Ein Selfie mit deinem Personalausweis – ist das sicher?

„Bitte laden Sie ein Selfie mit Ihrem Ausweis hoch, um Ihre Identität zu bestätigen“ – immer häufiger trifft man bei Online-Services auf solche Anfragen. Banken, Autovermietungen und sogar potenzielle Arbeitgeber oder Vermieter können solche Fotos anfordern.

Du musst selbst entscheiden, ob du deine vertraulichen Daten auf diese Weise weitergibst oder nicht. Wir haben alle Vor- und Nachteile zusammengestellt und geben dir Sicherheitstipps, falls du ein solches Selfie aufnehmen musst.

Solltest du ein Selfie mit einem Ausweis machen?

Ohne ein „Ausweis-Selfie“ kannst du möglicherweise bestimmte Banking-Apps nicht installieren, dich nicht für Dienste wie Carsharing registrieren und keine Sofortkredite beantragen. Die Entscheidung ist eigentlich ganz einfach.

Möchtest du solche Dienste nutzen? Dann mach das Foto. Machst du dir Sorgen um die Sicherheit deiner Daten? Dann mach kein Foto. Dann fallen jedoch einige praktische Dienste weg, beispielsweise Online-Banküberweisungen, bestimmte Autovermietungen und die Lösung finanzieller Probleme durch einen Sofortkredit. Die Prioritäten sind klar: Entweder erhältst du Zugang zu diesen Diensten oder deine Sicherheit ist dir wichtiger.

Ein häufiges Argument für Ausweis-Selfies ist, dass diese Daten sowieso schon mehrfach durchgesickert sind und die Angst vor möglichen Sicherheitsrisiken deshalb unbegründet ist. Wenn du Selfies mit deinem Personalausweis wahllos verteilst und jahrelang „12345“ als Passwort für alle deine Benutzerkonten verwendest, sind deine Daten wahrscheinlich bereits kompromittiert.

Wenn du sicher wissen möchtest, ob deine Daten durchgesickert sind oder nicht, verwende unseren Schutz und gib unter Datenleck-Überprüfung alle E-Mail-Adressen an, mit denen du dich für Online-Dienste registriert hast. Hier kannst du auch die E-Mails deiner Lieben angeben. Nutzer von Kaspersky Premium können ihre Telefonnummern auch im Abschnitt Überprüfung auf Identitätsdiebstahl checken. Dann sucht unsere App automatisch im Hintergrund nach Datenlecks, benachrichtigt dich, falls Lecks gefunden werden, und gibt Tipps, was im Falle eines Falles zu tun ist.

Was kann denn passieren?

Leider ist es schwer zu sagen, wie Unternehmen unsere Daten tatsächlich speichern und verarbeiten. Es gibt nur wenige Ausnahmen. Normalerweise wird den Nutzern einfach versichert, dass die Sicherheit ihrer personenbezogenen Daten sehr ernst genommen wird und dass diese sehr sorgfältig aufbewahrt werden. Solche Versprechen sind nicht eben vertrauenerweckend, insbesondere, wenn es sich nur um eine Datenschutzrichtlinie auf der Website handelt.

Dienste speichern deine Daten oft zu lange. Ein bekanntes europäisches Carsharing-Unternehmen bewahrt Benutzerdaten beispielsweise bis zu 10 Jahre lang auf. In der Zwischenzeit hast du möglicherweise mehrmals den Wohnsitz gewechselt, das Autofahren aufgegeben oder den Mitfahr-Service längst vergessen – deine personenbezogenen Daten bleiben jedoch weiterhin auf den Servern des Unternehmens gespeichert. Und da das Unternehmen vereinbarungsgemäß Kundendaten an Dritte weitergeben darf, könnte dein Ausweis-Selfie theoretisch ganz ohne dein Wissen in fremde Hände geraten. Dieses Beispiel passt nicht nur für „böse“ Unternehmen, sondern entspricht der harten Realität: Fast alle Unternehmen, die bei der Registrierung einen Ausweis verlangen, verarbeiten deine Daten unter ähnlichen Bedingungen. Und das ist nur die offizielle Seite – über Datenlecks haben wir noch gar nicht gesprochen …

Die Datenübertragung richtet sich nach den europäischen Sicherheitsbestimmungen. Das garantiert aber noch gar nichts

Datenlecks in Carsharing-Unternehmen sind ein klassisches Problem: Solche Unternehmen waren schon immer Hackerangriffen ausgesetzt. Manchmal führen diese Lecks zu absurden Situationen. In Russland registrierten Kriminelle mit gestohlenen Ausweis-Fotos falsche Accounts bei Carsharing-Diensten, mieteten teure Autos, verstießen gegen die Straßenverkehrsordnung und verursachten Unfälle. Aber woher hatten sie die Daten? Aus Datenlecks, bei denen Kundendaten anderer Carsharing-Unternehmen durchgesickert waren!

