Es war ein ganz normaler Mittwochmorgen für Daniel Huber. Auf dem Weg zur ZHAW in Winterthur gönnte er sich einen Schoggigipfel, um sich für die Vorbereitung seiner Vorlesung zu stärken. Als er seinen Laptop hochfuhr, bemerkte er, dass etwas nicht stimmte. Er hatte E-Mails auf seiner privaten E-Mail-Adresse... von sich selbst?!

Er sah eine Reihe verdächtiger Nachrichten in seinem Posteingang. Sie stammten von seinem eigenen Konto an der Fachhochschule und waren auch an seine Kollegen und Studenten adressiert. Die Nachrichten enthielten seltsame Links und es wurden echte E-Mail-Verläufe verwendet, um die Nachrichten echt aussehen zu lassen. Daniel wurde klar: Jemand muss sein E-Mail-Konto gehackt haben und verschickt nun Phishing-Mails in seinem Namen!

Sein Puls beschleunigte sich, als ihm bewusst wurde, dass er möglicherweise auch andere sensible Informationen verloren hatte. Was war mit all den Kontaktdaten, den Verträgen, der Passkopie, die er sich erst kürzlich für den Straf- und Betreibungsauszug zuschickte? Ganz zu schweigen von dem streng vertraulichen Forschungsprojekt über eine digitale Innovation, an dem er als Betriebsökonom mitwirken durfte.

Er versuchte, sich in sein Konto einzuloggen, aber das Passwort funktionierte nicht mehr. Jemand hatte es geändert und ihn ausgesperrt. Daniel rief sofort den IT-Support der Fachhochschule an und erklärte die Situation. Sie bestätigten, dass es einen Angriff gegeben hatte, und begannen, die Situation zu untersuchen. Sie empfahlen ihm sofort alle anderen Passwörter zu ändern. Dabei fiel ihm ein, dass er dieses Passwort sicher noch an vier anderen Stellen verwendete und er sich gar nicht sicher war, ob dies alle Stellen waren.

In den nächsten Tagen musste Daniel auch seine Kollegen und Studenten warnen, dass sie vorsichtig sein sollten, wenn sie Nachrichten von ihm erhielten. Es war ein Albtraum, der Daniels berufliche und persönliche Welt auf den Kopf stellte.

Der Angriff hatte nicht nur seine berufliches Ansehen gefährdet, sondern auch seine Privatsphäre verletzt. Daniel war schockiert und fühlte sich machtlos.

Er wusste, dass er mehr hätte tun können, um sich zu schützen.

Aber für ihn gab es immer andere Prioritäten. Mit seinen beiden Söhnen gab es nur wenige ruhige Momente in seinem Privatleben, und die Arbeit in seinem Netzwerk nahm ihn voll in Anspruch.

Hinzu kam, dass er, wenn er nur an Sicherheit dachte, einen riesigen Berg an Arbeit vor sich sah und gar nicht wusste, wo er anfangen sollte.

Jetzt hat er sich vorgenommen, seine Cyber-Hygiene auf Vordermann zu bringen.

In diesem Artikel erfahrt ihr,

• was uns psychologisch daran hindert, Sicherheitsmassnahmen umzusetzen

• und was wir dagegen tun können

• welche 7 Schritte Daniels Basissicherheit um ein Vielfaches verbessern

Die 4 psychologischen Fallen der Cyber-Sicherheit:

1. „Das passiert mir nicht“: Optimismus-Bias

Daniel unterschätzt das Risiko. Er könnte sich sagen: "Ich bin Dozent, kein Ziel für Hacker. Ich glaube nicht, dass ich interessant genug bin, um angegriffen zu werden". Er glaubt, dass Cyberangriffe eher andere treffen. Deshalb kümmert er sich weniger um seine digitale Sicherheit - obwohl er die Gefahren kennt.

Der Effekt ist, dass wir die Wahrscheinlichkeit eines negativen Ereignisses für uns selbst unterschätzen und positive Ereignisse überschätzen. Der Optimismus-Bias ist eine Art psychologische Strategie, die uns hilft, mit negativen Ereignissen umzugehen.

