Die Steuersaison liegt offiziell hinter uns, was bedeutet, dass die meisten von uns aufatmen können. Aber einige von uns bleiben besorgt. Dabei geht es nicht um die Gefahr einer Steuerprüfung (die zwar gering, aber dennoch beängstigend ist), sondern vielmehr um die Angst, dass uns unsere Identität gestohlen wird.
Wenn Sie selbständig sind – ob als Uber-Fahrer, Etsy-Künstler oder in einem weniger modernen Beruf wie dem des freiberuflichen Journalisten -, sind die Unternehmen, die Sie bezahlen, gesetzlich verpflichtet, Ihnen eine Steuerbescheinigung (1099) auszustellen, um Ihnen bei der Erstellung Ihrer Steuern zu helfen. Und mit dem Aufschwung der „Sharing Economy“ erhalten immer mehr Menschen diese Dokumente anstelle von W-2, dem Steuerformular für Arbeitnehmer. Die Unternehmen verschicken die 1099er zwar per Post, aber weil Fehler passieren, die Steuerfristen nicht eingehalten werden können und das Internet so praktisch ist, verschicken einige Finanzabteilungen diese Formulare stattdessen per E-Mail.
Und oft werden diese Steuerformulare unverschlüsselt verschickt, obwohl dies leichtsinnig ist. Denn diese Dokumente enthalten sensible Daten wie Sozialversicherungsnummern, und E-Mails sind ein bevorzugtes Ziel für Hacker, die auf der Suche nach Identitäten sind, die sie stehlen können.
Wenn Sie glauben, dass Ihnen das nicht passieren könnte, bedenken Sie Folgendes. In den letzten sechs Jahren haben mir mehr als ein halbes Dutzend Personen unverschlüsselte Finanzformulare mit persönlichen Daten per E-Mail geschickt. Ein Unternehmen – eine millionenschwere, große amerikanische Marke – tat dies sogar zweimal.
„Sozialversicherungsnummern sind anfälliger und wertvoller denn je“, sagt Rob Douglas, ein Sicherheitsberater, der sich auf Identitätsdiebstahl und Betrug spezialisiert hat. Douglas hat 1998 zum ersten Mal vor dem Kongress über den Schutz von persönlichen Daten ausgesagt. Seitdem hat sich nur eines geändert: wie leicht es für Betrüger geworden ist, unsere sensiblen Daten zu erbeuten.
Angefangen von dem massiven Identitätsdiebstahl im Zusammenhang mit dem Hack des Office of Personnel Management bis hin zu den Milliardenverlusten durch Steuerrückerstattungsbetrug – es ist klar, dass Bösewichte mit Ihrer Sozialversicherungsnummer eine Menge anstellen können. „Kriminelle lieben dieses Verbrechen, weil es sich um ein Verbrechen handelt, das sich auszahlt, und weil die Staatsanwaltschaft so wenig Interesse daran hat“, sagt Douglas. Die Polizei in San Diego zum Beispiel nimmt einen Fall von Identitätsdiebstahl nur dann auf, wenn mindestens 40.000 Dollar im Spiel sind, sagt er, weil es so viele Fälle gibt. Stellen Sie sich vor, dieser Betrag würde heute von Ihrem Bankkonto abgehoben, und Sie würden morgen niemanden finden, der Ihnen helfen könnte.
So würden Sie natürlich annehmen, dass es illegal ist, mit den lebenswichtigen Informationen einer Person so sorglos umzugehen, richtig? Falsch! Die Sozialversicherungsnummer ist zwar eine bundesweite Kennung, aber die Staaten sind für den Umgang mit ihr zuständig, was bedeutet, dass die Protokolle variieren. Derzeit beschränken nur 12 Staaten den physischen Versand von Sozialversicherungsnummern, aber kein Staat verbietet den E-Mail-Versand. Nochmals: Es ist völlig legal, die Sozialversicherungsnummer einer Person in einer E-Mail anzugeben.
Das ist ein Problem. Auch wenn wir das Gefühl haben, dass E-Mails sicher sind, und Anbieter wie Apple, Google und Microsoft dafür gesorgt haben, dass Notizen, die von Adressen innerhalb ihrer Domäne (z. B. gmail.com) gesendet und empfangen werden, sicher sind, sobald eine Nachricht das offene Web durchquert, sind alle Wetten verloren.
