Podcast

Im Zeitalter der digitalen Transformation ist Cybersicherheit nicht nur eine technologische Herausforderung, sondern auch ein tägliches Anliegen für uns alle geworden. In diesem Podcast spricht Piotr Henzler mit Beata Frankiewicz, Spezialistin für den Aufbau von Cybersicherheits-Bewusstsein beim NASK. Wir erfahren, was Cybersicherheit wirklich bedeutet, welche Gefahren im Netz auf uns lauern und wie einfache Gewohnheiten uns wirksam davor schützen können. Wir geben Tipps, wie man sich nicht manipulieren lässt und warum es wichtig ist, wachsam zu bleiben – selbst beim gewöhnlichen Surfen im Internet. Es lohnt sich zuzuhören, um zu erfahren, wie man seine Daten, Finanzen und Privatsphäre online schützen kann.

Podcast-Transkription

Expertin
Beata Frankiewicz, Spezialistin für den Aufbau von Bewusstsein für Cybersicherheit
NASK, Wissenschaftliches und akademisches Computernetzwerk, ein staatliches Forschungsinstitut

Piotr Henzler: Guten Tag, mein Name ist Piotr Henzler, und ich begrüße Sie zu einem Gespräch über Cybersicherheit. Unsere Expertin für heute ist Beata Frankiewicz. Sie ist Spezialistin für den Aufbau von Bewusstsein im Bereich Cybersicherheit am Staatlichen Forschungsinstitut für Wissenschaftliches und Akademisches Computernetzwerk NASK. Bevor ich unserer Expertin die Frage stelle, was Cybersicherheit überhaupt ist, möchte ich noch hinzufügen, dass dieses Gespräch im Rahmen des Programms „Perspectives: One Europe – Many Stories“ stattfindet. Dieses Projekt wird vom Goethe-Institut koordiniert und von der Europäischen Union gefördert. Und nun zurück zu unserer Expertin.

Beata Frankiewicz: Was ist Cybersicherheit eigentlich – und was genau machst du als Spezialistin für Cybersecurity-Bewusstsein?

Beata Frankiewicz: Wenn ich Cybersicherheit in einem Satz zusammenfassen müsste, würde ich sagen: Es ist der Schutz vor Gefahren im Internet. Es geht darum, wie wir unsere Daten, unsere Privatsphäre und unsere Geräte schützen – aber vor allem auch unser Geld, auf das wir heute über das Internet zugreifen. Und was ich genau mache? Ich sensibilisiere Menschen aus verschiedenen Bereichen für Manipulationen, Social Engineering und ungewöhnliche Situationen, in die man im Netz geraten kann. Damit sie nicht in die Fallen von Cyberkriminellen tappen.

Piotr Henzler: Ist es denn wirklich so gefährlich? Muss ich jedes Mal damit rechnen, dass ich angegriffen werde, sobald ich den Computer einschalte oder mein Smartphone mit dem Internet verbinde, egal, ob ich eine App öffne oder eine Webseite besuche?

Beata Frankiewicz: Vielleicht musst du nicht ständig mit einem Angriff rechnen, aber du solltest es auch nicht ausschließen. Es kann tatsächlich passieren. Dabei spielt es keine Rolle, ob du nur fünf Minuten oder fünf Stunden online bist. Wenn wir uns bewusst machen, was wir eigentlich schützen – also unsere Daten, unser Geld und unsere Geräte –, dann spielt die Dauer der Verbindung keine Rolle. Denn in diesen fünf Minuten könnte durch einen unglücklichen Zufall etwas passieren, was wir uns sicherlich nicht wünschen.

Piotr Henzler: Was kann mir denn konkret passieren, wenn ich online gehe, eine E-Mail verschicke, ein paar Webseiten durchstöbere, etwas lese oder ein Spiel spiele? Womit muss ich rechnen?
Beata Frankiewicz: Du könntest zum Beispiel eine E-Mail bekommen, in der dir jemand unter einem geschickt formulierten Vorwand Druck macht, damit du auf einen Link klickst und dich auf der Website deiner Bank einloggst. Diese Website sieht der Website deiner Bank täuschend ähnlich, ist aber in Wirklichkeit eine von Cyberkriminellen erstellte Website. Wenn du denkst, du wärst auf der echten Seite, gibst du dort deinen Login, dein Passwort und vielleicht sogar einen zusätzlichen Verifizierungscode aus einer App ein. Du bist dir sicher, gut abgesichert zu sein. Schließlich schützt dich dieser zusätzliche Schritt ja eigentlich vor Betrug. Wenn du diese Daten jedoch auf einer gefälschten Website eingibst, landen sie direkt bei den Kriminellen. Und von da ist es oft nur noch ein kleiner Schritt, bis deine Ersparnisse einen neuen Besitzer finden.

