Über Cyberkriminelle kann man denken, was man will, aber eines ist auffällig: "Die Opfer schwärmen nur so vom Kundenservice", sagt Angela Sasse. Sie spricht dabei von so genannter Ransomware, das heißt Erpressungsprogrammen, mit deren Hilfe Hacker die Daten auf dem Computer eines Nutzers verschlüsseln und anschließend Geld für die Entschlüsselung verlangen. Das Opfer erhält detaillierte und leicht verständliche Anweisungen zum Zahlungsprozess mittels jeglicher Kreditkarte und zur Nutzung des Schlüssels. Außerdem seien die Callcenter bei technischen Schwierigkeiten rund um die Uhr erreichbar. "Der Service ist besser als der des eigenen Internetanbieters", erklärt die Psychologin und Computerwissenschaftlerin Sasse vom University College London, die das Research Institute in Science of Cyber Security leitet. Die Sicherheit im Netz ist inzwischen zur Herausforderung geworden, und "die Angreifer sind den Verteidigern erschreckend weit voraus", fügt sie hinzu.

Längst sind die Zeiten vorbei, als das Hacken von Computern noch Nervenkitzel für Teenager und Studenten war. Seit etwa zehn Jahren werden die Cyberattacken immer komplexer. Heutzutage erfolgen die Aktionen durch undurchsichtige, von Staaten gesponserte Gruppen; so soll angeblich das Eindringen bei Sony Pictures Entertainment im Jahr 2014 und der Diebstahl von Millionen von Aufzeichnungen aus dem US-Büro für Personalverwaltung 2015 von Nordkorea und China unterstützt worden sein. Aktivistengruppen wie Anonymous organisieren ideologisch motivierte Angriffe auf bekannte Terroristen oder prominente Persönlichkeiten, und ein riesiger krimineller Untergrund verkauft alles, von gefälschtem Viagra bis hin zu Unternehmensspionage. Laut einer Schätzung kostet Cybercrime die globale Wirtschaft jährlich zwischen 375 und 575 Milliarden US-Dollar.

"Der Service der Cyberkriminellen ist besser als der des eigenen Internetanbieters"Angela Sasse

Forscher und Sicherheitsexperten kommen dabei immer mehr zu der Überzeugung, dass sie dieser Herausforderung nicht einfach mit höheren und stärkeren digitalen Mauern begegnen können. Sie müssen hinter die Mauern schauen, wo menschliche Fehler, wie die Wahl eines schwachen Passworts oder das Anklicken einer verdächtigen E-Mail, für fast ein Viertel aller Sicherheitsprobleme verantwortlich sind. Außerdem müssen sie in der von den Hackern unterstützten Schattenwirtschaft nach Lücken und Schwachstellen suchen, die für Gegenangriffe geeignet wären.

"Bisher haben wir uns zu sehr auf Computerspezialisten fokussiert, um die Sicherheit zu betrachten. Wir brauchen aber mehr Psychologen, Ökonomen und andere Fachleute, die sich mit dem Faktor Mensch beschäftigen", meint Douglas Maughan, der Leiter der Forschungsabteilung für Cybersicherheit am US Department of Homeland Security.

Und dabei tut sich auch Etliches – und zwar rapide. Maughans Abteilung und andere Forschungsförderer in den USA haben ihre Ausgaben für Arbeiten zum Faktor Mensch in der Cybersicherheit in den letzten fünf Jahren erhöht. Im Februar 2016 beantragte Präsident Barack Obama im Kongress für das Jahresbudgets 2017 mehr als 19 Milliarden US-Dollar (etwa 16,7 Milliarden Euro) für die bundesstaatliche Cybersicherheit. Das entspricht einer Erhöhung um 35 Prozent gegenüber dem Vorjahr und schließt einen Forschungs- und Entwicklungsplan ein, der zum ersten Mal der Untersuchung des Faktors Mensch ausdrücklich Vorrang gibt.

