piwik no script img

IT-Berater über Sicherheit im Netz„Ein fundamentales Unverständnis“

Künstliche Intelligenz bringt Hackern neue Möglichkeiten für Cyber-Angriffe. IT-Berater Linus Neumann erklärt, warum sich Menschen online schlecht schützen.

Das Leben ist gefährlich Foto: Udo Gottschalk/imago
Lotte Laloire
Interview von Lotte Laloire

taz: Herr Neumann, was sind aktuell die größten Gefahren im Netz?

Linus Neumann: Das größte Problem, das der Westen hat, ist Ransomware: Damit werden Unternehmen gehackt, ihre Daten verschlüsselt, und die Angreifer fordern ein Lösegeld, um die Daten wiederherzustellen. Das hat 2023 mindestens 81 Unternehmen wie das KaDeWe, den Hamburger Flughafen oder den Trinkwasserverband einer Kommune getroffen. Bei Prominenten oder auch Ak­ti­vis­t*in­nen wird oft versucht, durch Phishing Zugriff auf die Accounts zu bekommen. Und eben digitale Gewalt in allen Formen, meist gegen Frauen. Zum Beispiel kann zum Stalking Schadsoftware auf persönlichen Geräten wie dem Mobiltelefon installiert werden.

Und mit welchen neuen Trends müssen wir dieses Jahr rechnen?

Mit Praktiken, die Leute dazu anleiten, selbst Fehler zu machen. Zum Beispiel CEO Fraud, wo eine Person behauptet, die Geschäftsführerin zu sein, und einen Angestellten dazu bringt, Geld irgendwo hin zu überweisen.

Gab es das nicht früher schon, per Telefon?

Ja, genau. Spannend ist das, weil es überhaupt nichts mit IT-Sicherheit zu tun hat, sondern nur mit den Menschen, die getäuscht werden, und die Möglichkeiten dafür jetzt besser werden – durch so etwas wie ChatGPT. Dadurch verschwinden für Angreifer Herausforderungen wie die Sprachbarriere.

Können Cyberangriffe auf CEOs und Unternehmen uns als normale Menschen nicht egal sein, denn die gefährden doch Gewinne, an denen die Mehrheit der Gesellschaft ohnehin nicht beteiligt würde, oder?

Richtig. Wenn ich als Unternehmen eine instabile Infrastruktur baue, dann ist das mein eigenes Risiko. Das ist nichts, was ein Staat lösen kann. Wenn das aber zu oft passiert und wir ein Angriffsausmaß wie ak­tuell haben, wird das zum wirtschaftlichen oder gesellschaftlichen Problem. Allein die Gruppe Black Basta hat zuletzt 100 Mil­lio­nen damit verdient. Und das ist nur eine von sehr vielen. Oder wenn von einer Hotelkette wie Motel One die Kundendaten veröffentlicht werden, dann ist das auch ein Problem für diese ganz normalen Menschen.

Gibt es auch Parallelen zwischen Angriffen auf Unternehmen und auf Individuen?

Die sind schon unterschiedlich. Gleich ist oft, dass der initiale Angriff auf den Menschen abzielt, der so getäuscht wird, dass er eine Sicherheitsmaßnahme außer Kraft setzt, zum Beispiel, indem er ein Passwort irgendwo eingibt und so Zugriff auf Daten gewährt.

Bei Ihrem Vortrag auf dem CCC-Kongress Ende Dezember in Hamburg hieß es, dass die Betroffenen oft „mit schuld“ seien. Wie war das gemeint?

Da ging es um einen Fall aus Finnland, in dem ein Hacker behauptete, über die Daten von 40.000 Pa­ti­en­t*in­nen des Psychotherapiezentrums Vastaamo zu verfügen. Das Problem: Diese Daten waren über Google auffindbar und nur mit einem einfachen Passwort geschützt, so dass es sehr einfach möglich war, darauf zuzugreifen. Dieser fahrlässige Umgang mit Daten ist zu verurteilen. Wer sich so verhält, lädt Angreifer wirklich ein.

Kritisieren Sie fahrlässiges Verhalten von anderen Betroffenen, zum Beispiel Frauen oder alten Menschen, genauso wie von Firmen?

Es tut mir auch leid, dass wir eine Realität haben, in der Schutzmaßnahmen ergriffen werden müssen. Aber ich muss beim Fahrradfahren vorsichtig sein, weil Rechtsabbieger mich überfahren können. Ich muss meine Haustür abschließen, weil sonst Leute reingehen und meine Dinge mitnehmen. Wir dürfen hier keine Täter-Opfer-Umkehr betreiben, das ist völlig klar. Aber wir müssen verstehen, dass irgendwo eben eine Grenze der fahrlässigen Selbst- und Fremdgefährdung verläuft.

