schutzmöglichkeiten; Rechte und Pflichten im Umgang mit Identitätsdiebstahl).
Zum Identitätsschutz siehe auch den Vortrag von Prof. Dr. Georg Borges beim IT-Gipfel der Bundesregierung am 18. Dezember 2006.