Grundsätzlich ist die Veröffentlichung des BSI-Jahresberichts zumindest in den vergangenen Jahren eine relativ überraschungsarme Veranstaltung gewesen. Allgemein wird bestätigt (beziehungsweise mit objektiven Zahlen untermauert) was den meisten, die sich zumindest gelegentlich mit Cybersecurity beschäftigen, ohnehin im Gefühl hatten: die Bedrohungslage ist unvermindert hoch, Tendenz eher steigend. Und grundsätzlich kann dies als Teil einer natürlichen Entwicklung gesehen werden. Mit zunehmender Durchdringung digitaler Technologien in sämtliche Bereiche des Alltags (auch wenn dies in Deutschland in seinem sehr eigenen Tempo geschieht) vergrößert sich ebenfalls die Angriffsfläche, was die absolute Zahl der Vorfälle steigen lässt.
Von dieser Entwicklung betroffen sind vor allem Unternehmen und Behörden, was zu einem nicht zu vernachlässigen Anteil auf die Professionalisierung der Cybercrime-Branche zurückzuführen ist. Ransomware ist hier die Geschäftsmodell-Innovation der Stunde, die vor allem eines ermöglicht: Skalierung. Arbeitsteilung gab es im Cybercrime-Umfeld seit eh und je, auch über Landesgrenzen hinweg. Doch während es sich von Kreditkartenbetrug für einzelne Kriminelle gut leben ließ, enthoben die massiven Geldbeträge, die sich durch Ransomware erpressen lassen, die Branche aus ihrer Start-up-Phase. Das Einzige, was Investoren von einem Investment in „LockBit“, dem Ransomware-Einhorn, abhält ist die Illegalität.
Düster sieht es demnach für die Wirtschaft aus, die sich einem sich stets weiter professionalisierenden Gegner ausgeliefert sieht. Doch wie steht es um die Cybersicherheit der privaten Haushalte? Objektive Aussagen lassen sich hierzu kaum treffen, da es zu entsprechenden Angriffen kaum belastbare Zahlen gibt. Dies ist selbst im Wirtschaftsumfeld ein Problem, da vor allem Branchen, die keiner Meldepflicht unterliegen, verhaltene bis wenig Motivation aufbringen, Vorfälle zur Meldung zu bringen. Es besteht demnach ein nicht zu vernachlässigendes Dunkelfeld neben der Statistik. Derartige Meldepflichten bestehen (sinnvoller Weise) für private Haushalte schon gar nicht und somit ist man hier fast vollständig auf das subjektive Gefühl angewiesen. Und dies sagt: es geht bergauf.
Private Haushalte: Ein unattraktives Ziel?
Grundsätzlich sind private Haushalte ein vergleichsweise unattraktives Ziel für Cyberattacken, einfach aufgrund des begrenzten (im Vergleich zu Unternehmen als Ziel) monetären Ertrag. Und abseits von Angriffen durch gewinnorientierte Kriminelle lässt sich subjektiv ein Rückgang der Verbreitung von Malware desjenigen Typus erkennen, der den Rechner aus reinem Spaß an der Freude unbenutzbar werden ließ. Wie gesagt, alles subjektiv, aber gerade deshalb darf sich der Leser an dieser Stelle fragen: Wann musste er zuletzt seinen Rechner komplett neu aufsetzen, weil dieser nach einer Malware-Infektion aus purer Böswilligkeit jede fünf Minuten neu startete?
Die Gründe hierfür mögen divers sein. Insbesondere sind die heutigen Betriebssysteme vor allem gegen technisch wenig elaborierte Schabernack-Attacken von zum Sadismus neigender Scriptkiddies von Haus aus besser abgesichert. Doch wer die eigentlichen Helden in dieser Geschichte sind, vermag auf den ersten Blick zu überraschen: Netflix und Spotify.
Denn (wieder rein subjektiv festgestellt) mit dem Rückgang der Nutzung illegaler Filesharing-Plattformen, wird Malware ihr wichtigster Verbreitungskanal genommen. Die Jugend von heute kann das kribbelige Gefühl beim Öffnen einer MP3-Datei (nach zehnstündigem Download) gar nicht mehr nachvollziehen. Hat es uns geschadet? Wenigstens haben wir so gelernt, ein Betriebssystem neu zu installieren. Die Zeit soll jedoch nicht verklärt werden. Grundsätzlich ist es zu begrüßen, heute einen neuaufgesetzten Rechner länger als sechs Monate am Stück benutzen zu können.
