Spoiler-Alarm: Was wir in Filmen über Hacker lernen, ist meistens kompletter Quatsch. Und das kann richtig teuer werden.
Erinnern Sie sich an die letzte Hacker-Szene, die Sie im Fernsehen gesehen haben? Wahrscheinlich saß da jemand vor mehreren Bildschirmen voller bunter Symbole, die Finger flogen über die Tastatur, und innerhalb von Sekunden war das System geknackt. Sieht spektakulär aus – hat aber mit der Realität ungefähr so viel zu tun wie ein Autounfall im Action-Film mit dem echten Straßenverkehr.
Das wäre nicht weiter schlimm, wenn diese falschen Darstellungen nicht dazu führen würden, dass viele Menschen sich online völlig falsch verhalten. Eine Studie der University of Maryland hat untersucht, wie Filme und Serien unser Verständnis von Internet-Sicherheit prägen – mit erschreckenden Ergebnissen.
Schauen wir uns die gefährlichsten Missverständnisse an, die durch Hollywood verbreitet werden.
Irrtum 1: "Ich bin doch unwichtig – warum sollte mich jemand hacken?"
Die Film-Version: In Thrillern werden immer Geheimdienste gehackt, Regierungen erpresst oder die Bankkonten von Milliardären geplündert.
Logische Schlussfolgerung: Nur wichtige Leute werden angegriffen.
Die Realität: Das ist gefährlicher Unsinn.
Tatsächlich ist es für Angreifer oft viel einfacher, sicherer und lukrativer, tausende "kleine Fische" zu erwischen als einen "großen Fisch".
Stellen Sie sich vor: Ein Krimineller kann wählen zwischen dem aufwendigen manuellen Hack eines gut geschützten Unternehmens oder dem automatisierten Versand von Phishing-Mails an 100.000 Menschen, von denen "nur" 0,5% darauf reinfallen. Das sind immer noch 500 Opfer – ohne großen Aufwand und ohne Risiko, dabei erwischt zu werden.
Was Ihre Daten wert sind:
"Aber in meinem E-Mail-Konto ist doch nichts Wichtiges!" denken Sie jetzt vielleicht.
Wirklich nicht? Überlegen Sie mal:
- Nutzen Sie dasselbe (oder ein ähnliches) Passwort für mehrere Dienste? Dann hat der Angreifer plötzlich Zugang zu Ihrem Online-Banking, Ihrem Amazon-Konto oder Ihrer Steuer-Software.
- Ihre Freunde vertrauen Ihnen. Wenn Ihr Account gehackt wird, kann der Angreifer in Ihrem Namen Nachrichten verschicken: "Hey, schau dir das mal an!" mit einem gefährlichen Link. Würden Sie bei einer Nachricht von einem Fremden klicken? Wahrscheinlich nicht. Aber von Ihrer besten Freundin? Da ist die Versuchung groß.
- Ihr Computer kann Teil eines "Botnetzes" werden – ein Netzwerk gekaperter Rechner, die für illegale Aktivitäten missbraucht werden, ohne dass Sie es merken.
Das Wichtigste: All das läuft automatisch ab. Kein Mensch sitzt da und denkt sich: "Diese Person hacke ich jetzt mal!" Es sind Programme, die wahllos Millionen von Menschen angreifen. Sie sind nicht zu unwichtig – Sie sind einfach eines von vielen potenziellen Zielen.
Irrtum 2: "Hacker kommen sowieso überall rein – warum sollte ich mich schützen?"
Die Film-Version: Der geniale Nerd knackt in Sekunden selbst die sichersten Systeme der Welt.
Nichts ist sicher, Widerstand ist zwecklos.
Die Realität: Lassen Sie mich eine Analogie verwenden. Stellen Sie sich vor, Sie wohnen in einer eher unsicheren Gegend (das Internet ist tatsächlich so eine Gegend). Natürlich könnten Sie eine drei Meter hohe Mauer um Ihr Grundstück bauen – aber Sie sind kein Mauerbau-Experte, das wäre kompliziert und teuer.
Dann erinnern Sie sich an einen Film, in dem Tom Cruise eine zehn Meter hohe Mauer hochklettert, als wäre es nichts. "Naja", denken Sie, "wenn selbst so eine riesige Mauer nichts bringt, wozu dann überhaupt einen Zaun aufstellen?"