Auch in anderen Ländern macht die neue Denkweise Schule. In Großbritannien wurde Sasses Institut für die nächsten Jahre eine Förderung von 3,8 Millionen britischen Pfund (etwa 4,9 Millionen Euro) von der britischen Regierung bewilligt, um Cybersicherheit in der Wirtschaft, der Regierung und anderen Organisationen zu untersuchen. Sozialwissenschaftliche Studien liefern bisher einzigartige Einblicke, wie Cyberkriminelle ihr Geschäft organisieren, und zeigen den Nutzern bessere Möglichkeiten zur Wahl von sicheren und trotzdem einprägsamen Passwörtern. Laut Sasse ist es zwar schwierig, aber nicht unmöglich, Lösungen für die Probleme zu finden. "Wir wissen ziemlich genau, wie sich Gewohnheiten ändern lassen; unser Wissen aber in der Cybersicherheit anzuwenden, ist Neuland für uns."

Angreifer kennen die Psychologie der Nutzer

Man stelle sich vor: Inmitten eines stressigen Arbeitstags landet eine suspekt anmutende E-Mail im Postfach. Darin steht, das Computerteam der Firma habe eine Sicherheitslücke entdeckt und jeder müsse sofort einen Hintergrundscan für Viren auf seinem Rechner laufen lassen. "Jeder neigt dann doch dazu, einfach den Accept-Button anzuklicken, ohne alles genau gelesen zu haben", erklärt der Sozialpsychologe Adam Joinson, der das Online-Verhalten an der University of Bath im Vereinten Königreich untersucht. Doch wenn es eine Fake-E-Mail ist, wird nach dem hastigen und entnervten Anklicken so genannte Malware (Schadsoftware) durch das Firmennetzwerk geschickt, die Passwörter und andere Daten stiehlt und jeden Computer zum Teil eines Zombie-Botnets macht, das noch mehr Spam verschickt.

Es scheint, als würden die Angreifer die Psychologie der Nutzer wesentlich besser kennen als die Institutionen, die sie eigentlich schützen sollen. In dem oben beschriebenen Szenario setzt der Erfolg des Angriffs auf die instinktive Achtung vor den Autoritäten und die verringerte Skepsis der Leute, wenn sie beschäftigt und abgelenkt sind. Firmen neigen auch zu Sicherheitsregeln, die in keinerlei Weise zum Arbeitsstil der Mitarbeiter passen. Nehmen wir einmal das allgegenwärtige Passwort, mit Abstand der einfachste und üblichste Weg zur Authentifizierung von Computernutzern. In einer 2014 veröffentlichten Studie fanden das Team um Sasse heraus, dass sich Angestellte des US National Institute of Standards and Technology (NIST) mit Hauptsitz in Gaithersburg im Bundesstaat Maryland im Schnitt 23-mal pro Tag authentifizieren müssen, einschließlich wiederholter Log-ins in den eigenen Rechner, der den Nutzer automatisch ausloggte, wenn 15 Minuten lang keine Aktionen erfolgt waren.

"Den meisten geht es im Job nicht hauptsächlich um die Sicherheit, sondern um die Arbeit, die getan werden muss. Und wenn die Bestimmungen zu umständlich werden, ignoriert sie sowieso jeder"Ben Laurie

Solche Anforderungen vergeuden viel Zeit und mentale Energie der Arbeitnehmer, besonders bei jenen, die den Standardrichtlinien für Passwörter folgen wollen. Danach sollen unterschiedliche für jede Anwendung eingesetzt werden, Passwörter nicht aufgeschrieben und regelmäßig geändert werden und immer aus einem schwer zu erratenden Mix aus Sonderzeichen, Zahlen sowie Groß- und Kleinbuchstaben bestehen. Genau deshalb werden die Regeln auch häufig vernachlässigt. In einer systematischen Studie über die Verwendung von Passwörtern in der realen Welt dokumentierten Sasse und ihre Kollegen die Methoden, mit denen die Mitarbeiter einer großen multinationalen Organisation die offiziellen Sicherheitsanforderungen umgingen, ohne (so hofften sie zumindest) völlig verantwortungslos zu handeln. In den meisten Büros ist es auch üblich, Passwörter aufzuschreiben und Dateien zwischen Computern anhand unverschlüsselter USB-Sticks zu übertragen. Letztendlich wird unsere Arbeit auch nur durch diese Scheinsicherheit am Laufen gehalten. "Den meisten geht es im Job nicht hauptsächlich um die Sicherheit, sondern um die Arbeit, die getan werden muss", sagt Ben Laurie, der die Einhaltung der Sicherheitsbestimmungen bei Google Research in London untersucht. "Und wenn die Richtlinien zu umständlich werden, ignoriert sie sowieso jeder."

