Datenpannen: Was ist ein Credit Freeze / Security Freeze und was nutzt es?
Inhaltsverzeichnis
Der 29. Juli 2017 sollte ein erinnerungswürdiger Tag für die amerikanische Wirtschaftsauskunftei Equifax werden: An diesem Tag stellten sie fest, dass es Angreifern gelungen war, sich unautorisierten Zugriff auf die privaten Daten von ca. 143 Millionen Amerikanern zu verschaffen, so eine Schätzung. Hierfür wurde eine Sicherheitslücke in der Equifax-Webseitenanwendung ausgenutzt, wodurch die Cyber-Kriminellen von Mitte Mai bis Ende Juli 2017 Zugriff auf elementare Daten, wie zum Beispiel
- Namen,
- Sozialversicherungsnummern,
- Geburtsdaten,
- Adressen,
- Führerscheinnummern (in einigen Fällen),
- Kreditkartennummern (von ca. 209.000 US-Konsumenten) hatten.
Equifax Hack: Superklau wird zum Supergau
Noch schlimmer: Über 182.000 US-Bürger, die falsche Angaben in ihrer „Credit History“ bemerkten und um deren Korrektur gebeten hatten, mussten im Zuge eines Korrekturverfahrens detaillierte Angaben machen und Dokumente vorlegen. Auch die dabei angelegten Akten sind von dem Hack betroffen – ein gefundenes Fressen für potenzielle Identitätsdiebe. Der Equifax Hack könnte schlimmer kaum sein, denn: Wer in den USA Zugriff auf Sozialversicherungsnummern oder Führerscheindaten hat, dem ist es mit diesen Daten möglich, die Identität einer Person zu stehlen. Darüber hinaus: Wer Kreditkartennummern besitzt, kann diese ohne Probleme für Online-Bestellungen und vieles mehr verwenden. Equifax hat inzwischen reagiert und gibt Konsumenten nun online anhand des Familiennamens und der letzten sechs Ziffern der Sozialversicherungsnummer die Möglichkeit, zu überprüfen, ob sie vom Hack betroffen sind. Darüber hinaus hat Equifax allen Kunden einen kostenlosen Schutz im Falle eines Identitätsdiebstahls zugesagt und bietet ihnen an, außergewöhnliche Aktivitäten auf den Kreditkartenkonten von Betroffenen zu überwachen.
Robert Siciliano, CEO of IDTheftSecurity.com: "Equifax is tasked with actually protecting this information in the form of identity theft protection and here we are with almost half of the country's population being affected."
Insgesamt seien 44% der US-Bürger von dem Datenleck betroffen und von allen Seiten hagelt es nun harsche Kritik, denn Equifax ging erst fünf Wochen nach der Entdeckung des Hacks an die Öffentlichkeit. Manche Quellen berichten zwar, dass die Lücke sofort geschlossen worden sei, jedoch ist laut amerikanischer Sicherheitsfirmen noch immer vollkommen unklar, wie dieser Hack überhaupt erfolgen konnte.
Die Daten hätten normalerweise getrennt voneinander und segmentiert aufbewahrt werden müssen, betonte IT-Sicherheitsexperte Helge Husemann von der Firma Malwarebytes. Das soll dafür sorgen, dass die verschiedenen Informationen nicht miteinander verknüpft werden können. Angesichts der Dimension des Datendiebstahls sei auch denkbar, dass der Angriff von innen heraus durchgeführt worden sei.
Robert Siciliano, CEO of IDTheftSecurity.com: "The best thing a consumer can do in response is to engage in what's called a credit freeze. This essentially locks down your Social Security number on your credit report, preventing criminals from opening new lines of credit under your name."
Credit Freeze / Security Freeze was ist das?
Der „Credit Freeze“ oder auch sogenannte „Security Freeze“ ist ein Werkzeug, mit dem der Zugang zur eigenen Kreditauskunft verhindert werden kann. Dieses „Einfrieren“ von Kreditberichten stoppt oder erschwert zumindest zeitweise das Erhalten neuer Kredite. Doch ein weitaus größerer Vorteil ist, dass damit vor allem verhindert werden kann, dass Cyber-Kriminelle die persönlichen Daten der Betroffenen verwenden, um in deren Namen beispielsweise Kredite aufzunehmen, Konten oder Accounts zu eröffnen. Das Prinzip ist einfach: Wenn niemand Einsicht in die Daten erhält, werden neue Accounts von Kreditgebern nicht genehmigt. Wer einen Security Freeze auf seiner Kreditauskunft platzieren möchte, erhält eine persönliche Identifikationsnummer. Sie wird benötigt, sollte der Credit Freeze wieder aufgehoben oder der Kreditbericht für eine bestimmte Person zeitweilig zur Verfügung gestellt werden.
Mike Litt, a consumer program advocate at the nonprofit U.S. Public Interest Research Group: "It's much better to shut the door before it even takes place. You can save yourself so much time and headache."
