Cybersicherheitsexperten organisieren ihre Abwehrmechanismen nach Angriffstypen statt nach menschlichen Schwachstellen – ein kritischer Fehler, der Angreifer ausnutzen.
MEINUNG
Vergangenes Wochenende wurde mein persönliches E-Mail-Postfach von jemandem mit Hilfe von Spam-Software bombardiert: Hunderte von Mailing-List-Abos in weniger als einer Stunde. Das Ziel war nicht, mein Postfach zu überlasten, sondern drei spezifische Nachrichten zu verstecken. Ganz unten in der Flut lagen drei Willkommens-E-Mails von American Express für eine Kreditkarte, die ich nie beantragt hatte. Das Schema funktionierte – vorübergehend. Als ich die Amex-Mails bemerkte, waren sie bereits unter 800 anderen E-Mails begraben.
E-Mail-Bombardierung ist kein neues Verfahren zum Vertuschen von Betrugsspuren, aber es offenbarte mir etwas Wichtiges: Ich hatte diese Taktik bereits woanders beobachtet. Überflutungen per E-Mail werden seit Jahren als Belästigungstaktik eingesetzt – eine billige Methode, um Opfer ohnmächtig und überfordert zu machen. Was ich erst jetzt verband, nachdem es mir in beiden Kontexten passierte, war die zentrale Erkenntnis: E-Mail-Bombardierung funktioniert bei Belästigung wie beim Betrug gleich gut, weil sie dieselbe menschliche Schwachstelle ausnutzt – die kognitive Überlastung, also die biologische Grenze unserer Informationsverarbeitung. Ob für Belästigung oder Gewinn missbraucht: Die Angriffsfläche bleibt identisch.
Diese Erkenntnis offenbarte eine große Lücke in meinem Verständnis von Threat Intelligence. Wir organisieren Abwehrmechanismen nach Angriffstypen: Cyberkriminelle, Nationalstaaten, Insider-Bedrohungen, Extremisten, Stalker. Aber menschliche Schwachstellen kennen diese Kategorien nicht. Techniken, die emotionalen Schaden anrichten, funktionieren oft genauso gut für finanziellen Diebstahl – nicht weil Kriminelle in Belästigungsforen Ideen sammeln, sondern weil beide auf dieselben kognitiven Grenzen abzielen. Wenn wir Aufmerksamkeits-Entzug-Attacken im Betrugskontext antizipieren wollen, müssen wir verstehen, wie sie zuerst in Belästigungskontexten funktionieren. Die Lektionen sind identisch, auch wenn die Bedrohungsmodelle nie miteinander sprechen.
Plattformen verfolgen koordinierte Belästigung, Hassinhalte und unechte Verhaltensweisen. Betrugs- und Sicherheitsteams verfolgen Business-E-Mail-Kompromisse und Malware-Kampagnen. Diese beiden Gruppen besuchen unterschiedliche Konferenzen, veröffentlichen in verschiedenen Medien, verwenden andere Fachbegriffe und bauen unterschiedliche Tools. Die eine Seite spricht von „koordinierten unechten Verhaltensweisen”, die andere von „Betrugskampagnen” – oft beschreiben sie aber dieselben Strukturen mit denselben Methoden.
Ich habe in beiden Bereichen gearbeitet: erst in Anti-Extremismus und Plattformmissbrauch, jetzt in Betrugsprävention. Was mich am meisten überrascht, ist wie selten diese Communities miteinander sprechen, obwohl sie dasselbe Problem lösen: Menschen vor organisierten Versuchen schützen, menschliche Schwachstellen auszubeuten.
Mein E-Mail-Bombardierungs-Erlebnis zeigt: Aufmerksamkeits-Entzug-Attacken tauchen in beiden Welten auf, werden aber selten als dieselbe Bedrohungsklasse erkannt.
In meiner Anti-Extremismus-Arbeit sah ich, wie koordinierte Belästigungskampagnen Opfer zum Schweigen brachten. Man flutet die Erwähnungen und Direktnachrichten eines Ziels, und der Angreifer erreicht sein psychologisches Ziel: Das Opfer ist überwältigt und meldet sich ab. Massenhaft eingeleitete Meldungen funktionierten ähnlich – man hofftte, dass echte schädliche Inhalte begraben würden. Heute generieren Nutzer auf der X-Plattform Tausende sexualisierter Bilder als Belästigungsmaterial mit vorhersehbaren Folgen.
In meiner heutigen Arbeit sehe ich dieselben Techniken beim Betrug eingesetzt. Der Mechanismus ist identisch: Menschliche Aufmerksamkeitskapazität sättigen, bis kritische Informationen unsichtbar werden. Aber wir behandeln diese als unabhängige Phänomene, weil die Endziele unterschiedlich sind.
Beiden Seiten geht es um Manipulation großer Gruppen, aber keine hat das komplette Bild. Bei Romance-Scams erkenne ich dieselbe Einsamkeit, die ich in Radikalisierungsgeschichten sah. Bei koordinierten Belästigungen hätte ich mehr auf Rekrutierung und Zeitkoordination achten sollen – wie Betrugszentren arbeiten.
Wie würde Threat Intelligence aussehen, wenn wir sie nach menschlichen Schwachstellen statt nach Angriffstypen organisieren?
Wir würden Exploitation über Belästigung, Betrug, Spionage und Einflussoperationen hinweg verfolgen – nicht als separate Bedrohungslandschaften, sondern als Variationen derselben Angriffsfläche. Wir würden Taktiken aus häuslicher Gewalt, Kulten, Betrügereien und extremistischer Rekrutierung als einheitliches Phänomen studieren.
Das erfordert keine große Umstrukturierung. Einzelne Analysten können jetzt anfangen. Lesen Sie außerhalb Ihrer Sparte. Arbeiten Sie in Betrugsprävention? Folgen Sie Plattformmissbrauchs-Forschung. Arbeiten Sie in Trust and Safety? Verfolgen Sie Finanzverbrechens-Berichte. Fragen Sie bei jeder Social-Engineering-Technik: Wo sonst wird diese menschliche Schwachstelle ausgenutzt?
Unsere Gegner respektieren keine Konzern-Grenzen. Unsere Threat Intelligence sollte das auch nicht tun.
Quelle: Dark Reading