Wenn E-Mails gesendet werden, wandern sie normalerweise von der Software auf dem sendenden Computer zu Servern, die Mail Transfer Agents genannt werden. Sie durchlaufen wahrscheinlich mehrere dieser Knotenpunkte, bis sie den Empfänger erreichen. Zwischen diesen Vermittlungsstellen sind die E-Mails verschlüsselt, aber wenn sie auf einen Server treffen, werden sie unverschlüsselt, gelesen und dann erneut verschlüsselt, bevor sie an den nächsten Knotenpunkt weitergeleitet werden. Milton Mueller, Professor für öffentliche Ordnung am Georgia Institute of Technology, warnt davor, dass dieses Verfahren im Hinblick auf die Sicherheit „unvollkommen“ sein könnte. „Der Inhalt der Nachrichten wird den zwischengeschalteten E-Mail-Relays offenbart und kann von ihnen verändert werden“, sagt er.
Mueller zufolge besteht das Problem darin, dass die E-Mail-Knoten unabhängig voneinander verwaltet werden, so dass die Verschlüsselungsrichtlinien eines Knotens möglicherweise nicht mit denen eines anderen kompatibel sind. Und einige Knoten können sogar kompromittiert werden, so dass Hacker auf alle Informationen zugreifen können, die über sie fließen.
Dennoch können Sie Ihre Daten schützen, indem Sie Dateien mit privaten Informationen verschlüsseln. Kürzlich habe ich bei dieser großen amerikanischen Marke darum gebeten. Zu meinem Erstaunen wusste nicht nur ein Finanzfachmann dieses Fortune 500-Unternehmens nicht, wie man eine PDF-Datei verschlüsselt, sondern auch das technische Team nicht. (Leute, die eigentlich wissen müssten, wie man verschlüsselt – vor allem, wenn es um sensible Finanzdaten geht -, wissen nicht nur nicht, wie man es macht, es ist nicht einmal in ihrem Protokoll verankert“, sagt Douglas. „
Ich habe diesem Unternehmen genau gesagt, wie ich meine Datei verschlüsseln muss, und trotzdem wurde sie ungeschützt versandt. Was ist nötig, damit die Menschen die privaten Daten anderer respektieren und verantwortungsvoll damit umgehen, so wie sie es mit ihren eigenen sensiblen Informationen tun würden? Laut Douglas müssen Finanzfachleute aufhören, diese Daten als Kleinigkeiten zu betrachten, als bloße Zahlen auf einer Seite, und sie stattdessen als das sehen, was sie sind: die finanzielle Identität einer Person.
Aber das wird wahrscheinlich nicht ausreichen. Stattdessen glaubt Douglas, dass das Einzige, was den lässigen Umgang mit Sozialversicherungsnummern per E-Mail oder auf Papier ändern würde, „eine Tragödie wäre, die einigen Menschen so viel körperlichen Schaden zufügt, dass sie das Gewissen der Nation erschüttert.“
Am 15. Oktober 1999 wurde beispielsweise die 20-jährige Amy Boyer vor ihrer Wohnung von Liam Youens ermordet, einem Stalker, der Boyers Adresse gefunden hatte, nachdem er ihre Sozialversicherungsnummer auf einer Website gekauft hatte. Er schoss mehrmals auf sie, bevor er die Waffe auf sich selbst richtete. In der darauf folgenden Empörung wurde das „Amy-Boyer-Gesetz“ vorgelegt, das die Anzeige oder den Verkauf der Sozialversicherungsnummer von Personen verhindern sollte. Das Gesetz wurde nie verabschiedet, so dass der von Douglas erwähnte Gewissenskick noch aussteht.
Und obwohl meine Sozialversicherungsnummer im Internet wie eine Fahnenabordnung herumgeistert, bin ich nicht Opfer eines Identitätsdiebstahls oder eines anderen Betrugs geworden. Ich hoffe, dass ich unversehrt bin, aber Douglas ist nicht so optimistisch. „Ich habe keinen Zweifel, dass es Sie gibt“, sagt er. „Statistisch gesehen ein Vielfaches davon.“
Kontaktieren Sie uns unter [email protected].