URI: 
       # taz.de -- IT-Berater über Sicherheit im Netz: „Ein fundamentales Unverständnis“
       
       > Künstliche Intelligenz bringt Hackern neue Möglichkeiten für
       > Cyber-Angriffe. IT-Berater Linus Neumann erklärt, warum sich Menschen
       > online schlecht schützen.
       
   IMG Bild: Das Leben ist gefährlich
       
       taz: Herr Neumann, was sind aktuell die größten Gefahren im Netz? 
       
       Linus Neumann: Das größte Problem, das der Westen hat, ist Ransomware:
       Damit werden Unternehmen gehackt, ihre Daten verschlüsselt, und die
       Angreifer fordern ein Lösegeld, um die Daten wiederherzustellen. Das hat
       [1][2023 mindestens 81 Unternehmen] wie das KaDeWe, den Hamburger Flughafen
       oder den Trinkwasserverband einer Kommune getroffen. Bei Prominenten oder
       auch Aktivist*innen wird oft versucht, durch Phishing Zugriff auf die
       Accounts zu bekommen. Und eben digitale Gewalt in allen Formen, meist gegen
       Frauen. Zum Beispiel kann zum Stalking Schadsoftware auf persönlichen
       Geräten wie dem Mobiltelefon installiert werden.
       
       Und mit welchen neuen Trends müssen wir dieses Jahr rechnen? 
       
       Mit Praktiken, die Leute dazu anleiten, selbst Fehler zu machen. Zum
       Beispiel CEO Fraud, wo eine Person behauptet, die Geschäftsführerin zu
       sein, und einen Angestellten dazu bringt, Geld irgendwo hin zu überweisen.
       
       Gab es das nicht früher schon, per Telefon? 
       
       Ja, genau. Spannend ist das, weil es überhaupt nichts mit IT-Sicherheit zu
       tun hat, sondern nur mit den Menschen, die getäuscht werden, und die
       Möglichkeiten dafür jetzt besser werden – durch so etwas wie ChatGPT.
       Dadurch verschwinden für Angreifer Herausforderungen wie die
       Sprachbarriere.
       
       Können Cyberangriffe auf CEOs und Unternehmen uns als normale Menschen
       nicht egal sein, denn die gefährden doch Gewinne, an denen die Mehrheit der
       Gesellschaft ohnehin nicht beteiligt würde, oder? 
       
       Richtig. Wenn ich als Unternehmen eine instabile Infrastruktur baue, dann
       ist das mein eigenes Risiko. Das ist nichts, was ein Staat lösen kann. Wenn
       das aber zu oft passiert und wir ein Angriffsausmaß wie aktuell haben,
       wird das zum wirtschaftlichen oder gesellschaftlichen Problem. Allein die
       Gruppe Black Basta hat zuletzt 100 Millionen damit verdient. Und das ist
       nur eine von sehr vielen. Oder wenn von einer Hotelkette wie Motel One die
       Kundendaten veröffentlicht werden, dann ist das auch ein Problem für diese
       ganz normalen Menschen.
       
       Gibt es auch Parallelen zwischen Angriffen auf Unternehmen und auf
       Individuen? 
       
       Die sind schon unterschiedlich. Gleich ist oft, dass der initiale Angriff
       auf den Menschen abzielt, der so getäuscht wird, dass er eine
       Sicherheitsmaßnahme außer Kraft setzt, zum Beispiel, indem er ein Passwort
       irgendwo eingibt und so Zugriff auf Daten gewährt.
       
       Bei Ihrem [2][Vortrag auf dem CCC-Kongress] Ende Dezember in Hamburg hieß
       es, dass die Betroffenen oft „mit schuld“ seien. Wie war das gemeint? 
       
