Stellen Sie sich vor, Ihr Telefon klingelt. Die Nummer, die auf dem Display erscheint, gehört Ihrer Bank. Ein freundlicher Mitarbeiter erklärt Ihnen, dass es ein Sicherheitsproblem mit Ihrem Konto gibt und Sie dringend handeln müssen. Sie folgen den Anweisungen, geben ein paar Informationen preis und denken, Sie hätten das Problem gelöst. Wenige Stunden später stellen Sie fest, dass Ihr Konto leergeräumt ist. Das ist kein Szenario aus einem Hollywood-Film, sondern eine alltägliche Realität in der Welt der Cyberkriminalität. In einem aufschlussreichen Interview auf dem YouTube-Kanal „{ungeskriptet} by Ben“ enthüllt der IT-Sicherheitsexperte und professionelle Hacker Florian Hansemann, wie erschreckend einfach es für Angreifer ist, in unser digitales Leben einzudringen, und welche Rolle wir selbst dabei spielen.
Dieser Artikel fasst die wichtigsten Erkenntnisse aus dem über zweistündigen Gespräch zusammen, übersetzt die Fachsprache in verständliche Worte und gibt Ihnen konkrete Beispiele und Schutzmaßnahmen an die Hand. Denn die ernüchternde Wahrheit ist: Absolute Sicherheit gibt es nicht, aber wir können es den Angreifern so schwer wie möglich machen.
Der Mensch: das größte Sicherheitsrisiko
Wenn wir an Hacking denken, haben viele von uns das Bild eines Genies im Kapuzenpullover vor Augen, das in Windeseile komplexe Codes in einen schwarzen Bildschirm tippt. Die Realität sieht oft anders aus. Der häufigste und erfolgreichste Angriffsvektor ist nicht die Technik, sondern der Mensch selbst. Diese Methode nennt sich Social Engineering – die Kunst, Menschen zu manipulieren, um an vertrauliche Informationen zu gelangen.
Florian Hansemann betont, dass sein Team in den meisten Fällen nicht einmal komplizierte technische Lücken ausnutzen muss. Stattdessen rufen sie einfach an. Ein besonders perfides Werkzeug dabei ist das sogenannte Caller-ID-Spoofing. Damit können Angreifer jede beliebige Telefonnummer auf dem Display des Opfers anzeigen lassen. Der Anruf scheint also von einer vertrauenswürdigen Quelle zu kommen, wie Ihrer Bank, der Polizei oder sogar einem Familienmitglied. In der Stress- oder Überraschungssituation geben viele Menschen dann bereitwillig Passwörter, TANs oder andere sensible Daten preis.
Ein weiteres, extrem wirksames Beispiel für Social Engineering ist die Neugier. Stellen Sie sich folgende E-Mail in Ihrem Firmenpostfach vor:
Betreff: Fwd: Gehaltsliste Q3 2025 Ups, diese Mail sollte eigentlich nur an die Geschäftsführung gehen. Bitte sofort löschen und nicht weiterleiten! Anhang: gehaelter_q3_2025.xlsx
Wer würde hier nicht in Versuchung geraten, einen schnellen Blick in die Datei zu werfen? Doch genau in dem Moment, in dem Sie die Excel-Tabelle öffnen, wird im Hintergrund eine Schadsoftware installiert, die den Angreifern Tür und Tor zu Ihrem Computer und dem gesamten Firmennetzwerk öffnet. Der Mensch wird hier durch einen einfachen psychologischen Trick zur Marionette des Hackers.
| Social-Engineering-Technik | Psychologischer Auslöser | Beispiel aus dem Video |
| Caller-ID-Spoofing | Vertrauen, Autoritätshörigkeit | Anruf von einer gefälschten Bank-Telefonnummer |
| Phishing-Mail | Neugier, Gier, Angst | E-Mail mit angeblicher Gehaltsliste aller Kollegen |
| Physisches Eindringen | Hilfsbereitschaft, Respekt vor Uniformen | Als Rettungssanitäter verkleidetes Team verschafft sich Zutritt zum Rechenzentrum. |
Die Werkzeuge der Angreifer: günstig und für jeden verfügbar
Neben der menschlichen Schwachstelle gibt es natürlich auch eine technische Ebene. Doch auch hier sind die Hürden für Kriminelle in den letzten Jahren drastisch gesunken. Professionelle Phishing-Webseiten, die von den Originalen kaum zu unterscheiden sind, lassen sich heute mit Baukästen erstellen, die im Darknet für nur 50 US-Dollar pro Monat angeboten werden. Diese Tools sind so fortschrittlich, dass sie sogar viele Formen der Zwei-Faktor-Authentifizierung (2FA) umgehen können. Das bedeutet, selbst wenn Sie einen zusätzlichen Code per SMS erhalten, kann dieser vom Angreifer in Echtzeit abgefangen und genutzt werden.
