Sie sind hier:

IT-Sicherheit - Die Schwachstelle Mensch

Datum:

Viele haben Angst vor ausgefeilten Hacker-Angriffen, gegen die sich Otto-Normal-Nutzer kaum wehren kann. Dabei ist die Schwachstelle viel öfter der Mensch als die Technik.

Hände auf Tastatur am Laptop
Oft geht in der IT die größere Gefahr von nachlässigen Menschen aus.
Quelle: dpa

Es ist ein Horrorszenario, das Samuel Groß da ausmalt. Auf der Hauptbühne des Chaos Communication Congress erklärt der 27-Jährige, wie er mit einem sogenannten "0-Click-Exploit" ein iPhone hacken konnte. Alles, was er dafür brauchte, war eine Handynummer.

Das Perfide dabei: Der Angegriffene hatte gar keine Chance zu merken, dass er angegriffen wurde. Denn anders als bei Phishing-Angriffen, bei denen Opfer ihre Daten auf Fake-Seiten eingeben müssen, oder sogenannten "1-Click-Exploits", bei denen Nutzer zumindest noch auf einen Link klicken müssen, lief Samuel Groß' Hack völlig unbemerkt.

Der Mensch ist die größere Gefahr

Groß, der für Googles Sicherheitsteam "Project Zero" arbeitet, nutzte dafür einen Programmierfehler in der App iMessage. Der Fehler ist mittlerweile behoben. Im Gespräch mit dem ZDF betont Groß außerdem: Solche Sicherheitslücken auszunutzen, sei sehr aufwändig. Für den normalen Endnutzer spielten solche Gefahrenszenarien daher nicht die Hauptrolle.

Gefährlicher ist es, wenn menschliche Schwächen ausgenutzt werden. Denn meist sind es einzelne Nutzer, die von kriminellen Hackern getäuscht werden und damit ganze Netzwerke von Firmen oder Behörden kompromittieren können. Solche Nutzer sind die Schwachstelle in IT-Systemen, die sich leicht ausnutzen lässt.

Aktuelles Beispiel: die Schadsoftware Emotet, die unter anderem das Klinikum in Fürth lahmgelegt hat. Verbreitet über Spam-Mails mit einem Trojaner im Anhang nutzten die Angreifer die Unbedarftheit der Nutzer aus. Diese Unbedarftheit wird auch bei Phishing-Angriffen ausgenutzt, wenn User beispielsweise auf Fake-Seiten aufgefordert werden, sensible Daten einzugeben.

Die Nutzer müssen mitdenken

Linus Neumann, einer der Sprecher des Chaos Computer Club, kritisierte in einem Talk auf dem Chaos Communication Congress, dass das Problem seit Jahren bestehe, niemand gehe es aber wirklich an.

Zwar werde seit Jahren vor solchen Angriffen mit Spam-Mails gewarnt. Solche Warnungen verpufften aber, da Nutzer häufig auf Buttons oder Links klickten, ohne vorher groß nachzudenken. Dass davor auch IT-Profis nicht gefeit sind, gab Neumann freimütig zu. Er wäre fast selbst auf eine Phishing-Attacke hereingefallen, bei der er seine PayPal-Daten preisgegeben hätte.

Wie lässt sich verhindern, dass Menschen gehackt werden? IT-Experte Linus Neumann hat ein paar Vorschläge:

Benutzeroberflächen könnten so gestaltet werden, dass mögliche Gefahren für die Nutzer besser ersichtlich sind. Wer beispielsweise ein Word-Dokument öffnet, das per Mail versandt wurde, bekommt einen Sicherheitshinweis angezeigt: "Vorsicht - Dateien aus dem Internet können Viren enthalten", steht da. Daneben aber direkt der große Button "Bearbeitung aktivieren". Ein solches Design würde Nutzer dazu verleiten, eher die sichere Ansicht zu verlassen, so Neumann.

Aufklärung hilft - aber nicht lange

Ein zweiter Ansatz: Die Nutzer müssten lernen, nicht auf Angriffe hereinzufallen. Neumann hat dazu in Zusammenarbeit mit Unternehmen Studien durchgeführt. Dabei hat er selbst Phishing-Mails verschickt und gemessen, wie viele Mitarbeiter der Unternehmen diesen Betrugsversuchen aufgesessen sind.

Das Spannende: Wenn Nutzer darüber aufgeklärt werden, dass sie gerade Opfer einer Attacke geworden sind, werden viele von ihnen bei einem zweiten Phishing-Versuch vorsichtiger. Kleiner Wermutstropfen: Dieser Lerneffekt verschwindet nach einigen Monaten wieder.

Sollten wir unsere Passwörter selbst wählen dürfen?

Auf die Vorsicht und Aufmerksamkeit der Nutzer kann man sich also nicht verlassen. Bedenkenswert hält Neumann deshalb, auf eine freie Passwort-Vergabe zu verzichten - die Passwörter werden von den Anbietern also vorgegeben.

Wenn Nutzer sich ihre Passwörter nicht mehr selbst aussuchen können, würden Phishing-Angriffe, bei denen Nutzer angeblich ihr Passwort resetten sollen, wirkungslos. Und: schwache Passwörter, wie das immer noch beliebteste Passwort "123456", würden damit endlich der Vergangenheit angehören.

Wie abhängig wir mittlerweile von Technik sind und welche Probleme das mit sich bringt, lesen Sie hier:

Tasten einer beleuchteten Tastatur

Stadt Frankfurt und Uni Gießen - Wie Hackerangriffe unsere Abhängigkeit zeigen

von Meike Hickmann

Stephan Mündges ist Redakteur der ZDF-Nachrichtensendung heute plus. Dem Autor auf Twitter folgen: @muendges

Gemerkt auf Mein ZDF! Merken beendet Bewertet! Bewertung entfernt Zur Merkliste hinzugefügt! Merken beendet Embed-Code kopieren HTML-Code zum Einbetten des Videos in der Zwischenablage gespeichert.
Bitte beachten Sie die Nutzungsbedingungen des ZDF.

Um zu verstehen, wie unsere Webseite genutzt wird und um Ihnen ein interessenbezogenes Angebot präsentieren zu können, nutzen wir Cookies und andere Techniken. Hier können Sie mehr erfahren und hier widersprechen.

Um Sendungen mit einer Altersbeschränkung zu jeder Tageszeit anzuschauen, können Sie jetzt eine Altersprüfung durchführen. Dafür benötigen Sie Ihr Ausweisdokument.

Sie wechseln in den Kinderbereich und bewegen sich mit Ihrem Kinderprofil weiter.