       Da ging es um einen [3][Fall aus Finnland], in dem ein Hacker behauptete,
       über die Daten von 40.000 Patient*innen des Psychotherapiezentrums
       Vastaamo zu verfügen. Das Problem: Diese Daten waren über Google auffindbar
       und nur mit einem einfachen Passwort geschützt, so dass es sehr einfach
       möglich war, darauf zuzugreifen. Dieser fahrlässige Umgang mit Daten ist zu
       verurteilen. Wer sich so verhält, lädt Angreifer wirklich ein.
       
       Kritisieren Sie fahrlässiges Verhalten von anderen Betroffenen, zum
       Beispiel Frauen oder alten Menschen, genauso wie von Firmen? 
       
       Es tut mir auch leid, dass wir eine Realität haben, in der Schutzmaßnahmen
       ergriffen werden müssen. Aber ich muss beim Fahrradfahren vorsichtig sein,
       weil Rechtsabbieger mich überfahren können. Ich muss meine Haustür
       abschließen, weil sonst Leute reingehen und meine Dinge mitnehmen. Wir
       dürfen hier keine Täter-Opfer-Umkehr betreiben, das ist völlig klar. Aber
       wir müssen verstehen, dass irgendwo eben eine Grenze der fahrlässigen
       Selbst- und Fremdgefährdung verläuft.
       
       Es scheint, die Menschen schützen sich im analogen Raum besser als im
       digitalen. Wie erklären Sie als Psychologe sich das? 
       
       Ich glaube, dem zugrunde liegt ein fundamentales Unverständnis, nämlich
       dass die Leute nicht verstehen, wie die Angriffe funktionieren. Die
       Menschen haben häufig wildeste Fantasien, wie sie gehackt werden.
       
       Welche denn? 
       
       Mich schreiben auf Social Media zum Beispiel häufig Frauen an, die den
       Verdacht haben, dass Schadsoftware auf ihrem Handy ist. Die glauben dann,
       das kam aus dem Internet, und kommen gar nicht auf die Idee, dass ihr Mann
       einfach ihr Handy nimmt, während sie im Bad sind.
       
       Warum müssen Opfer verstehen, wie Täter denken? 
       
       Weil man Zeit und Energie in Sorgen oder in Schutzmaßnahmen investiert, die
       nicht zielführend sind. Wenn du nicht weißt, wie ein Angreifer vorgeht,
       weißt du auch nicht, wie du dich effektiv dagegen schützt.
       
       Viele denken auch: „Ach, ich bin weder ein Millionenunternehmen noch ein
       Promi, wieso sollte mich jemand angreifen?“ 
       
       Ja, dieser naive Optimismus ist ein anderer Grund, dass Leute sich nicht
       schützen. Aber es gibt ein paar Dinge, die fast jeder Mensch hat, die
       Kriminelle interessieren. Zum Beispiel ein Bankkonto [lacht]. Sagen wir
       mal, die Angreifer versenden 100.000 E-Mails, das kostet sie null Euro und
       maximal einen Tag Arbeit. Wenn da nur einzige Person draufklickt und die
       Anweisung befolgt, haben sie Zugriff auf dein Konto, auf dem, sagen wir mal
       „nur“ 3.000 Euro liegen. Also für mich wäre das ein super Tagessatz.
       
       Zum Glück sind viele dann doch schlau genug, nicht mehr auf Phishing-Mails
       hereinzufallen. Aktiv richten sie dennoch keine Schutzmaßnahmen ein. Hat
       das nicht auch materielle Gründe wie Zeit- und Geldmangel? 
       
       Das glaube ich nicht, die meisten Vorkehrungen sind kostenlos und dauern
       nicht lang. Zum Beispiel den E-Mail-Account mit einem zweiten Faktor zu
       schützen, ist kostenlos. Das einzurichten dauert keine fünf Minuten. Das
       ist eine der wichtigsten Maßnahmen, falls das Passwort verloren geht oder
       man gehackt wird. Aber die wird eben von den meisten Leuten als nervig und
       vor allem unnötig empfunden.
       
       Sie und andere IT-Experten reden sich darüber seit Jahren den Mund
       fusselig, trotzdem hören viele nicht darauf. Frustriert Sie das eigentlich? 
       
