Hilft die Überwachung von Kreditbetrug nach der Verletzung von Equifax wirklich?

Eine Nahaufnahme einer Kreditauskunft von Equifax. Im September 2017 wurden bei einer Datenschutzverletzung bei Equifax die personenbezogenen Daten von Tausenden von Kunden offengelegt.

Equifax, eines der „großen drei“ Kreditüberwachungsbüros, wurde das jüngste Opfer eines großen Datenlecks, bei dem Cyberkriminelle Zugang zu Namen, Sozialversicherungsnummern, Geburtsdaten und Adressen von 143 Millionen Amerikanern und Kreditkartennummern erhielten 209.000 besonders unglückliche Menschen. Das Equifax-Chaos folgt auf eine Reihe hochkarätiger Hacks auf Unternehmen wie Yahoo!, Target und Home Depot.

Inzwischen kennen wir den PR-Drill. Das gedemütigte Unternehmen entschuldigt sich, verspricht, die Sicherheitslücke zu untersuchen und zu beheben, und bietet Kunden ein Jahr lang kostenlose Kreditüberwachungsdienste an. Bisher hält sich Equifax an das Drehbuch und richtet eine Website ein, auf der Verbraucher kostenlosen Zugriff auf den Betrugsschutzdienst TrustedID Premier von Equifax erhalten, der normalerweise ein kostenpflichtiger Abonnementdienst ist.

Aber wird ein Dienst zum Schutz vor Identitätsdiebstahl nach einer solchen Verletzung wirklich etwas nützen?

Zuerst die Ironie. Equifax verspricht, Verbraucher zu schützen, als es sich gerade als unfähig erwiesen hat, Verbraucher zu schützen. Um es noch schlimmer zu machen, müssen Sie (erneut) alle Ihre persönlichen Daten übergeben, um sich bei TrustedID Premier anzumelden, und einige Experten stellen die Sicherheit der Website in Frage, die Equifax eingerichtet hat, um das Problem anzugehen.

Der Sicherheitsberater und Autor Adam Shostack ist der Meinung, dass wir Equifax auf keinen Fall vertrauen sollten. Tatsächlich hat er bei der US-amerikanischen Federal Trade Commission eine Petition eingereicht, um Unternehmen mit Datenschutzverletzungen zu zwingen, Verbrauchern einen Gutschein für 50 oder 100 US-Dollar zu geben, damit sie ihren eigenen Überwachungsdienst wählen können, nicht nur den Dienst, den „Equifax den Menschen unterstellt“, sagt Shostack.

Dann stellt sich die größere Frage, ob einer dieser Betrugsüberwachungsdienste, TrustedID oder andere, die Verbraucher wirklich schützt. Avivah Litan, eine Betrugsanalystin von Gartner Inc., sagte dem Sicherheitsblogger Brian Krebbs, dass diese Dienste im Grunde „PR-Vehikel“ seien. Sicher, sie werden einen Verbraucher benachrichtigen, wenn ein neues Kreditkonto auf ihren Namen eröffnet wurde – Kreditkarte, Autokredit, Hypothek usw. – aber sie blockieren die Transaktion nicht automatisch oder bereinigen das Chaos. Sobald ein betrügerisches Konto eröffnet wurde, „ist der Schaden bereits angerichtet“, bemerkte Litan.

Er wies darauf hin, dass es viele Möglichkeiten gibt, wie ein Ausweisdieb Ihr Leben ruinieren kann, die von den meisten Kreditüberwachungsdiensten nicht erkannt werden – wie der Diebstahl Ihrer Steuerrückerstattung, die Beantragung staatlicher Dienstleistungen mit Ihrer Sozialversicherungsnummer oder die Verwendung Ihrer Informationen einen gefälschten Führerschein auf Ihren Namen zu beantragen.

Wer sind die Kunden von Equifax?

Die zusätzliche Komplikation des Equifax-Hacks besteht darin, dass, obwohl jeder mit einer Kreditauskunft technisch gesehen ein Equifax-„Kunde“ ist, niemand wirklich ein Equifax-„Kunde“ ist. Rahul Telang studiert Ökonomie der Informationssicherheit an der Carnegie Mellon University. Er sagt, dass Equifax und die anderen Kreditauskunfteien Datenmakler sind, die Kreditgeschichten hauptsächlich für Unternehmen und Arbeitgeber bereitstellen, nicht für Verbraucher.

„Sie verhandeln mit Ihrem Einzelhändler. Sie verhandeln mit Ihrer Bank. Sie verhandeln mit Ihrem Kreditkartenunternehmen. Aber Sie verhandeln nicht direkt mit Equifax“, sagt Telang. "Sie sind kein 'Equifax-Kunde'."

In einer kürzlich durchgeführten Studie mit 500.000 Kunden einer großen US-Bank fand Telang heraus, dass Kunden, die eine Art Kontobetrug erlebten, die Bank mit 1 bis 3 Prozent höherer Wahrscheinlichkeit innerhalb von sechs Monaten nach dem Vorfall verließen. Obwohl es keine große Zahl ist, sagt Telang, dass es "wirtschaftlich bedeutsam" ist und die ersten harten Daten darstellt, die beweisen, dass Verbraucher Maßnahmen ergreifen werden, wenn sie das Vertrauen in ein Finanzinstitut verlieren.

Aber das wird mit Equifax nicht passieren. Verbraucher können Equifax nicht für seine lausige Sicherheit bestrafen, indem sie unser Geschäft woanders hinführen. Die drei großen Kreditüberwachungsbüros – die anderen beiden sind Experian und TransUnion – werden unsere hochsensiblen Daten weiter verfolgen und speichern, ob wir wollen oder nicht. Das ist ihr Geschäftsmodell.

Sich vor Kreditbetrug schützen

Was können Sie also tun, um sich zu schützen, wenn Sie nicht darauf vertrauen, dass Equifax dies für Sie erledigt? Telang und andere weisen darauf hin, dass die meisten, wenn nicht alle von TrustedID und anderen Betrugsüberwachungsdiensten angebotenen Dienste von den Verbrauchern selbst kostenlos genutzt werden können. So geht's:

• Unter annualcreditreport.com können Sie alle 12 Monate eine kostenlose Kreditauskunft von allen drei Kreditauskunfteien erhalten. Verbreiten Sie das, indem Sie alle vier Monate einen Bericht von einem anderen Büro anfordern.
• Sie können Ihre Bonitätsauskünfte von Equifax, TransUnion oder Experian mit einem Kreditstopp versehen, wodurch alle neuen Kreditanträge blockiert werden, bis Sie den Kreditstopp aufheben. Die Kosten sind normalerweise kostenlos, wenn Sie Opfer eines Identitätsdiebstahls geworden sind.
• Sie können sich bei jeder Kreditauskunftei für eine kostenlose 90-Tage-Betrugswarnung anmelden, die Sie über alle neuen Kreditanträge informiert (und Sie können die Betrugswarnung so oft verlängern, wie Sie möchten).