Leider macht er uns auch anfälliger für Risiken, denn da wir negative Ereignisse nicht so kritisch einschätzen, unternehmen wir auch nicht die notwendigen Schritte, um uns zu schützen.

2. „Mit diesem Passwort hatte ich noch nie Probleme“: Status-Quo-Bias

Daniel bevorzugt den aktuellen Zustand seiner digitalen Sicherheit und vermeidet Veränderungen, selbst wenn diese ihn besser schützen könnten.

Wir lassen die Dinge lieber so, wie sie sind. Veränderungen erfordern kognitive Energie, die wir lieber vermeiden.

3. „Ist doch nicht so schlimm“: Kognitive Dissonanz

Weil Daniel nicht dazu kommt, seine Passwörter endlich in den Passwortmanager zu übertragen, obwohl er weiss, dass er es tun sollte, entsteht bei ihm unbewusst ein unangenehmes Gefühl. Dieses Gefühl nennt man „kognitive Dissonanz“.

Wir wenden hauptsächlich zwei Strategien an, um dieses unangenehme Gefühl zu beseitigen. Wir beseitigen das Gefühl, indem wir uns so verhalten, wie wir uns verhalten sollten. Daniel würde also anfangen, seine Passwörter zu übertragen.

Die zweite Strategie ist, unser Denken so anzupassen, dass wir wieder mit uns im Reinen sind. Das bedeutet, dass wir unsere Einstellung ändern. Daniel könnte sich also sagen, dass seine derzeitigen Sicherheitsmassnahmen ausreichen, um sich besser zu fühlen.

4. „Ich habe gerade keine Zeit“: Present Bias

Daniel bevorzugt es, sich schnell einloggen zu können und keinen zweiten Faktor eingeben zu müssen. Das Öffnen der App, das Entsperren mit dem Fingerabdruck, das Eintippen des Codes überschattet die momentane Belohnung, sich einfach einloggen zu können.

Der Present Bias beschreibt also unsere Tendenz, die unmittelbare Belohnung einem zukünftigen Vorteil vorzuziehen. Auch wenn letzterer viel lohnender wäre.

Ein sehr schönes Experiment dazu ist immer wieder das Marshmallow-Experiment:

Es ist zwar schade, dass Daniel seine Sicherheitseinstellungen erst angepasst hat, nachdem etwas passiert ist, aber besser spät als nie.

Wenn wir diese Effekte kennen, können wir ihnen auch entgegenwirken. Wenn ihr also das nächste Mal denkt: “Ich habe keine Zeit”, fragt euch, ob das wirklich stimmt, oder ob ihr euch nicht vielleicht doch einen Moment Zeit nehmen könntet, um eure MFA-Einstellung zu ändern?

Oder könnte es sein, dass ihr ein wenig zu optimistisch seid und dass auch ihr ein interessantes Ziel für Hacker sein könntet?

Was können wir tun? Die Antwort lautet: Cyberhygiene, Schritt für Schritt.

Wenn wir alles in kleinere Schritte aufteilen, können wir täglich etwas für unsere Sicherheit machen, ohne dieses überwältigende Gefühl zu erleben, gar nicht zu wissen, wo wir anfangen sollen.

1. Passwort & MFA

2. Surfen & öffentliches W-LAN

3. Geräte & Software-Sicherheit

4. Backups

5. Social Media

6. Schutz vor Betrug & Social Engineering: Gängige Angriffsmuster

Was beinhalten diese Punkte?

1. Passwort & MFA

• Einmaliges, komplexes Passwort, so lang wie möglich (16+)

• MFA wo immer möglich, mit einer App wenn möglich statt SMS und Backup Codes der App separat aufbewahren, nicht auf dem gleichen Gerät

• Passwortmanager wählen und alles dort speichern

• Ihr traut den PW-Managern nicht? Geheimtipp: Ihr könnt eine kleine Änderung in die Passwörter einbauen, die nur ihr kennt, dann sind sie doppelt verschlüsselt.

2. Surfen & öffentliches W-LAN

• Browser-Einstellungen überprüfen und Tracking ausschalten

• Cookies immer ablehnen, wenn möglich!

