| Vorwort | 4 |
| Inhalt | 6 |
| Abbildungsverzeichnis (Technik) | 11 |
| Tabellenverzeichnis (Technik) | 13 |
| Abkürzungsverzeichnis (Recht) | 14 |
| I. Begriff der Identität | 17 |
| 1. Divergierende Begriffe der Identität | 17 |
| Kapitel 1 Grundlagen | 17 |
| I. Begriff der Identität | 17 |
| 1. Divergierende Begriffe der Identität | 17 |
| 2. Begriff der Identität im rechtlichen Sinne | 19 |
| 3. Identitätsbegriff der Studie | 20 |
| 4. Begriff der Identität im technischen Sinne | 21 |
| II. Identitätsmissbrauch und Identitätsdiebstahl | 25 |
| 1. Der Begriff des Identitätsmissbrauchs | 25 |
| 2. Der Begriff des Identitätsdiebstahls | 26 |
| 3. Schutz von Identitäten (Überblick) | 27 |
| III. Fallgruppen des Identitätsdiebstahls und -missbrauchs | 28 |
| 1. Identitätsdiebstahl und -missbrauch ohne IT-Bezug (Überblick) | 28 |
| 2. Identitätsdiebstahl und -missbrauch mit IT-Bezug (Überblick) | 30 |
| IV. Ähnliche Phänomene | 31 |
| Kapitel 2 Strukturen von Identitätsdiebstahl und -missbrauch unter Einsatz von Informationstechnologie | 33 |
| I. Vortäuschung einer technisch nicht geschützten Identität (Spoofing) | 33 |
| II. Diebstahl von durch Wissen geschützten Identitätsdaten | 41 |
| 1. Benutzername/Passwort, PIN | 41 |
| 2. TAN | 43 |
| 3. iTAN | 44 |
| III. Man-in-the-Middle-Angriffe gegen den Nachweis einer Identität durch Besitz | 45 |
| 1. Hardwaretoken | 46 |
| 2. One-Time Passwords (OTP)/elektronische TANs (eTAN) | 51 |
| 3. eTAN+ | 51 |
| 4. mTAN | 52 |
| 5. HBCI/FinTS | 53 |
| 6. FinTS+/Secoder | 54 |
| 7. (Qualifizierte) elektronische Signaturen | 54 |
| 8. SSL Clientzertifikate | 55 |
| IV. Weitere Methoden zum Nachweis einer Identität | 56 |
| 1. Biometrie | 56 |
| 2. CAPTCHAs | 59 |
| V. Man-in-the-Middle-Angriffe | 64 |
| 1. Man-in-the-Middle im Internet | 64 |
| 2. Man-in-the-Middle im PC | 66 |
| VI. Standardsicherheitsmaßnahmen | 72 |
| 1. Antivirenprogramme | 73 |
| 2. Personal Firewall | 76 |
| 3. Firefox-Add-Ons | 78 |
| 4. Weitere Standardsicherheitsmaßnahmen | 83 |
| Kapitel 3 Künftige Entwicklung von Identitätsmissbrauch und Identitätsdiebstahl | 86 |
| I. Prognose: Angriffsszenarien | 86 |
| 1. Business Cases zukünftiger Angreifer | 86 |
| 2. Umgehung von Standardsicherheitsmaßnahmen | 88 |
| 3. Umgehung spezieller softwarebasierter Schutzmechanismen | 97 |
| 4. Umgehung spezieller hardwarebasierter Schutzmechanismen (Chipkarten, HSM) | 98 |
| 5. Umgehung von Sicherheitsmechanismen auf Serverseite | 99 |
| 6. Netzwerkbasierte Angriffe | 102 |
| 7. Klassische Malware: neue Trends | 107 |
| 8. Social Engineering | 111 |
| 9. Malware + JavaScript, Web 2.0-Angriffe | 116 |
| 10. Google-Hacking | 122 |
| II. Prognosen: Zielplattformen | 126 |
| 1. Zielplattformen | 126 |
| 2. Neue Computing-Paradigmen: Browsertechnologien | 138 |
| 3. Neue Computing-Paradigmen: Servertechnologien | 141 |
