Mark Thorben Hofmann ist ein international gefragter Experte, wenn es darum geht, wie Hacker denken und was sie antreibt. Er ist nicht nur Organisationspsychologe, sondern hat auch in Kalifornien eine mehrjährige Ausbildung zum „Crime and Intelligence Analyst“ absolviert. Erkennt sich mit geheimdienstlichen Methoden also besten aus. Hofmann ist international tätig und berät Kunden, die wissen wollen, wie ihre Angreifer ticken. Auf der it-sa Expo&Congress hält er die Special Keynote „Hacking the Hackers: How companies can build a human firewall“. Vorab verrät Hofmann im Interview, wie er arbeitet und mit Cyberkriminellen in Kontakt kommt.
Wie sind Sie mit dem Thema Cybersecurity in Berührung gekommen?
Damit bin ich nicht von der technischen Seite in Berührung gekommen. Schon während meines Studiums der Organisationspsychologie habe ich mich für die dunklen Seiten der Psyche interessiert, insbesondere für Verbrechen. Nach dem Masterstudium habe ich in den USA eine staatliche Zertifizierung zum „Crime- and Intelligence Analyst“ absolviert. Mein Werdegang ist etwas ungewöhnlich, denn normalerweise kommt man von der Kriminalistik zur Psychologie und nicht umgekehrt wie bei mir. Dabei stellte ich schnell fest, dass das Image von Verbrechern meist ein Hollywood-Mythos ist. Anders als im Film oder im Fernsehen findet man die wirklich intelligenten Verbrechen bei Wirtschaftsdelikten und Cybercrime, nicht in der Gewaltkriminalität. Die wirklich interessanten Charaktere sind Leute, die sehr wohl ohne Straftaten viel Geld verdienen können. Anders als zum Beispiel bei vielen Räubern oder Dieben hätten es diese Leute eigentlich nicht nötig, kriminell zu werden.
Von der Psychologie der Kriminalität führte dann schnell ein Weg zu Cybercrime, den die meisten Cybercrime-Aktivitäten adressieren menschliche Eigenschaften, Probleme und Fehler. Daraus ergeben sich psychologisch sehr interessante Fragen.
Neben Crime and Intelligence Analyst werden Sie auch als Profiler bezeichnet. Was darf man sich darunter vorstellen und wie hängt das zusammen?
Ich mag den Begriff Profiler nicht, er weckt falsche Assoziationen. Meine Tätigkeit hat nichts mit Intuition oder Superpower zu tun. Als Kriminalanalyst analysiere ich Ereignisse, Abläufe, Personen und Beziehungen. Das heißt, ich brauche Fakten oder Daten, die ich analysieren kann. Sind die nicht vorhanden, kann ich auch nicht helfen. Die Qualität der Analyse hängt maßgeblich von der Qualität der Daten ab. Die amerikanischen Strafverfolgungsbehörden nennen dieses Prinzip NINO – Nothing in, Nothing out.
Ihr Thema für die it-sa-Keynote lautet: „How companies can build a human firewall“. Was verstehen Sie unter einer menschlichen Firewall?
Damit meine ich beispielsweise Mitarbeiterinnen und Mitarbeiter , die nicht nur über ein Bewusstsein für Cybersecurity verfügen, sondern sich auch achtsam verhalten. Sie klicken nicht einfach auf einen Link, sondern sie schauen erst mal, wo der hinführt. Das zeigen Browser normalerweise unten am Rand an. Während viele einfach auf den Link klicken, gibt es andere, die verinnerlicht haben, immer erst nachzuschauen, wo der hinführt. Ein Sicherheitsbewusstsein ist inzwischen weit verbreitet, aber was leiten wir daraus für ein Verhalten ab, was haben Menschen geändert? Cybersecurity ist umständlich, erfordert zusätzliche Aktivitäten, das muss man bewusst auf sich nehmen. Die meisten Menschen wie auch Unternehmen gehen davon aus, dass Cyberangriffe zwar eine Gefahr sind, aber sie selbst nicht treffen können. Doch es bedarf der Verhaltensänderung, um der Gefahr wirklich begegnen zu können.
Was werden Sie in Ihrer Keynote behandeln?