       Na, ich kann die Leute ja nicht zwingen. Ich kann nur immer wieder sagen:
       Ihr müsst viele Fehler nicht selber machen, es gibt genug andere, von denen
       ihr lernen könnt, und das Internet ist voll von Leuten, die so was
       verständlich erklären. In IT-Sicherheit investieren müsst ihr sowieso –
       entweder vor dem Angriff oder danach.
       
       19 Jan 2024
       
       ## LINKS
       
   DIR [1] https://www.csoonline.com/de/a/diese-unternehmen-hat-s-schon-erwischt,3674038
   DIR [2] https://media.ccc.de/v/37c3-12134-hirne_hacken_hackback_edition
   DIR [3] /Die-Gefahren-des-digitalen-Impfpasses/!5745031
       
       ## AUTOREN
       
   DIR Lotte Laloire
       
       ## TAGS
       
   DIR Cybersicherheit
   DIR Psychologie
   DIR Schwerpunkt Chaos Computer Club
   DIR Hacker
   DIR CCC-Kongress
   DIR Schwerpunkt Krieg in der Ukraine
   DIR TV-Serien
   DIR Digitalisierung
   DIR Hacker
   DIR Schwerpunkt Künstliche Intelligenz
   DIR Bitcoin
   DIR Datenschutz
   DIR Cyberkriminalität
       
       ## ARTIKEL ZUM THEMA
       
   DIR Der CCC 2024 in Hamburg: Digitaler Widerstand
       
       Beim Chaos Communication Congress treffen sich ab 27. Dezember Wissen,
       Politik und Solidarität. Ein Fest – nicht nur für alle, die gerne hacken.
       
   DIR Von Moskau zurück nach Berlin: Berlin will mit Botschafter beraten
       
       Die Bundesregierung sieht Russland als Urheber von Cyber-Angriffen. Nun
       wurde der deutsche Botschafter Lambsdorff zu Konsultationen zurückgerufen.
       
   DIR Netflix-Serie über Missbrauch an Männern: Ehrlich, mutig, verletzlich
       
       „Rentierbaby“ ist eine einzigartige Geschichte, gespielt von dem, der sie
       wirklich erlebte. Es geht um sexuellen Missbrauch an Männern.
       
   DIR Versicherungen gegen digitale Gefahren: Schutz mit Lücken
       
       Was nützen Versicherungen, die bei Cyberkriminalität helfen sollen? Eine
       Untersuchung kommt zu einem durchwachsenen Fazit.
       
   DIR Lockbit zerschlagen: „Schädlichste Hackergruppe der Welt“
       
       Ob Privatpersonen oder Firmen – Lockbit hat Tausende mit Daten erpresst und
       zu Opfern gemacht. Jetzt haben Ermittler*innen die Gruppe wohl
       zerschlagen.
       
   DIR Bündnis fordert KI-Regeln: Bundesregierung soll handeln
       
       Das europäische KI-Gesetz kippelt auf den letzten Metern vor der
       Verabschiedung. Nun fordert eine breite Allianz die Bundesregierung zum
       Handeln auf.
       
   DIR Bitcoin-ETF und die SEC: Zwischen Mainstream und Manipulation
       
       Die US-Börsenaufsicht SEC könnte bald die ersten Bitcoin-ETFs genehmigen.
       Für Aufregung sorgt nicht nur das – sondern auch ein Hackerangriff.
       
   DIR EuGH zu Schadenersatz bei Datenleaks: Geld für Angst
       
       Bereits bei einem möglichen Missbrauch persönlicher Daten können Betroffene
       Schadenersatz einklagen. Das hat der Europäische Gerichtshofs entschieden.
       
   DIR Immer mehr Cybercrime in Deutschland: Bedrohung „so hoch wie nie“
       
       Das Bundesamt für Sicherheit in der Informationstechnik warnt vor
       steigender Cyberkriminalität. Die Schäden gingen in die Abermilliarden
       Euro.