Piotr Henzler: Das klingt natürlich ziemlich unangenehm… Aber was kann ich da überhaupt tun? Ich bin doch einfach ein ganz normaler Nutzer. Ich will nur eine Überweisung machen, logge mich ein und dann…

Beata Frankiewicz: Was du tun kannst? Es wäre sinnvoll, sich ein paar eiserne Faustregeln zuzulegen – kleine, feste Routinen, die dir helfen, in unerwarteten Situationen sofort ein rotes Licht aufleuchten zu lassen und wachsam zu werden. So wie wir beim Überqueren einer Straße automatisch nach links, rechts und wieder links schauen – so sollte es auch im Netz gewisse Sicherheitsmechanismen geben, die ganz selbstverständlich ablaufen. Ich logge mich zum Beispiel grundsätzlich nie über einen Link ein, den ich per E-Mail oder SMS erhalten habe – weder bei meiner Bank, noch bei sozialen Netzwerken oder sonstigen Konten. Wenn ich mich bei meiner Bank anmelden will, nutze ich meine gespeicherte Favoriten-Seite oder gebe die Webadresse selbst ein. Dann bin ich halt immer sicher, dass dies die richtige Website ist, dass diese Adresse richtig eingegeben ist. Das ist eine ganz einfache Sache. Wenn wir zum Beispiel auf dem Handy auf einen Link klicken, ist die Adressleiste ziemlich klein. So ist es manchmal schwierig, die vollständige Domainadresse zu sehen und zu überprüfen, ob es wirklich die Adresse unserer Bank ist. Außerdem stellt sich die Frage, ob wir überhaupt daran denken, die Adresse zu überprüfen, wenn wir uns bei der Bank, bei Social-Media-Konten oder bei E-Mails anmelden. So wie wir beim Straßenüberqueren kurz innehalten und nach links und rechts schauen, sollten wir uns angewöhnen, vor dem Einloggen einen Blick auf die URL zu werfen. Stimmen die Buchstaben? Gibt es vielleicht einen seltsamen Buchstaben, ein Symbol oder eine Zeichenfolge, die vorher nie da war?