Foto: imago
Im Interview: Linus Neumann

Jahrgang 1983, ist Hacker, der auf der anderen Seite steht und sich seit Jahren für IT-Sicherheit einsetzt. In seiner Freizeit ist er Sprecher des Chaos Computer Clubs, in seinem Podcast Log­buch:­Netz­po­li­tik gibt er Tipps und beruflich berät er Unternehmen, wie sie sich schützen können.

Es scheint, die Menschen schützen sich im analogen Raum besser als im digitalen. Wie erklären Sie als Psychologe sich das?

Ich glaube, dem zugrunde liegt ein fundamentales Unverständnis, nämlich dass die Leute nicht verstehen, wie die Angriffe funktionieren. Die Menschen haben häufig wildeste Fantasien, wie sie gehackt werden.

Welche denn?

Mich schreiben auf Social Media zum Beispiel häufig Frauen an, die den Verdacht haben, dass Schadsoftware auf ihrem Handy ist. Die glauben dann, das kam aus dem Internet, und kommen gar nicht auf die Idee, dass ihr Mann einfach ihr Handy nimmt, während sie im Bad sind.

Warum müssen Opfer verstehen, wie Täter denken?

Weil man Zeit und Energie in Sorgen oder in Schutzmaßnahmen investiert, die nicht zielführend sind. Wenn du nicht weißt, wie ein Angreifer vorgeht, weißt du auch nicht, wie du dich effektiv dagegen schützt.

Viele denken auch: „Ach, ich bin weder ein Millionenunternehmen noch ein Promi, wieso sollte mich jemand angreifen?“

Ja, dieser naive Optimismus ist ein anderer Grund, dass Leute sich nicht schützen. Aber es gibt ein paar Dinge, die fast jeder Mensch hat, die Kriminelle interessieren. Zum Beispiel ein Bankkonto [lacht]. Sagen wir mal, die Angreifer versenden 100.000 E-Mails, das kostet sie null Euro und maximal einen Tag Arbeit. Wenn da nur einzige Person draufklickt und die Anweisung befolgt, haben sie Zugriff auf dein Konto, auf dem, sagen wir mal „nur“ 3.000 Euro liegen. Also für mich wäre das ein super Tagessatz.

Zum Glück sind viele dann doch schlau genug, nicht mehr auf Phishing-Mails hereinzufallen. Aktiv richten sie dennoch keine Schutzmaßnahmen ein. Hat das nicht auch materielle Gründe wie Zeit- und Geldmangel?

Das glaube ich nicht, die meisten Vorkehrungen sind kostenlos und dauern nicht lang. Zum Beispiel den E-Mail-Account mit einem zweiten Faktor zu schützen, ist kostenlos. Das einzurichten dauert keine fünf Minuten. Das ist eine der wichtigsten Maßnahmen, falls das Passwort verloren geht oder man gehackt wird. Aber die wird eben von den meisten Leuten als nervig und vor allem unnötig empfunden.

Sie und andere IT-Experten reden sich darüber seit Jahren den Mund fusselig, trotzdem hören viele nicht darauf. Frustriert Sie das eigentlich?

Na, ich kann die Leute ja nicht zwingen. Ich kann nur immer wieder sagen: Ihr müsst viele Fehler nicht selber machen, es gibt genug andere, von denen ihr lernen könnt, und das Internet ist voll von Leuten, die so was verständlich erklären. In IT-Sicherheit investieren müsst ihr sowieso – entweder vor dem Angriff oder danach.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

5 Kommentare

 / 
  • Regierungen, Verwaltungen und Wirtschaft versagen hier komplett. Es ist nicht nur so, dass sie allesamt keine Ahnung haben, sie forcieren das Elend sogar aktiv, und teilweise absichtlich.

    Absichtlich, wenn eine Regierung Staatstrojaner einsetzt, denn die Voraussetzung dafür sind unsichere Systeme, nicht behobene Sicherheitslücken (deren Markt sie damit anheizen) und unaufgeklärte Nutzer.

    Absichtlich, wenn das Firmenmanagement oder eine öffentliche Verwaltung sich zwar IT-Sicherheitsbeauftragte "hält", aber deren Empfehlungen konsequent nicht umsetzt. Das ist der Normalfall und nicht die Ausnahme.

    Absichtlich, wenn Fachbehörden wie das BSI (Bundesamt für Sicherheit in der IT) kein Problem sehen beim Einsatz von nicht-quelloffenen Browsern wie Google Chrome oder Microsoft Edge in Krankenhäusern oder anderen sensiblen Bereichen, oder Watsäp oder Zoom oder Microsoft Office 365 oder anderen "Cloud"-Diensten, die allesamt und bekanntermaßen intransparent Daten nach Hause in die jeweilige Firmenzentrale transferieren.

    Die Justiz ist ebenfalls unterirdisch ahnungslos, was IT betrifft, bspw gibt es seit 2006 ein "Hackertool" -Verbot in Deutschland, was dazu führte, dass die damals weltweit führende dt. IT-Sicherheitszene mit einem Schlag kriminalisiert wurde und es heute entsprechend weniger Nachwuchs gibt. Menschen und Knowhow, das dringend gebraucht würde.

