Naivität im Netz: "Die Schwachstelle Mensch kann leicht ausgenutzt werden"
60 Prozent der Cyberangriffe zielen laut einer aktuellen Studie der Unternehmensberater von KPMG auf die Schwachstelle Mensch. Nicht selten sind sie auch erfolgreich. "Sind wir zu naiv? Machen wir es Hackern zu einfach?" Diesen Fragen gingen Experten Ende Oktober bei der Sicherheitskonferenz der Donau-Universität Krems nach.
Die Menschen hätten im Internet dieselben Schwächen wie im analogen Leben, allerdings sei es für Kriminelle im Netz einfacher Täuschungshandlungen zu setzen, sagte Leopold Löschl, Leiter des Cybercrime Competence Center (C4) im Bundeskriminalamt. "Das liegt auch daran, dass viel zu leicht geglaubt wird, was im Internet zu sehen ist."
Bei Betrügereien im Netz würden Sehnsüchte, Wünsche und Notlagen von Menschen gezielt ausgenutzt, sagt Bernhard Jungwirth vom Österreichischen Institut für angewandte Telekommunikation, das mit Initiativen wie Watchlist Internet oder Saferinternet.at Hilfestellungen anbietet: "Es werden auf einer sehr tief verankerten emotionalen Ebene Menschen angesprochen."
Heizdeckenfahrt
"Vor 30 Jahren haben Menschen eine Werbefahrt gebucht und sind für 99 Schilling eine Woche nach Paris gefahren. Sie haben sich dann gewundert, dass sie mit einer Heizdecke um 25.000 Schilling zurückgekommen sind. Im Prinzip ist es heute im Internet nichts anderes", sagt Alexander Janda, Generalsekretär des Kuratorium Sicheres Österreich (KSÖ). Sehr viele der digitalen Unsicherheiten können vom gesunden Menschenverstand abgefangen werden. Wenn man sich an einige grundsätzliche Regeln und Verhaltensprinzipien halte, könne man sein Sicherheitsniveau erhöhen. Jeder könne Opfer solcher Betrugsversuche und Angriffe werden, meinte Janda. Deshalb sei es keine Frage, ob man angegriffen werde, sondern welche Strategien man entwickle, um solche Angriffe abzuwehren.
"Angriffsversuche werden immer besser", sagt Maresa Meissl, die die Abteilung Informationssicherheit in der EU-Kommission leitet und damit für die Sicherheit bei der Behörde verantwortlich ist. Es seien nicht mehr irgendwelche nigerianischen E-Mails in schlechtem Englisch, sondern E-Mails zu Themen, mit denen die jeweiligen Mitarbeiter arbeiten. "Wenn man nicht wirklich genau aufpasst, könnte es zu spät sein."
Die wenigsten Mitarbeiter würden glauben, dass sie für Angreifer interessant seien, warnt Meissl. 80 Prozent der versuchten Angriffe seien aber darauf zurückzuführen, dass Mitarbeiter irgendwo hingeklickt haben, erzählt die EU-Beamtin. "Sie würden nicht glauben, wie viele Leute auf einen Link klicken, wenn ihnen 50 Prozent Vergünstigung versprochen werden."
Bewusstseinsbildung
Deshalb arbeite man bei der EU-Kommission kontinuierlich daran, Leute auf Gefahren aufmerksam zu machen. Gefälschte Phishing-Attacken stehen dabei ebenso auf dem Programm wie Schulungen und Vorträge.
Auf Schulungen der Mitarbeiter setze man auch bei den ÖBB, sagt Gerald Färber, IT-Sicherheitsverantwortlicher bei der ÖBB Personenverkehr AG. Die Programme werden speziell auf jeweilige Zielgruppen zugeschnitten. Was passiert, wenn Fehler passieren? "Unser Ansatz ist, dass wir die Leute aufklären und ihnen zeigen, was passieren kann." Bis 2020 werde auch jeder Mitarbeiter im Konzern eine digitale Identität erhalten, kündigt Färber an.
Generationsunterschiede
Gibt es Unterschiede zwischen den Generationen, was den Umgang mit der Cybersicherheit betrifft? "Wir haben das Gefühl, dass wir bei jungen Menschen Angst machen müssen, während wir älteren Menschen die Angst nehmen müssen", sagt Jungwirth.