| 4. Neue Computing-Paradigmen: Kommunikationstechnologien | 143 |
| 5. Neue Computing-Paradigmen: Web 2.0 und SaaS | 150 |
| 6. Neue Computing-Paradigmen: Webservices, SOAP und Cloud Computing | 153 |
| 7. Neue Computing-Paradigmen: Single-Sign-On | 156 |
| 8. Neue Computing-Paradigmen: neue Schutzmaßnahmen | 159 |
| 9. Kombination mehrerer Angriffstechniken | 160 |
| Kapitel 4 Identitätsdiebstahl und neuer Personalausweis | 165 |
| I. Einführung | 165 |
| 1. Der elektronische Identitätsnachweis | 165 |
| 2. Einsatzbereiche des elektronischen Identitätsnachweises | 167 |
| II. Technische Rahmenbedingungen | 168 |
| 1. Bestandteile des Neuer-Personalausweis-Gesamtsystems | 171 |
| 2. Beschreibung der Anwendungsmöglichkeiten des neuen Personalausweises | 172 |
| 3. Beschreibung der Protokolle des neuen Personalausweises | 178 |
| 4. Art des Chipkartenlesers | 184 |
| 5. Kombination der einzelnen kryptografischen Protokolle (für Webanwendungen: SSL) | 186 |
| 6. Klassifikation der Dienste auf Basis des neuen Personalausweises | 188 |
| III. Rechtliche Rahmenbedingungen des neuen Personalausweises | 190 |
| 1. Überblick | 190 |
| 2. Das Personalausweisgesetz | 190 |
| 3. Gesetzliche Regeln zum Einsatz des Personalausweises | 193 |
| 4. AGB mit Bezugnahme auf den Personalausweis | 199 |
| 5. Ergebnis: Die Bedeutung des Personalausweises als Identitätsnachweis | 202 |
| IV. Verhinderung von Identitätsdiebstahl und -missbrauch durch Einsatz des neuen Personalausweises | 204 |
| 1. Realistische Ziele | 205 |
| 2. Mögliche Ziele | 206 |
| Kapitel 5 Rechtsfragen des Identitätsmissbrauchs | 208 |
| I. Überblick | 208 |
| 1. Strafrechtliche Aspekte | 208 |
| 2. Zivilrechtliche Aspekte | 211 |
| II. Gesetzliche Rahmenbedingungen | 213 |
| 1. Grundrechtsschutz | 213 |
| 2. Datenschutzrecht | 216 |
| 3. Strafrecht | 220 |
| 4. Zivilrecht | 224 |
| III. Aktuelle Geschäftsbedingungen | 226 |
| 1. Regeln zum Identitätsmissbrauch in AGB | 227 |
| 2. Risikoverteilung und Haftungsregeln in AGB | 242 |
| IV. Strafbarkeit de lege lata | 246 |
| 1. Strafbarkeit des Erlangens der fremden Identität (Identitätsdiebstahl) | 246 |
| 2. Strafbarkeit des Verwendens der fremden Identität (Identitätsmissbrauch) | 257 |
| 3. Probleme der Rechtsanwendung | 265 |
| V. Risikotragung bei Identitätsmissbrauch | 266 |
| 1. Risikoverteilung im Onlinebanking | 267 |
| 2. Risikoverteilung bei Handelsplattformen | 277 |
| 3. Ergebnis und Ausblick | 281 |
| VI. Verkehrspflichten im Internet | 282 |
| 1. Verkehrspflichten der Anbieter | 283 |
| 2. Verkehrspflichten der Internetnutzer | 285 |
| VII. Verhaltenspflichten und Haftung der Identitätsinhaber | 288 |
| 1. Grundlagen der Haftung | 288 |
| 2. Verhaltenspflichten des Identitätsinhabers in Fallgruppen | 294 |
| 3. Haftung für Pflichtverletzungen | 303 |
