Kürzlich war ich zu einem Security-Event eingeladen. Es gab gratis Kaffee und interessante Menschen, alles wie erwartet. Bis Heidi Merl auf die Bühne kam. Sie ermittelt bei der Kantonspolizei Zürich gegen Kinderpornografie. Zu Beginn ihres Vortrags gab sie einen Disclaimer und bot uns die Möglichkeit, den Saal zu verlassen. (Der gleiche Disclaimer habt ihr jetzt gerade und ihr dürft die Einleitung bei Sensibilität dem Thema gegenüber gerne überspringen). Der Saal wurde ganz ruhig und dann begann sie mit ruhiger Stimme über ihre Arbeit zu sprechen.

Sie erzählte von den zahlreichen Inhalten, die sie und ihre Kollegen täglich prüfen müssen. Dabei stehen Fragen im Vordergrund: Ist es ein Verbrechen? Sind es echte Bilder oder KI-generierte? Kann man die Täter ausfindig machen? Was mich schockierte, war die Erwähnung, wo sie die Inhalte in einem grossen Teil der Fälle findet. Nicht im Darknet, sondern auf Facebook. Sie sind ganz öffentlich verfügbar.

Ein weiterer Teil des Vortrags zeigte uns ein verstörendes Bild mit KI-generierten Inhalten. Denn künstliche Intelligenz verschärft das Problem zusätzlich. Nun sind Bilder kaum mehr von der Realität zu unterscheiden. Echte Bilder von Kindern werden als Grundlage genutzt, um die Kinder in andere Posen zu stellen oder anders anzuziehen.

Was sie an einem Punkt erwähnte, machte mir wieder bewusst, wie wichtig das Thema Datenschutz ist:

Es werden zahlreiche Inhalte von Eltern oder den Kindern selbst (!) hochgeladen!

Sie nannte ein Beispiel: Ein Kind nutzte das Smartphone der Eltern, um einen Live-Stream auf Social Media zu schalten. Es merkte schnell, dass es mehr Likes erhielt, wenn es sich auszieht.

Entschuldigt, ein etwas ernstes Thema. Aber es betrifft uns alle, auch kinderlose.

„Ich habe nichts zu verbergen“

Die meisten Menschen glauben, sie hätten nichts zu verbergen. Viele denken, Datenschutz sei nur etwas für Sicherheitsangestellte oder paranoide Leute. Es kann sein, dass es vor KI-Tools noch eine grössere Hürde bedeutete, Daten über uns im Internet zu sammeln und sinnvoll zu kombinieren, um ein besseres Bild von uns zu erhalten.

Heute reicht es, unsere Daten und ein KI-Tool zu nutzen, um ein detailliertes Persönlichkeitsprofil zu erstellen. So entstehen aus Suchanfragen, Standortdaten, Social-Media-Posts, gelikten Beiträgen oder Online-Einkäufen plötzlich detaillierte Persönlichkeitsprofile.

Zum Beispiel entsteht aus unserem Fitness-Tracker, den Uhrzeiten unserer WhatsApp-Online-Status, den Fotos unseres Abendessens und den Artikeln, die wir liken und teilen, ein Bild, das für Phishing oder personalisierte Angriffe wie Crypto-Scams genutzt werden kann.

Beispiele für solche schützenswerten Online-Spuren sind:

• Suchanfragen: Häufige Suchanfragen nach bestimmten Krankheiten können auf Gesundheitsprobleme schliessen lassen.

• Standortdaten: Regelmässige Aufenthalte an bestimmten Orten verraten den Wohnort, die Arbeitsstelle und das Freizeitverhalten.

• Social-Media-Posts und Likes: Sie zeigen Interessen, den Freundeskreis, politische Ansichten und den Lebensstil.

• Online-Einkäufe: Sie geben Auskunft über die finanzielle Situation, Vorlieben und Lebensphasen (z. B. Babyartikel = Familiengründung).

• Streaming-Verhalten: Rückschlüsse auf Stimmung, Hobbys und Tagesablauf

• Bilder unseres Umfeldes und vertraulichen Daten

Drei psychologische Gründe, die uns davon abhalten, Datenschutz aktiv zu betreiben

Eigentlich haben wir angeborene Instinkte, die uns zu sicherem Verhalten veranlassen. Wir sprechen vom Fight-or-Flight-Modus und ziehen unsere Hand schnell weg, wenn die Pfanne zu heiss ist. Online scheint dieser Instinkt jedoch nicht zu funktionieren. Was hindert uns daran?

