Denkfehler Eigenverantwortung: Warum man nicht dumm ist, wenn der Cyberangriff zuschnappt

⁎⁎⁎

Es ist ein normaler Dienstag in Deutschland, am frühen Abend läuft ein Boulevard-Magazin im Fernsehen und die Ansagerin leitet einen Bericht ein: „Als Frau Meyer am gestrigen Montag ihr Handy öffnete, staunte sie nicht schlecht – ihr ganzes Instagram-Profil war mit Werbebildern für eine Kryptowährung übersäht, die eigenen Bilder gelöscht. Einbrecher waren wohl gewaltsam in ihr Konto eingedrungen. Wie es ihr nach diesem Schock geht, berichtet nun mein Kollege.“

Zugegeben, diese Meldung ist frei erfunden. Aber: Fast täglich gibt es derlei Meldungen über reale Einbrüche in Wohnhäuser und auch auf politische Büros. Doch was ist der Unterschied zu Cyberangriffen? Obwohl die geklauten Werte, die Übergriffigkeiten und die erzeugte Ohnmacht nicht minder schlimm sind, hält es sich hartnäckig, dass Angriffe übers Netz irgendwie etwas Privates seien.

Sie passierten so oft, wären so nebensächlich und würden bei den allermeisten ohnehin kaum Schaden anrichten, da würde eine Berichterstattung kaum der Rede wert sein. Es haftet zudem der Eindruck der Selbstverschuldung: Da habe Frau Meyer einfach geschludert, das hätte sie doch wissen müssen! Die Wahrheit könnte nicht weiter entfernt sein.

⁎⁎⁎

⁎⁎⁎

Neue Studie zeigt: Angriffe nehmen zu, die Vorsicht aber ab

Im jährlichen Sicherheitsindex vom „Deutschland sicher im Netz e.V.“, der zuletzt wieder im Juni turnusgemäß erschienen ist, zeigt sich dazu eine erstaunliche Bewegung: Obwohl sich die Sicherheitsvorfälle gegenüber dem Vorjahr deutlich erhöht haben, sinkt das Verunsicherungsgefühl sowie im Verhältnis das Sicherheitsverhalten.

Seit zehn Jahren befragt dazu "Deutschland sicher im Netz" nach wissenschaftlich repräsentativen Methoden über 2000 Verbraucher:innen. 2023 erreicht der Sicherheitsindex dabei seinen tiefsten Gesamtwert seit Erhebung der Zahlen. Der Index zeigt aber auch, dass das Wissen um Maßnahmen, Gefahren und Hintergründe steigt. Mehr dazu finden Sie auch hier.

Hier ist eine gänzlich widersprüchliche Entwicklung zu erleben: Es entsteht ein Bild, nachdem mehr Vorfälle zu weniger Sorgfalt führen. Das Erlebte scheint auszulösen, es als weniger schlimm und dringlich zu empfinden. Sicher trägt dazu bei, wie noch gezeigt wird, dass viele Systeme an sich besser geschützt sind. Aber setzen wir diesen Weg fort, dann drohen uns noch ganz andere Szenarien.

Fest steht: Die Cyberkriminalität lebt gerade davon, dass wir immer weniger tun, dass immer kleinere Angriffe schon einen Gewinn erwirtschaften und dass wir uns immer weniger Mühe geben. Cyberkriminelle wissen, dass Menschen allein gelassen werden, dass es ihnen peinlich ist, sich zu melden und dass wir auf diese Weise einfach nicht ins Tun kommen. Dabei wäre ein einziger Schritt schon nahezu das komplette Aus der ganzen Branche.

⁎⁎⁎

Eine kriminelle Branche, die sich harmlos gibt

Es zeigt sich vielmehr immer wieder, dass Angriffe immer professioneller und allumfassender werden. Cyberkriminalität ist ein Milliardengeschäft, bei dem sich mittlerweile die Möglichkeiten in eigene Branchen unterteilt haben: Die einen sammeln alles auf Verdacht und bereiten es in möglichst attraktiven Datenpaketen auf, die nächsten bieten Phishing-Webseiten oder USB-Hacking-Sticks mitsamt digitalem Lernkurs an und wieder andere konzentrieren sich aufs Eintreiben von Lösegeld (Ransom) oder drohen schlichtweg damit, alles an die Konkurrenz zu verkaufen.

Den einzelnen Anbietern von „Cybercrime as a Service“ ist es dabei vollkommen unerheblich, wer angegriffen wird und wie die Masche funktioniert. Die allermeisten können sich sogar legal gerieren: Ein USB-Stick, der programmierbar ist, kann den Alltag von IT-Dienstleistenden erheblich vereinfach – und eben den von Cyberkriminellen. Datenpakete werden zu Werbezwecken auch entlang der Gesetze gehandelt – und manchmal eben außerhalb. Eine Software die Daten verschlüsselt und mit einem Passwort absichert kann für einen selbst eine tolle Sicherheitsmaßnahme sein – oder eben für Ransomware-Angriffe missbraucht werden.