Piotr Henzler: Aber das, was du beschreibst, ist im Grunde genommen ganz einfach. Man braucht keine IT-Kenntnisse, keine komplexe Analyse, sondern muss nur ein paar einfache Schritte befolgen, um sicherzugehen, dass man alles richtig macht. Warum funktionieren solche Betrügereien also trotzdem?
Beata Frankiewicz: Weil sie sehr geschickt in eine gut konstruierte Geschichte eingebettet sind. Diese Manipulation beruht auf drei Grundpfeilern. Erstens versucht jemand, ein Vertrauensverhältnis aufzubauen. Die Betrüger geben sich als Institutionen, bekannte Personen oder Personen des öffentlichen Vertrauens aus, die mich kontaktieren können, beispielsweise eine Bank. Wir gehen dann automatisch davon aus, dass die Person, die behauptet, ein Bankangestellter zu sein, definitiv ein Bankangestellter ist. Der Vertrauensvorschuss ist also der erste Pfeiler. Zweitens versuchen die Cyberkriminellen, unsere starken Emotionen zu wecken. Beispielsweise wird uns von einem dramatischen Ereignis erzählt, das das Leben oder die Gesundheit unserer Liebsten bedroht. Oder es heißt, unser Bankkonto sei in Gefahr. Wenn man so etwas hört, spürt man oft sofort den Druck und die Angst. Die Gefühle steigen auf und der klare Verstand tritt in den Hintergrund. Drittens wird Zeitdruck aufgebaut. Man müsse sofort handeln, am besten innerhalb der nächsten fünfzehn Minuten. Denn angeblich haben Kriminelle bereits andere Konten geplündert und unser Geld sei in Gefahr. Ein angeblicher Bankmitarbeiter ruft uns an und sagt, es habe ungewöhnliche Aktivitäten auf unserem Konto gegeben und man habe einen Betrugsversuch bemerkt. Aber wir sollen uns keine Sorgen machen, denn das Geld könne schnell auf ein sogenanntes technisches Sicherungskonto überwiesen werden, das die Bank eingerichtet habe. Damit wir uns sicher fühlen, heißt es außerdem: „Die Polizei ist bereits involviert. Gleich wird ein Polizist anrufen und Ihnen bestätigen, dass alles unter Kontrolle ist.“ So entsteht die Illusion: „Ich werde gerade geschützt.“ Dabei befinden wir uns längst mitten im Betrug. Diese drei Faktoren – Vertrauen, Emotionen und Zeitdruck – zusammen sind eine gefährliche Mischung. Während wir hier sitzen und darüber sprechen, denken wir vielleicht: „Mir würde das nie passieren.“ Aber vermutlich gibt es für jede*n von uns ein Szenario, das uns emotional trifft – so sehr, dass wir nicht mehr klar denken können. Vielleicht geht es dann nicht um die Bank, sondern – wie in einem besonders häufigen Fall – um einen angeblichen Unfall. Jemand aus unserer Familie soll eine schwangere Frau angefahren haben. Sie sei gestorben. Jetzt geht es darum, Geld zu zahlen, um eine „einvernehmliche Lösung“ zu erreichen, bevor es zu einer Verhaftung kommt. Wenn man dann am Telefon Schluchzen oder Weinen hört und mehrere Stimmen, die sich als Polizei oder Staatsanwaltschaft ausgeben und diese Geschichte bestätigen, wird der Druck nahezu überwältigend. Wenn man dann nicht erkennt, dass hier genau diese drei Hebel eingesetzt werden – Vertrauen, Emotionen, Zeitdruck; wenn man in so einem Moment nicht kurz innehält und denkt: „Warte, ich bin gerade emotional aufgewühlt – ich muss aufpassen“, dann ist der Weg oft nicht mehr weit, den Anweisungen der Betrüger zu folgen.

Piotr Henzler: Als du mir diese Geschichte mit dem Unfall erzählt hast, ist mir eingefallen, dass ich von ähnlichen Fällen gehört habe. Dabei hat man am Telefon nicht die Stimme einer fremden Person gehört, sondern tatsächlich die eines Familienmitglieds. Beispielsweise die des Kindes, das den Unfall verursacht haben soll, oder die des Ehemanns bzw. der Ehefrau, die in Angst und Panik um Hilfe bitten und darum bitten, schnell zu handeln.

Beata Frankiewicz: Es könnte zwei Situationen geben. Zum einen wollen wir glauben, dass es diese Person war. In solchen Situationen ist unsere Urteilsfähigkeit durch starke Emotionen ein wenig beeinträchtigt. Zum anderen kann die Klangfarbe der Stimme Zweifel auslösen. Dann sagt die Person vielleicht: „Aber ich bin doch erkältet, ich weine doch, ich schluchze“ und so weiter. Es gibt also ein rationales Argument dafür, dass da etwas passiert ist und die Stimme ein bisschen anders klingt. Zum anderen – und das wird in Zukunft wohl immer häufiger vorkommen – spielt die technische Entwicklung eine Rolle. Es ist inzwischen sehr einfach, eine Stimme zu generieren. Nicht unbedingt perfekt, aber doch ziemlich nah dran – vorausgesetzt, man hat eine kurze Tonprobe. Und wenn man bedenkt, wie viele Informationen wir über uns selbst im Internet teilen, können schon ein paar Sekunden aus einem Video oder einer Sprachnachricht auf unserem Social-Media-Account ausreichen, um damit beliebige Sätze zu erzeugen, die dann als „unsere Stimme“ abgespielt werden.

