»Universitäten sind für Spionage interessant «
Die Journalistin Eva Wolfangel fordert eine bessere technische Abwehr von Cyber-Angriffen
Sie trifft sich mit Ex-Cyber-Kriminellen, um zu erfahren, was sie motiviert, und ärgert sich, wenn sie dann doch auf eine Phishing-Mail reinfällt: Die Stuttgarter Journalistin Eva Wolfangel ist ausgewiesene Expertin für digitale (Un-)Sicherheit. Vergangenes Jahr erschien ihr Buch »Ein falscher Klick: Hackern auf der Spur«. Bei den Ulmer Denkanstößen hielt sie den Abschlussvortrag und forderte ein Umdenken für unsere Sicherheit im digitalen Raum. Ein Gespräch darüber, wie sicher unser Online-Leben ist, welche Vorkehrungen sich lohnen und warum manche Maßnahme eher kontraproduktiv ist.
Frau Wolfangel, wie sicher fühlen Sie sich, wenn Sie im Alltag im Internet unterwegs sind – beim Banking oder Online-Shopping zum Beispiel? Treffen Sie spezielle Sicherheitsvorkehrungen?
Eva Wolfangel: »Ich nutze Online-Banking schon auch, aber ich bin vorsichtig. Ich schaue regelmäßig auf die Kontoauszüge. Wenn man sich der Gefahren bewusst ist, ist das ein guter Kompromiss – aufmerksam zu sein. Und ich schaue, dass ich möglichst nur zu seriösen Online-Händlern gehe. Vor allem kleine Shops unterschätzen es leider oft, dass es für Angreiferinnen und Angreifer interessant ist, dort Kontodaten abzugreifen. Sicherheit wird oft nicht bedacht und kommt deshalb zu kurz. «
Fühlen wir uns als Gesellschaft insgesamt zu sicher, was Online-Kriminalität angeht? Sind wir zu naiv?
»Viele Dinge werden unterschätzt, zum Beispiel die Gefahr von öffentlichen Hotspots, die von Angreifern manipuliert oder imitiert sein können. Gleichzeitig sind sie auch praktisch, gerade, wenn man im Ausland unterwegs ist. Das ist ein Riesenproblem, weil man das Internet ständig braucht. Es hilft, wenn man einen VPN-Dienst (eine virtuelle, private Netzwerkverbindung, über die Daten verschlüsselt übertragen werden, Anm. d. Red.) nutzt. Das machen aber auch nicht viele Menschen. Für mich habe ich beschlossen, Hotspots möglichst wenig zu nutzen. «
Das eine ist die private Internetnutzung. Viele Unternehmen und Behörden versuchen, ihre Mitarbeitenden für Datensicherheit zu sensibilisieren, zum Beispiel mit E-Learning und Phishing-Test-Mails. Was bringt das?
»Das machen viele Unternehmen vor allem deshalb, weil es eine Auflage der Cyber-Versicherung ist. Das führt aber auch dazu, dass Unternehmen oft die Verantwortung auf ihre Angestellten abschieben und die technischen Möglichkeiten für mehr IT-Sicherheit gar nicht ausschöpfen. Zudem gehen solche Trainings oft nach hinten los: Die Betroffenen sind verunsichert, weil sie auf eine Test-Phishing-Email reingefallen sind. Manche melden dann jede E-Mail beim Support – oder sie öffnen viele E-Mails gar nicht mehr, obwohl sie wichtig sein könnten.«
Andererseits kennen wir alle die Situation, dass Mitreisende im Zug offen an Präsentationen arbeiten oder geschäftlich telefonieren. Kann ein solches Training als Baustein einer Sicherheitsstrategie auch hilfreich sein?
»Doch, schon. Man muss aufklären und sensibilisieren. Wir wissen, dass Emotionen beim Lernen helfen – wenn es nicht gerade die Emotion >Mist, ich bin auf die Test-Mail reingefallen< ist. Es reicht nicht, den Menschen zu sagen: Schaut halt genau hin, strengt euch mehr an – weil es nicht funktioniert.«
Tatsächlich ist es so, dass man technisch sehr viel mehr machen kann, als viele Unternehmen tun
Sie sind selbst vor Kurzem auf eine Phishing-Mail reingefallen, die – zum Glück – nur ein Test war. Wie fühlt es sich an, als Expertin reingelegt zu werden?