Am Ende bleibt die Tatsache, dass sich die allermeisten Geschäftstreibenden in der Cyberkriminalität mit großer Unschuldsmiene von aller Verantwortung entsagen. Das auf diese Weise kriminell eingetriebene Geld von Opfern wäscht sich mit jeder Runde eines vorgeblich nichts wissenden Anbieters immer mehr rein. Und umso mehr es davon gibt, desto einfacher, günstiger und schneller werden die Möglichkeiten.

⁎⁎⁎

Einbrüche in unsere Konten jeden Tag

Auch der fiktive Fall von Frau Meyer ist deshalb deutschlandweit jeden Tag zu erleben. Per falscher Mail werden Zugänge zu Profilen in den sozialen Medien abgefangen („phishing“), um dann die Reichweite für weitere Trickbetrügerei zu nutzen. Wann das Passwort abgegriffen wurde, kann mitunter Jahre zurückliegen. Viele denken immer noch: Warum haben die es auf mich abgesehen? Aber wie beim Einbruch in der Nachbarschaft war es meist die zufällige Gelegenheit, welche die Diebe schaffte.

Das liegt auch an der aktuellen Methode der Plattform- und Serviceanbietenden der sozialen Medien und E-Mails. Die werden durchaus – auch wenn es besser sein könnte – immer schneller darin, Fake-Accounts zu löschen, Falschinhalte zu blocken und vor allem irreführende Werbung (bezahlte Reichweite) abzulehnen. Doch dadurch sind echte Profile immer höher im Kurs.

Zudem wirken persönliche Nachrichten von Freunden eben vertrauenserweckender und erhöhen die Wahrscheinlichkeit des Klicks. Aber klar: Meist wird an der Stelle eingewendet, wie leicht diese Tricks zu erkennen seien. Und ja: Viele Nachrichten sind tatsächlich plump, in schlechtem Deutsch oder ganz offensichtlich nicht von der Person, die hier vorgegaukelt wird. Aber das ist nicht der Grund, warum wir trotzdem darauf hereinfallen.

⁎⁎⁎

Es geht um Unachtsamkeit, nicht Dummheit

Tatsächlich erkennen die allermeisten Menschen diese Tricks umgehend. So lässt sich auch die zunehmende Sorglosigkeit interpretieren: ‚Mein Umfeld und ich wissen ja Bescheid, also ist ein Angriff am Ende gar nicht so schlimm.‘ Oft wird deren Wirkung aber unterschätzt. Es geht darum, dass von 10.000 Menschen einer klickt und die Falle dann zuschnappt. Da hier zumeist Algorithmen auf die breite Masse gehen, reicht ein einziges leer geräumtes Konto und die Kriminellen sind im Plus.

Die wichtigste Erkenntnis ist dabei: In nahezu allen Fällen sind es nicht Unwissenheit oder gar Dummheit, weswegen die Falle zuschnappt, sondern Unkonzentriertheit, Unachtsamkeit und Ungenauigkeit. Konten werden nicht gehackt, wie es oftmals falsch zu lesen ist, sondern Menschen werden überlistet. Mittels psychologischer Manipulation und automatisierter Penetranz werden dazu vor allem Passwörter geklaut, um sich dann ganz normal einzuloggen.

Umso mehr Angriffe dieser Art geschehen, desto besser verstehen auch Cyberkriminelle, welche Themen und Ansätze funktionieren. Vom Prinzen aus einem afrikanischen Land dürfte lange keine Post mehr gekommen sein. Derweil tauchen aktuelle Ereignisse wie die Ukraine-Krise, Masken-Pflichten oder Bankenrettungen mitunter nach wenigen Stunden schon in Fake-E-Mails auf.

⁎⁎⁎

Die Technik ist fast nicht mehr zu überlisten

Vieles davon bekommen wir gar nicht mehr mit, denn die großen Anbieter blocken davon ziemlich erfolgreich Millionen von Versuchen jeden Tag ab. Übrig bleibt dann, was schwieriger zu durchschauen ist: Die angebliche Paketlieferung, die Erneuerung der Kreditkarte bei einem Service, die „neue Telefonnummer“ der vorgeblichen Tochter.

Denn es gibt die Wege, sich zu schützen: Die meisten E-Mail-Anbieter prüfen E-Mails lange, bevor sie die eigene Festplatte erreichen. Die modernen Browser erlauben es kaum noch, dass sich einfach etwas herunterlädt. Und die neuen Betriebssysteme verhindern das Installieren der allermeisten Schadsoftware. Auch Angriffstaktiken werden zunehmend erschwert: Algorithmen, die bspw. immer wieder neue Passwortkombinationen probieren oder die in Rekordgeschwindigkeit Änderungen vornehmen, können kaum noch unbeaufsichtigt agieren.

Das führt dazu, dass der Mensch noch mehr in den Fokus der Kriminalität rückt. Auch hier gibt es Wege, bspw. Konten durch mehrere Faktoren zu sichern und sogar passwortlose Systeme schicken sich an, es allen noch einfacher zu machen. In den Fokus rückt daher das Austricksen, das Verführen – und das Wissen um die Einsamkeit der Opfer.

