🔍 Was beobachte ich?

Russland greift Abgeordnete im Deutschen Bundestag via Signal an – nicht die App, sondern die Nutzenden. Gefälschte Support-Nachrichten fordern PIN oder QR-Code-Scan. MFA-Prompt-Bombing funktioniert genauso: dreißig Anfragen, eine falsch bestätigt. Kein technischer Exploit. Ein Verständnisexploit.

🎯 Was soll eigentlich erreicht werden?

Vertrauliche Kommunikation soll vertraulich bleiben, Zugänge vor Übernahme geschützt sein. Ende-zu-Ende-Verschlüsselung, MFA und sichere Messenger erfüllen genau diesen Zweck – technisch einwandfrei.

⚠️ Warum funktioniert das nicht?

Im Cyberraum fehlt die direkte Anschauung: Identität läuft über Codes, Autorisierung über Klicks. Protokolle werden ständig sicherer – und damit komplexer. Angreifer brechen nicht die Technologie, sie brechen das mentale Modell: „Verschlüsselt gleich sicher" – Signal schützt den Kanal, nicht die Entscheidung darüber. Die Nutzenden lesen: „Bestätige deine Anmeldung." Tatsächlich gefragt wird: „Jemand versucht gerade, sich als du anzumelden – warst du das?". Wer diesen Unterschied nicht erkennt, authentifiziert den Angreifer.

💡 Was funktioniert besser?

Sicherheitskompetenz fällt niemandem in den Schoß – ins Wissen und die Haltung der Menschen zu investieren ist Pflicht. Protokolle werden zwar sicherer, aber dadurch komplexer; im Cyberraum lässt sich Identität nicht am Gesicht erkennen, und wir sehen selten, was wir autorisieren. Bei manchen Angriffen – ein weitergereichter QR-Code etwa – bleibt der Mensch deshalb die letzte Verteidigungslinie. Grundregel: Autorisiere nichts, was du nicht selbst angestoßen hast – im Zweifel verweigern.

📚🔍