Der eigene Vorfall wurde für den Autor zum Ausgangspunkt einer Kritik an der Art, wie er Threat Intelligence gelernt hat. Verteidigung wird üblicherweise um Tätertypen herum organisiert: Cyberkriminelle, Nationalstaaten, Innentäter, Extremisten, Belästiger. Menschliche Schwachstellen halten sich jedoch nicht an diese Kategorien. Techniken, die ursprünglich emotionalen Schaden anrichten sollen, lassen sich oft unmittelbar in Werkzeuge des finanziellen Diebstahls übersetzen – nicht, weil Kriminelle Belästigungsforen nach Ideen durchsuchen, sondern weil beide auf dieselben kognitiven Grenzen zielen.
Der Autor unterscheidet zwei getrennte Welten. Trust-and-Safety-Teams von Plattformen verfolgen koordinierte Belästigung, Hassrede, Brigading und unechtes Verhalten. Betrugs- und Sicherheitsteams beobachten Business E-Mail Compromise (BEC), Credential Stuffing und Malware-Kampagnen. Beide Gruppen besuchen andere Konferenzen, publizieren in anderen Foren, nutzen andere Begriffe und bauen andere Werkzeuge. Während die eine Seite von “koordiniertem unechtem Verhalten” spricht, redet die andere von “Betrugskampagnen” – obwohl sie häufig dieselben Strukturen und Techniken beschreiben.
Der Autor hat in beiden Bereichen gearbeitet: zunächst in der Bekämpfung von Extremismus und Plattformmissbrauch, heute im Kampf gegen Betrug. Am meisten erstaune ihn, wie selten diese Gemeinschaften miteinander sprechen, obwohl sie im Kern dasselbe Problem lösen – Menschen vor organisierten Versuchen zu schützen, menschliche Schwächen auszunutzen.
Denial-of-Attention-Angriffe nennt er als gemeinsames, aber selten als solches erkanntes Muster. In seiner Arbeit gegen Extremismus sah er, wie koordinierte Belästigungskampagnen Opfer zum Schweigen brachten: Werden die Erwähnungen, Direktnachrichten und Antworten eines Ziels geflutet, ist das psychologische Ziel erreicht – das überforderte Opfer zieht sich zurück. Ähnlich funktionierten Massenmeldekampagnen, bei denen Angreifer die Moderationswarteschlange einer Plattform überschwemmten, um echte schädliche Inhalte zu verbergen oder legitime Konten in automatische Systeme laufen zu lassen. Zuletzt erzeugten Nutzer der Plattform X Tausende sexualisierte Bilder von Frauen und Mädchen als Material für Belästigung.
Dieselben Techniken sieht er heute für Betrug eingesetzt. Der Mechanismus sei identisch: die menschliche Aufmerksamkeitskapazität sättigen, bis kritische Informationen unsichtbar werden. Behandelt würden beide Phänomene dennoch als unverbunden, weil die Endziele der Angreifer verschieden sind. Bei einem Romance Scam erkenne er heute dieselbe Einsamkeit und soziale Isolation der Opfer, die in Geschichten über Radikalisierung zentral war.
Als Alternative skizziert der Autor eine Threat Intelligence, die sich an menschlichen Schwachstellen statt an Tätertypen ausrichtet. Ausbeutung über Belästigung, Betrug, Spionage und Einflussoperationen hinweg würde dann nicht als getrennte Bedrohungslandschaften betrachtet, sondern als Varianten derselben Angriffsfläche. Wer verstehe, wie ein Tätertyp eine Schwäche ausnutzt, lerne zugleich, wie alle anderen sie ausnutzen können.
Eine umfassende organisatorische Umstrukturierung sei dafür nicht nötig. Einzelne Analysten könnten sofort beginnen, diese Verbindungen herzustellen: über das eigene Silo hinaus lesen, bei einer Social-Engineering-Technik fragen, wo dieselbe menschliche Schwäche sonst noch ausgenutzt wird. Angreifer seien nicht durch organisatorische Grenzen beschränkt – die Threat Intelligence sollte es ebenfalls nicht sein.