Die Keynote wird sich in drei Blöcke aufteilen. Im ersten Block gebe ich einen Einblick in die Gedankenwelt der Täter. Ich probiere mit Tätern in Kontakt zu kommen. So kann man Einblicke gewinnen, die selbst Profis überraschen. Ich möchte wissen, warum machen die das, nach welchen Kriterien wählen sie ihre Opfer aus. Mich interessieren die wahren Beweggründe der Täter. Ich werde auch einen Fokus darauf legen, wo sie das gelernt haben, denn wir müssen langfristig verhindern, dass Leute auf die dunkle Seite wechseln.
Im zweiten Teil werde ich über Social Engineering und den Faktor Mensch sprechen. Es geht um eine psychologische Betrachtung von Angriffsmustern. Hier wird auch Künstliche Intelligenz eine Rolle spielen, denn die verändert die Angriffswelt. Ein Beispiel dafür ist WormGPT, die dunkle KI. Sie ist primär darauf ausgelegt, Texte für Phishing-Mails zu erzeugen. Dies auf Basis von Resultaten, die bisher besonders gut funktioniert haben. KI ist in Cybercrime-Kreisen ein großes Thema.
Was können wir tun, um eine menschliche Firewall aufzubauen?
Der letzte Block behandelt die Frage, was wir tun können, um eine menschliche Firewall aufzubauen. Also wie können wir Mitarbeiterinnen und Mitarbeiter überzeugen, wie können CEOs überzeugt werden. Wir müssen ganz normale Menschen überzeugen, die sich nicht unbedingt für dieses Thema interessieren. Dazu muss man über die Menschen reden, nicht über das Unternehmen oder Geschäftsprozesse. Beispielsweise setzen viele Unternehmen auf Phishing-Tests. Wer auf einen gefährlichen Link klickt, wird zur Strafe nachgeschult. Awareness Training ist gut, aber sollte nie eine „Strafmaßnahme“ sein, denn Menschen empfinden das als Demütigung. So erreicht man die Leute nicht. Es gibt weitaus bessere Ansätze, die werde ich vorstellen.
Wie gelingt es Ihnen, aussagewillige Hacker zu finden und mit ihnen ins Gespräch zu kommen, was veranlasst diese Menschen dazu?
Ich finde sie oft auf Plattformen wie Reddit; man muss nicht immer unbedingt ins Darknet gehen. Ein gewisser Grad von Stolz oder Narzissmus ist oft der Grund, weswegen Leute über ihre Taten reden. Manchmal ist es bei Hackern auch etwas Autismus, viel Forschung gibt es hier jedoch noch nicht. Diese Menschen haben meistens nicht die Möglichkeit, mit ihren Taten und Fähigkeiten anzugeben. Wenn sie das aber anonym können, sind sie bereit, darüber zu erzählen. Es sind Fachleute, die sehr gut wissen, wie sie anonym bleiben können. Es geht dabei auch nicht um die Ermittlung von Tätern, aber es lassen sich bestimmte Muster erkennen und für Psychologen auch manchmal psychische Probleme.
Wieso ist das für Ihre Kunden interessant, warum kommen sie zu Ihnen? Zählen zu Ihren Kunden eher Behörden oder Unternehmen?
Meine Kunden sind überwiegend Unternehmen, aber auch NGOs oder Behörden, von Katar bis in die Schweiz. Ich arbeite viel in den Golfstaaten. Inzwischen habe ich zwei Büros, eines in Berlin und eines in Dubai. Die Golfstaaten gehen sehr ambitioniert an das Thema Cybersecurity heran. Es gibt dort sogar ein Ministerium für KI.
Meistens geht es meinen Kunden darum, Profile und Täter besser zu verstehen, um daraus Gegenmaßnahmen und Verteidigungsstrategien abzuleiten. Es ist die Innenperspektive, die die Leute interessiert. Im Gespräch mit Tätern gewinne ich Einblicke, die für andere interessant sind. Außerdem kann ich die Themen so präsentieren, dass dem jeder folgen kann, da ich mich auf die menschliche Seite beschränke und nicht auf technische Aspekte.
Interview: Uwe Sievers