Forscher haben inzwischen etliche Möglichkeiten gefunden, dieses Dilemma von Mitarbeitern und Sicherheitsverantwortlichen zu lösen. Lorrie Cranor leitet das CyLab Usable Privacy and Security Laboratory an der Carnegie Mellon University in Pittsburgh im Bundesstaat Pennsylvania – eine von mehreren Gruppen weltweit, die Passwortregeln vereinfachen wollen. "Als Carnegie Mellon vor sechs oder sieben Jahren seine Passwortregeln sehr verkomplizierte, fingen wir damit an", erzählt Cranor, die im Moment von der Universität beurlaubt ist und als Cheftechnologin bei der US Federal Trade Commission in Washington D. C. arbeitet. Die Universität wollte die Standardrichtlinien für Passwörter vom NIST umsetzen. Bei ihren Untersuchungen stellte Cranor jedoch fest, dass diese lediglich auf Vermutungen basierten. Es gab keinerlei Daten dazu, weil offenbar keine Organisation bereit war, die Passwörter ihrer Nutzer herauszugeben, erklärt sie. "Für uns ist das eine riesige Forschungsaufgabe."

Passwörter ständig zu ändern, ist überholt

Cranor und ihre Kollegen entwickelten breit angelegte Passwortregeln für ihren Test und baten 470 Computernutzer von Carnegie Mellon, neue Passwörter anhand verschiedener Anforderungen für Länge und Sonderzeichen zu erstellen. Dann überprüften sie die Stärke der Passwörter, wie viel Mühe das Erstellen gekostet hatte, wie einfach sie zu merken waren und wie sehr die Teilnehmer vom System genervt waren. Wie eines ihrer Schlüsselergebnisse zeigt, kann der übliche Ratschlag, Kauderwelsch-Wörter wie 0s7G0*7j%x$a seien am sichersten, getrost vergessen werden. "Nutzer tun sich leichter mit langen Passwörtern als mit komplexen Sequenzen", sagt Cranor. Ein Beispiel für ein sicheres, aber nutzerfreundliches Passwort könnte zum Beispiel die Aneinanderreihung von vier normalen, aber willkürlich gewählten Wörtern sein, etwa benutzenhölzernerfolgreichentwurf. Mit 28 Buchstaben ist es fast dreimal so lang wie das Kauderwelsch-Beispiel, aber viel einfacher zu merken. Solange das System dafür sorgt, dass keine zu simple Wahl wie passwortpasswort getroffen wird, sind Wortketten für Angreifer ziemlich schwer zu erraten und bieten große Sicherheit.

Auch die gängige Praxis, Passwörter regelmäßig alle 30, 60 oder 90 Tage zu ändern, liegt laut Cranor irgendwo zwischen sinnlos und kontraproduktiv, es sei denn, es bestehen berechtigte Sorgen um die Sicherheit. Studien zeigen nämlich, dass die meisten Leute bei solchen Ansprüchen einfach schwache Passwörter wählen, die sie sich leicht merken können. Anschließend machen sie dann die kleinstmögliche Änderung, beispielsweise die Erhöhung der letzten Stelle einfach um eins, wie die Änderung von passwort2 zu passwort3 und so weiter. "Wenn Hacker das Passwort hier erst einmal herausgefunden haben, brauchen sie nicht viele Versuche, um auch das neue zu finden", warnt sie. Abgesehen davon installieren Hacker nach dem Eindringen als Allererstes ein Key-Logging-Programm oder ähnliche Schadsoftware, die es ihnen erlaubt, das neue Passwort zu stehlen und ins System einzudringen, wann immer sie wollen. "Das Ändern des Passworts hilft so nicht weiter", erklärt Cranor.

Sasse hat den Eindruck, solche Kritik findet langsam Gehör. "Ein Meilenstein für mich war letztes Jahr die Änderung der Passwort-Empfehlung der GCHQ", erzählt sie und verweist damit auf die Government Communications Headquarters, einen wichtigen britischen Geheimdienst. Dieser hatte in einem Schriftstück auf die Forschungsliteratur verwiesen und der lange Zeit üblichen Praxis mit regelmäßiger Passwortänderung eine Absage erteilt. Vorgesetzte sollten möglichst Rücksicht auf die Mitarbeiter nehmen, die ihre Regeln einhalten müssten. "Nutzer müssen sich jede Menge Passwörter merken, nicht nur die ihrer Firma" und "Passwörter sollten nur zum Einsatz kommen, wo es unbedingt nötig ist", lautete der Ratschlag.