Eine andere Bedrohung ist jedoch noch aktueller – illegal aufgenommene Kredite. Es ist zwar eher unwahrscheinlich, dass große Banken einen Kredit nur auf Basis eines Ausweis-Selfies vergeben. Unternehmen, für die keine umfassende Rechenschaftspflicht gilt, können Mikrokredite jedoch praktisch an jeden vergeben. Und wenn plötzlich ein Dutzend solcher Kredite auf deinen Namen auftaucht, ist das eine echte Katastrophe. Ganz zu schweigen davon, dass dann noch ein weiteres unzuverlässiges Unternehmen über dein Ausweis-Selfie verfügt.

In den Händen von Kriminellen werden Ausweis-Selfies zu einem universellen Werkzeug. Es gibt nämlich nicht nur die oben genannten Szenarien. Betrüger können auf unterschiedlichste Weise Gesetze brechen und in deinem Namen eine Briefkastenfirma eröffnen oder unter deiner Identität eine SIM-Karte registrieren. Und je mehr Dienste die Online-Fernregistrierung unterstützen, desto gefährlicher wird es, Selfies mit einem Personalausweis aufzunehmen.

Schon lange verkaufen Kriminelle auf illegalen Websites Fotos und Videos von Personen, die ein weißes Blatt in der Hand halten. Damit lassen sich Fotos fälschen und die üblichen KYC-Verfahren (Know Your Customer, kenne deinen Kunden) einfach umgehen. Und wenn die Gauner ein echtes Selfie mit einem Reisepass ergattern, ist es eine wahre Goldmine …

Wie lassen sich die Risiken begrenzen?

Trotz der erheblichen Risiken kann es vorkommen, dass man solche Fotos aufnehmen muss. In solchen Fällen solltest du mit größtmöglicher Sorgfalt vorgehen. Wie kannst du dich schützen?

• Schau dir die Datenschutzrichtlinie des Unternehmens genau an. Bevor du Ausweis-Selfies versendest, solltest du dich möglichst umfassend über das Unternehmen informieren. Prüfe, wo und von wem deine Daten verarbeitet werden, wie lange sie gespeichert bleiben und ob das Unternehmen Kundendaten an Strafverfolgungsbehörden, an dritte Parteien oder sogar an andere Länder weitergeben darf.
• Stelle fest, ob es in diesem Unternehmen schon Datenlecks gegeben hat. Finde heraus, ob Kundendaten offengelegt wurden. Falls ja, sind solche Lecks mehrmals aufgetreten? Welche Informationen sind durchgesickert? Wie hat das Unternehmen auf den Verstoß reagiert? Solche Informationen kannst du mithilfe von Suchanfragen wie Name_des_Unternehmens Datenlecks oder Datenschutzverstöße Name_des_Unternehmens
• Füge deinem Selfie ein Wasserzeichen hinzu. Wenn du trotz allem entscheidest, dass sich das Risiko lohnt, füge dem Selfie ein Wasserzeichen mit dem Namen des Dienstes hinzu, an den du es sendest. Auf deinem Smartphone geht das ganz einfach. Verwende im integrierten Bildbearbeitungsprogramm die Funktion für halbtransparenten Text oder nimm eine kostenlose App. Passende Apps gibt es in jedem App-Store. Selbst wenn das Foto durchsickert, ist es für Kriminelle dann viel schwieriger, sich damit bei einem anderen Dienst zu registrieren.
• Sende das Foto über die offizielle App oder Website des Dienstes. Verwende keine Messenger oder E-Mail, um Ausweis-Selfies zu verschicken.
• Lösche das Selfie sofort nach dem Senden, falls dein Gerät keinen zuverlässigen Schutz Wichtig: Entferne das Selfie (wenn möglich) aus deinen Nachrichten, aus dem Ordner „Kürzlich gelöscht“ auf deinem Smartphone oder aus dem Papierkorb deines Computers.
• Überprüfe regelmäßig deine Kreditgeschichte. Erkundige dich bei deiner Bank, wie du dich sofort über neue Kreditanträge in deinem Namen informieren lassen kannst.
• Verwende den maximalen Schutz für alle deine Geräte, um dich vor Identitätsdiebstahl und Datenlecks warnen zu lassen.
• Verwende das Kaspersky Password Manager Identitätsschutz-Wallet, um vertrauliche Dokumente und Fotos verschlüsselt auf allen deinen Geräten zu speichern und zu teilen.
• Überlege, was mehr wert ist – ein praktischer Service oder dein Ausweis-Selfie. Und gib deine personenbezogenen Daten auf keinen Fall für Geld weiter.