• Passwörter nicht im Browser speichern

• VPN benutzen, vor allem im öffentlichen W-LAN (z.B. NordVPN)

• Darauf achten, dass man im richtigen Gäste-W-LAN ist (Guest, Guest01..)

3. Geräte- und Softwaresicherheit

• MFA auch in Apps einrichten, falls das Handy ungesperrt gestohlen wird

• Handy-Sperrcode oder biometrische Sperre verwenden

• Nicht mehr benötigte Apps löschen (haben teilweise Zugriff auf zu viele Daten)

4. Backup & Updates

• Sobald ein Update erscheint, dieses ausführen

• Automatische Updates aktivieren

• Alle Daten als Backup auf einem externen Laufwerk oder in der Cloud speichern.

5. Soziale Medien

• Meta auf die Finger schauen! Die Standardeinstellungen sind meist nicht zu unseren Gunsten, wenn es um Privatsphäre geht.

• Wer kann euren Inhalt teilen/verwenden, wenn ihr aktiv seid?

• Melden wenn ihr Scam seht ist wichtig und hilft allen.

• Auf Social Media sind Ads oft von Betrügern; Wenn euch ein Produkt interessiert, recherchiert genau, wer der Händler ist (Warnliste der Finma).

6. Schutz vor Betrug & Social Engineering: Aktuelle Angriffsmuster

• Kennt ihr die aktuellen Betrugsmuster und Phishing-Mails? (Cybercrimepolice.ch ist eine gute Quelle)

• Bei Unsicherheit: Vor dem Kauf die Warnliste der Finma konsultieren

Eine ausführliche Checkliste dazu kannst du hier kostenlos herunterladen:

Checkliste jetzt als PDF

Gedankenexperiment: Stellt euch regelmässig diese Frage:

„Wenn ich morgen gehackt würde und alle meine Geräte unbrauchbar wären: Wäre ich vorbereitet und könnte mein Leben ohne Probleme weiterführen?“

• Könntest du deine Rechnungen noch bezahlen?

• Hättest du noch Zugang zu allen wichtigen Kommunikationskanälen?

• Wären deine Online-Präsenz, dein Geschäft, deine schulischen Leistungen usw. nicht beeinträchtigt?

Na ready? Was habt ihr anzufügen?

Bis bald 🤗

Jill

PS. QuarSecco ist ein unterhaltsames Kartenspiel, das dir spielerisch wichtige Themen der Cybersicherheit näher bringt: https://wickedjill.gumroad.com/l/Quarsecco

Referenzen

„Cyberhygiene: Definition und Checkliste“. Zugegriffen 8. März 2025. https://www.kaspersky.de/resource-center/preemptive-safety/cyber-hygiene-habits.

„Optimismus - Psychologie Lexikon der Argumente“. Zugegriffen 8. März 2025. https://www.philosophie-wissenschaft-kontroversen.de/gesamtliste_psychologie.php?thema=Optimismus.

„Present Bias“. In Wikipedia, 7. Februar 2025. https://en.wikipedia.org/w/index.php?title=Present_bias&oldid=1274481541.

Stier, Isabelle. „Kognitive Dissonanz: 3 Gründe & 2 Strategien gegen die Selbstlüge“. lernen.net, 28. November 2019. https://www.lernen.net/artikel/kognitive-dissonanz-8998/.

„Abwehrmechanismus“. In Wikipedia, 21. Mai 2024. https://de.wikipedia.org/w/index.php?title=Abwehrmechanismus&oldid=245158541.

„Status Quo Bias“. In Wikipedia, 14. Dezember 2024. https://en.wikipedia.org/w/index.php?title=Status_quo_bias&oldid=1263026128.

CrowdStrike.com. „Cyberhygiene im Fokus: Häufige Fehler und Best Practices | CrowdStrike“. Zugegriffen 9. März 2025. https://www.crowdstrike.com/de-de/cybersecurity-101/exposure-management/cyber-hygiene/.

„Cyber Hygiene Checkliste“. Zugegriffen 9. März 2025. https://www.drivelock.com/de/blog/cyber-hygiene.