IT-Berater über Sicherheit im Netz: „Ein fundamentales Unverständnis“
Künstliche Intelligenz bringt Hackern neue Möglichkeiten für Cyber-Angriffe. IT-Berater Linus Neumann erklärt, warum sich Menschen online schlecht schützen.
taz: Herr Neumann, was sind aktuell die größten Gefahren im Netz?
Linus Neumann: Das größte Problem, das der Westen hat, ist Ransomware: Damit werden Unternehmen gehackt, ihre Daten verschlüsselt, und die Angreifer fordern ein Lösegeld, um die Daten wiederherzustellen. Das hat 2023 mindestens 81 Unternehmen wie das KaDeWe, den Hamburger Flughafen oder den Trinkwasserverband einer Kommune getroffen. Bei Prominenten oder auch Aktivist*innen wird oft versucht, durch Phishing Zugriff auf die Accounts zu bekommen. Und eben digitale Gewalt in allen Formen, meist gegen Frauen. Zum Beispiel kann zum Stalking Schadsoftware auf persönlichen Geräten wie dem Mobiltelefon installiert werden.
Und mit welchen neuen Trends müssen wir dieses Jahr rechnen?
Mit Praktiken, die Leute dazu anleiten, selbst Fehler zu machen. Zum Beispiel CEO Fraud, wo eine Person behauptet, die Geschäftsführerin zu sein, und einen Angestellten dazu bringt, Geld irgendwo hin zu überweisen.
Gab es das nicht früher schon, per Telefon?
Ja, genau. Spannend ist das, weil es überhaupt nichts mit IT-Sicherheit zu tun hat, sondern nur mit den Menschen, die getäuscht werden, und die Möglichkeiten dafür jetzt besser werden – durch so etwas wie ChatGPT. Dadurch verschwinden für Angreifer Herausforderungen wie die Sprachbarriere.
Können Cyberangriffe auf CEOs und Unternehmen uns als normale Menschen nicht egal sein, denn die gefährden doch Gewinne, an denen die Mehrheit der Gesellschaft ohnehin nicht beteiligt würde, oder?
Richtig. Wenn ich als Unternehmen eine instabile Infrastruktur baue, dann ist das mein eigenes Risiko. Das ist nichts, was ein Staat lösen kann. Wenn das aber zu oft passiert und wir ein Angriffsausmaß wie aktuell haben, wird das zum wirtschaftlichen oder gesellschaftlichen Problem. Allein die Gruppe Black Basta hat zuletzt 100 Millionen damit verdient. Und das ist nur eine von sehr vielen. Oder wenn von einer Hotelkette wie Motel One die Kundendaten veröffentlicht werden, dann ist das auch ein Problem für diese ganz normalen Menschen.
Gibt es auch Parallelen zwischen Angriffen auf Unternehmen und auf Individuen?
Die sind schon unterschiedlich. Gleich ist oft, dass der initiale Angriff auf den Menschen abzielt, der so getäuscht wird, dass er eine Sicherheitsmaßnahme außer Kraft setzt, zum Beispiel, indem er ein Passwort irgendwo eingibt und so Zugriff auf Daten gewährt.
Bei Ihrem Vortrag auf dem CCC-Kongress Ende Dezember in Hamburg hieß es, dass die Betroffenen oft „mit schuld“ seien. Wie war das gemeint?
Da ging es um einen Fall aus Finnland, in dem ein Hacker behauptete, über die Daten von 40.000 Patient*innen des Psychotherapiezentrums Vastaamo zu verfügen. Das Problem: Diese Daten waren über Google auffindbar und nur mit einem einfachen Passwort geschützt, so dass es sehr einfach möglich war, darauf zuzugreifen. Dieser fahrlässige Umgang mit Daten ist zu verurteilen. Wer sich so verhält, lädt Angreifer wirklich ein.
Kritisieren Sie fahrlässiges Verhalten von anderen Betroffenen, zum Beispiel Frauen oder alten Menschen, genauso wie von Firmen?
