Rosenheim – Kriminalanalyst, Organisationspsychologe, Profiling-Experte – Mark T. Hofmann ist ein Spezialist auf seinem Gebiet und verfolgt dabei einen kontroversen Ansatz. Anstatt sich direkt auf die Firewalls und Sicherheitslücken zu stürzen, versucht er, die Menschen hinter den Angriffen zu verstehen. Dafür begibt er sich auf „die dunkle Seite“, um über verschiedene Hacker-Foren an die Täter heranzukommen. Wie seine Analysen aussehen, wie die zum Teil hochintelligenten Hacker arbeiten und wie sich das Wissen nutzen lässt, um sich zu schützen, verrät Hofmann im exklusiven OVB-Interview.
Sie sagen, dass die wirklich „interessanten“ Kriminellen nicht mit der Waffe durch die Straßen ziehen. Wie sehen die interessanten Täter denn aus?
In der Tat werden Serienmörder in Hollywood-Produktionen gerne als intelligente Masterminds dargestellt, die sich ein intellektuelles Katz-Maus-Spiel mit der Polizei liefern. Das ist ein Klischee. Wenn man nach hochintelligenten Tätern sucht, findet man sie durchaus, sie sitzen jedoch eher unscheinbar vorm Laptop statt mit einem Messer auf der Rückbank. Meiner Erfahrung nach sind die interessanten Persönlichkeitsprofile intelligenter Täter eher im Bereich Cybercrime zu finden.
Von Hackern lernen,
sich zu schützen
Wie finden Sie die?
Mein Ansatz als Kriminalanalyst ist kontrovers, aber effektiv. Ich gehe ins Dark-net und in Hacker-Foren, um aus erster Hand durch Gespräche und Analysen zu verstehen: Wer sind die Täter? Was motiviert sie? Und wo haben sie ihre Fähigkeiten gelernt? Einfacher formuliert: Ich lerne von den „Bösen“, um dann den „Guten“ zu zeigen, wie wir uns schützen können.
Wie finden Sie heraus, wie die „Bösen” ticken?
Das meiste passiert in Darknet-Foren, also Seiten, die nur über den TOR-Browser aufrufbar sind und Anonymität gewährleisten. Hacker maskieren sich durch anonyme Nutzernamen, aber sprechen hier erstaunlich offen über Motive, Einstellungen und Angriffsmethoden. Vertrauen aufzubauen oder Hacker für Forschungszwecke zu gewinnen, ist trotzdem aufwendig, mühsam und dauert teils Wochen.
Auch Telegram und andere Messenger sind zunehmend bedeutsam. Die Frage ist, warum sprechen Hacker überhaupt mit mir? Ich glaube, es ist ein gewisser Narzissmus oder Stolz auf die eigenen Handlungen. Bei manchen merkt man schon ein gewisses Bedürfnis mitzuteilen, wie genial sie eigentlich sind.
Was sagen die Nachrichten auf Telegram und Co. über die jeweiligen Personen dahinter aus?
Man darf sich Hacker nicht als 15-jährige Teenager in schwarzen Hoodies vorstellen, viele Hackergruppen agieren wie mittelständische Unternehmen. Sie haben Marketing, Kundenservice, Logos, eine Finanzabteilung, Qualitätsmanagement und Fachkräftemangel. Polizei und Geheimdienste nutzen den Begriff „Crime as a Service“ und das ist sehr akkurat. Cybercrime ist ein arbeitsteiliges, hochprofessionelles Milliardengeschäft.
Wie genau können Sie durch Ihre Analysen die Täter beschreiben?
Die Aufklärungsquoten bei Cybercrime sind gering und Täter agieren meist aus den Ländern heraus, die nicht an Deutschland ausliefern. Außerdem ist zu beachten, dass Cyberkriminalität teils von anderen Staaten toleriert wird oder es sich bei den Angreifern um Mitarbeiter von Nachrichtendiensten geopolitischer Kontrahenten handelt. Die FBI Cyber Most Wanted Liste ist voll mit Personen deren Klarnamen und Identität man kennt und dennoch gelingt keine Festnahme.
