Identitätsdiebstahl: Das Unternehmen sowie Kundinnen und Kunden schützen
29.11.2022 - Lesezeit ca. 5 Minuten
Wurden früher noch überwiegend Kreditkartendaten online gestohlen, haben es Online-Diebstähle mittlerweile zunehmend auf Identitäten abgesehen – das besagt der Global Identity and Fraud Report 2022 von Experian. Doch wie können Unternehmen dem vorbeugen und sich und ihre Kundinnen und Kunden bzw. Nutzerinnen und Nutzer schützen? Wir geben in diesem Artikel Tipps und Hinweise.
Welche Maßnahmen Nutzer*innen selbst treffen können, um sich zu schützen, haben wir bereits in diesem Artikel thematisiert: Identitätsdiebstahl: So können Sie sich schützen.
Immer wieder gelangen Fälle von Identitätsdiebstahl eines besonders großen Ausmaßes in die Presse: Im Jahr 2022 unter anderem die Cyberattacke auf die Autovermietungsfirma Sixt und der Angriff auf das Tochterunternehmen des Darmstädter Energieversorgers ENTEGA, bei dem Kundendaten gestohlen und im Darknet veröffentlicht wurden. Im Jahr 2020 war auch die Fluggesellschaft EasyJet von einer Cyberattacke betroffen, hier wurden insgesamt neun Millionen Kundendaten gestohlen. Sobald Kriminelle im Besitz der Daten ihrer Opfer sind, können sie mit diesen großen Schaden anrichten. Neben den Vorkehrungen, die Nutzende selbst treffen können, können auch Unternehmen Maßnahmen ergreifen, um ihre Kundinnen und Kunden vor Identitätsdiebstahl zu schützen.
Schutz vor Identitätsdiebstahl für Kundinnen und Kunden
Bei einem Identitätsdiebstahl gibt es in der Regel immer zwei Geschädigte: Das betroffene Unternehmen sowie alle mit dem Unternehmen im Zusammenhang stehende Personen und Firmen wie Kundinnen und Kunden und Geschäftspartnerinnen und Geschäftspartner. Der Schutz von deren Daten kann nur durch umfassende Maßnahmen sichergestellt werden, zu denen auch der Einsatz wirksamer Verschlüsselungsmechanismen auf Basis eines umfassenden Kryptographie-Konzepts¹ zählt.
Social Engineering² als Gefahr
Darunter fällt unter anderem das Einbeziehen von Mitarbeiterinnen und Mitarbeitern in die Schutzmaßnahmen. Sie sollten sensibilisiert werden – sowohl präventiv als auch für den Fall, dass sie Hinweise auf einen Identitätsdiebstahl erhalten. Social Engineering-Attacken sind in den letzten Jahren vielfältiger geworden und schwieriger zu durchschauen. Die von diesen Angriffen ausgehende Gefahr ist groß, denn sobald Kriminelle an die Zugangsdaten und damit auch die Zugriffsrechte von Mitarbeitenden gelangen, kann das System nicht mehr wissen, dass hier kein Mitarbeitender die Handlungen tätigt – damit sind alle technischen Sicherheitsvorkehrungen ausgehebelt. Unabhängig von Unternehmensgröße und -branche sollten Unternehmen ihre Mitarbeiterinnen und Mitarbeiter schulen.
Pseudonymisierung und Anonymisierung als Schutzmechanismen
Auch die Einrichtung und die stringente Umsetzung von Sicherheitssystemen für die digitale Infrastruktur des Unternehmens und die sichere Vernichtung (sowohl digital als auch physisch) von personenbezogenen Daten sind wichtige Bestandteile. Daten, die nicht mehr benötigt werden, aber im Falle eines Cyberangriffs in den falschen Händen Schaden anrichten könnten, sollten nicht unnötig aufbewahrt werden. Neben der sicheren Vernichtung von Daten sind auch deren Pseudonymisierung und Anonymisierung sowie die damit einhergehende Datenminimierung bzw. Datensparsamkeit wirkungsvolle Schutzmechanismen. Eine weitere Schutzmaßnahme in diesem Bereich umfasst auch den eingeschränkten Zugriff von Mitarbeitenden auf “nur” diejenigen Daten aus einem Datensatz, die sie für ihre konkrete Tätigkeit benötigen. Soll ein Mitarbeitender eines bundesweit agierenden Unternehmens bspw. Umsätze verschiedener Kundinnen und Kunden nach Bundesland errechnen, benötigt er dafür keinen Zugriff auf die gesamten personenbezogenen Daten, sondern nur auf den Umsatz und den Ort. Würde das Konto des Mitarbeitenden bei einem Cyberangriff gehacked, hätten die Kriminellen nur Umsatz- und Ortsangaben ohne Zuordnungsmöglichkeit zu konkreten Personen oder Unternehmen.