Keine Häme, sondern Demut
Doch was können wir hieraus ziehen, außer einem wohlig warmen Gefühl der Nostalgie? Nostalgie ist ja ohnehin vor allem der emotionale Rückzugsort des Hängengebliebenden. Die Antwort lautet vor allem: Demut. Die Häme des Experten gegenüber dem technisch weniger versierten Anwender ist leider immer noch allgegenwärtig. Gerade in Bezug auf Phishing-Attacken wird schnell eine Täter-Opfer-Umkehr betrieben, die dem Geschädigten selbst die Schuld gibt, auf einen Phishing-Versuch hereingefallen zur sein.
Ein Reflex, der Betrugsopfern oft entgegengebracht wird. Dabei wird vergessen, dass vor allem professionelle Betrüger gerade nicht auf die Dummheit oder das Unwissen ihrer Opfer angewiesen sind, sondern Bedürfnisse und Emotionen gezielt manipulieren und auszunutzen. Natürlich gibt es auch die plumpen Phishing-Methoden. Der Thermomix für 1€ sollte auch einen technisch nicht gebildeten Nutzer skeptisch machen.
Eine Rückbesinnung auf die eigene Person vor der Entwicklung in die finale Form des allwissenden IT-Experten kann hierbei durchaus helfen, um Empathie zu entwickeln. Wer noch nie seinen Familienrechner mit Stuxnet-Home-Edition angesteckt hat bei dem Versuch, das neue 50-Cent-Album über Limewire, Kazaa oder Emule zu laden, werfe den ersten Stein. Sämtliche genannten Interpreten sind als Platzhalter zu interpretieren, die nichts mit dem tatsächlichen Musikgeschmack des Autors zu tun haben. Der Autor gibt jedoch sein Ehrenwort, zu allen Zeiten, gerade es im Jugend- oder Erwachsenenalter, einen geradezu unverschämt vorzüglichen Musikgeschmack gehabt zu haben.
Das Katzenbild ist nicht das Problem
Ohnehin darf die teils überbordende Betonung des menschlichen Faktors der IT-Sicherheit – zumindest bezogen auf den nicht technischen Endanwender – bezweifelt werden. Wenn die Sicherheit der Unternehmens-IT davon abhängt, dass Manfred (60) aus der Buchhaltung nicht auf ein Katzenbild klickt, dann ist vielleicht nicht Manfred, sondern grundlegende (Sicherheits-)Design-Entscheidungen des Systems das Problem. Darüber hinaus ist zu betonen, dass Manfred fachlich ein exzellenter Buchhalter ist, der verdeutlicht, dass auch Arbeitnehmer über 50 mit ihrer reichen Erfahrung ein Asset für jedes Unternehmen darstellen. Häme ist an dieser Stelle entsprechend sowohl fachlich als auch charakterlich unangebracht. Wer dies beherzigt, entwickelt demnach nicht nur professionell, sondern auch menschlich weiter.
Dieser launige Kommentar zum Spotify-Effekt soll aber auch nicht darüber hinwegtäuschen, dass die IT-Sicherheit privater Haushalte auch künftig ein Problem sein wird. Auch hier ist der Grund, dass die zunehmende Digitalisierung immer mehr Produkte und Lebenssachverhalte die potenzielle Angriffsfläche vergrößert. Der europäische Gesetzgeber zeigt durch Vorhaben wie dem Cyber Resilience Act, der vor allem die Hersteller bei der Umsetzung geeigneter Sicherheitsmaßnahmen in die Pflicht nehmen soll, dass er das Problem als Produktsicherheitsthema begreift.
Zum Abschluss bleibt die Gelegenheit, allen Musikern zu danken, welche die schamlos geringen Beteiligungen an den Streaming-Gewinnen akzeptieren, nur um die Sicherheit unserer Heimcomputer zu garantieren. Aufrichtigsten und herzlichsten Dank! Der eigentliche Lohn soll unser Applaus sein. Sind sie ohnehin gewohnt und bei den Pflegekräften hat es ja auch gereicht.
Nils Brinker ist wissenschaftlicher Mitarbeiter am Digital Society Institute der ESMT Berlin.