Hier ist die gute Nachricht: Die meisten Einbrecher sind nicht Tom Cruise.
Sie müssen keine unknackbare Festung bauen. Sie müssen es nur nervig genug machen, dass der Angreifer zum nächsten Haus weitergeht. Und in Ihrem Viertel laufen hauptsächlich betrunkene Gelegenheitseinbrecher herum (automatische Angriffsprogramme) – keine hochtrainierten Spezialagenten.
Wie echte Angriffe funktionieren:
Die allermeisten Hacker-Angriffe funktionieren nicht durch geniales Knacken von Sicherheitssystemen, sondern durch:
- Veraltete Software: Jede Woche werden Sicherheitslücken entdeckt und durch Updates geschlossen. Wer Updates ignoriert, lässt buchstäblich die Tür sperrangelweit offen.
- Schwache Passwörter: "Passwort123" oder der Name Ihres Hundes sind keine Sicherheit.
- Phishing-Mails: Sie öffnen selbst die Tür, weil Sie denken, der Paketbote steht draußen – in Wirklichkeit ist es ein Einbrecher mit einer gefälschten Uniform.
Die hochkomplexen, gezielten Angriffe, die Sie in Filmen sehen? Die gibt es tatsächlich. Aber die sind teuer, zeitaufwendig und werden nur gegen wirklich wichtige Ziele eingesetzt (Regierungen, große Konzerne, kritische Infrastruktur). Für Sie als Privatperson oder KMU sind die ähnlich (irr)relevant wie die Gefahr, von einem Geheimagenten angegriffen zu werden.
Fazit: Einfache Sicherheitsmaßnahmen helfen schon gegen 99% aller Angriffe. Sie sind damit nicht perfekt, aber Sie müssen es auch nicht sein. Sie müssen nur sicherer sein, als einige Ihrer Nachbarn.
Irrtum 3: "Wenn ich gehackt werde, merke ich das sofort"
Die Film-Version: Plötzlich erscheint ein roter Totenkopf auf dem Bildschirm, bedrohliche Musik setzt ein, Warnmeldungen blinken überall. Der Angriff ist offensichtlich!
Die Realität: Die meisten echten Angriffe bemerken Sie überhaupt nicht. Gerade das macht sie so gefährlich.
Wenn Ihr Computer Teil eines Botnetzes wird, läuft alles weiter wie gewohnt. Wenn jemand Ihre Login-Daten stiehlt, sehen Sie keine blinkenden Warnungen. Wenn Ihre Kreditkartendaten bei einem gehackten Online-Shop abgegriffen werden, passiert das völlig im Hintergrund.
Wenn Sie einen Angriff bemerken, ist der Schaden meist schon passiert.
Ransomware (die Ihr System verschlüsselt und Lösegeld fordert) ist eine der wenigen Ausnahmen – aber selbst da war der eigentliche Angriff schon Tage oder Wochen früher, Sie sehen nur jetzt erst die Folgen.
Deshalb ist Vorbeugung so wichtig. Nachdem die Einbrecher schon im Haus sind und Ihre Wertsachen eingepackt haben, ist es zu spät für einen Zaun.
Irrtum 4: "Bei Problemen ziehe ich einfach den Stecker"
Die Film-Version: Der Held rettet die Situation in letzter Sekunde, indem er den Computer vom Netz trennt oder ausschaltet.
Die Realität: In seltenen Fällen (zum Beispiel wenn Sie live mitbekommen, wie Daten hochgeladen werden) kann das Trennen der Internet-Verbindung tatsächlich helfen. Aber meistens ist es wie der Versuch, ein Feuer zu löschen, das schon das halbe Haus abgebrannt hat.
Wenn Schadsoftware auf Ihrem System ist, bleibt sie auch nach dem Neustart da. Wenn Ihre Passwörter gestohlen wurden, nützt Ausschalten gar nichts – die Daten sind längst woanders.
Positiver Aspekt: Die Studie fand heraus, dass Filme zumindest bei einem Thema hilfreich waren: dem Bewusstsein für verdächtige E-Mails und Anhänge. Viele Menschen haben durch Thriller gelernt, bei unbekannten Absendern vorsichtig zu sein. Das ist tatsächlich ein wichtiger Schutzmechanismus!
