Das schmutzige Geschäft der Datendiebe (EuramS)

von Michael H. Schulz

Wie junges Gemüse preisen Adresshändler ihre Ware an: "4000 frische DSL-Kunden der Telekom (alle aus dem Sommer 2007) mit Geburtsdatum, Telefonnummer, Kontoverbindung und Bankleitzahl." So bot im November 2007 ein Datendealer aus der Schweiz einem Callcenter die Daten an. 3000 Kontakte für 481 Euro. Buchstäblich ausgespäht wurden Nutzer des Internetbezahlsystems Click and Buy. Weil ein Nepper die ­Zugangsdaten, die sogenannten Log-in-Codes, abfischte, konnte der Da­tendieb ungestört von den Konten kleinere Beträge abbuchen. Ein Zusammenhang zwischen dem unrechtmäßigen Handel mit Kundendaten und den im Internet kriminell ausgespähten Kontenzugangsdaten ist laut Angaben des Bundeskriminalamtes(BKA) allerdings nicht erkennbar.

Dieses als Phishing bezeichnete Abfischen von Kontozugangsdaten wie Passwort- (PINs) und Transaktionsnummern (TANs) ist von rund 3500 Fällen 2006 auf 4200 2007 gestiegen. Und je mehr Kontozugangsdaten Netznepper anhäufen, desto mehr dealen sie mit den Daten und desto billiger wird die angebotene Ware. "Eine Kreditkarten­nummer inklusive Name und Ablauf­datum gibt’s schon für circa 50 Cent. Volle Datensätze mit Postadresse, E-Mail-Account oder Telefonpasswort für zehn US-Dollar", weiß Candid Wüe­st, Softwareexperte beim Sicherheitsunternehmen Symantec.

Dabei ist der Weiterverkauf dieser über das Internet ergaunerten PINs und TANs nur eine Art der Verwendung. Alternativ heuern Banden via Internet Ahnungslose an, die als Finanzagenten ihr Konto als Geldwaschanlage für die ergaunerten Beträge zur Verfügung stellen sollen. Vorbeugen lautet deshalb bei den meisten Onlinebanken die Devise. Mit speziell für die jeweilige Transaktion reservierten indizierten Transaktionsnummern (iTAN) von einer zuvor verschickten Liste oder dem Versenden der TAN über einen separaten Kanal, etwa das Mobiltelefon (mTAN), versuchen Sicherheitsfirmen, das Aus­spähen über eine zwischengeschaltete Schadensoftware zu vereiteln.

Die Citibank und die Netbank gehen noch einen Schritt weiter. Im Rahmen der Onlinesicherheits- beziehungsweise No-Risk-Garantie erstatten die zwei Internetbanken den aufgrund von Datenmissbrauch ent­standenen Schaden (siehe Tabelle). "Praktisch bedeutet diese Garantie, dass nicht der Geschädigte – wie bei anderen Banken üblich – seine Unschuld beweisen muss. Vielmehr liegt die Beweispflicht nach der garantierten Übernahme bei der Bank", erklärt Peer Teske, Vorstandsmitglied der Netbank. Bei der Onlinesicherheitsgarantie der Citibank gilt das laut den Nutzungsbedingungen selbst dann, wenn Onlinebanking-Nutzer die "Verfügung durch fahrlässiges Verhalten verursacht haben". Das ­Angebot gilt im laufenden Jahr nach der erforderlichen Registrierung zunächst nur für bis zum 31. Dezember gemeldete Schadensfälle, soll aber laut Citibank um ein weiteres Kalenderjahr verlängert werden.

Wie hierzulande windige Geschäftemacher mit vagabundierenden Daten Schindluder betreiben, weiß der Detektiv Jochen Meismann. Dem Geschäftsführer der Wirtschaftsdetektei A Plus, der selbst Opfer von sogenannten Kaltanrufen aus Callcentern ist, liegen Angebotsschreiben von Adresshändlern aus Deutschland und der Schweiz vor. Offeriert werden etwa 70 000 Klassenlotterie-, 45 000 Lottosystem-, 52 000 VIP-Gewinnspieleintragungsdaten und 4000 DSL-Kundenadressen. Telefonverkäufer sollen an diese Bestandskunden, die eigentlich nie ihre Zustimmung zur telefonischen Kontaktierung über Gewinnchancen gaben, Rabatt- oder Bonusprogramme verkaufen.

Dies verstößt zwar gegen die guten Sitten. Darum scheren sich die auf Abschlüsse gedrillten Verkäufer allerdings genauso wenig wie die Händler um die unerlaubte Weitergabe der Daten. Meist helfen dann nur noch Klagen. Das Landgericht Hamburg hat etwa einem Callcenter, das Lose der Nordwestdeutschen Klassenlotterie (NKL) verhökerte, verboten, unaufgefordert mit Kaltanrufen einen Kunden zu kontaktieren (Az. 312 O 645/02).

Grundsätzlich ist der Adress­handel für Werbe-, Markt- und Meinungsforschungszwecke erlaubt, wenn Betroffene über das Widerspruchsrecht informiert werden. Doch manche schwarze Schafe unter den Händlern geben Daten auch ohne Einwilligung weiter. Gelangen sie dann in kriminelle Hände, bemerken Verbraucher die Abbuchung erst, wenn es zu spät ist. Liegen dazwischen mehr als sechs Wochen, ist es kaum noch möglich, die Lastschrift bei der Bank rückbuchen zu lassen. Nur wenn Bankkunden nachweisen, dass sie ihre Prüfungspflichten nicht vernachlässigt haben, ist eine Rückbuchung sogar drei Jahre lang möglich. Kein Wunder, dass die Anzahl der dem BKA bekannten Fälle des Ausspähens von Daten von 2990 in 2006 auf 4829 in 2007 gestiegen ist.

Damit Verbraucher am Telefon nicht mehr so leicht von gewieften und psychologisch geschulten Verkäufern überrumpelt werden können, will Bundesjustizministerin Brigitte Zypries das Bundesdatenschutzgesetz ändern: "Keine Weitergabe der Daten ohne ausdrückliche schriftliche Einwilligung", so Zypries.

Ausnahmen im Datenschutz wird es auch dann noch geben. Denn auch die Weitergabe der personenbezogenen Daten ohne Einwilligung ist möglich. Etwa dann, wenn der Empfänger der Daten ein berechtigtes Interesse nachweisen kann. Das kann die Gebühreneinzugszentrale der öffentlich-rechtlichen Rundfunkanstalten (GEZ) sein, die sich bei den Einwohnermeldeämtern Adresslisten besorgen darf, um Schwarzsehern auf die Schliche zu kommen. Auch Assekuranzen haben ein berechtigtes Interesse. Bei vielen Anträgen etwa auf eine Berufsunfähigkeits-, Kraftfahrzeug- oder Unfallversicherung können über das Hinweis- und Informationssystems (HIS) beim Gesamtverband der Deutschen Versicherungswirtschaft (GDV) Anfragen erfolgen, um das Schadenrisiko einzustufen und Versicherungsbetrug zu verhindern. Weil das unter Datenschützern umstritten ist, will der GDV das System verbraucherfreundlicher gestalten und eine Datei mit einem Auskunftsanspruch für Verbraucher schaffen.