Piotr Henzler: Die Stimme eines Angehörigen … Ich werde noch einmal auf diese Daten in verschiedenen Formen zu sprechen kommen, aber vorher wollte ich noch etwas fragen. Du hast von diesen zwei Situationen gesprochen: einer gefälschten Bankseite und einem Anruf, bei dem es letztlich egal ist, ob man die Stimme erkennt oder nicht – es geht um eine Aktion. Aber so, wie ich das verstehe, ist die technische Seite dieser Betrugsmasche ziemlich einfach: Da gibt es eine Internetseite, einen Anruf … Aber die eigentliche Verbindung zwischen Täter und Opfer ist doch etwas ganz Alltägliches, nämlich ein Gespräch, eine Interaktion. Es sind keine extrem ausgeklügelten, hochtechnischen Methoden, sondern einfach Menschen, die andere Menschen manipulieren.

Beata Frankiewicz: Genau, das ist ganz richtig, was du sagst. Cyberkriminelle brechen heute viel seltener irgendwo ein, sondern loggen sich einfach ein. Und sie loggen sich deshalb ein, weil wir – in guter Absicht und im guten Glauben – ihnen unsere Daten zur Verfügung stellen. Leider passiert genau das. Schaut man sich den CERT Polska Tätigkeitsbericht 2024 an: Von den insgesamt 103.000 gemeldeten Vorfällen entfielen fast 98.000 auf Computerbetrug. Davon waren – grob gerundet – etwa 43.000 Fälle Phishing, also Versuche, an Zugangsdaten zu gelangen. Es ist nämlich viel einfacher, jemanden dazu zu bringen, seine Zugangsdaten preiszugeben, als die technischen Sicherheitsbarrieren eines Bankkontos zu überwinden.

Piotr Henzler: Und genau dieses Wort „Phishing” bedeutet also, dass sich jemand unsere Daten erschleicht – auf unterschiedliche Weise und mit verschiedenen Zielen, richtig? Es taucht in vielen Bereichen auf, aber wenn man es hört, denkt man eher an Fische als an Betrug.

Beata Frankiewicz: Jemand versucht, uns mit einem Köder zu fangen, um unsere Daten zu „angeln“. Daher kommt auch der Name.

Piotr Henzler: Und was passiert mit diesen Daten? Du hast vorhin erwähnt, dass ein kurzer Audioschnipsel, zum Beispiel auf Facebook oder einem anderen sozialen Medium, schon ausreichen kann, um unsere Stimme zu rekonstruieren. Aber im Internet werden wir ja ständig dazu aufgefordert, unsere Daten irgendwo einzugeben: bei einem Gewinnspiel, bei einem Altersfilter, bei irgendeiner App, die uns zeigt, wie wir in 30 Jahren aussehen werden, und so weiter und so fort. Ist das gefährlich oder harmlos? Worauf sollte man achten?