⁎⁎⁎

IT-Kenntnis und Cyberresilienz sind keine Selbstläufer

Wer einen Angriff erlebt, schweigt in aller Regel dazu. Vielleicht wird noch eine vertraute Person um Hilfe gebeten, das wars aber auch. Grundsätzlich bleibt ein Cyberangriff privat und wird oft so empfunden, als sei man das einzige Opfer und als einzige Person unachtsam gewesen. Es wäre auch schwierig, eine Bürgerbewegung für mehr Internetsicherheit zu bilden, Briefe an ein Rathaus zu schreiben oder nach mehr Polizeipräsenz zu rufen.

Cyberkriminelle wissen, dass es genügend Menschen gibt, die sich schämen, die sich nicht zu helfen wissen und die durch den Alltag überfordert sind. Dabei gibt es nachweislich gar keine Korrelation zwischen IT-Kenntnis und Angriffen. Gerade erst hat der TÜV festgestellt, dass sich Kriminelle in jeden zehnten Betrieb in Deutschland Zugriff verschafft haben. Solange der Mythos vom einzelnen Opfer hält, wird das auch weiter zunehmen.

Wir brauchen vielmehr das Bewusstsein, dass immer ganze Systeme angegriffen werden. Am Ende zeigt der Angriff nur, wo wir besonders anfällig waren. Wenn das Instagram-Konto mit mühsame aufgebauten 1000 Follower:innen einmal weg ist, weil das Passwort eben „Wahlkampf2018“ war und das wenige Budget eben nicht für einen Passwortmanager ausgegeben wurde, dann hat das mit den einzelnen Personen nichts zu tun.

⁎⁎⁎

Cybersicherheit ist eine ganzheitliche Aufgabe

Hier haben dann alle gedacht, das reicht. Hier haben alle gedacht, dass es sie schon nicht treffen wird. Hier haben alle weggesehen und sich einander selbst überlassen. Leider kommt dann noch hinzu, dass bei einem Vorfall dann Einzelne wegen Unachtsamkeit abgestraft werden. Das befeuert dann wieder das Denken, wir alle müssten uns mehr im Griff haben. Falsch: Wir alle werden Fehler machen. Garantiert.

Cybersicherheit muss viel mehr als ganzheitliche Aufgabe verstanden werden, die jeden Tag vorkommt, die uns alle betrifft und bei der wir alle mitmachen müssen. Allein der flächendeckende Einzug eines zweiten Faktors bei Konten würde die allermeisten Quellen für Cyberangriffe versiegen lassen. Diese zu umgehen würde dann nahezu immer den Einsatz echter Menschen erfordern und das wird dann schlichtweg zu teuer.

Cyberkriminalität basiert in weiten Teilen auf den Fehlern der 0,01% der Unachtsamen. Es bedingt, dass Angriffe pro Konto nur Bruchteile von Cent kosten, damit bei 10.000 E-Mails eine einzige dann den Cashout bedeutet. Die Trefferquote der Cyberkriminalität ist in nahezu allen Fällen derart ungenau, dass hier nur kleinste Maßnahmen dazu führen würden, dass einer ganzen Branche der Hahn abgedreht werden könnte. Und mit dem Versiegen der illegalen Gelder auch der Hofstaat der so bestrebt neutral wirkenden Zulieferer an Soft- und Hardware.

Natürlich würde es dennoch weiter Angriffe geben, aber diese hätten einen viel persönlicheren Bezug, wären einfacher im Vorfeld wie im Nachgang zu ermitteln und die allermeisten Menschen könnten ernsthaft sagen: ‚Wer interessiert sich schon für mich?‘ Der Clou ist: Wir können das erst sagen, wenn wir uns intensiv schützen – und eben nicht, indem wir uns immer weniger schützen.

⁎⁎⁎

Brechen wir das Schweigen – wir alle sind gemeint

Fangen wir erst einmal damit an, Cyberangriffe nicht länger isoliert zu verschweigen, sondern sich offen zu ihnen zu bekennen und um Hilfe zu fragen. Dabei geht es aber nicht nur um individuelle Hilfe etwa bei technischer Überforderung. Sondern mehr Unterstützung an sich, durch immer einfachere Systeme. Auch und gerade in der Politik, wo niemand bereit ist, Fehler zuzugeben, weil sie einem eine ganze Karriere lang anhaften können, brauchen wir das Bewusstsein: Indem ich schweige, mache ich es der Cyberkriminalität immer leichter.

Haben wir das Selbstbewusstsein, den Wall der Häme und des Schams zu durchbrechen. Gerade, wenn etwa technikaffine von ihren Fällen berichten, fühlen sich technikfremde überzeugt, dass es nicht an ihnen liegt, sondern am generellen Problem der Cyberkriminalität. Wir alle sind Opfer, wir alle sind gemeint.

An dem Tag, wo der Angriff auf das Konto von Frau Meyer einen Bericht im Boulevard-Fernsehen einen Nachrichtenwert hat, können wir zwei Dinge wissen: Das Problem wird endlich richtig verstanden. Und der Vorfall ist so einzigartig, weil wir uns mittlerweile alle erheblich besser schützen. Schalten Sie auch in der nächsten Woche wieder ein.