| 4. Haftungsbeschränkungen | 305 |
| VIII. Verhaltenspflichten und Haftung der Anbieter | 307 |
| 1. Überblick | 307 |
| 2. Verhaltenspflichten im Onlinebanking | 308 |
| 3. Verhaltenspflichten in anderen Feldern | 310 |
| IX. Zivilrechtliche Beweisfragen | 312 |
| 1. Überblick | 312 |
| 2. Der Beweis der Urheberschaft im gerichtlichen Verfahren | 313 |
| 3. Der Anscheinsbeweis für die Urheberschaft elektronisch übermittelter Erklärungen | 316 |
| Kapitel 6 Deutschland im internationalen Vergleich | 330 |
| I. Technische Rahmenbedingungen in anderen Staaten (Überblick) | 331 |
| 1. Im Onlinebanking (eTAN+, FinTS/HBCI, Secoder, mTAN) | 331 |
| 2. In ausgewählten anderen Diensten | 332 |
| II. Überblick zu Angriffsund Schadensszenarien | 333 |
| 1. Vergleich der Angriffsszenarien im Bereich Onlinebanking: transaktionsvs. kontobezogene Sicherheitsmechanismen | 336 |
| 2. Vergleich der Angriffsszenarien in ausgewählten weiteren Diensten | 337 |
| III. Rechtliche Rahmenbedingungen in anderen Staaten (Überblick) | 338 |
| 1. Strafbarkeit von Identitätsdiebstahl und -missbrauch (de lege lata) | 338 |
| 2. Zivilrechtliche Verantwortlichkeit für Identitätsmissbrauch | 364 |
| IV. Die Positionierung Deutschlands im Vergleich | 369 |
| 1. Technisch: Vergleich im Bereich Onlinebanking (Überblick) | 369 |
| 2. Rechtlich: Vergleich im Bereich Onlinebanking (Überblick) | 370 |
| Kapitel 7 Handlungsoptionen/Abwehrmaßnahmen und Empfehlungen | 371 |
| I. Technische Maßnahmen | 371 |
| 1. Empfehlungen zum Einsatz von Standardsicherheitsmaßnahmen | 371 |
| 2. Empfehlungen zum Einsatz bestimmter Technologien | 372 |
| 3. Empfehlungen zur Erstellung von Best-Practice-Richtlinien für bestimmte Einsatzszenarien | 376 |
| 4. Aufzeigen gezielten Forschungsbedarfs (z. B. in den Bereichen Malware, Bot-Netze, Browsersicherheit, Betriebssystemsicherheit | 377 |
| II. Organisatorische Maßnahmen | 379 |
| 1. Schulungsinhalte | 380 |
| 2. Meldestellen für entdeckte Schwachstellen, neue Angriffe etc. mit Anreizmechanismen (nicht monetär) | 385 |
| III. Polizeiliche Maßnahmen | 385 |
| 1. Zentrale Meldestelle (z. B. zur Meldung von Phishingservern) | 386 |
| 2. Information zur Prävention/Aufklärung | 386 |
| IV. Gesetzliche/regulatorische Maßnahmen | 386 |
| 1. Vorgaben zur Produktgestaltung | 387 |
| 2. Umgang mit gespeicherten Kundendaten | 388 |
| 3. Strafrechtliche Maßnahmen | 389 |
| 4. Gesetzliche Haftungsregeln für Anbieter und Nutzer | 391 |
| 5. Regulierung von Verhaltenspflichten | 392 |
| V. Information und Aufklärung der Nutzer | 399 |
| VI. Internationale Abkommen für das Internet (Strafverfolgung) | 401 |
| VII. Aufwandsschätzungen für die Umsetzung | 402 |
| VIII. Restrisiken | 402 |
| 1. Gezielte Angriffe | 402 |
| 2. Spionageangriffe | 402 |
| Literatur | 403 |
| I. Technik | 403 |
| II. Recht | 407 |