Beata Frankiewicz: Nun, ich würde sagen, dass wir uns vor diesen drei Situationen in Acht nehmen sollten. Das gilt für jede Situation, die unsere Finanzen betrifft. Dabei spielt es keine Rolle, ob jemand uns bittet, einen verspäteten Rechnungsbetrag von einem Złoty zu überweisen, oder ob es sich um 350 oder 300 Złoty handelt. Die Höhe ist nicht entscheidend. Entscheidend ist, dass wir auf einer Webseite, die unserer Bank täuschend ähnlich sieht, unsere Daten eingeben und sie so an Kriminelle weitergeben. Alles, was mit Geld zu tun hat, ist also ein Warnsignal. In jeder Situation, in der es um Finanzen oder unsere Daten geht, sollten wir also fragen: „Moment mal, zu welchem Zweck fragen Sie nach meinen Daten?“ Und ist es das wirklich wert, meine Daten für einen Rabatt von 5 % auf Einkäufe herauszugeben? Diese Frage müssen wir selbst beantworten, aber es lohnt sich, darüber nachzudenken. Drittens sollten wir misstrauisch werden, wenn uns jemand unter einem beliebigen Vorwand auffordert, uns bei unserem E-Mail-Konto oder in sozialen Netzwerken einzuloggen. Auch hier besteht die Gefahr, dass wir auf einer gefälschten Seite landen, die dem Original sehr ähnlich sieht. Und was du angesprochen hast, diese gezielten Täuschungen mit gefälschter Stimme, sind eine sehr gezielte Aktivität. Man weiß genau, wer du bist, und benutzt deine Stimme oder die eines Angehörigen – ja, das kommt tatsächlich vor. Andererseits werden Informationen in viel größerem Umfang an zufällige Personen, zufällige Datenbanken, Adressen und Telefonnummern gesendet. Diese Daten wurden möglicherweise von anderen Unternehmen geleakt und kursieren im Internet. Das ist eine Massenmethode. Cyberkriminelle kalkulieren dabei ein, dass ein bestimmter Prozentsatz der Empfänger unaufmerksam ist und genau das tut, was sie wollen. Darauf setzen sie. Es ist nämlich viel einfacher, Tausende SMS an zufällige Nummern zu verschicken, als Tausende Menschen einzeln anzurufen und ihnen eine Geschichte zu erzählen. Deshalb müssen wir uns bewusst sein, dass diese Art von Betrug sehr häufig vorkommt – und es werden jedes Jahr mehr. Wie ich vorhin gesagt habe, wurden 103.000 Vorfälle an CERT Polska gemeldet. Aber auf der anderen Seite wächst auch unser Bewusstsein: Wir wissen, dass es solche Situationen gibt, und wir melden verdächtige Fälle häufiger. Und das ist sehr wichtig. Wenn ich zum Beispiel eine SMS bekomme, in der ich zur Nachzahlung für ein Paket aufgefordert werde – solche Nachrichten hat wahrscheinlich jeder schon einmal gesehen –, und ich erkenne, dass es sich dabei um einen Betrugsversuch handelt, kann ich reagieren. Ich kann die SMS an die Nummer 8080 weiterleiten. Das ist kostenlos. Die Nachricht wird dann an das CERT-Team weitergeleitet und geprüft. Wenn die darin enthaltene Seite tatsächlich gefährlich ist, wird sie blockiert. So kann ich vielleicht verhindern, dass andere dieselbe SMS erhalten. Zwar nicht hundertprozentig, aber zumindest symbolisch gesehen kann ich als ganz normale Bürgerin bzw. als Herr oder Frau Kowalski einen Beitrag dazu leisten, dass das Cybersicherheitsniveau steigt.

Piotr Henzler: All die Geschichten, die du bisher erzählt hast, betreffen diesen zwischenmenschlichen Einfluss, also wie Menschen auf andere Menschen einwirken. Aber es gibt doch auch Straftaten, bei denen tatsächlich Computer gehackt werden. Ist das ein ernstes Phänomen? Kommt das vor? Oder sind das eher Einzelfälle? Sind die Methoden, bei denen es darum geht, Emotionen zu wecken, Vertrauen aufzubauen, also genau das, worauf sie eigentlich abzielen, nicht viel profitabler für die Täter?
Beata Frankiewicz: Solche Vorfälle von Computer-Hacking gibt es natürlich, aber ihr Anteil an allen gemeldeten Vorfällen ist wirklich gering. Was dagegen sehr häufig passiert, ist, dass Cyberkriminelle Daten nutzen, die aus verschiedenen Diensten, Plattformen oder Benutzerkonten stammen und im Internet kursieren. Wenn wir nicht vorher dafür sorgen, dass unsere Passwörter stark sind, also lang und einzigartig, und für jedes Konto ein anderes Passwort verwenden sowie wo immer möglich die Zwei-Faktor-Authentifizierung aktivieren, bei der wir eine zusätzliche Sicherheitsprüfung durchlaufen, dann kann es passieren, dass wir irgendwann irgendwo unsere Daten bei einem Dienst angeben, unsere E-Mail-Adresse und ein Passwort, das wir in allen möglichen Anwendungen verwenden, weil wir gedacht haben,, es sei eben einfacher, sich ein Passwort zu merken als 15 oder 20 verschiedene. Wenn genau dieses eine Passwort – ohne unser eigenes Verschulden – nach außen gelangt, weil das Unternehmen, das unsere Daten verwaltet, angegriffen wurde oder seinen Pflichten nicht ausreichend nachgekommen ist, dann kursieren unsere Daten im Internet. Verwendet man an verschiedenen Orten dasselbe Passwort, überprüfen Kriminelle automatisch, ob dieses Passwort auch bei populären Plattformen, Diensten, sozialen Netzwerken oder Mailkonten funktioniert. So verschaffen sie sich Zugang zu unseren Konten und nutzen dabei unsere Unachtsamkeit aus. Denn so, wie wir es gewohnt sind, für verschiedene Schlösser – Wohnung, Auto, Gartentor, vielleicht auch Keller – verschiedene Schlüssel zu haben, übertragen wir dieses Prinzip nur selten auf unsere Sicherheit im Netz. Sehr oft verwenden wir einfach dasselbe schwache Passwort – und setzen uns so dem Risiko aus, dass jemand tatsächlich in unsere Konten eindringt und unsere Privatsphäre verletzt.

