Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Elementare Gefährdung · BSI IT-Grundschutz

G 0.36 — Identitätsdiebstahl

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.5.14A.5.15A.5.16A.5.17A.5.18A.5.23A.6.1A.6.3A.7.14A.8.1A.8.2A.8.3A.8.4A.8.5A.8.10A.8.16A.8.18A.8.20A.8.21A.8.31 BSI IT-GrundschutzISO 27001ISO 27002

E-Mail-Absender lassen sich mit minimalem Aufwand fälschen. Ähnlich einfach ist die Manipulation der Rufnummernanzeige bei Telefonanrufen. Ein Angreifer, der sich überzeugend als Vorgesetzter, IT-Support oder Geschäftspartner ausgibt, kann selbst geschulte Mitarbeitende dazu bringen, Zugangsdaten preiszugeben oder Überweisungen auszulösen.

Identitätsdiebstahl (G 0.36) zählt zu den wirkungsvollsten Angriffstechniken, weil er das Fundament jeder Sicherheitsarchitektur angreift: das Vertrauen in die Identität des Gegenübers.

Was steckt dahinter?

Beim Identitätsdiebstahl nutzt ein Angreifer Informationen über eine andere Person, um in deren Namen aufzutreten. Das Ziel kann finanzieller Betrug sein, aber auch der Zugang zu geschützten Systemen, die Umgehung von Genehmigungsprozessen oder die gezielte Rufschädigung des Opfers.

Angriffsmethoden

  • Phishing und Spear-Phishing — Gefälschte E-Mails oder Webseiten, die zur Eingabe von Zugangsdaten verleiten. Spear-Phishing ist personalisiert und dadurch deutlich schwerer zu erkennen.
  • Credential Stuffing — Automatisiertes Durchprobieren gestohlener Zugangsdaten (aus Datenlecks) auf verschiedenen Plattformen. Funktioniert, weil viele Benutzer identische Passwörter auf mehreren Diensten verwenden.
  • Session Hijacking — Abfangen oder Stehlen von Session-Cookies, um eine bereits authentifizierte Sitzung zu übernehmen.
  • Absenderfälschung — Manipulation von E-Mail-Headern, Rufnummernanzeigen oder Absenderkennungen bei Faxen und Messenger-Diensten.
  • Maskerade — Einklinken in eine bestehende Kommunikationsverbindung (Man-in-the-Middle), um die bereits erfolgte Authentifizierung des ursprünglichen Teilnehmers auszunutzen.

Schadensausmass

Die Schäden sind vielfältig: Finanzielle Verluste durch betrügerische Transaktionen, Zugang zu vertraulichen Systemen und Daten, Reputationsschäden für die betroffene Person und die Organisation. Identitätsdiebstahl tritt besonders dort auf, wo die Identitätsprüfung nachlässig gehandhabt wird — und genau auf diesen schwächsten Punkt in der Kette zielen Angreifer.

Praxisbeispiele

Phishing mit gefälschter Anmeldeseite. Mitarbeitende erhalten eine E-Mail, die optisch vom internen IT-Service stammt, mit der Aufforderung, ihr Passwort wegen eines angeblichen Sicherheitsvorfalls zu ändern. Der Link führt auf eine täuschend echte Kopie der Anmeldeseite. Mehrere Personen geben ihre Zugangsdaten ein. Der Angreifer nutzt diese, um auf interne Systeme zuzugreifen.

Credential Stuffing auf Unternehmensportale. Nach einem großen Datenleck bei einem sozialen Netzwerk probiert ein Angreifer die geleakten E-Mail-Passwort-Kombinationen automatisiert auf dem VPN-Portal eines Unternehmens. Drei Mitarbeitende haben identische Passwörter verwendet. Der Angreifer erhält Zugang zum internen Netz.

Manipulierte Rufnummernanzeige. Ein Angreifer ruft eine Mitarbeiterin der Finanzabteilung an. Die Rufnummernanzeige zeigt die Durchwahl des Geschäftsführers. Der Anrufer gibt sich als Geschäftsführer aus und weist eine sofortige Überweisung über 85.000 Euro an einen „neuen Lieferanten” an. Erst die Rückfrage beim tatsächlichen Geschäftsführer verhindert den Schaden.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 20 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

Erkennung:

Reaktion:

BSI IT-Grundschutz

G 0.36 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

  • ORP.4 (Identitäts- und Berechtigungsmanagement) — Anforderungen an sichere Identitätsprüfung und Authentifizierung.
  • ORP.3 (Sensibilisierung und Schulung) — Awareness-Training zu Phishing und Social Engineering.
  • NET.3.4 (Network Access Control) — Netzwerkbasierte Identitätsprüfung und Zugangssteuerung.
  • SYS.2.6 (Virtual Desktop Infrastructure) — Spezifische Authentifizierungsanforderungen bei virtualisierten Arbeitsplätzen.

Quellen

Abdeckende ISO-27001-Kontrollen

A.5.14 Informationstransfer A.5.15 Zugriffskontrolle A.5.16 Identitätsmanagement A.5.17 Authentifizierungsinformationen A.5.18 Zugriffsrechte A.5.23 Informationssicherheit bei Cloud-Diensten A.6.1 Sicherheitsüberprüfung A.6.3 Sensibilisierung und Schulung A.7.14 Sichere Entsorgung oder Wiederverwendung A.8.1 Benutzerendgeräte A.8.2 Privilegierte Zugriffsrechte A.8.3 Einschränkung des Informationszugangs A.8.4 Zugang zu Quellcode A.8.5 Sichere Authentifizierung A.8.10 Löschung von Informationen A.8.16 Überwachung von Aktivitäten A.8.18 Nutzung privilegierter Hilfsprogramme A.8.20 Netzwerksicherheit A.8.21 Sicherheit von Netzwerkdiensten A.8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen

Häufig gestellte Fragen

Wie unterscheidet sich Identitätsdiebstahl von unberechtigter Nutzung?

Bei der unberechtigten Nutzung (G 0.30) verschafft sich jemand Zugang zu einem System, ohne eine bestimmte Identität vorzutäuschen. Beim Identitätsdiebstahl (G 0.36) gibt sich der Angreifer gezielt als eine andere, reale Person aus — etwa durch gestohlene Zugangsdaten, gefälschte E-Mail-Absender oder manipulierte Zertifikate. Der Betrug richtet sich gegen das Vertrauen in die Identität des Kommunikationspartners.

Welche Daten werden für Identitätsdiebstahl typischerweise gestohlen?

Benutzernamen und Passwörter, E-Mail-Adressen, Session-Cookies, Kreditkartendaten, Sozialversicherungsnummern, Personalausweisnummern und Zertifikate. Im geschäftlichen Umfeld sind auch VPN-Zertifikate, API-Schlüssel und OAuth-Token begehrte Ziele, weil sie automatisierten Zugang ohne weitere Authentifizierung ermöglichen.

Schützt Multi-Faktor-Authentifizierung zuverlässig vor Identitätsdiebstahl?

MFA erhöht den Schutz erheblich, ist aber kein absoluter Schutz. Fortgeschrittene Phishing-Angriffe (Adversary-in-the-Middle) können auch MFA-Token in Echtzeit abfangen. Phishing-resistente Verfahren wie FIDO2/WebAuthn bieten deutlich stärkeren Schutz, weil sie kryptographisch an die Ziel-Domain gebunden sind und sich nicht auf eine gefälschte Seite umleiten lassen.