Sichere Passwörter wählen, Phishing-Mails ignorieren, Virenscanner installieren. Sicherheitstipps wie diese gibt es oft und ständig. Doch warum eigentlich? Warum muss man sich solche Mühe machen, Daten und Konten abzusichern? Die simple Antwort: Unter anderem, um einen Identitätsdiebstahl zu verhindern.

So nennen Experten es, wenn Diebe fremde Namen und Daten missbrauchen, um etwa Beleidigungen zu verschicken, die Freunde ihrer Opfer um Geld zu bitten oder - die häufigste Variante - im Internet einkaufen zu gehen. Dabei lassen sie natürlich nur die Ware zu sich schicken, die Rechnung erhält der Bestohlene.

Großartig anstrengen müssen sich Täter dafür oftmals nicht, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI): Bei vielen Shops reichten schon Name und Geburtsdatum für eine Bestellung aus - in Zeiten sozialer Netzwerke oft leicht verfügbare Daten. Noch mehr Schaden kann entstehen, wenn Kriminelle weitere Informationen bis hin zu Konto- oder Kreditkartennummern in die Hände bekommen.

An solche Daten kommen Identitätsdiebe auf zwei Wegen, erklärt Prof. Christoph Meinel, Direktor des Hasso-Plattner-Instituts (HPI) in Potsdam: "Einmal über den Massendiebstahl, bei dem Hacker sich Zugang zur Datenbank eines Servicebetreibers verschaffen und zahlreiche Identitäten auf einmal erbeuten", sagt der Experte. "Die zweite Möglichkeit besteht daraus, den einzelnen Nutzer gezielt anzugehen, zum Beispiel mit Phishing-Mails."

Gegen die erste Methode kann sich der einzelne Verbraucher kaum wehren, gegen die Konsequenzen aber schon. "Viele Nutzer machen sich nicht bewusst, was sie mit ihrem Passwort eigentlich schützen", sagt Meinel. "Denn oft geht es nicht nur um die unmittelbaren Inhalte eines Accounts, oft können Angreifer sich mit den Informationen auch Zugang zu anderen Diensten verschaffen." So können Kriminelle selbst mit scheinbar harmlosen Daten Accounts bei Shops und Diensten anlegen und ein erbeutetes Passwort bei anderen Nutzerkonten des Opfers durchprobieren.

Kriminelle mit Zugriff auf ein E-Mail-Konto können darüber bei vielen Diensten das Passwort zurücksetzen lassen und sich so Zugriff verschaffen. Mit individuellen Passwörtern und Datensparsamkeit vorbeugen ist deshalb Pflicht. Denn auf die Anbieter allein ist kein Verlass: So hat das HPI schon mehr als 230 Millionen Nutzerdatensätze gesammelt, die Hacker abgegriffen und veröffentlicht haben.

Wer wissen will, ob er dabei ist, kann das im Netz beim Identity Leak Checker des HPI tun oder auch beim BSI-Sicherheitstest oder auf Haveibeenpwned.com. "Für uns besonders erschreckend ist, wie viele Firmen mit den Daten ihrer Nutzer unprofessionell sorglos umgehen", sagt Meinel. Passwörter sollten die Anbieter zum Beispiel eigentlich immer nur verschlüsselt speichern, erklärt der Experte. "Gut ein Drittel der geleakten Identitätsdaten enthalten aber die Passwörter unverschleiert, und bei einem weiteren Drittel wurden zur Verschleierung veraltete kryptographische Methoden genutzt."

Vor individuellem Identitätsdiebstahl können sich Nutzer selbst besser schützen. Viren scanner bekämpfen zum Beispiel Keylogger, die Zugangsdaten abgreifen. Gegen Phishing-Mails helfen Vorsicht und gesunder Menschenverstand. Und Passwörter sollten nicht nur individuell, sondern auch sicher sein. Das bedeutet laut BSI: Mindestens zwölf Zeichen inklusive Zahlen und Sonderzeichen, keine Begriffe aus Wörterbüchern - und auch keine Namen.

Doch was, wenn das alles nichts hilft? "Gefährlich ist Identitätsdiebstahl, weil er oft erst später auffällt", sagt Christoph Meinel. Bis Mahnungen für nicht bezahlte Rechnungen auftauchen, kann zum Beispiel einige Zeit vergehen. Und auch zwischen Kauf und Kreditkartenabrechnung liegen oft ein paar Wochen. Im schlimmsten Fall ist es darum umso wichtiger, schnell zu handeln.

"Entscheidend ist vor allem, Strafanzeige zu erstatten", rät Rechtsanwalt Thomas Feil aus Hannover. "Denn häufig ist es bei Identitätsdiebstahl sehr schwer, herauszufinden, was überhaupt passiert ist." Bei der Anzeige erstellt die Polizei aber eine Ermittlungsakte, die wertvolle Informationen enthält. Falsche Einträge auf Kreditkartenrechnungen lassen sich anschließend zurückbuchen, Einkäufen können Betroffene beim Händler widersprechen.