Piotr Henzler: Wenn wir bei deiner Metapher mit den Schlüsseln bleiben – in modernen Gebäuden gibt es ja oft einen Zentralschlüssel, der alles öffnet. Auch im Internet werden solche Lösungen angeboten – Passwortmanager, also Programme, mit denen man praktisch nur einen Schlüssel braucht. Sollte man das nutzen oder nicht? Ist das sicher?

Beata Frankiewicz: Auf jeden Fall nutzen, denn es ist viel einfacher, sich ein einziges Passwort zu merken, mit dem alle anderen Passwörter abgesichert werden, als sich ein Dutzend verschiedene Passwörter zu merken. Wahrscheinlich sind wir mental einfach nicht in der Lage, das zu bewältigen, und würden dann ohnehin wieder die gleichen Passwörter mehrfach verwenden. Passwortmanager haben den Vorteil, dass sie unsere Passwörter sicher speichern. Viele bieten sogar Hilfe beim Erstellen von Passwörtern oder generieren sichere Passwörter automatisch. Wichtig ist auch, dass die meisten Passwortmanager sich merken, auf welcher Seite wir ein bestimmtes Passwort zum ersten Mal verwendet haben. Wenn wir also irgendwann auf eine gefälschte Seite stoßen, die fast genauso aussieht wie die echte, wird das gespeicherte Passwort nicht automatisch eingefügt, da der Manager die abweichende Adresse erkennt und das Passwort nicht zuordnet. Das heißt, es ist wirklich eine sehr gute Entscheidung, ein solches Tool zu verwenden. Wenn wir über Passwörter sprechen: Eine große Herausforderung ist es, ein sicheres Passwort zu erstellen, also eines mit mindestens 14 Zeichen, das keine persönlichen Informationen enthält. Es sollten keine Geburtsdaten von Partnern, Kindern, Großeltern oder Enkeln verwendet werden, egal in welcher Form. Ich kann hier eine einfache Strategie vorschlagen: Man kann eine Passphrase aus mehreren Wörtern erstellen, zum Beispiel vier oder fünf zufällige Wörter, die nur man selbst kennt. So entsteht ein sicheres und gleichzeitig gut merkbares Passwort. Ein Beispiel ist: „Vier pinke Elefanten laufen im Marathon“. Das kann ich mir leicht merken und eintippen, aber aus sicherheitstechnischer Sicht ist es ein starkes Passwort, denn die Wörter stehen nicht in einem logischen Zusammenhang und es ist kein bekanntes Zitat, das man irgendwo nachlesen kann. So sollten Passwörter erstellt werden. Entscheidend für die Sicherheit ist vor allem die Länge – nicht, ob ich ein A durch ein At-Zeichen oder ein L durch ein Ausrufezeichen ersetze. Es geht also darum, ein Passwort zu haben, das für mich leicht zu merken, aber schwer zu knacken ist.

Piotr Henzler: Das heißt also: Wenn bei verschiedenen Diensten, bei denen wir uns anmelden und ein Passwort erstellen müssen, die Kriterien „mindestens 5, 7 oder 8 Zeichen”, „mindestens eine Zahl” und „mindestens ein Sonderzeichen” angegeben sind, dann müssen wir diese zwar erfüllen, weil es sonst technisch nicht weitergeht. Wir sollten uns bei der Länge aber nicht auf das Minimum beschränken, sondern lieber gleich eine längere Version wählen.