Studie deckt Geschäftsstruktur von Internetbetrügern auf

Mit der Aufdeckung von Schwachpunkten im Nutzerverhalten lassen sich aber vielleicht auch die Schwächen der Angreifer finden. Im Jahr 2010 richtete das Team um den Computerwissenschaftler Stefan Savage von der University of California in San Diego ein Computercluster ein, um das Verhalten leichtgläubiger Konsumenten zu simulieren. Die Maschinen durchforsteten Massen von Spam-E-Mails, die von mehreren großen Antispam-Firmen bereitgestellt wurden, und öffneten jeden erdenklichen Link. Die Forscher konzentrierten sich dabei auf illegale Pillen, gefälschte Uhren und Handtaschen sowie Software-Raubkopien – sprich drei sehr häufig in Spam-E-Mails angebotene Produktlinien – und kauften über 100 Artikel. Dann setzten sie eine speziell entwickelte Web-Crawling-Software ein, um so das Netzwerk des Spammers zurückzuverfolgen. Die Forscher konnten nun immer sehen, wenn ein illegaler Verkäufer einen Domainnamen registrierte, Zahlungen an einen Lieferanten leistete oder eine Kreditkartenzahlung akzeptierte.

Die Studie deckte zum ersten Mal die gesamte Geschäftsstruktur von Internetbetrügern auf und zeigte, wie erstaunlich komplex sie ist. "Das ist eine richtige Spielwiese für irgendwie schräge und neue unternehmerische Ideen; die reinste Form des kleinunternehmerischen Kapitalismus ohne jegliche Reglementierung", erklärt Savage. Trotzdem zeigte sich eine gewisse Ordnung im System. Angenommen jemand möchte gefälschte Medikamente verkaufen. Dann eröffnet er einen Shop, indem er eine Website und Datenbanken einrichtet, eine Vereinbarung mit einer Bank zur Akzeptanz von Kreditkartenzahlungen schließt und einen Kundenservice zur Bearbeitung möglicher Beschwerden aufbaut – sprich alle nachgeschalteten Bereiche eines normalen Geschäfts. "Derjenige selbst verschickt keinen Spam. Das überlässt er darauf spezialisierten Geschäftspartnern, die wissen, wie man eine Fülle anklickbarer Nachrichten versendet und den Spamfilter der Nutzer austrickst. Die Partner erhalten 30 bis 40 Prozent des Einkaufspreises jeder Bestellung, zu der es auf Grund ihrer Tätigkeit kommt", erklärt Savage. Und wenn sich die brillante Idee als Reinfall erweist, dann spammen sie einfach für jemand anderes.

Dieses Geschäftspartnermodell fanden auch Savage und etliche andere in ihren Untersuchungen. Es scheint offensichtlich in vielen Bereichen der Cyberkriminalität angewendet zu werden, sei es im Verkauf von Handtaschenimitaten oder im Versand von Ransomware, sprich Erpressungssoftware, wie auch Datenklau von Kreditkarten und andere Formen des Cyberdiebstahls. Alle werden durch dieselben Dienstleister einer im Untergrund agierenden Schattenwirtschaft unterstützt – das Versenden von Spam-E-Mails ist da nur eine der Aktivitäten. Darunter fallen auch indische Firmen, deren Mitarbeiter den ganzen Tag Zeichen in Captchas eingeben, um so vorzutäuschen, ein Mensch sei am Werk und nicht ein Computer. Nicht zuletzt zählt auch eine immer häufiger auftretende Variante von Spam dazu, die als so genannte search-engine poisoning (deutsch etwa Suchmaschinen-Vergiftung) bekannt ist, bei der Benutzer seriös aussehende Suchergebnisse anklicken und dabei auf Schad-Websites umgeleitet werden.

Die Aufklärung der Strukturen dieser Schattenwirtschaft durch die Strafverfolgungsbehörden führt leider nur selten zur Überführung der Beteiligten, weil deren echte Identitäten durch Online-Pseudonyme gut geschützt sind und die kriminelle Infrastruktur bemerkenswert wenig angreifbar ist. Im Oktober 2013 erreichte das FBI tatsächlich die Schließung von Silk Road, eine E-Bay-ähnliche Website, die Käufer und Verkäufer für illegale Waren einschließlich harter Drogen zusammenführte. Schon einen Monat später war aber schon Silk Road 2.0 online. Und als das FBI Ende 2014 auch diese Seite schloss, tauchten wieder neue auf.

