Thought Leadership
Securitas-Chef Alf Göransson hat nach einem Identitätsdiebstahl jetzt Konkurs angemeldet. Mit den gestohlenen persönlichen Informationen von Göransson wurde in seinem Namen Kreditanträge gestellt.
Der weltweit agierende Sicherheitsdienstleister Securitas hat bekannt gegeben, dass der Vorstandschef des Unternehmens Insolvenz angemeldet hat nachdem seine Identität gehackt worden war. Das schwedische Unternehmen räumte in einem einigermaßen beschämenden Statement gegenüber der lokalen Börse ein, dass „die persönlichen Informationen von Alf Göransson gestohlen und jemand mithilfe der gestohlenen Daten in seinem Namen einen Kreditantrag gestellt habe“.
Dazu ein Kommentar von Andrew Clarke, EMEA Sales Director bei One Identity, dem Spezialisten für Identität- und Zugriffsmanagement:
„Der jüngste Vorfall macht ein mal mehr deutlich wie überaus wichtig es ist unsere persönliche Identität zu schützen. In den letzten Jahren haben wir eine Reihe von Geschichten zum Thema Kreditkartenmissbrauch gehört, beispielsweise dass Kriminelle über Skimming illegal an Daten gelangen, die sie vom Magnetstreifen der Karte auslesen und auf gefälschte Karten kopieren. Die damit getätigten Abhebungen und Bezahlvorgänge gehen dann natürlich zu Lasten des rechtmässigen Kreditkarteninhabers. Es sind auch Fälle bekannt geworden bei denen Papierkörbe am Strassenrand systematisch nach persönlichen Informationen durchsucht wurden, um die Bruchstücke zu einem Personenprofil zusammenzusetzen. Aber es gibt Maßnahmen diesen Typ von Identitätsdiebstahl zu verhindern: die Zahlung über Chip und Pin gesichert und den Schredder zuhause.
In der Welt der sozialen Medien gibt es allerdings inzwischen so unendlich viele verschiedene Wege Details aus dem persönlichen Leben mit anderen zu teilen – nicht selten auch mit Fremden – die es viel einfacher machen vorzugeben jemand anderer zu sein. Im Zeitalter der Digitalisierung tun wir gut daran unsere persönliche Profile besonders gut zu schützen. Und sicherzustellen, dass Unternehmen und Dienstleister die Echtheit persönlicher Profile bestätigen und zwar bevor sie eine Transaktion durchführen. Banken sind bei ihren Serviceangeboten inzwischen dazu übergegangen ihren Kunden 2-Faktor-Authentifizierung anzubieten. Um die persönliche Identität zu verifizieren braucht der Betreffende etwas, das er weiß und etwas, das er besitzt. Smartphone-Anbieter bewegen sich in eine ähnliche Richtung. Hier soll die Identät einer Person über etwas, das sie ist bestätigt werden – ein biometrisches Merkmal wie etwa ein Fingerabdruck oder über die Gesichtserkennung. Dadurch kontrollieren wir den Zugriff auf eigene Apps und persönliche Daten.
Was aber ist mit den Fällen, wenn Unternehmen beispielsweise Neukundengeschäft generieren wollen. Sie treffen einen potenziellen Kunden zum ersten Mal und wollen ihm unbedingt eine bestimmte Dienstleistung anbieten, etwa einen Privatkredit. Das sind die Fälle, bei denen Schutzmaßnahmen, die wir zum Schutz unserer persönlichen Daten entwickelt haben nicht mehr greifen. Antworten zu Sicherheitsfragen wie die nach dem Mädchennamen der Mutter oder ähnliches finden Betrüger vergleichsweise leicht in digitalen Aufzeichnungen oder den sozialen Medien.
Wenn ein Staat seine Bürger ermutigt stärker als bisher elektronische Behördendienste zu nutzen, sollten sämtliche Schritte innerhalb des Authentifizerungs- und Autorisierungsprozesses auf Basis der aktuellsten Identity and Access Management (IAM) -Lösung betrieben werden. Im Falle von Göransson bliebt der Identitätsdiebstahl über Monate unentdeckt bis es zu spät war. Mit dem Diebstahl seines persönlichen und öffentlichen Profils wurden sein Ruf und seine gesamte Existenzgrundlage unmittelbar geschädigt. Sich von solchen Ereignissen zu erholen, ist schwer und langwierig. Der Rat kann also nur sein, so vorausschauend wie möglich zu handeln und entsprechende Vorkehrungen zu treffen. Man sollte nur mit den Unternehmen in einem geschäftliche Beziehung treten, die offenlegen, dass und wie sie persönliche digitale Identitäten schützen. Und auch der Ratschlag die persönlichen Sicherheitseinstellungen für Profile in den sozialen Medien lieber etwas restriktiver zu setzen hat keineswegs ausgedient. Beide Maßnahmen senken zumindest die Risiken für einen unerwünschten Diebstahl persönlicher Informationen.“
Merkwürdigkeiten en masse
Dazu meint it security-Herausgeber Ulrich Parthier: “Dieser Fall inklusive Meldung strotzt nur so vor Merkwürdigkeiten. Natürlich ist es peinlich, wenn dem Chef einer Sicherheitsfirma die Identität gestohlen wird, aber muss man deswegen Insolvenz anmelden? Es war ja laut information nur ein persönlicher Kreditantrag. Das klingt alles sehr seltsam. Normal wäre der persönliche Rücktritt und sofortige Maßnahmen für das Unternehmen und die Mitarbeiter, damit sich ein solcher Vorgang nicht wiederholt. Für das Unternehmen an sich hat der persönliche Diebstahl einer Identität, auch wenn es der CEO ist, erst einmal keine Auswirkungen. Das Thema ist zwar grundsätzlich interessant, von One Identity aber einfach schlecht recherchiert.”
Nachtrag
Laut Informationen der NZZ:
Die Geschichte hat jedoch einen Haken: Der Securitas-Chef ist gar nicht bankrott. Stattdessen ist er das Opfer eines Identitätsdiebstahls geworden: Eine Person, die illegal an Göranssons persönliche Daten gekommen war, reichte in dessen Namen ein Gesuch um Konkurs ein. Bereits im März hatte jemand missbräuchlich einen Kredit aufgenommen, auch dies auf Basis eines falschen Identitätsnachweises. Gekaperte Personaldaten sind ein zunehmendes Problem in Schweden. 2016 wurden der Polizei fast 122 000 Identitätsmissbräuche angezeigt, ein Anstieg um 300% innert fünf Jahren. Die daraus entstehenden Betrugsfälle – meist in den Bereichen Internethandel und Telefonie – beliefen sich auf schätzungsweise rund 8,3 Mrd. Fr. oder 7000 Fr. pro Person. Ein so folgenreicher ID-Missbrauch wie im Fall Göransson ist laut der Polizei ungewöhnlich, sie vermutet eine Racheaktion dahinter.