Sichere Identifizierung als Sicherheitsvorkehrung
Die Absicherung gegenüber Datendiebstählen kann darüber hinaus durch die Zusammenarbeit mit einem Identifizierungsdiensteanbieter verbessert werden. Dieser stellt sicher, dass Handlungen (bspw. Bestellungen) auch wirklich von der Person ausgeführt werden, die hierzu befugt ist. Bei der Wahl des Anbieters sollten Firmen darauf achten, dass dieser eIDAS-konforme Lösungen anbietet. Zudem sollten die angebotenen Lösungen mit bestehenden Verordnungen und Gesetzen in Bezug auf Sicherheit und Datenschutz im Einklang sein und diese im besten Fall übererfüllen. Eine Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist ein Anhaltspunkt hierfür.
Fazit: Schutz vor Identitätsdiebstal durch mehrere Maßnahmen
Zum Schutz vor Identitätsdiebstahl sollen in einem Unternehmen also mehrere Sicherheitsvorkehrungen getroffen werden – sowohl durch personelle Schulungen als auch auf technischer Seite. Eine Identifizierung von Kundinnen und Kunden mithilfe eines Identifizierungsdiensteanbieters kann dabei sehr hilfreich sein. Zum einen können Unternehmen so sicherstellen, dass keine Aktionen im falschen Namen vorgenommen werden, zum anderen ist eine sichere Verarbeitung bzw. Löschung der Daten sichergestellt – ein Schutz für Kundinnen und Kunden als auch für das eigene Unternehmen.
Eine der sichersten Identifizierungsmethoden ist die Identifizierung via eID. Dazu benötigen Nutzende nur ihren Personalausweis und ein Smartphone. Informationen zu eID-Lösung ident von AUTHADA finden Sie hier.
Sonderfall: Diebstahl der Unternehmensidentität
Nicht nur die Identität von Kundinnen und Kunden ist das Ziel von Kriminellen. Auch die Unternehmensidentität ist ein potenzielles Angriffsziel. In diesem spezifischen Fall geben sich Kriminelle als das betroffene Unternehmen aus. Sie richten bspw. falsche Social Media-Accounts ein, erstellen falsche Websites, Phishing-Mails oder auch Rechnungen im Corporate Design des Unternehmens. Sollten Ihnen verdächtige Aktivitäten auffallen oder Sie Beschwerden von Kundinnen und Kunden erreichen, die auf einen Diebstahl der Unternehmensidentität hinweisen, sollten Sie schnell aktiv werden und den Vorfall prüfen bzw. von Experten prüfen lassen. Der Diebstahl der Unternehmensidentität kann weitreichende Folgen für den Ruf Ihrer Marke und dem Vertrauen Ihrer Kundinnen und Kunden haben und sich dadurch auch negativ auf Ihren Umsatz auswirken.
Quellen:
Experian: https://www.experian.de/events-and-insights/global-fraud-report?utm_source=3rdparty&utm_medium=paid_social&utm_campaign=EMEA-FY23-DACH-Fraud-GIFR-article&utm_content=Post&utm_term=article; abgerufen am 13.09.2022
¹ Die Kryptographie ist in der IT-Sicherheit ein wichtiger Teil, der die Vertraulichkeit von Daten bei der Übertragung und Speicherung sicherstellt. Umgangssprachlich ist hier oft die Rede von Verschlüsselung. Die Priorität liegt darauf, Daten mithilfe von Kryptographie geheim zu halten und vor Unbefugten zu schützen.
² Beim Social Engineering versucht eine Person, bspw. einen Mitarbeitenden so zu beeinflussen, dass vertrauliche Informationen preisgegeben werden. Beispiele für Social Engineering sind Phishing Mails, bei denen Betrüger den Adressaten unter einem falschen Vorwand auffordern, Daten preiszugeben.
Beiträge, die Sie interessieren könnten
Das e-Rezept ist zum 1. Januar 2024 verpflichtend in Deutschland eingeführt worden. Das bedeutet, gerade zu Beginn, natürlich eine große Umstellung, nachdem die Papierrezepte jahrzehntelang im Einsatz waren. Wir klären über die Vorteile für die im Prozess eingebundenen Personen auf.
Mit dem PIN-Rücksetzdienst des Bundesministeriums des Innern und für Heimat konnten Inhabende eines deutschen Personalausweises oder einer eID-Karte für Unionsbürgerinnen und Unionsbürger einen sogenannten PIN-Rücksetzbrief bestellen. Mit diesem konnten Bürger*innen ihren Ausweis auch ohne PUK-Nummer entsperren, eine neue Ausweis-PIN vergeben und die Online-Ausweisfunktion (eID-Funktion) aktivieren.
„In welchem Bereich im Unternehmen am besten mit der Digitalisierung beginnen?“ Diese Frage lässt sich nicht pauschal beantworten und sollte abhängig von Branche und Zielgruppe eruiert werden. Fest steht aber: Langfristig lohnen sich digitalisierte Prozesse für jedes Unternehmen. Wir haben uns das Digitalisierungspotenzial in Unternehmen für vier Bereiche angeschaut.
Sie möchten mit unserem Newsletter auf dem neusten Stand sein?
Verpassen Sie keine News zu Lösungen, Projekten, dem Unternehmen mehr!
