Identitätsdiebstahl und Identitätsmissbrauch im Internet (eBook)

Prof. Dr. Georg Borges, Ruhr-Universität Bochum Prof. Dr. Jörg Schwenk, Ruhr-Universität Bochum Prof. Dr. Carl-Friedrich Stuckenberg, Universität des Saarlandes, Saarbrücken Dr. Christoph Wegener, Ruhr-Universität Bochum

Vorwort 4
Inhalt 6
Abbildungsverzeichnis (Technik) 11
Tabellenverzeichnis (Technik) 13
Abkürzungsverzeichnis (Recht) 14
I. Begriff der Identität 17
1. Divergierende Begriffe der Identität 17
Kapitel 1 Grundlagen 17
I. Begriff der Identität 17
1. Divergierende Begriffe der Identität 17
2. Begriff der Identität im rechtlichen Sinne 19
3. Identitätsbegriff der Studie 20
4. Begriff der Identität im technischen Sinne 21
II. Identitätsmissbrauch und Identitätsdiebstahl 25
1. Der Begriff des Identitätsmissbrauchs 25
2. Der Begriff des Identitätsdiebstahls 26
3. Schutz von Identitäten (Überblick) 27
III. Fallgruppen des Identitätsdiebstahls und -missbrauchs 28
1. Identitätsdiebstahl und -missbrauch ohne IT-Bezug (Überblick) 28
2. Identitätsdiebstahl und -missbrauch mit IT-Bezug (Überblick) 30
IV. Ähnliche Phänomene 31
Kapitel 2 Strukturen von Identitätsdiebstahl und -missbrauch unter Einsatz von Informationstechnologie 33
I. Vortäuschung einer technisch nicht geschützten Identität (Spoofing) 33
II. Diebstahl von durch Wissen geschützten Identitätsdaten 41
1. Benutzername/Passwort, PIN 41
2. TAN 43
3. iTAN 44
III. Man-in-the-Middle-Angriffe gegen den Nachweis einer Identität durch Besitz 45
1. Hardwaretoken 46
2. One-Time Passwords (OTP)/elektronische TANs (eTAN) 51
3. eTAN+ 51
4. mTAN 52
5. HBCI/FinTS 53
6. FinTS+/Secoder 54
7. (Qualifizierte) elektronische Signaturen 54
8. SSL Clientzertifikate 55
IV. Weitere Methoden zum Nachweis einer Identität 56
1. Biometrie 56
2. CAPTCHAs 59
V. Man-in-the-Middle-Angriffe 64
1. Man-in-the-Middle im Internet 64
2. Man-in-the-Middle im PC 66
VI. Standardsicherheitsmaßnahmen 72
1. Antivirenprogramme 73
2. Personal Firewall 76
3. Firefox-Add-Ons 78
4. Weitere Standardsicherheitsmaßnahmen 83
Kapitel 3 Künftige Entwicklung von Identitätsmissbrauch und Identitätsdiebstahl 86
I. Prognose: Angriffsszenarien 86
1. Business Cases zukünftiger Angreifer 86
2. Umgehung von Standardsicherheitsmaßnahmen 88
3. Umgehung spezieller softwarebasierter Schutzmechanismen 97
4. Umgehung spezieller hardwarebasierter Schutzmechanismen (Chipkarten, HSM) 98
5. Umgehung von Sicherheitsmechanismen auf Serverseite 99
6. Netzwerkbasierte Angriffe 102
7. Klassische Malware: neue Trends 107
8. Social Engineering 111
9. Malware + JavaScript, Web 2.0-Angriffe 116
10. Google-Hacking 122
II. Prognosen: Zielplattformen 126
1. Zielplattformen 126
2. Neue Computing-Paradigmen: Browsertechnologien 138
3. Neue Computing-Paradigmen: Servertechnologien 141
4. Neue Computing-Paradigmen: Kommunikationstechnologien 143
5. Neue Computing-Paradigmen: Web 2.0 und SaaS 150
6. Neue Computing-Paradigmen: Webservices, SOAP und Cloud Computing 153
7. Neue Computing-Paradigmen: Single-Sign-On 156
8. Neue Computing-Paradigmen: neue Schutzmaßnahmen 159
9. Kombination mehrerer Angriffstechniken 160
Kapitel 4 Identitätsdiebstahl und neuer Personalausweis 165
I. Einführung 165
1. Der elektronische Identitätsnachweis 165
2. Einsatzbereiche des elektronischen Identitätsnachweises 167
II. Technische Rahmenbedingungen 168
1. Bestandteile des Neuer-Personalausweis-Gesamtsystems 171
2. Beschreibung der Anwendungsmöglichkeiten des neuen Personalausweises 172
3. Beschreibung der Protokolle des neuen Personalausweises 178
4. Art des Chipkartenlesers 184
5. Kombination der einzelnen kryptografischen Protokolle (für Webanwendungen: SSL) 186
6. Klassifikation der Dienste auf Basis des neuen Personalausweises 188
III. Rechtliche Rahmenbedingungen des neuen Personalausweises 190
1. Überblick 190
2. Das Personalausweisgesetz 190
3. Gesetzliche Regeln zum Einsatz des Personalausweises 193