"Es gibt so viele Ungereimtheiten bei der Sicherheit, und nur wenige Entscheidungen basieren tatsächlich auf Fakten"Stefan Savage

Vielleicht haben die Forscher nun aber einen effektiveren Weg gefunden, die Schattenwirtschaft zu attackieren. Laut Savage und seinen Kollegen waren bisher nämlich die Banken das bei Weitem schwächste Glied der Kette. Sie wickeln die Kreditkartenzahlungen über so genannte Profitcenter ab und sind dabei den Kreditkartenfirmen schutzlos ausgeliefert, weil die Verträge generell vorsehen, dass die Banken für die Legalität des Handels garantieren müssen. Außerdem sind sie zur Rückzahlung an den Kunden verpflichtet, wenn dieser sich beschwert. Allerdings waren nur wenige Banken überhaupt gewillt, solche Risiken einzugehen. "95 Prozent aller weltweiten Betrugsfälle durch Spam liefen bisher über nur drei Banken", berichtet Savage: je eine in Aserbaidschan, in Lettland sowie auf St. Kitts und Nevis, einem Inselstaat der Kleinen Antillen. Im November 2011 zwangen Microsoft und Visa diese Banken, Verkäufer fallen zu lassen, wenn sie Raubkopien ihrer Produkte anfertigten. "Für 18 Monate wurden immerhin keine Raubkopien von Microsoft-Programmen mehr im Internet verkauft", sagt Savage.

Leider war das keine langfristige Lösung: Die Unterstützung zwielichtiger Softwareverkäufer verlagerte sich letztendlich nur zu Banken in Ostasien, wo westliche Unternehmen und Strafverfolgungsbehörden deutlich weniger Einfluss haben. Trotzdem hoffen alle, die Untersuchungen der Forschung könnten auf lange Sicht erfolgreich sein. "Zum ersten Mal haben wir viele Dateninformationen über die Schattenwirtschaft im Untergrund", sagt der Informatiker Nicolas Christin, der sich mit dem Faktor Mensch im Bereich Cybersicherheit an der Carnegie Mellon beschäftigt.

In der realen Welt wären solche Untersuchungen schwierig, erklärt Christin. Jeder, der zum Beispiel den Drogenhandel auf den Straßen Pittsburghs beobachten wollte, müsste undercover gehen und riskieren, getötet zu werden. Und selbst dann würde er nur einen kurzen, flüchtigen Blick auf das große Ganze erhaschen. Christin leitet die Untersuchungen zu Silk Road und weiß, dass jede Transaktion in der Onlinewelt eine digitale Spur hinterlässt, besonders, wenn Zahlungen mit digitalem Geld wie Bitcoin erfolgen. "Für einen Ökonomen ist das wunderbar." Christin und seine Kollegen konnten richtiggehend beobachteten, wie die kriminellen Systeme wuchsen, reiften, abstürzten und dann von anderen ersetzt wurden. Sie sahen, wie sich Koalitionen bildeten und wieder lösten, und sie verfolgten, wie der Geldfluss zwischen den Kriminellen gegenseitiges Vertrauen aufbaute.

"Wir stehen da noch ganz am Anfang mit unseren Analysen", sagt Christin. Aber er glaubt, die Datenflut könnte zu einem neuen Schulterschluss von Computerwissenschaften, Sozialwissenschaften und der herkömmlichen Strafverfolgung führen. "Eigentlich ist das eine sehr fruchtbare Basis, um bekannte Theorien zu kriminellem Verhalten weiterzuentwickeln und zu testen", sagt er. Savage hat ähnliche Hoffnungen. Egal, ob der Fokus nach innen oder außen gerichtet ist, "es gibt so viel Ungereimtheiten bei der Sicherheit, und nur wenige Entscheidungen basieren tatsächlich auf Fakten". Mit weiteren Forschungsergebnissen ließen sich vielleicht bessere Maßnahmen beschließen, hofft er. "Dafür muss man aber auch die Beweggründe und Motivation der Beteiligten entdecken."

Dieser Artikel erschien unter dem Titel "How to hack the hackers: The human side of cybercrime" in Nature 533, S. 164–167.