Erinnern Sie sich noch: Juli 2015 wurde die Seitensprung-Agentur Ashley Madison gehackt, die Daten von über 32 Millionen Nutzern sind geleaked. Eine verblüffende Entdeckung rund um den Hack war die Tatsache, dass die (vorwiegend) männlichen Benutzer der Seitensprung-Agentur vielfach mit Chatbots geflirtet hatten und nicht mit vermeintlichen registrierten weiblichen Nutzern. Viel verblüffender wiederum finde ich allerdings Folgendes:
Eine Seitensprungagentur hat ein Geschäftsmodell, das wie kein anderes auf Vertraulichkeit und Integrität von Daten setzt. Ich hätte durchaus vermutet, dass der erfolgreiche Hackerangriff zur Insolvenz der Agentur führt. Aber tatsächlich hat das Unternehmen heute mit etwa 70 Millionen Nutzern doppelt so viele Nutzer wie zum Zeitpunkt der Hackerattacke.
Was bedeutet das eigentlich?
Die möglichen Antworten sind zahlreich: Die Nutzer könnten darauf vertraut haben, dass die Seitensprungagentur nach dem schmerzvollen Hack die Schutzwälle höher zieht und Cyber Security wirklich ernst nimmt. Oder aber das Gedächtnis der Nutzer ist ziemlich kurz. Oder: Es ist den Nutzern am Ende des Tages irgendwie egal, oder – positiv formuliert – Nutzer haben eine gewisse Resilienz gegenüber den mit Cyber Kriminalität verbundenen Risiken. Dazu fällt mir ein Begriff ein, der vor 6 Jahren Schlagzeilen gemacht hatte, nämlich die „mürrische Indifferenz“.
Eben das empfahl der Berliner Politologe Prof. Dr. Herfried Münkler im Angesicht der Terrorgefahr, die mit dem damaligen Angriff von Nizza wieder um sich griff. Eben diese „mürrische Indifferenz“ sah Münkler als Gegenmittel zum Opferdasein und eine Haltung, die vor einem Einknicken gegenüber „Terrorismus“ bewahrt, einer „Aushöhlung unserer offenen und liberalen Gesellschaft“. Übertragen auf das Risiko des „Cyber Terrorismus“ (so passt diese Analogie am besten) hieße das: Ja, es gibt das Risiko von Cyber Kriminalität, aber wir sollten darum nicht die Digitalisierung oder das Internet zurückdrehen.
Vielleicht geht es auch nicht ohne: Facebook, Juwelier Wempe, Software AG, coop Supermärkte, Deutscher Bundestag, US Verteidigungsapparat, der Apple APP Story, die Zentralbank von Bangladesh, das Netzwerk der US-Demokraten, das Datennetz der Bundesverwaltung, Quora, Marriott Hotel, Kammergericht Berlin, der Finanzdienstleister First American Corporation und viele weitere waren bereits Opfer von Hackerattacken, verbunden mit Datenleakages. Haben wir darum die Marriott-Hotelkette gemieden? Haben wir nach dem Cambridge-Skandal die Facebook-Plattform in Scharen verlassen? – Nein.
Fraglich ist natürlich, ob es sich bei diesem unverzagten Umgang mit digitalen Risiken weniger um „mürrische Indifferenz“ handelt als vielmehr um „naive Sorglosigkeit“ oder „fahrlässig Naivität“. Die digitale Kompetenz vieler Nutzer fällt de facto noch sehr niedrig aus, und – mal abgesehen von einigen notorischen Weltuntergangspropheten und Ewig-Gestrigen, die das Digitale Risiko ins Apokalyptische übertreiben – ist das Risikobewusstsein vielfach schwach ausgeprägt. Das ist etwa erkennbar daran, dass über Soziale Medien allzu Privates gepostet wird und die Passwortstärke bei der Mehrzahl von Nutzern über „12345“ nicht hinausgeht. Kürzlich musste ich auf einem Vortrag zu einem Hackerangriff bei einem Unternehmen verdutzt erfahren, dass ein Mitarbeiter nur 6 Wochen nach einer „Awareness Schulung“ von einer suspekten Email eine Excel-Datei heruntergeladen und dann gar noch die Makro-Sicherheitseinstellungen zurückgesetzt hat. Das lässt sich kaum mehr als „fahrlässig“ beschreiben, das ist mindestens „grob fahrlässig“ bis „vorsätzlich“. Ich war wirklich fassungslos, und in den anschließenden Diskussionen mit meinen Kollegen wurde mir geduldig erklärt, dies sei eben der „Faktor Mensch“.
Die „mürrische Indifferenz“, die Prof. Herfried Münkler meinte, ist – das sollte man ergänzen – als reife Geisteshaltung in einem post-heroischen Zeitalter gemeint. Es ist ein trotziges „Trotzdem alledem“ angesichts einer realen Bedrohung. Mit Naivität und Fahrlässigkeit hat das nichts gemein. Im Übrigen gilt: Die Schreckenslogik des Terrorismus basiert darauf, dass es zwar prinzipiell jeden treffen kann, die Wahrscheinlichkeit dafür aber verschwindend gering ist. Das gilt für die Cyber Kriminalität natürlich nicht: Die Fälle von (erfolgreichen) Hacks nehmen zu, wer etwas aufmerksam in seinem sozialen Umfeld zuhört, der wir feststellen, dass er mindestens ein, zwei Freunde/Bekannte kennt, die auf die ein oder andere Weise schon mal betroffen waren.
Mein Resümee: Es wäre falsch, den vielfach beobachteten allzu unbekümmerten Umgang mit Cyber Risiken rund um digitale Angebote als „mürrische Indifferenz“ ins Positive zu verdrehen. Aus meiner Sicht haben wir es vielmehr mit einem allzu schwach entwickelten Risikobewusstsein zu tun. Die Antwort ist natürlich keineswegs, Digitalisierung zurückzudrehen und vor Cyber Kriminalität zu kapitulieren. Wir müssen vielmehr als Gesellschaft das Risikobewusstsein schärfen und angemessene Verhaltensweise im Umfang mit diesen Risiken durchsetzen; vor allem Unternehmen – und zwar aller Größenordnungen – sehe ich hier in der Pflicht, ihr Mitarbeiter hierfür zu sensibilisieren. Wie man an meinem obigen Beispiel zum (grob) fahrlässigen Verhalten eines Mitarbeiters im Umgang mit einer Email sehen kann, ist es aber mit einer einmaligen Schulung am Vormittag nicht getan. Die Gute Nachricht: Es gibt inzwischen eine Vielzahl von guten Angeboten, die dieses Risikobewusstsein nachhaltig entwickeln und etwa mit fingierten Phising-Attacken die Aufmerksamkeit für wichtige Themen schärfen.
