Ob in den sozialen Medien, beim Online-Einkauf oder Serien-Streaming: Konten im Netz geben uns Zugang zu Bereichen des Internets, die an unsere Identität geknüpft sind. Doch immer mehr technische Neuheiten wie KI ermöglichen es immer mehr Cyberkriminellen immer einfacher die Identität zu stehlen und auch zu fälschen. Dagegen können wir aber etwas tun.

“Wer bin ich und wenn ja, wie viele?” Diese provokante Frage des Philosophen Richard David Precht mag in der analogen Welt noch eine tiefgründige Debatte über die eigene psychische Verfasstheit auslösen - in der digitalen Welt stellt sie sich jeden Tag. Sie entscheidet darüber, was andere über uns wissen, wie gut wir uns vor Manipulation schützen und wie souverän und selbstbestimmt wir im Netz agieren können.

Dahinter steckt vor allem die Gefahr des Identitätsdiebstahls: So wurden beispielsweise auf die Namen von Abgeordneten des Berliner Abgeordnetenhauses und auch der Bremer Bürgerschaft teure Waren aus Online-Shops eingekauft. In einem anderen Fall kämpfte ein niedersächsischer Landtagsabgeordnete mit dem Gerücht, er sei Trump Anhänger, aufgrund eines gefälschten Twitter-Kontos (heute “X”). Und auch umgekehrt funktioniert das gut: So vermeldete das Wirtschaftsministerium von Nordrhein-Westfalen, dass sich Kriminelle als Steuerberater haben eintragen können und dabei kräftig Hilfsgelder abkassierten.

Doch wie bei den meisten Cyberangriffen lesen wir davon, sind kurz erschrocken – und machen weiter wie bisher. Die einzige Regel, die wir dabei abzuleiten scheinen, lautet: Gut zu wissen, da muss ich wohl weiterhin gut aufpassen. Wir empfinden es, wie einen spontanen Taschendiebstahl in der Einkaufsmeile und geloben höhere Wachsamkeit. Da wir aber grundsätzlich überhaupt nur sehr kurze Momente wirklich wachsam sein können, verfliegt die Aufmerksamkeit bis zur nächsten Meldung.

Denkfehler Eigenverantwortung

Es fällt daher vor allem auf, dass uns die Tragweite von Identitätsdiebstahl noch gar nicht wirklich bewusst ist. Eher schmunzeln nicht wenige, wenn etwa die damalige Berliner Bürgermeisterin Franziska Giffey nicht merkt, dass sie gar nicht mit dem Bürgermeister von Kiew telefoniert. Auch das war ein Fall von Identitätsdiebstahl. Mittlerweile reichen wenige Minuten Videomaterial aus, um Personen übers Netz zu imitieren – und von der Politik gibt es sehr viel Videomaterial im Netz. Dabei ist es wie bei allen anderen Cyberangriffen: Die Zahl der nicht gemeldeten Vorfällen sind erschlagend. Immer noch denken die meisten Opfer, dass sie selbst Schuld haben und schämen sich, nach Hilfe zu fragen.

Cyberkriminalität ist ein Milliardengeschäft, dass sich permanent den Gegebenheiten anpasst und Cyberkriminelle kennen die Schwächen ihrer Opfer. Sich keine Hilfe zu holen, ist ein ganz wichtiges Element dabei. Daher sind Angriffe kein Einzelversagen, sondern ein Aufzeigen von Schwachstellen. Das betrifft auch unsere digitalen Identitäten: Diese haben wir in den sozialen Medien, bei der Bank, im Online-Shop oder auch in der Welt der Videospiele. Überall braucht es mehr oder minder den Beweis, dass wir wirklich wir selbst sind und es gibt diverse Wege, über welche wir dies nachweisen mögen. Leider stehen wir hier aber erst noch relativ am Anfang – und genau das ist das Problem.

Drei Methoden, drei Schwachstellen

Wenn wir online unterwegs sind, gibt es viele Gelegenheiten, wo wir einander feststellen müssen, dass es sich wirklich um uns handelt und niemanden sonst. Am weitesten verbreitet sind drei Wege des digitalen Identitätsnachweises:

1.      Das Passwort:

Der Klassiker unter den Identitätsnachweisen ist natürlich das Passwort. Dabei wird davon ausgegangen, dass wir uns dieses merken und es so komplex ist, dass andere es nicht erraten können. Allerdings ist natürlich längst klar, dass das viele Schwächen und Hürden mit sich bringt. Das liegt vor allem daran, dass wir im Schnitt über 100 verschiedene Konten im Netz haben und wir eben keine Maschine sind, die sich für jedes Konto ein komplexes und voneinander abweichendes Passwort merken kann. Immerhin geht der Trend zu passwortlosen Einwahlmöglichkeiten.

2.      Die Video-Authentifizierung:

Bei manchen Verträgen oder dem Eröffnen von Bankkonten wird zusätzlich auf eine einmalige Identifikation per Video gesetzt. Meist wird dafür eine App empfohlen, sodass über das Smartphone der Personalausweis und / oder das eigene Gesicht gelesen werden kann. Leider ist diese Methode im Zeitalter von Deep Fakes, aber auch den ganz analogen Herausforderungen der Fälschung von Personalausweisen, immer seltener sicher.