Beata Frankiewicz: Ja, in diesem Fall tragen wir die Verantwortung selbst. Selbst wenn es bei irgendeinem Dienst noch vorkommen sollte – wobei ich hoffe, dass es solche Dienste heute nicht mehr gibt –, die nur ein achtstelliges Passwort verlangen, ... Früher galt das vielleicht als sicher, aber heute ist die Rechenleistung so hoch, dass es kein Problem ist, es zu knacken. Deshalb sollten wir immer darauf achten, dass unser Passwort vor allem lang ist.

Piotr Henzler: Wir sprechen jetzt schon eine ganze Weile über die Gefahren, die im Internet auf uns lauern. Aber ich möchte dir noch eine Frage stellen bzw. einen Mythos ansprechen, dem ich manchmal in Gesprächen mit Freunden oder Familienmitgliedern begegne. Und das hat aus meiner Sicht weniger mit dem Alter oder mit technischer Erfahrung zu tun. Es geht um diese Haltung: „Na ja, selbst wenn mein Passwort irgendwo geleakt wurde oder mal geleakt wird – ich bin doch niemand.“ Im Sinne von: Ich bin keine bekannte Person, niemand weiß, wie viel Geld ich habe, ich bin doch kein besonders wertvolles Ziel. Kann jemand, der sich selbst nicht als „attraktive Beute“ sieht, trotzdem zur Beute werden?

Beata Frankiewicz: Natürlich kann er das – und ist in vielen Fällen sogar ein besonders wertvolles Ziel. Denn erstens hat diese Person sehr wahrscheinlich Zugang zu Finanzen, zu ihren eigenen Ersparnissen – und das allein reicht schon, um sich darum kümmern zu müssen. Und wenn wir im Zusammenhang mit sozialen Medien sagen: „Ich habe doch nichts zu verbergen, selbst wenn sich jemand einloggt, sind da nur meine Fotos und ein paar Infos.“

Piotr Henzler: Genau, das Geburtsdatum, zwei Fotos und dass ich im Urlaub war …

Beata Frankiewicz: Ja, aber wir müssen uns bewusst machen: Wir verleihen mit unserem Profil einen gewissen Vertrauensvorschuss an unsere Kontakte. Das heißt, auch wenn wir sagen: "Meine Daten sind doch gar nicht wichtig" – wenn jemand sie nutzt, um sich als wir auszugeben und damit unsere Familie, unsere Freunde, unsere Eltern oder Großeltern zu täuschen, dann sieht die Sache schon ganz anders aus, oder? Wenn sich jemand mit unseren Daten ausgibt und beispielsweise bei unseren Kontakten anruft oder eine Nachricht schickt wie: „Hey, leih mir bitte 100 Złoty per Blik, ich habe mein Portemonnaie vergessen, ich bin gerade an der Tankstelle“, dann bekommen unsere Daten plötzlich eine ganz andere Bedeutung.

Piotr Henzler: Nun, man kann ein „ganz normaler, unbedeutender Mensch“ sein und trotzdem zum Trojanischen Pferd werden, das den Feind in die Familie einschleust.

Beata Frankiewicz: Genau. Unsere Angehörigen bringen uns einen Vertrauensvorschuss entgegen. Wenn sie eine Nachricht von unserer E-Mail-Adresse oder von unserem Konto erhalten, gehen sie in der Regel davon aus, dass wir es wirklich sind, die sich melden – wir als vertrauenswürdige Person. Und genau das ist ein Fehler. Wie wir vorhin schon gesagt haben: In jeder Situation, in der es um Geld geht, sollte man unbedingt innehalten und nachdenken. Wenn ich eine Geldanfrage von einem Freund oder einer Freundin erhalte, kontaktiere ich diese Person auf einem mir bekannten Weg, beispielsweise über eine selbst gespeicherte Telefonnummer. Wenn sie mir über einen Messenger schreiben, frage ich zum Beispiel: „Was ist los? Geht’s dir gut?” Denn es kann sein, dass die Daten dieser Person gestohlen wurden und sich jemand nur als sie ausgibt, ohne dass die betroffene Person davon weiß. Das heißt: Immer verifizieren, in jeder Situation.

Piotr Henzler: Wenn ich also über Messenger eine Anfrage bekomme, dass jemand 100 Złoty per Blik braucht, prüfe ich das nicht über denselben Messenger, sondern rufe an oder frage auf anderem Weg nach, stimmt's?

