<BR />Der erste Vorfall ist wenige Monate alt: Eine Angestellte der öffentlichen Verwaltung in Rom wunderte sich, wieso all ihre Arbeitskollegen das Weihnachtsgeld erhalten hatten – nur sie nicht. <BR />Als sie der Sache nachging, stellte sie fest, dass auf NoiPA, dem Verwaltungsportal der öffentlich Bediensteten, ihre Bankverbindung geändert worden war. Ihr Gehalt war daher nicht auf ihr Konto überwiesen worden, sondern auf eines einer anderen Bank, das mit einer falschen digitalen Identität eröffnet worden war.<BR /><BR /><BR /><embed id="dtext86-69359622_quote" /><BR /><BR /><BR />Bei einem weiteren Fall, der in den Medien publik wurde, war das Opfer ein Rentner aus der Lombardei. Er hatte festgestellt, dass seine Rente nicht überwiesen worden war. <BR />Beim Einloggen in das MyINPS-Portal – den persönlichen Online-Bereich der Rentenkasse – erkannte er den Grund: Zwar waren seine persönlichen Daten korrekt, doch Telefonnummer, E-Mail-Adresse und IBAN waren geändert worden. Der IBAN führte zu einem Konto, das Betrüger dank eines gefälschten SPID-Zugangs eingerichtet hatten. In beiden Fällen wurde Anzeige erstattet.<h3> Wie kann so etwas überhaupt passieren?</h3>„Die Hacker haben hier eine Schwachstelle des SPID-Systems genutzt“, erklärt Ferdinand Heiss, Experte für Cybersicherheit beim Bozner IT-Unternehmen ACS Data Systems. <BR />„Denn es ist möglich, mehrere SPIDs, die auf dieselbe Person lauten, zu erstellen.“ So kann man zum Beispiel eine digitale Identität bei der Italienischen Post einrichten und eine weitere bei Aruba – beide sind an dieselbe Steuernummer gekoppelt, aber an unterschiedliche Telefonnummern und E-Mail-Adressen.<BR /><BR /><BR /><div class="img-embed"><embed id="1150314_image" /></div> <BR /><BR />„Es gibt hier leider keinen Quercheck, der aufzeigt, dass bereits ein SPID für die jeweilige Person vorhanden ist“, so Heiss.<h3> So läuft der Betrug ab</h3>Kriminelle greifen zunächst Kopien von Identitätskarten und Steuernummern im Netz ab, erstellen dann ein neues digitales SPID-Konto mit den echten Daten der Opfer – aber mit einer neuen E-Mail-Adresse und Telefonnummer, die sie selbst kontrollieren. <BR />Anschließend ändern sie die gespeicherten Bankverbindungen auf Plattformen wie INPS, NoiPA oder bei der Steuerbehörde, sodass Gehälter, Renten oder Steuerrückzahlungen auf ihre eigenen Konten fließen.<h3> Künstliche Intelligenz als neues Risiko</h3>Dabei profitieren die Betrüger von der rasanten Entwicklung der künstlichen Intelligenz. Denn wenn man einen SPID erstellt, muss der Anbieter verifizieren, dass man selbst der Inhaber der Identitätskarte ist. Bei manchen SPID-Anbietern, etwa der Post, muss man dafür persönlich auf dem Postamt erscheinen. Andere ermöglichen die Verifizierung per Video, bei der man den Ausweis in die Kamera hält.<BR /><BR /><BR /><embed id="dtext86-69359626_quote" /><BR /><BR /><BR />Das ist zwar praktisch, aber mittlerweile nicht mehr sicher. „Mit KI ist es heute ein Leichtes, Fake-Videos zu erstellen“, erklärt Heiss.<BR />„Gerade wenn jemand auf Social Media viele Videoinhalte von sich selbst teilt, kann die KI daraus schnell ein täuschend echtes Verifizierungs-Video erstellen.“ <BR />Gepaart mit einem guten Scan der Identitätskarte ist der Betrug nahezu perfekt.<h3> Wie gelangen die Täter an unsere Daten?</h3>Auch an Kopien von Personalausweisen zu kommen, ist für Cyberkriminelle nicht allzu schwierig. „Ausgangspunkt ist meistens ein Datenleck bei einem Unternehmen, wodurch sensible Daten von Hackern gestohlen oder öffentlich gemacht werden. Diese Daten – zum Beispiel Ausweiskopien und Steuernummern – werden dann im Darknet verkauft oder verteilt, einfach nur um weiteren Schaden anzurichten“, berichtet Ferdinand Heiss.<BR /><BR /><BR /><embed id="dtext86-69359772_listbox" /><BR /><BR /><BR />Zudem gehen viele Menschen selbst recht freizügig mit ihren Dokumenten um: Sie verschicken Ausweiskopien per WhatsApp oder geben sensible Daten leichtfertig beim Onlineshopping ein. <BR />„Mein Appell ist, beim Teilen von persönlichen Informationen Vorsicht walten zu lassen und nicht leichtfertig den Ausweis irgendwo hochzuladen oder zu verschicken“, warnt der Experte.<h3> Wie kann man sich schützen?</h3>Heiss rät dazu, alle Konten – auch SPID – mit Zwei-Faktor-Authentifizierung abzusichern. So reicht ein einfacher Login nicht mehr aus: Es wird ein zweiter Nachweis wie ein SMS-Code oder ein Fingerabdruck benötigt. Das schützt zwar nicht davor, dass jemand mit gestohlenen Daten ein neues SPID-Konto erstellt – aber es schützt den eigenen bestehenden Zugang.<BR /><BR />Die gute Nachricht: „Es handelt sich wohl noch um Einzelfälle und nicht um ein massiv auftretendes Problem“, sagt Ferdinand Heiss. Er geht davon aus, dass die Anbieter rasch aufrüsten werden. „Es wird ein Riesendruck entstehen, hier nachzubessern. Wenn das SPID-System bleiben soll, muss etwas passieren.“<h3> Ist die CIE eine sichere Alternative?</h3>Und was ist mit der elektronischen Identitätskarte (Carta d’Identità Elettronica, CIE), mit der man ebenso viele Dienste der öffentlichen Verwaltung nutzen kann? „Dieses System ist sicherer, weil man den Account nur einmal erstellen kann“, erklärt Heiss. Mehrfach-Zugänge wie beim SPID sind nicht möglich.<BR /><BR />Doch ein Umstieg auf CIE als Schutzmaßnahme greift zu kurz. „Da die meisten Dienste sowohl SPID als auch CIE als Zugang akzeptieren, wäre die Tür für SPID-Betrüger immer noch offen.“<h3> Fazit: Wachsamkeit ist gefragt</h3>Bis das Problem technisch gelöst ist, bleibt den Nutzern nur eines: vorsichtig sein. „Und in Portalen wie INPS oder NoiPA gelegentlich nachsehen, ob Telefonnummer, E-Mail oder IBAN noch korrekt sind. Früh erkannt, lässt sich Missbrauch oft noch stoppen“, empfiehlt Ferdinand Heiss. <BR />Falls der Verdacht besteht, dass die eigene digitale Identität kompromittiert wurde, sollte man unverzüglich Anzeige erstatten.