1. Das Datenschutzparadoxon

Es ist ein Wettstreit: Wenn wir befragt werden, sagen wir: „Mir ist Datenschutz wichtig“, klicken bei den Cookies aber gleichzeitig immer auf „alle Cookies akzeptieren“. Oder wir verwenden für mehrere Konten das gleiche Passwort. Und wir empfinden die Einrichtung einer Multifaktor-Authentifizierung als Bürde.

In diesem Duell gewinnt unsere Bequemlichkeit. Beim sogenannten Datenschutzparadoxon sagen wir zwar, dass uns der Datenschutz wichtig ist, handeln aber nicht entsprechend.

2. Persönliche Betroffenheit

Im Beratungsalltag sagen mir viele Sicherheitsverantwortliche, dass sie jedes Jahr um ihr Budget für Security Awareness kämpfen müssen. Die Geschäftsleitung sagt dann beispielsweise, dass es ja bisher immer funktioniert hat und fragt sich, was das überhaupt bringen soll.

Solange es nur anderen passiert, interessiert es uns wenig. Uns passiert das schon nicht. Diese Sicherheitsverantwortlichen erhalten ihr Budget oft erst nach dem ersten Vorfall, wenn in der Analyse das Einfallstor als einfach erkennbares Phishing identifiziert wurde.

3. Kognitive Verzerrungen und Heuristiken: Pop-up? Weg damit! Cookies? Weg!

In vorherigen Blogs bin ich schon mehrfach auf unsere Denkweise eingegangen. Dabei spielen zwei Systeme die Hauptrollen: ein automatisches System (z.B. Autofahren) und ein aufwändiges, abwägendes System (z.B. Berufsentscheidung treffen).

Beim Surfen im Internet befinden wir uns überwiegend im automatischen System. Das bedeutet, dass es auch anfällig für Fehler ist. Wir stellen keine tieferen Überlegungen an, sondern reagieren einfach auf die präsentierten Inhalte einer Webseite. Unser Ziel ist es, ein neues Mobiltelefon zu kaufen, und nicht, Cookie-Banner oder AGB zu lesen.

Ein weiterer Grund könnte darin liegen, dass wir die Risiken gar nicht kennen.

Es sind nicht nur psychologische Gründe, die uns daran hindern, uns sicher zu verhalten. Hinzu kommt, dass viele Risiken und Datenflüsse im Hintergrund ablaufen und für uns als Nutzer kaum sichtbar oder nachvollziehbar sind.

Viele denken beispielsweise, dass ihre Chats bei WhatsApp durch die Ende-zu-Ende-Verschlüsselung immer sicher sind. Was viele aber nicht wissen: WhatsApp gehört zu Meta. Meta, wie auch Google, Amazon & Co. verdienen Geld mit Daten über uns, die sie an die Höchstbietenden versteigern. Auch wenn Nachrichten verschlüsselt sind, werden trotzdem viele andere Informationen gesammelt, zum Beispiel:

• Metadaten: wer mit wem, wann und wie oft kommuniziert,

• Öffentliche Posts, Fotos und Kommentare auf Facebook und Instagram.

• Informationen, die an die neue KI-Funktion Meta AI geschickt werden. Diese sind nicht mehr verschlüsselt und können von Meta verarbeitet werden.

• Unser Adressbuch wird ausgelesen und es können Profile erstellt werden.

• Auch über Personen, die nicht auf WhatsApp sind, können Profile erstellt werden, durch ihre Kontakte, die den Dienst nutzen!

Datenschutz kann überfordernd wirken. Doch niemand hat wirklich „nichts zu verbergen“. Wir alle hinterlassen Spuren. Wie uns Heidi Merl eingangs beibrachte, sind das nicht nur unsere eigenen Spuren, sondern auch die unserer Kinder oder, wie bei Meta, die unserer Kontakte.

Wenn wir unseren Tendenzen bewusst werden, können wir im Alltag anfangen, uns bestimmte Fragen zu stellen: Muss ich das wirklich posten? Muss ich meine Kinder öffentlich sichtbar machen? Muss ich jeder App Zugriff auf mein Leben geben? Welche Unternehmung steht hinter dieser App und brauche ich sie wirklich?

Was meint ihr dazu??

Bis bald!

Jill

Quellen:

„Privacy Paradox“. In Wikipedia, 11. Juni 2025. https://de.wikipedia.org/w/index.php?title=Privacy_Paradox&oldid=256911430.

„Das Privacy Paradox und kognitive Verzerrungen | Kalaidos FH“, 6. April 2022. https://www.kalaidos-fh.ch/de-CH/Blog/Posts/2022/04/Wirtschaftspsychologie-1049-Privacy-Paradox.