Was nützt es dann , die Hacker zu kennen?
Eine Menge, denn umso wichtiger ist Prävention. Ich probiere die Methoden der Angreifer zu decodieren, zu verstehen, wie sie vorgehen und auch, wie sie KI und Deepfakes nutzen, um einen Schritt voraus zu sein und Menschen zu zeigen, wie sie sich schützen können und zu einer „menschlichen Firewall“ werden.
Das heißt, die größte Sicherheitslücke ist der Mensch?
In den meisten Fällen beginnt Cybercrime mit einem menschlichen Fehler. Es sind Menschen, die auf Phishing-Links klicken, Anhänge öffnen, USB-Sticks vom Parkplatz aufheben und an den Rechner stecken, weil „geheim“ darauf steht, es sind auch Menschen, die in der Bahn laut telefonieren oder den Laptop entsperrt stehen lassen.
Cybercrime ist kein rein technisches Problem, sondern auch ein psychologisches Problem und genau da setze ich an. Generative KI und Deepfakes sorgen nun dafür, dass die Qualität der Angriffe weiter steigt. Mit Deepfakes ist es jetzt möglich, die Stimme von Familienmitgliedern oder Führungskräften zu klonen. Eine solche Sprachnachricht oder Anruf kann sehr überzeugend sein. Auch fehlerfreie, perfekte Phishing Mails sind in Zeiten von ChatGPT für Täter kein Problem mehr.
Was ist der erste Schritt, um den sozialen Kontakt zum Beispiel mit Mitarbeitern einer Firma aufzubauen?
Die meisten Angriffe geben vor, jemand oder etwas anderes zu sein. Sie geben vor, unser Vorgesetzter, Sohn, Tochter, die eigene Bank, das Finanzamt, die Polizei oder DHL zu sein. Manchmal per E-Mail, manchmal per Whatsapp, manchmal telefonisch. Und dann werden vorwiegend drei Dinge kombiniert: Emotion, Zeitdruck und eine Ausnahme, also wir sollen irgendwas Ungewöhnliches tun.
Wenn diese drei Dinge zusammenkommen, wird es Zeit, durchzuatmen und kurz die Plausibilität zu überprüfen: Würde Ihre Bank Sie anrufen und nach dem Passwort fragen? Würde Ihr Vorgesetzter Sie um eine Überweisung in Millionenhöhe am Telefon bitten? Würde Ihre Tochter Sie um Geld fragen? Täter nutzen Emotion und Zeitdruck, damit wir genau diese Fragen nicht stellen. Je mehr Druck jemand aufbaut, desto ruhiger sollten Sie werden.
„Je mehr Druck
aufgebaut wird, desto ruhiger sollten Sie werden“
Wie lässt sich diese „menschliche Lücke“ im System grundätzlich schließen?
Nun, Menschen sind das schwächste Glied in der Kette der Cybersicherheit. Das bedeutet im Umkehrschluss aber auch, dass hier das größte Potenzial zur Verteidigung liegt. Cybersicherheit ist in meinen Augen ein Mix aus zwei Dingen: die technische Firewall, aber auch die menschliche Firewall.
Was wollen Sie den Besuchern des Vortrags an der TH Rosenheim mitgeben?
Ich werde das Publikum mitnehmen auf eine Reise in den Kopf der Täter und die dunkle Seite der KI. Meinen Vortrag gliedere ich in drei Teile: Im ersten Teil geht es um die Profile und Motive der Täter, einen Einblick ins Darknet und meine Arbeit. Im zweiten Teil geht es um die Psychologie der Cyberangriffe, wie sie funktionieren und was sich durch KI ändert. Und im dritten Teil geht es um die Abwehr: Was können wir beruflich und privat tun, um uns zu schützen?
Interview: Korbinian Sautter