Wer sich für einen „Credit Freeze“ beziehungsweise einen „Security Freeze“ entscheidet, muss mit zeitlichen Verzögerungen rechnen, wenn eine Kreditauskunft für neue Kredite, Versicherungen, Mieten, Handyverträge, große Investitionen, Kreditkartentransaktionen oder Ähnliches gebraucht wird. Um eine solche Befugnis zu erhalten, muss die Kreditauskunftei (z. B. Experian, Equifax oder Trans Union) kontaktiert und folgende Informationen bereitgehalten werden:
- ausreichende Identifikation, die die eigene Identität bestätigt
- persönliche Identifikationsnummer
- persönliche Erklärung mit dem Wunsch, dass der Security Freeze vom Bericht entfernt werden soll oder, dass eine Agentur für einen bestimmten Zeitraum ermächtigt wird, den Security Freeze zu entfernen (soll der Credit Freeze nur für einen bestimmten Zeitraum aufgehoben werden, so ist die Person anzugeben, die den Bericht erhalten soll oder der Zeitraum, in dem der Bericht einsehbar sein soll)
- Bezahlung der gegebenenfalls anfallenden Kosten
Das Einführen eines Security Freeze wirkt sich jedoch nicht auf die bereits bestehenden Beziehungen zu Banken, Handyunternehmen etc. aus, die bereits eine Vorlage der Kreditauskunft haben.
Eva Velasquez, president and CEO of The Identity Theft Resource Center: „Thieves can still use your existing credit or debit cards to make fraudulent charges, so you will still need to check your statements every month. It also doesn't protect against other types of identity theft, such as taking out prescription medication in your name or filing fraudulent tax returns.“
Wie ein Security Freeze beantragt werden kann, wird in jedem US-Bundesstaat unterschiedlich gehandhabt. In den meisten Staaten ist die Anwendung für alle, die Opfer eines Identitätsklaus geworden sind, kostenlos, in anderen liegt die Gebühr zwischen 5 und 10 $.
Der Security Freeze in New York:
Wash. Rev. Code §19.182.170 et seq. and Wash. Rev. Code §19.182.220 et seq: 19.182.170
Victim of identity theft—Security freeze.
-
A consumer may request that a security freeze be placed on his or her consumer credit report by sending a request in writing with confirmation of delivery requested or via telephone, secure electronic means, or other methods developed by the consumer credit reporting agency to a consumer credit reporting agency at an address, telephone number or secure website designated by such agency to receive such requests. Consumer credit reporting agencies shall have a secure website and a separately dedicated toll-free number to offer information, to process requests and deliver the services provided for under this section.
Security Freeze in Washington State:
Wash. Rev. Code §19.182.170 et seq. and Wash. Rev. Code §19.182.220 et seq:
19.182.170
Victim of identity theft—Security freeze.
-
A consumer, who is a resident of this state, may elect to place a security freeze on his or her credit report by making a request in writing by certified mail to a consumer reporting agency. "Security freeze" means a prohibition, consistent with this section, on a consumer reporting agency's furnishing of a consumer's credit report to a third party intending to use the credit report to determine the consumer's eligibility for credit. If a security freeze is in place, information from a consumer's credit report may not be released to a third party without prior express authorization from the consumer. This subsection does not prevent a consumer reporting agency from advising a third party that a security freeze is in effect with respect to the consumer's credit report.
Credit Freeze / Security Freeze auch in Deutschland?
Um die Folgen eines solchen Angriffs abzufangen und die Betroffenen besser vor Identitätsdiebstählen zu schützen, sollte der deutsche Gesetzgeber handeln. Orientiert man sich an den obigen Beispielen, könnte eine ebensolche Regelung in Deutschland wie folgt aussehen:
§1 Auskunftssperre
- Ein Verbraucher kann verlangen, dass seine eigene Kreditauskunft zur Sicherheit gesperrt wird. Die Auskunftssperre ist das Verbot der Übermittlung der Kreditauskunft eines Verbrauchers an einen Dritten zur Bestimmung der Kreditwürdigkeit des jeweiligen Verbrauchers.
- Die Auskunftssperre muss schriftlich, mit einem Zustellungsnachweis versehen oder in elektronischer Form bei der zuständigen Behörde beantragt werden. Sobald eine Auskunftssperre erfolgt ist, dürfen Informationen eines Verbrauchers nicht ohne dessen vorherige ausdrückliche Einwilligung an einen Dritten freigegeben werden. Dies hindert das Kreditinstitut jedoch nicht daran, einen Dritten über die Auskunftssperre zu informieren.
- Die Kreditauskunft muss binnen vier Tagen nach Zahlung der anfallenden Gebühr und Erhalt des erforderlichen Antrags des Verbrauchers, dessen Kreditbericht sperren. Hierdurch wird die Kreditauskunft nicht daran gehindert, einen Dritten darüber zu informieren, dass der Kreditbericht eines Verbrauchers zur Sicherheit gesperrt wurde. Die Kreditauskunft ist ohne eine schriftliche Genehmigung des betroffenen Verbrauchers nicht befugt, einen Dritten über den Grund der beantragten Sperre zu informieren.
