Bei Cyberangriffen gilt nicht mehr nur Prominenz als ausschlaggebendes Kriterium wie etwa bei einem hervorgehobenen Ziel wie dem Deutschen Bundestag. Gerade erst erholt sich die Stadtverwaltung Potsdam mühsam von einer sogenannten Brute-Force-Attacke, nach der über den Jahreswechsel erst einmal sämtlicher digitaler Betrieb eingestellt werden musste (Tagesspiegel Background berichtete).
Diese Methode ist eine von vielen Instrumenten aus dem Baukasten der Cyberkriminalität. Dabei werden dieser Tage immer seltener Programmierkenntnisse vorausgesetzt, denn es gilt: Eine Cyberattacke kann heute schnell für wenig Geld eingekauft werden. Auch die Arbeitsschritte sind mittlerweile unterteilt. Während die einen erst einmal auf Verdacht jede Menge an Daten und Informationen sammeln und in Pakete bündeln, kaufen andere eben jenes Paket und bespielen zusammen mit einer Phishing-Webseite die E-Mail-Postfächer, damit den daraus erreichten Zugang wieder andere ohne jegliche IT-Kenntnisse ausbeuten können.
Ob es danach um das Sperren von Daten für eine Lösegeldforderung geht, um das tägliche Mitlesen oder das Manipulieren von Nachrichten, ist dann offen. Das Einfallstor ist dabei aber längst nicht mehr die Technik, denn das ist dank moderner Chip-Architektur und Software mittlerweile relativ teuer. Viel günstiger ist demgegenüber etwas ganz anderes: Der Mensch.
Psychologische Taschenspielertricks
Statt um hohe IT-Künste geht es daher mittlerweile eher um psychologische Taschenspielertricks und ein mitunter aufeinander aufbauendes Agieren. Das Einfallstor Nummer 1 ist dabei das Konto. Damit wir digital agieren können, brauchen wir eine digitale Identität. Meist wird diese durch ein von (hoffentlich) uns eingerichtetes Konto sichergestellt: Ob in den sozialen Netzwerken, beim Online-Banking oder wie jüngst bei der Beantragung der Studierenden für ihre 200 Euro-Einmalzahlung über die BundID. Das Konto ist unser digitaler Nachweis, dass wir es wirklich sind.
Beim Phishing – dem Neologismus aus „Passwort“ und „Fishing“ (engl. Abfischen) – gaukelt einem beispielsweise eine E-Mail vor, von einer Bank oder einem Paketdienstleister zu stammen. Die dazugehörige Webseite, über die man sich dann einloggen möge, sieht mitunter täuschend echt aus. Und obwohl viele diese Tricks mittlerweile kennen, fallen immer noch genügend darauf rein: Im Zeitraum 2020/21 lag etwa der Schaden von Ransomware-Angriffen im deutschen Mittelstand bei über 220 Milliarden Euro.
Unternehmen, die das erkennen, wissen sich zumeist in solchen Fällen mit Geld zu helfen. Sie engagieren IT-Firmen, rüsten ihre Elektronik um und schulen Mitarbeitende. Private Personen hingegen werden zumeist darum gebeten, ihre Zeit herzugeben: Einrichtung eines Passwortmanagers, Nutzung von Multi-Faktor-Authentifizierungen oder auch händisches Überprüfen von Adressen sind nur einige der Themen, die anstehen. Aber was ist mit der Politik? Die hat weder Zeit noch Geld.
Warum Politiker:innen ins Visier geraten
Dabei kann sich eine Verwaltung wie die Landeshauptstadt Potsdam durchaus auch finanziell helfen. Aber was macht eine kleine Ortschaft im Oderbruch? Was ist mit einem Kreisverband einer Partei? Was macht eine ehrenamtliche Bürgerbewegung? Die Hektik des politischen Betriebs, sowie der grundsätzlich einladende und offene Mitmachcharakter machen die Anfälligkeit für Angriffe zudem besonders hoch.
Dazu kommt auch: In der Politik haben wir es in unserer Demokratie mit einem absoluten Querschnitt der Gesellschaft zu tun. Entsprechend unterschiedlich sind die Vorkenntnisse in der IT-Sicherheit. Doch ein nachhaltiges Verständnis dafür ist mittlerweile eine der Grundlagen unserer Demokratie: Politische Prozesse leiden, wenn die Kommunikation etwa blockiert oder Politik vom Informationsfluss abgeschnitten wird. Auch deshalb braucht es eine gemeinsame Kraftanstrengung – aus Bundes- und Landesministerien und Privatwirtschaft, um politisch Aktive zu schulen und zu befähigen.
Sven Kindervater ist Referent bei PolisiN – Politiker:innen sicher Netz, das kostenfreie Workshops für politisch aktive Personen anbietet.