4. AGB mit Bezugnahme auf den Personalausweis 199
5. Ergebnis: Die Bedeutung des Personalausweises als Identitätsnachweis 202
IV. Verhinderung von Identitätsdiebstahl und -missbrauch durch Einsatz des neuen Personalausweises 204
1. Realistische Ziele 205
2. Mögliche Ziele 206
Kapitel 5 Rechtsfragen des Identitätsmissbrauchs 208
I. Überblick 208
1. Strafrechtliche Aspekte 208
2. Zivilrechtliche Aspekte 211
II. Gesetzliche Rahmenbedingungen 213
1. Grundrechtsschutz 213
2. Datenschutzrecht 216
3. Strafrecht 220
4. Zivilrecht 224
III. Aktuelle Geschäftsbedingungen 226
1. Regeln zum Identitätsmissbrauch in AGB 227
2. Risikoverteilung und Haftungsregeln in AGB 242
IV. Strafbarkeit de lege lata 246
1. Strafbarkeit des Erlangens der fremden Identität (Identitätsdiebstahl) 246
2. Strafbarkeit des Verwendens der fremden Identität (Identitätsmissbrauch) 257
3. Probleme der Rechtsanwendung 265
V. Risikotragung bei Identitätsmissbrauch 266
1. Risikoverteilung im Onlinebanking 267
2. Risikoverteilung bei Handelsplattformen 277
3. Ergebnis und Ausblick 281
VI. Verkehrspflichten im Internet 282
1. Verkehrspflichten der Anbieter 283
2. Verkehrspflichten der Internetnutzer 285
VII. Verhaltenspflichten und Haftung der Identitätsinhaber 288
1. Grundlagen der Haftung 288
2. Verhaltenspflichten des Identitätsinhabers in Fallgruppen 294
3. Haftung für Pflichtverletzungen 303
4. Haftungsbeschränkungen 305
VIII. Verhaltenspflichten und Haftung der Anbieter 307
1. Überblick 307
2. Verhaltenspflichten im Onlinebanking 308
3. Verhaltenspflichten in anderen Feldern 310
IX. Zivilrechtliche Beweisfragen 312
1. Überblick 312
2. Der Beweis der Urheberschaft im gerichtlichen Verfahren 313
3. Der Anscheinsbeweis für die Urheberschaft elektronisch übermittelter Erklärungen 316
Kapitel 6 Deutschland im internationalen Vergleich 330
I. Technische Rahmenbedingungen in anderen Staaten (Überblick) 331
1. Im Onlinebanking (eTAN+, FinTS/HBCI, Secoder, mTAN) 331
2. In ausgewählten anderen Diensten 332
II. Überblick zu Angriffsund Schadensszenarien 333
1. Vergleich der Angriffsszenarien im Bereich Onlinebanking: transaktionsvs. kontobezogene Sicherheitsmechanismen 336
2. Vergleich der Angriffsszenarien in ausgewählten weiteren Diensten 337
III. Rechtliche Rahmenbedingungen in anderen Staaten (Überblick) 338
1. Strafbarkeit von Identitätsdiebstahl und -missbrauch (de lege lata) 338
2. Zivilrechtliche Verantwortlichkeit für Identitätsmissbrauch 364
IV. Die Positionierung Deutschlands im Vergleich 369
1. Technisch: Vergleich im Bereich Onlinebanking (Überblick) 369
2. Rechtlich: Vergleich im Bereich Onlinebanking (Überblick) 370
Kapitel 7 Handlungsoptionen/Abwehrmaßnahmen und Empfehlungen 371
I. Technische Maßnahmen 371
1. Empfehlungen zum Einsatz von Standardsicherheitsmaßnahmen 371
2. Empfehlungen zum Einsatz bestimmter Technologien 372
3. Empfehlungen zur Erstellung von Best-Practice-Richtlinien für bestimmte Einsatzszenarien 376
4. Aufzeigen gezielten Forschungsbedarfs (z. B. in den Bereichen Malware, Bot-Netze, Browsersicherheit, Betriebssystemsicherheit 377
II. Organisatorische Maßnahmen 379
1. Schulungsinhalte 380
2. Meldestellen für entdeckte Schwachstellen, neue Angriffe etc. mit Anreizmechanismen (nicht monetär) 385
III. Polizeiliche Maßnahmen 385
1. Zentrale Meldestelle (z. B. zur Meldung von Phishingservern) 386
2. Information zur Prävention/Aufklärung 386
IV. Gesetzliche/regulatorische Maßnahmen 386
1. Vorgaben zur Produktgestaltung 387
2. Umgang mit gespeicherten Kundendaten 388
3. Strafrechtliche Maßnahmen 389
4. Gesetzliche Haftungsregeln für Anbieter und Nutzer 391
5. Regulierung von Verhaltenspflichten 392
V. Information und Aufklärung der Nutzer 399
VI. Internationale Abkommen für das Internet (Strafverfolgung) 401
VII. Aufwandsschätzungen für die Umsetzung 402
VIII. Restrisiken 402
1. Gezielte Angriffe 402
2. Spionageangriffe 402
Literatur 403
I. Technik 403
II. Recht 407