    Voraussetzung für das alles sind möglichst viele ahnungslose Nutzer, die durch den Herdeneffekt dafür sorgen, dass unsichere Software flächendeckend in Verwendung ist und Alternativen es schwer haben.

    Die vielen ahnungslosen Nutzer haben wir auch deshalb, weil ihre Ausbildung im Bereich IT von den "Verantwortlichen" als unwichtig eingestuft wird. Bei der Rolle, die die IT in jedem Lebensbereich spielt, ist das höchst unverantwortlich und müsste bereits in der Grundschule angegangen werden.

    Insofern: Geliefert wie bestellt.

  • Auf der technischen Seite sollte man darüber reden, daß komplexe, alte Betriebssysteme viel zu viel Angriffsflächen mitbringen. ChromeOS (auf Neugeräten wie Chromebooks und Chromeboxen) bzw. ChromeOS Flex (für Alt-PCs) ist erst vor 10 Jahren von Google eingeführt worden und hat in den Schwachstellendatenbanken die letzten Jahre nur ca. 1/100 der Sicherheitslücken von Windows, Linux oder Mac OS.



    Chrome OS Flex ist kostenlos, schnell installiert und sehr schlank, so daß auch bis zu ca. 10 Jahre alte Rechner gut damit laufen. Gerade weil Windows 11 auf vielen Rechnern nicht laufen wird, die heute unter Windows 10 ihren Dienst tun, ist für diese Rechner ChromeOS Flex m. E. eine sehr gute Lösung. Es ist ein abgespecktes Betriebssystem, einfach, übersichtlich und reicht geschätzt für 90% der privaten Anwender.

  • Ihr müsst viele Fehler nicht selber machen, es gibt genug andere, von denen ihr lernen könnt, und das Internet ist voll von Leuten, die so was verständlich erklären. In IT-Sicherheit investieren müsst ihr sowieso – entweder vor dem Angriff oder danach.



    ----



    Ja, aber das ist ein JOB für "Sisyphus"! So lange so VIELE das OS nutzen das ALLE haben & so wenige auch nur ein paar Zentimeter unter die "Nutzeroberfläche" schauen können, wird das nix! :-(



    Und das Problem taucht nicht nur bei "Rainer USER" & Gattin auf. Gerade die geglückten "Ransoftware" Angriffe auf Dienstleister & Andere zeigen doch das auch in der Innung nicht genug "Sicherheitsdenken" vorhanden ist!



    Sicherheit kostet Geld, ist oft auch unbequem... und das den Kunden, dem eigenen Vorstand & letztlich den USER klar zu machen, ist s.o.



    .



    Mein Fazit: Erfahrungslernen ist die teuerste & härteste Art & Weise, an "Wissen zu kommen", doch leider legen es zu viele darauf an. das irgendwann tun zu müssen, weil sie "Lernen & Mühe" vorher scheuen! :-(



    foobar.toor#Gr Sikasuu



    .



    Ps. Habe in/für meinen Bekanntenkreis, die mit IT-Problemen immer wieder an der Tür kratzen, "three-strike-law" eingeführt! Wer seinen Rechner zum 3. mal "zersemmelt" bekommt keine Hilfe mehr oder ein "Zwangslinux, sprich UBUNTU" :-) Wirkt! Die Frage ..."kannste mal meinen Rechner angucken, der spinnt"... ist spürbar weniger geworden! Immer öfter kommt auch die Frage "kannste mit nen Ubuntu drauf machen?"

  • „Ein fundamentales Unverständnis“

    Traurigerweise wahr. Oder glücklicherweise für all diejenigen, die sich mit rudimentären Python Kenntnissen als Computer Engineers oder Data Engineers bezeichnen können, weil die Mehrheit gar keine Ahnung hat

  • Unsere Regierung hätte da schon vor >15 Jahren steuernd eingreifen können, um das allgemeine Verständnis für diese Technologien und ihre Auswirkungen auf uns Alle(!) aufzubauen.

    Warum sind Themen wie "Offene Software", "Werbetargeting", "Browser" und viele andere denn bei uns nicht auf dem Lehrplan in unseren Schulen? Das geht teilweise schon in der Grundschule!

    Stattdessen geben wir eine ganze Generation (unsere Kinder) unbesehen in die fürsorglichen Hände der Werbeindustrie und setzen sie Druck und Manipulationen durch Werbung und "InfluencerInnen" aus! Auf dass gute KonsumentInnen aufwachsen.

    Und (fast) Alle hierzulande helfen dabei mit, es ist der bequeme Weg. Wer hier hat auch schon mal versucht, LehrerInnen davon zu überzeugen, NICHT watsäp als Klassenchat zu nutzen? Oder an Schulen Projektangebote mit freier Software gemacht? Na was glaubt ihr, welche Erfahrungen kann man da machen?