Es tut mir auch leid, dass wir eine Realität haben, in der Schutzmaßnahmen ergriffen werden müssen. Aber ich muss beim Fahrradfahren vorsichtig sein, weil Rechtsabbieger mich überfahren können. Ich muss meine Haustür abschließen, weil sonst Leute reingehen und meine Dinge mitnehmen. Wir dürfen hier keine Täter-Opfer-Umkehr betreiben, das ist völlig klar. Aber wir müssen verstehen, dass irgendwo eben eine Grenze der fahrlässigen Selbst- und Fremdgefährdung verläuft.
Jahrgang 1983, ist Hacker, der auf der anderen Seite steht und sich seit Jahren für IT-Sicherheit einsetzt. In seiner Freizeit ist er Sprecher des Chaos Computer Clubs, in seinem Podcast Logbuch:Netzpolitik gibt er Tipps und beruflich berät er Unternehmen, wie sie sich schützen können.
Es scheint, die Menschen schützen sich im analogen Raum besser als im digitalen. Wie erklären Sie als Psychologe sich das?
Ich glaube, dem zugrunde liegt ein fundamentales Unverständnis, nämlich dass die Leute nicht verstehen, wie die Angriffe funktionieren. Die Menschen haben häufig wildeste Fantasien, wie sie gehackt werden.
Welche denn?
Mich schreiben auf Social Media zum Beispiel häufig Frauen an, die den Verdacht haben, dass Schadsoftware auf ihrem Handy ist. Die glauben dann, das kam aus dem Internet, und kommen gar nicht auf die Idee, dass ihr Mann einfach ihr Handy nimmt, während sie im Bad sind.
Warum müssen Opfer verstehen, wie Täter denken?
Weil man Zeit und Energie in Sorgen oder in Schutzmaßnahmen investiert, die nicht zielführend sind. Wenn du nicht weißt, wie ein Angreifer vorgeht, weißt du auch nicht, wie du dich effektiv dagegen schützt.
Viele denken auch: „Ach, ich bin weder ein Millionenunternehmen noch ein Promi, wieso sollte mich jemand angreifen?“
Ja, dieser naive Optimismus ist ein anderer Grund, dass Leute sich nicht schützen. Aber es gibt ein paar Dinge, die fast jeder Mensch hat, die Kriminelle interessieren. Zum Beispiel ein Bankkonto [lacht]. Sagen wir mal, die Angreifer versenden 100.000 E-Mails, das kostet sie null Euro und maximal einen Tag Arbeit. Wenn da nur einzige Person draufklickt und die Anweisung befolgt, haben sie Zugriff auf dein Konto, auf dem, sagen wir mal „nur“ 3.000 Euro liegen. Also für mich wäre das ein super Tagessatz.
Zum Glück sind viele dann doch schlau genug, nicht mehr auf Phishing-Mails hereinzufallen. Aktiv richten sie dennoch keine Schutzmaßnahmen ein. Hat das nicht auch materielle Gründe wie Zeit- und Geldmangel?
Das glaube ich nicht, die meisten Vorkehrungen sind kostenlos und dauern nicht lang. Zum Beispiel den E-Mail-Account mit einem zweiten Faktor zu schützen, ist kostenlos. Das einzurichten dauert keine fünf Minuten. Das ist eine der wichtigsten Maßnahmen, falls das Passwort verloren geht oder man gehackt wird. Aber die wird eben von den meisten Leuten als nervig und vor allem unnötig empfunden.
Sie und andere IT-Experten reden sich darüber seit Jahren den Mund fusselig, trotzdem hören viele nicht darauf. Frustriert Sie das eigentlich?
Na, ich kann die Leute ja nicht zwingen. Ich kann nur immer wieder sagen: Ihr müsst viele Fehler nicht selber machen, es gibt genug andere, von denen ihr lernen könnt, und das Internet ist voll von Leuten, die so was verständlich erklären. In IT-Sicherheit investieren müsst ihr sowieso – entweder vor dem Angriff oder danach.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Ungerechtigkeit in Deutschland
Her mit dem schönen Leben!
Kompromiss oder Konfrontation?
Flexible Mehrheiten werden nötiger, das ist vielleicht gut
Der Check
Verschärft Migration den Mangel an Fachkräften?
Niederlage für Baschar al-Assad
Zusammenbruch in Aleppo
Eine Chauffeurin erzählt
„Du überholst mich nicht“
Kinderbetreuung in der DDR
„Alle haben funktioniert“