»Es fühlt sich richtig, richtig doof an. Ich habe mich erst sehr geärgert und dann sehr geschämt. Das ist Lernen auf die schmerzhafte Art – es gibt kein Erfolgserlebnis, man lernt nur, dass man es nicht kann. Ich kann mir zwar erklären, wieso das passiert ist: weil es einen Zusammenhang gab zu einem realen Ereignis. Aber das heißt auch: Sobald so ein Zufall mitspielt, der eine E-Mail besonders plausibel wirken lässt, hilft kein Training.«
Mit welchen Tricks legen Online-Betrüger uns rein?
»Neben dem Ausnutzen von Sicherheitslücken zum Beispiel von Online-Shops vor allem mit Social Engineering. Die Angreifer nutzen dabei psychologisches Wissen aus. Sie bauen etwa durch Dringlichkeit Druck auf und sprechen Emotionen an, weil dann kritisches Denken aussetzt. Wenn schnell und intuitiv entschieden werden muss, weil gedroht wird, dass man sonst den Zugang zu seinem Konto verliert oder andere schlimme Dinge geschehen, dann erschrickt man und macht, was verlangt wird, um aus dieser Situation rauszukommen. Dagegen sind wir nicht gewappnet.«
Und das lohnt sich für die Kriminellen?
»Die verschicken Millionen Mails. Es reicht, wenn einige wenige Empfängerinnen und Empfänger gerade zufällig in einer Situation sind, die zum Inhalt der Betrugsmail passt, sie zum Beispiel gerade tatsächlich auf ein Paket warten oder ein wichtiges Meeting verpasst haben. Wir müssen umdenken, weil wir von professionellen Betrügern angegriffen werden, die die Natur des Menschen ausnutzen.«
Sollte und könnte die Technik uns nicht davor schützen?
»Tatsächlich ist es so, dass man technisch sehr viel mehr machen kann, als viele Unternehmen tun, etwa Phishing-Mails mit technischen Maßnahmen ausfiltern. Wenn sie das nicht tun, wächst der Druck auf die Angestellten – weil sie dann selbst viel mehr filtern müssen.«
Was motiviert Cyber-Kriminelle?
»Man kann damit in kurzer Zeit sehr viel Geld machen. Ein ehemaliger Hacker aus Moskau, mit dem ich gesprochen habe, hat mir gesagt: >Wir waren arm, der Westen reich, das ist ungerecht.< In Russland kommt dann noch Patriotismus dazu: Mit Hacking verteidigt man sein Land. Und kriminelle Hacker werden dort nicht von den Strafbehörden verfolgt, solange sie keine russischen Bürger und Institutionen angreifen.«
Spielt das auch im Angriffskrieg Russlands auf die Ukraine eine Rolle?
»Ja, Cyber-Angriffe helfen auch bei der Kriegsführung. Viele hatten darauf gewartet, dass nun richtig ausgefeilte Cyberangriffe starten – schließlich ist bekannt, dass die russischen Staatshacker diese schon ausgeführt haben. Aber gerade cyberphysische Angriffe auf kritische Infrastrukturen stehen bei einem physischen Angriffskrieg nicht in der ersten Reihe – das lässt sich mit kinetischen Waffen viel effizienter erreichen. DoS-Attacken, bei denen Server gezielt mit vielen gleichzeitigen Anfragen überlastet werden, passieren allerdings seit Kriegsbeginn in einem Ausmaß, wie man es zuvor nicht gekannt hat. Das hat sich ganz enorm gesteigert.«
Auch Universitäten sind immer wieder Cyber-Angriffen ausgesetzt. Was macht sie für Hackerinnen und Hacker so interessant?
»Gerade Universitäten und öffentliche Verwaltungen sind oft miserabel geschützt. Dabei liegen auf deren Servern die ganzen persönlichen Daten, Zeugnisse, Krankmeldungen und geheime Forschungsarbeiten, geistiges Eigentum also. Das ist durchaus für Spionage interessant, da fließt viel Wissen ab und da gibt es viele Versuche, dranzukommen, unter anderem aus China. Das ist keine Verschwörungstheorie, das wissen wir.«
Was können Universitäten tun, um sich zu schützen?
»Es hilft, die Perspektive der Angreifenden einzunehmen. Hochschulen haben umfangreiche, dezentrale IT-Systeme und eine hohe personelle Fluktuation. Viele sagten mir, das sei nicht zu überblicken. Deshalb muss man regelmäßig das eigene System scannen und schauen, was dort alles läuft. Was auch hilft: eine verantwortliche Person benennen für jeden Server, der neu eröffnet wird – und ihn entweder abschalten, wenn diese Person die Uni verlässt, oder jemand anderen dafür in die Verantwortung nehmen.«
Text: Christine Liebhardt
Fotos: Kris auf Pixabay, Teresa Mangold