Fake internationale Führerscheine: Wer online kauft, riskiert seinen Identitätsdiebstahl
Wer für einen USA-Urlaub oder eine Reise nach Thailand schnell einen internationalen Führerschein braucht, findet im Internet zahlreiche Anbieter, die das Dokument per PDF in wenigen Minuten liefern wollen. Das Problem: Diese Angebote sind nicht nur wertlos, sondern gefährlich. Recherchen von c’t haben ein Netzwerk solcher Anbieter aufgedeckt, das die Kundendaten vollständig und ungeschützt im Internet zugänglich macht.
Was wird da eigentlich angeboten?
Ein echter internationaler Führerschein ist ein amtliches Dokument, das beim Straßenverkehrsamt oder beim ADAC beantragt wird, rund 15 Euro kostet und ausschließlich zusammen mit dem nationalen Führerschein gültig ist. Er ist in Ländern außerhalb der EU notwendig, weil er als mehrsprachige Übersetzung der deutschen Fahrerlaubnisklassen dient, zum Beispiel für Polizeikontrollen in Thailand, China oder beim Mietwagen in den USA.
Was Online-Anbieter verkaufen, ist davon weit entfernt: Ein selbst ausgefülltes PDF mit frei erfundenen Logos und Stempeln, angeblich gültig in über 150 Ländern. Dafür werden 50 bis 70 Euro für die digitale Version verlangt, bis zu 150 Euro mit Ausdruck. Das Dokument hat keinerlei rechtliche Grundlage und wird von keiner Behörde anerkannt.
Wo liegt das eigentliche Sicherheitsproblem?
Für das gefälschte Dokument müssen Kunden hochsensible Daten hochladen: Name, Geburtsdatum, Geburtsort, E-Mail-Adresse, WhatsApp-Nummer, ein Selfie sowie Fotos von Vorder- und Rückseite des echten Führerscheins, inklusive Unterschrift.
c’t hat aufgedeckt, dass ein zentraler Dienstleister, der mehrere solcher Anbieter mit der PDF-Erstellung beliefert, sämtliche dieser Kundendaten unverschlüsselt und ohne Zugangsschutz im Internet ablegt. Jeder, der die entsprechenden URLs kennt oder errät, kann die kompletten Datensätze abrufen. Ursache ist eine fehlerhaft konfigurierte WordPress-Installation: Der Dienstleister betreibt seine Seiten auf dem verbreiteten CMS, hat aber grundlegende Sicherheitseinstellungen nicht vorgenommen.
Warum ist das so brisant?
Die Kombination aus diesen Datenpunkten ist das bevorzugte Rohmaterial für Identitätsdiebstahl. Mit Name, Geburtsdaten, Ausweisfoto und Führerschein lassen sich:
- Konten bei Kryptobörsen unter fremdem Namen anlegen (KYC-Verifikation)
- E-Mail-Konten übernehmen und darüber sämtliche anderen Online-Zugänge kapern
- Bankkonten eröffnen oder Kredite beantragen
- Im Namen des Opfers Waren auf Rechnung bestellen (Warenkreditbetrug)
Der Schaden kann sich über Monate oder Jahre hinziehen, weil Betroffene oft nicht wissen, dass ihre Daten missbraucht werden, bis Mahnungen oder Strafanzeigen bei ihnen eingehen.
- Bankkonten und Kryptowallets auf unbekannte Zugriffe oder Verifizierungsanfragen kontrollieren
- E-Mail-Konto auf verdächtige Login-Aktivitäten oder Passwortänderungsversuche prüfen
- Phishing-Schutz erhöhen: In nächster Zeit besonders kritisch sein bei E-Mails oder SMS, die nach persönlichen Daten oder Zugangsdaten fragen
- Im schlimmsten Fall: Anzeige erstatten und die zuständige Datenschutzbehörde informieren