- Die Kreditauskunft sendet dem Verbraucher innerhalb von fünf Tagen nach erfolgter Auskunftssperre eine schriftliche Bestätigung. Zudem stellt die Kreditauskunft dem Verbraucher eine persönliche Identifikationsnummer oder ein Kennwort zur Verfügung, welches nur vom Verbraucher verwendet werden kann, um die Freigabe seines Berichtes für einen bestimmten Personenkreis oder für einen bestimmten Zeitraum autorisieren zu können.
Jene gesetzliche Regelung zum Security Freeze sollte bestenfalls bereits im Bürgerlichen Gesetzbuch, insbesondere bei der Anbahnung von Schuldverhältnissen (vgl. § 311 f. BGB) oder als eigener Titel vor den §§ 675 ff. BGB verortet werden, denn Zahlungsdienste sind nicht mit Kreditauskünften gleichzusetzen (vgl. § 1 ZAG). Vielmehr sollte dem Verbraucher mit einer separaten gesetzlichen Regelung zum Security Freeze die Möglichkeit gegeben werden, eigene Ansprüche gegen die Kreditauskunfteien geltend zu machen, um Schuldverhältnissen oder beginnenden Vertragsverhandlungen unautorisierter Dritter bereits im Ursprung entgegenzuwirken.
Gibt es in anderen Ländern ähnliche Funktionen wie den Security Freeze?
In Großbritannien besteht die Möglichkeit, sich für CIFAS („Credit Industry Fraud Avoidance System)“ zu registrieren. CIFAS ist der britische Fraud Prevention Service. Dieser kann in der jeweiligen Kreditauskunft einen Hinweis hinterlegen, dass eine Person Opfer eines Identitätsdiebstahls oder eines Hackerangriffs wurde und die Kreditgeber anweisen, besondere Sicherheitsmaßnahmen zu ergreifen, bevor ein neuer Kredit gewährt wird. Dies könnte beispielsweise durch das separate Einholen einer Einwilligung bezüglich eines neuen Kredites erfolgen.
Kritik am Security Freeze
Experian riet genau wie Equifax seinen Kunden dazu, ihren Kreditbericht zu sperren. Dabei hat Experian eine Online-Pin-Recovery-Seite eingerichtet, die es den Verbrauchern erleichtern soll, Sicherheitssperren rückgängig zu machen. Auf dieser Seite kann der PIN, der dem Kunden beim Platzieren des Security Freeze zugeschickt wurde, zurückgesetzt werden. Dafür braucht man lediglich den Namen, die Adresse, das Geburtsdatum und die Sozialversicherungsnummer. All diese Daten waren jedoch vom Hackerangriff auf Equifax und anderen Hackerangriffen ebenfalls umfasst. Es muss also davon ausgegangen werden, dass die Cyber-Kriminellen diese Informationen bereits in ihrem Besitz haben. Nach der Eingabe der Daten ist es schließlich nur noch notwendig, irgendeine E-Mail anzugeben. Im Anschluss daran müssen noch ein paar Sicherheitsfragen beantwortet werden, wobei sich die Fragen zumeist auf den Lebensraum beziehungsweise den Wohnort beziehen, in denen sich die betroffene Person aufgehalten hat. Ein Großteil dieser Informationen ist jedoch heutzutage auch über Social Media-Kanäle, Suchmaschinen und andere Datenbanken verfügbar und damit auch für Hacker leicht zugänglich.
Im unmittelbaren Vergleich zu Experian scheinen hingegen die Recovery-Strategien anderer Kreditfirmen nicht derart angreifbar zu sein. „TransUnion“ fordert ihre Kunden beispielsweise dazu auf, ein Benutzerkonto zu erstellen, bevor die Sperre eingeleitet werden kann. Es muss also ein Anmeldevorgang erfolgen, um Zugriff auf die PIN zu erhalten. Solange die Kunden ihre Passwörter nicht mehrfach verwenden, sind zumindest die Anmeldedaten nicht im Internet zu finden. Equifax-Kunden hingegen müssen sich an das Unternehmen wenden, um einen PIN zu generieren. Hierfür ist das Beilegen eines Identitätsnachweises erforderlich, wie zum Beispiel die Kopie des Führerscheins, des Passes oder der Geburtsurkunde. Für Kunden ist diese Verfahrensweise sicherlich mit etwas mehr Aufwand verbunden, jedoch kommen Cyber-Kriminelle nicht ohne weiteres an die Kopie des Führerscheins.
Letztlich gilt: Auch wenn die eigenen Kreditberichte mit einem Security Freeze belegt wurden, erscheint es sinnvoll, sie fortan nicht mehr aus den Augen zu lassen.