Beata Frankiewicz: Ich würde SMS eher nicht empfehlen, denn es kann ja sein, dass jemand sein Handy nicht dabei hat oder es ihm gestohlen wurde. Ein kurzer Anruf ist dagegen absolut sinnvoll – und das gilt wirklich für jede Situation. Wenn mich beispielsweise jemand angeblich von der Bank aus anruft, beende ich das Gespräch und rufe anschließend selbst bei meiner Bank an, und zwar unter der Nummer, die ich kenne. Dann frage ich nach, ob es diesen Vorfall wirklich gibt.

Piotr Henzler: Das zeichnet schon ein etwas düsteres Bild von der Welt, in der wir leben – zumindest von dem technologischen, digitalen Teil. Am Anfang unseres Gesprächs hast du über Banken gesprochen, über den Versuch, zuerst Daten und dann Geld zu stehlen. Du hast auch einige Tipps gegeben: Adressen genau prüfen und schauen, ob es sich wirklich um die Bankseite handelt. Du hast viel über das Thema Vertrauen gesagt und darüber, wie wichtig es ist, zu überprüfen, ob jemand wirklich die Person ist, für die er sich ausgibt. Aber kannst du zum Abschluss vielleicht noch die dunklen Wolken vertreiben, die über uns Internetnutzern schweben? Vielleicht etwas Optimistisches? Oder eine Information, dass bestimmte Betrugsmaschen nicht mehr existieren oder weniger geworden sind? Andererseits hast du ja erzählt, dass die Zahlen laut CERT steigen. Vielleicht ist es mit den guten Nachrichten also schwierig… Hast du trotzdem noch einen Tipp oder eine Anregung? Was kann man tun, um das Internet sicher zu nutzen, ohne dass es sich ständig nach Kontrolle, Vorsicht und Verzicht anfühlt? Wie kann man Spaß haben, Apps nutzen und spontan überweisen? Gibt es vielleicht doch etwas Optimistisches, was du uns sagen kannst?

Beata Frankiewicz: Diese CERT-Daten sind in gewisser Weise sogar optimistisch, weil sie zeigen, dass das Bewusstsein wächst und die Menschen solche Vorfälle melden. Ob das direkt optimistisch ist, weiß ich nicht, aber ich denke, wir sollten generell vorsichtig durchs Leben gehen – mit einer gesunden Portion Misstrauen gegenüber jeder Situation, in der wir uns befinden. Nicht nur im Internet, sondern auch im Alltag. Wenn uns jemand auf der Straße anspricht und um Geld bittet, fragen wir uns schließlich auch: „Was ist hier los?“. Genau diese Wachsamkeit sollten wir auch im Netz haben. Wenn wir uns an die einfache Regel halten, bei allen Vorgängen, die Geld, persönliche Daten oder das Einloggen in ein Konto betreffen, kurz innezuhalten, dann werden die anderen Situationen im Netz vielleicht wieder zu normalen Alltagserfahrungen, die uns keine Angst mehr machen müssen. Wichtig sind starke Passwörter, eine Zwei-Faktor-Authentifizierung und sichere Geräte, die wir regelmäßig aktualisieren. Vor allem aber brauchen wir gesunden Menschenverstand: Wir sollten lieber ein bisschen zu misstrauisch sein als zu vertrauensselig – besonders in unerwarteten Momenten.

Piotr Henzler: Und in denen viel auf dem Spiel steht – sei es finanziell, emotional oder auf eine andere Weise. Vielen Dank dir. Das war unser Gespräch über Cybersicherheit. Unsere Expertin war Beata Frankiewicz, Spezialistin für Cybersecurity-Bewusstsein beim NASK, dem Staatlichen Forschungsinstitut. Vielen herzlichen Dank. Ich wünsche dir – und uns allen –, dass Cybersicherheit und Cyberkriminalität möglichst theoretische Themen bleiben, über die man nur spricht, anstatt sie selbst erleben zu müssen.

Beata Frankiewicz: Vielen Dank für das Gespräch. Und ich wünsche uns allen, dass dieses Thema kein Tabuthema ist, sondern dass wir offen darüber sprechen können. Denn je mehr wir darüber reden, desto aufmerksamer werden wir. Und genau diese Sicherheit wünsche ich uns allen.

Piotr Henzler: Vielen Dank.