3.      Der Brief aus der analogen Welt:

Zudem ist ebenso häufig noch zu finden, dass der digitalen Welt so sehr misstraut wird, dass doch wieder zum Brief gegriffen wird. Separat werden Einmal-Codes oder PINs verschickt, da eine angegebene Adresse in der realen Welt schwerer vorzutäuschen ist als eine digitale Adresse wie eine E-Mail-Adresse. Aber auch hier kommt es immer wieder zu Problemen: Zum einen wird dies nur halbherzig verfolgt, etwa wenn eine “Passwort vergessen”-Funktion dann doch wieder nur zur E-Mail führt. Aber vor allem werden reale Adressen zunehmend etwa von Plattformen gestohlen, aufbereitet und anschließend missbraucht. Dann gibt es eben doch einen ungewollten Handyvertrag. So wird auch klar, warum das Problem des Doxings in der Politik, also das systematische Sammeln von Daten, ein immer mehr verschmelzendes Problem von digitaler und analoger Welt ist.

Neben der Tatsache, dass sich gerade die Politik ohnehin davor schützen sollte, ihre Daten überall zu hinterlassen, ist der Schutz der digitalen Identität(en) auch eine Frage der Souveränität.

Jetzt keinen Artikel der Woche mehr verpassen und ins PolisiN-Update eintragen:

Angriffe auf den politischen Betrieb

Unsere Demokratie braucht politisch Aktive, denen sie vertrauen, die sie ansprechen und die sie im digitalen Raum auch eindeutig zuordnen kann. Die Angriffe auf das digitale Ich von Politiker:innen ist daher auch als mögliches Mittel der politischen Auseinandersetzung und damit als Cyberangriff auf Politik selbst zu verstehen.

Auch, wenn beispielsweise zunächst harmlos wirkend zehn Pizzen das Abgeordnetenbüro erreichen oder auch auf einmal Pakete mit Waren aus China eintreffen, geht es immer mehr Cyberkriminellen auch darum, den politischen Betrieb beschäftigt zu halten. So ein Angriff, kostet Zeit, Nerven und häufig auch Geld. Und damit treffen diese Angriffe die drei wundesten Punkte von politischem Engagement.

Da wir, auch aufgrund des Übergangs vom Informations- zum Wissenszeitalter der KI, tatsächlich erst am Anfang des Themas stehen und wir zudem sehen, dass die bisherigen Hilfsmittel immer weniger greifen, braucht es zunehmend mehr solcher Ansätze:

• Flächendeckender Multi-Faktor:

Eigentlich darf es nirgends mehr ein Konto geben, dass sich einzig und allein durch ein Passwort nutzen lässt. Eine handhabbare, aber sichere Kombination aus mehreren Faktoren wie Sicherheits-Sticks, Einmal-Codes oder biometrischen Daten schaltet die allermeisten Angriffe aus oder macht sie eben so teuer, dass sie sich fast nicht mehr für Cyberkriminelle lohnen.

• Sicherheits-Token und -Zertifikate:

Um bei einem Videoanruf oder einem Austausch von Nachrichten sicher zu sein, auch tatsächlich mit dem gewünschten Gegenüber zu sprechen, wird es System von Sicherheits-Token brauchen. Diese signalisieren beispielsweise einer Video-Software, dass alle teilnehmenden Personen echt sind, unabhängig, was Ton und Bild vorgaukeln. Im Idealfall sind derlei Lösungen einfach zu verstehen sowie zu handhaben, damit sie möglichst viele Menschen nutzen.

• Staatliche, digitale Identifikation:

Der schon genannte Personalausweis ist ein mächtiges Instrument, das vielen Menschen dieser Erde nicht gegeben ist. Er ermöglicht eine zweifelsfreie Identifikation im analogen Raum. Den schon beschriebenen Fälschungen kann im erheblichen Maße allerdings durch digitale Ausweisdokumente (siehe Ausweisapp) begegnet werden. Diese staatlich anerkannte Identifikation, die sowohl bei digitalen Dienstleistungen sowie auch im analogen Raum (Wagenvermietung, Hotels, Verträge, etc.) zum Tragen kommt, findet mittlerweile eine immer stärkere Akzeptanz und Nutzung. Länder wie Estland machen es uns zudem seit Jahren vor, wie es hier weitergehen kann.

Es wird weitere Methoden brauchen und natürlich wird auch die Cyberkriminalität neue Wege finden. Zudem wird es noch eine ganze Weile so sein, dass sich gerade Politik vor allem selbst schützen muss, also jede:r politische Aktive für sich, im Team und in der Struktur. Darüber informieren wir auch immer gerne in unseren kostenfreien Workshops.

Gemeinsam ins Handeln kommen

Hilfreich sind auch gemeinsame Initiativen aus Wirtschaft und Gesellschaft, wie die auch von uns getragene Initiative “Sicher Handeln”, welche wie in diesem Fall das Thema Betrug bei Online-Geschäften in den Fokus nehmen und über Gefahren sowie Lösungen aufklären will. Denn, so sehr wir unsere Daten auch schützen, brauchen wir auch mehr Wissen über Fälschungen bei denen, wo die Bestellung dann am Ende eintrifft und der Mietwagen ausgegeben werden soll. Viele Fälle von Cyberkriminalität wurden schon verhindert, weil einer Person fast am Ende des Vorgangs auffiel, dass hier was nicht stimmen kann.

Es bedarf aber auch politischer Entscheidungen, sowie Unterstützung von Möglichkeiten, für mehr digitale Identitätssicherheit zu sorgen. Ob nun das große Metaverse kommt oder wir doch alle digital Detoxen: Wir werden eben nicht mehr, wie einst Boris Becker fragen, ob wir schon “drin” und damit im Internet sind. Unsere vielen digitalen Identitäten sind hier, um zu bleiben. Wenn wir uns also Fragen “Wer bin ich und wenn ja wie viele?”, sollten wir möglichst die Antwort kennen und dauerhaft kontrollieren können. Dann bleibt auch wieder Zeit zum Philosophieren.