Niemand würde im realen Leben einer fremden Person private Daten anvertrauen. Anders im Internet. Eine Studie zeigt, wie leicht Kriminelle an sensible Daten kommen. Selbst IT-Profis und Hacker fallen auf die cyberkriminellen Psychotricks herein.

Sicherheitsexperten und Hacker sind besonders vorsichtig, wenn es um die eigenen Daten geht, sollte man meinen. Sie durchschauen die Tricks, mit denen Kriminelle arbeiten, um ihren Opfern Vertrauliches zu entlocken. Das rumänische Sicherheitsunternehmen Bitdefender stellte hundert IT-Experten und Hacker auf die Probe. Das erstaunliche Ergebnis: Drei von vier Testpersonen gaben vertrauliche Daten preis, und jeder Fünfte verriet sogar sein Passwort.

Falsche Profile

Für das Experiment nahmen die Bitdefender-Experten Kontakt zu fünfzig Mitarbeitern aus der IT-Sicherheitsbranche sowie zu fünfzig Hackern auf. Die Profis aus der IT-Branche sprachen sie über das Berufsnetzwerk LinkedIn an. Dort erstellten sie das Dummy-Profil einer attraktiven 25-jährigen Frau, die angeblich in der Sicherheitsindustrie arbeitete.

Die Hacker wurden auf anderem Weg erreicht. Das Bitdefender-Team loggte sich in verschiedenen Hackerforen ein. Um in diesen Untergrundforen mitdiskutieren zu können, meldete sich das Team mit dem erfundenen Profil einer jungen Frau an, die in der IT-Branche beschäftigt sei und sich fürs Hacken interessiere. IT-Profis und Hacker wurden zufällig ausgewählt und anschließend über die Testprofile angesprochen.

"Schwachstelle" Mensch

Das auf einen Monat angelegte Experiment begann. "Unsere Experten in Bukarest sind mit den Testpersonen in einen ganz normalen Chatdialog eingestiegen, wie er im Internet gang und gäbe ist", sagt Hans-Peter Lange von Bitdefender im Gespräch mit heute.de. Man habe dabei allerdings immer im Auge gehabt, mit den Methoden des "Social Engineering" den Testpersonen "ganz nebenbei" persönliche Informationen zu entlocken.

Im IT-Bereich wird der Begriff "Social Engineering" für alle nichttechnischen Tricks verwandt, mit denen Informationen ausgespäht oder Schadprogramme auf fremden Rechnern installiert werden sollen. Menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder der Respekt vor Autoritäten werden ausgenutzt, um Internetnutzer trickreich per Telefon, E-Mail oder Chat auszuhorchen - oftmals mit Erfolg.

Die meisten geben Auskunft

Auch das Bitdefender-Team kam schnell zum Ziel. Zuerst seien alle Testpersonen zurückhaltend gewesen, heißt es in der Studie. Doch das Vertrauen zur neuen Chatpartnerin sei von Tag zu Tag gewachsen. Beide Versuchsgruppen hätten sich am Ende "recht offen und damit unvorsichtig" gezeigt. Sie gaben bereitwillig Persönliches preis. "13 Prozent der IT-Spezialisten sowie sieben Prozent der Hacker nannten sogar explizit ihre Passwörter."

Drei von vier Testpersonen gaben der eigentlich völlig unbekannten Chatpartnerin zudem Adresse und Telefonnummer an und erzählten Interna aus ihrem Familienleben. "Daten dieser Art sind für Cybergangster stets von Interesse, da sie sich für den Identitätsdiebstahl, zum Knacken von Passwörtern oder für weitere Betrugsversuche einsetzen lassen", heißt es in der Studie.

Im virtuellen Leben gelten andere Regeln

"Niemand würde einer willkürlich auf der Straße ausgewählten Person nach ein paar Gesprächsminuten seine Passwörter anvertrauen", sagt Sabina Datcu, Autorin der Studie. Das "virtuelle Zweitleben" im Internet werde aber offenbar von anderen Regeln bestimmt. Hier sei es leichter, künstliches Vertrauen zu erschaffen und dann für kriminelle Zwecke auszunutzen - und zwar sogar bei IT-Experten und Hackern, die es eigentlich besser wissen müssten.

Man müsse nur trickreich genug vorgehen, selbstsicher auftreten, sich eine stimmige Geschichte zurechtlegen, und schon sei es ein Kinderspiel, im Gespräch sensible Daten abzufragen, sagt Kevin Mitnick. Der ehemalige Hacker muss es wissen. Er war in den 1990er Jahren der weltweit meistgesuchte Computerhacker und verstand es meisterhaft, sich das Vertrauen seiner Opfer zu erschleichen und sie nach Passworten und anderen Zugangsdaten auszuhorchen.