Eine weitere simple, aber effektive Methode ist das Typosquatting. Angreifer registrieren Domainnamen, die bekannten Adressen zum Verwechseln ähnlich sehen. Ein kleiner Tippfehler in der Adresszeile des Browsers genügt, und schon landet man auf einer gefälschten Seite. Im Video wird das Beispiel bundesfinanzminislerium.de (mit einem fehlenden „i“) genannt. Wer hier seine Daten eingibt, schickt sie direkt an die Kriminellen.
Die bittere Erkenntnis aus dem Gespräch ist: Für einen professionellen Hacker wie Florian Hansemann und sein Team ist kein System wirklich sicher. Sie benötigen im Durchschnitt nur 14 bis 16 Stunden, um in ein Unternehmen einzudringen – unabhängig von den installierten Firewalls oder Antivirenprogrammen. Diese Aussage wird durch die persönliche Geschichte des Interviewers Ben untermauert, der selbst Opfer eines Hacks wurde und dadurch einen Schaden von über einer halben Million Euro erlitt. Das Thema ist also keine abstrakte Gefahr, sondern eine reale Bedrohung mit potenziell verheerenden Folgen.
Wie Sie sich schützen können: eine Frage der Widerstandsfähigkeit
Wenn absolute Sicherheit eine Illusion ist, was können wir dann tun? Die Antwort lautet: Resilienz aufbauen. Es geht darum, es den Angreifern so schwer, so zeitaufwendig und so teuer wie möglich zu machen, damit sie sich ein leichteres Opfer suchen. Hier sind die wichtigsten Schutzmaßnahmen, die im Video empfohlen werden:
1. Gesunde Skepsis: Seien Sie grundsätzlich misstrauisch gegenüber unerwarteten Anrufen, E-Mails oder Nachrichten, selbst wenn der Absender vertrauenswürdig erscheint. Banken oder seriöse Unternehmen werden Sie niemals am Telefon zur Eingabe von Passwörtern oder TANs auffordern. Im Zweifel legen Sie auf und rufen Sie die offizielle, Ihnen bekannte Nummer der Institution zurück.
2. Phishing-resistente Zwei-Faktor-Authentisierung (2FA): Die 2FA per SMS ist besser als nichts, aber angreifbar. Eine deutlich sicherere Methode sind FIDO2-Sticks wie der YubiKey. Hierbei handelt es sich um einen kleinen USB-Stick, der zur Authentifizierung an den Computer angeschlossen wird. Da eine physische Bestätigung (Berührung des Sticks) erforderlich ist, können Angreifer diesen Schutz nicht aus der Ferne umgehen.
3. Kontentrennung: Nutzen Sie auf Ihrem Computer niemals ein Administratorenkonto für Ihre alltäglichen Aufgaben wie Surfen oder E-Mails schreiben. Richten Sie ein separates Benutzerkonto ohne weitreichende Rechte ein. Sollte dieses Konto kompromittiert werden, kann die Schadsoftware nicht so leicht das gesamte System übernehmen.
4. Software aktuell halten: Installieren Sie Updates für Ihr Betriebssystem, Ihren Browser und andere Programme immer so schnell wie möglich. Diese Updates schließen oft kritische Sicherheitslücken, die von Angreifern ausgenutzt werden könnten.
5. Im Notfall: radikaler Schnitt: Wenn Sie den Verdacht haben, dass Ihr System kompromittiert wurde (z. B. weil sich die Maus von selbst bewegt oder seltsame Programme auftauchen), gibt es nur eine sichere Lösung: den Computer sofort vom Internet trennen und das System komplett neu aufsetzen. Versuchen Sie nicht, Virenscanner laufen zu lassen – eine clevere Schadsoftware kann sich davor verstecken.
Fazit: Sicherheit ist ein Marathon, kein Sprint.
Das Gespräch mit Florian Hansemann ist ein eindringlicher Weckruf. Es zeigt, dass Cybersicherheit uns alle betrifft und dass wir uns von dem Gedanken verabschieden müssen, durch den Kauf einer Software oder das Setzen eines Passworts „sicher“ zu sein. Sicherheit ist ein kontinuierlicher Prozess, der vor allem bei uns selbst anfängt: bei unserem Bewusstsein, unserer Vorsicht und unserer Bereitschaft, etablierte Gewohnheiten zu hinterfragen.
Die Angreifer werden immer professioneller und ihre Methoden immer ausgefeilter. Aber indem wir die grundlegenden Schutzmaßnahmen konsequent umsetzen und ein gesundes Misstrauen an den Tag legen, können wir die Hürden für sie deutlich erhöhen. Nehmen Sie sich die Zeit, Ihre digitalen Konten abzusichern und Ihr eigenes Verhalten zu reflektieren. Es ist eine Investition, die sich im Ernstfall mehr als auszahlt.
