Mehrere Schritte:
- damit es ein Offizialdelikt wird, muss sicher gestellt sein, dass jemand unbefugtes die Daten genutzt hat (es könnte auch ein Familienmitglied sein, oder der Nutzer selbst hat eine versehentliche Bestellung veranlasst). Eine Ortsfremde IP ist schon mal gut, weil die Eltern vermutlich nicht an der Uni tätig sind.
Handelt es sich um wiederholte Bestellungen / Kontobelastungen sollte sich auch herausfinden lassen, ob es sich immer wieder um eine Uniadresse handelt. Einen Täter damit Dingfest machen setzt voraus, dass dieser ein wenig "schlicht" ist, er kann sich durchaus auch in den account eines anderen einhacken (das ist erstaunlicherweise in Unis oft nur ein kleines Problem, bei vielen Studies regiert die Sorglosigkeit), das könnte dann ein längeres Prozedere werden!
Die Daten ändern ist die sicherste Methode, wenn die Frau bei der Bank arbeitet, könnte sie einen "Kontoumzug" veranlassen, dass geht schnell - müsste nicht mal der Arbeitgeber über die neue Bankverbindung informiert werden. Die regelmäßigen Lastschriften werden für gewöhnlich auch automatisch weitergeleitet, mann sollte sie allerdings vorsorglich auf die bekannten beschränken. Der "Umzug" entzieht vor allem dem Hacker erst einmal die Grundlage, denn wenn er vom Typus "Duuuu kannst mir nix" ist, wird er sonst unter Umständen einfach aus Frust / Trotz etc. immer weiter Unruhe stiften. Das kann dann soweit gehen, dass man zwar einen Verdacht auf die Person hat, aber der unmittelbare Beweis fehlt - man muss ja nicht gleich mal ein paar kräftige Herren gegen Bezahlung "Überzeugungsarbeit" leisten lassen (so wie hier vor Ort geschehen). DAS funktioniert zwar, dafür interessiert sich dann aber auch die Polizei… man hat also nicht viel weniger Ärger.