Nicht die Computer sind kriminell, sondern die Menschen
Oder „Computers don’t commit crimes, people do“ – so lautet der Titel eines Seminars des International Information Systems Security Certification Consortium auch (ISC)⊃;, der Organisation die hinter der Certified Information Systems Security Professional (CISSP) steht, und er stimmte mich nachdenklich...
Wie oft haben sie in der letzten Zeit über raffinierten Datenklau gelesen? Betroffen sind hauptsächlich persönliche Informationen wie die Kontodaten.
Wer kennt sie nicht, die Phishing-Mails einer Bank, die nach ihren Daten fragt oder die Gesuche eines letzten Prinzen einer konfliktbehafteten afrikanischen Region, der ihnen hohe Summen dafür verspricht, wenn sie ihm Zugang zu ihrem Konto gewähren.
In wie vielen Fällen sind unwissende Individuen darauf eingegangen sich an unseriösen Deals mit ihrem Vermögen oder ihren Bankdaten zu beteiligen und mussten dann erstaunt feststellen, dass ihr Konto leergeräumt wurde. Wie oft ist der versprochene „6er“ im Lotto nur gegen eine Vorausleistung ausbezahlt worden oder eben nicht.
Einen derartigen Bericht habe ich neulich in den lokalen Medien gesehen. Ein älterer Herr ging dabei auf derartige Anfragen ein und hat fleißig geantwortet. Ich meine, was verspricht man sich davon? Dazu fällt mir immer das berühmte Einstein Zitat ein: „Die Definition von Wahnsinn lautet, man macht immer und immer wieder dasselbe und erwartet ein anderes Ergebnis“.
Menschen ziehen dabei immer die Parallele zu jemanden, der auf offener Straße von einer uniformierten Person mit Notizblock angesprochen wird und den privaten Bankdaten fragt. Die meisten von Ihnen werden dies nicht tun. Das es auch anders geht, verdeutlich dieses Beispiel.
Warum werden solche Daten aber auch mittels Mail weiter gegeben, die nicht einmal angefordert wurden? Ich weiß, dass es immer die Ausrede gibt: „Sie hat so offiziell ausgeschaut“, aber das tut die Person in der Straße auch! Es ist in jedem Fall ein interessantes psychologisches Phänomen – oder es ist eine Funktion um viele weitere Menschen zu beeinflussen.
Ich glaube, dass die IT Industrie alles in ihrer Macht stehende tun muss, um solche Vorfälle zu unterbinden. Auch viele Banken sind sich der Problematik bewusst und nehmen das Problem sowohl aus erziehungstechnischer als auch aus technischer Sicht sehr ernst.
Wir als Unternehmen können jedoch keine 100-prozentige Sicherheit gewährleisten. Irgendwann ist der Punkt erreicht, an dem jeder für sein eigenes Handeln Verantwortung tragen muss. Wenn man etwas aus eigenem Antrieb verschuldet, muss man auch dafür gerade stehen. Auf der anderen Seite gibt es natürlich auch skrupellose Banken, die nach allen Mitteln und Wegen suchen, auch bei eigenem Verschulden, die Kunden im Stich lassen. Ich bin der festen Überzeugung, dass wir zwischen diesen beiden Punkten eine Ausgewogenheit finden müssen.