Bei Offlinern und Einsteigern in die digitale Welt sei das Thema Sicherheit eine der größten Barrieren. Bewusstseinsbildungsmaßnahmen müssten zielgruppenspezifisch gestaltet werden. Eine Herausforderung sei es auch, abstrakte Gefahren zu veranschaulichen, meint Jungwirth: "Die Folgen eines brennenden Weihnachtsbaums lassen sich schnell erkennen, in der digitalen Welt ist es schwieriger zu verstehen, wo die größten Risiken bestehen."
"Digital Naives"
Mit entsprechenden Maßnahmen müsse früh begonnen werden, mahnt Jungwirth. Bedarf gebe es bereits im Kindergarten, Sicherheit müsse auch im Schulsystem als Selbstverständlichkeit verankert werden. Unter den "digital natives", den digitalen Eingeborenen, die in der digitalen Welt aufgewachsen seien, gebe es viele "digital naives" ("digitale Naive"), meint KSÖ-Generalsekretär Janda: Viele haben oberflächlich ein bestimmtes Repertoire an Fähigkeiten erworben, um Computerspiele oder soziale Netzwerke nutzen zu können, dahinter sei aber wenig Kompetenz vorhanden, um die technischen Möglichkeiten und Risiken einschätzen zu können. "Ob wir das damit lösen, dass jedes Kind einen Laptop bekommt, ist fraglich", meint Janda: "Möglicherweise vergrößern wir damit das Risikofeld und nicht im ausreichenden Maß das Kompetenzfeld."
Die meisten jungen Nutzer seien oberflächliche Nutzer, erzählt C4-Leiter Löschl. "Sie haben keinen Bezug mehr zur Technologie, alles wird ihnen serviert." Aus Sicherheitsgründen wäre es günstig, einen vertiefenden Zugang zur Technik zu vermitteln. Eine der Basiskompetenzen sei die Informationsbewertungskompetenz, sagt Jungwirth: "Die Fähigkeit Informationen richtig einordnen und bewerten zu können.
Nachholbedarf gebe es auch bei mittelständischen Unternehmen, meint Janda. "Kleine und mittlere Unternehmen wissen, dass sie betroffen sind, sie wissen aber nicht, wie sie damit umgehen sollen.
Schutzmaßnahmen
Cybersicherheit hängt aber nicht nur vom richtigen Verhalten der Nutzer ab. Häufig gelingen Angriffe auch wegen Sicherheitslücken in der Software oder in Geräten . "Im Internet der Dinge haben wir es mit einer Vielzahl von Geräten - vom appgesteuerten Staubsauger und Rasenmäher bis hin zum vernetzten Kühlschrank zu tun, die nicht wirklich geschützt sind", warnt Löschl. "Kriminelle suchen üblicherweise den leichtesten Weg und das sind ungeschützte Zugänge."
Löschl spricht sich dafür aus, Hersteller zu Schutzmaßnahmen zu verpflichten. Aber auch Konsumenten könnten auf sie einwirken: "Man sollte sich beim Kauf auch überlegen, wie sicher die Geräte sind."
Wie geht es weiter?
Welche Bedrohungen erwarten uns in der Zukunft? Informationstechnologie erobere zunehmend Bereiche, die bisher nicht davon betroffen gewesen seien, sagt der ÖBB-Sicherheitsverantwortliche Färber. Kurzfristig seien dramatische Sicherheitsvorfälle durchaus denkbar, langfristig werde die Gesellschaft die Technologie aber in den Griff bekommen.
Mit dem zunehmenden Einsatz von künstlicher Intelligenz werde das Tempo der technologischen Entwicklung noch einmal steigen, mahnt KSÖ-Generalsekretär Janda. Die dadurch entstehenden Herausförderungen könnten nur durch globale Initiativen bewältigt werden. Ob das gelinge, sei fraglich. "Ich bin pessimistisch." Die Erarbeitung globaler Regeln brauche Zeit, sagte EU-Beamtin Meissl. "Wir werden länger daran arbeiten. Schnellschüsse helfen nicht."
Kann die Schwachstelle Mensch zur Stärke umgewandelt werden? Es werden sich kulturelle Praktiken etablieren, die uns helfen, meint Jungwirth. Schulungsmaßnahmen und Problembewusstsein würden dazu beitragen, dass sich die Situation verbessere, sagt auch Cybercrime-Experte Löschl: "Die Schwachstelle Mensch wird von Kriminellen ausgenutzt, weil sie so leicht ausgenutzt werden kann."