Irrtum 5: "Verschlüsselung kann man sowieso knacken"
Die Film-Version: "Chef, die Festplatte ist verschlüsselt!" "Dann knacken Sie sie! Sie haben drei Stunden!" Schnitt. Drei Stunden später ist alles lesbar.
Die Realität: Das ist so absurd, dass Sicherheitsexperten bei solchen Szenen regelmäßig verzweifeln. Moderne Verschlüsselung ist mathematisch unknackbar. Nicht "sehr schwer zu knacken". Nicht "die NSA kann das vielleicht". Sondern: physikalisch unmöglich.
Selbst wenn Sie die gesamte Rechenleistung des Planeten bündeln würden und eine Million Jahre Zeit hätten – es würde nicht funktionieren. Wenn gelegentlich eine theoretische Schwachstelle entdeckt wird, die die Knack-Zeit von "einer Milliarde Jahren" auf "tausend Jahre" reduziert, wird die Methode sofort durch eine bessere ersetzt.
Wenn jemand in einem Film wirklich moderne Verschlüsselung knacken könnte, müsste das einen weltverändernden Durchbruch in Mathematik oder Physik darstellen – nicht eine Routineaufgabe für den IT-Nerd im Keller.
Was Sie jetzt tun können (und sollten)
Gute Nachrichten: Sich zu schützen ist viel einfacher, als Hollywood Sie glauben lässt.
Sie brauchen keinen Informatik-Abschluss. Diese drei Schritte machen Sie deutlich sicherer:
1. Installieren Sie Updates
Ja, es nervt. Ja, es kommt immer im ungünstigsten Moment. Aber mit jedem Update schließen Sie Sicherheitslücken, die Angreifer sonst ausnutzen könnten. Sehen Sie es positiv: Mit jedem Klick auf "Jetzt aktualisieren" haben Sie gerade eine ganze Armee potenzieller Angreifer ausgesperrt. Das gilt nicht nur für WordPress und Windows, sondern überall!
2. Aktivieren Sie Zwei-Faktor-Authentifizierung
Mindestens für Ihr E-Mail-Konto und Ihre wichtigsten Accounts (Google, Banking)! Damit reicht ein gestohlenes Passwort nicht mehr aus – der Angreifer bräuchte zusätzlich Ihr Handy.
3. Finden Sie heraus, ob Ihre Passwörter bereits kompromittiert sind
Unter "Have I been pawned?" müssen Sie nur Ihre E-Mail-Adresse eingeben um herauszufinden, ob zu dieser Adresse bereits Passwörter verkauft werden - und zu welchen Accounts diese Passwörter gehören.
4. Hören Sie (endlich) auf, Passwörter wiederzuverwenden
Das ist die wichtigste Regel überhaupt. Wenn ein Online-Shop gehackt wird und Ihre Daten gestohlen werden (und ja, das passiert ständig), haben die Angreifer Ihre E-Mail-Adresse und Ihr Passwort. Wenn Sie dasselbe Passwort auch für Ihr E-Mail-Konto, Amazon, Ihre Bank und Netflix verwenden, haben die Angreifer jetzt Zugang zu allen diesen Plattformen.
Die Lösung: Nutzen Sie einen Passwort-Manager. Der generiert für jede Website ein eigenes, sicheres Passwort und speichert es. Firefox und Chrome haben einen Passwort-Manager eingebaut und synchronisieren ihn über alle Ihre Geräte. Sie müssen nur noch ein einziges "Master-Passwort" kennen.
Ich empfehle den sehr sicheren Passwortmanager "KeePass"
Verschlüsselung: KeePass nutzt starke Verschlüsselungsalgorithmen (AES-256 und ChaCha20), die als militärtauglich gelten.
Open Source: Der Code ist öffentlich einsehbar, was bedeutet, dass Sicherheitsexperten weltweit ihn überprüfen können - Hintertüren sind praktisch ausgeschlossen.
Offline-Speicherung: Im Gegensatz zu Cloud-basierten Passwort-Managern kann Ihre Datenbank lokal auf Ihrem Gerät bleiben, oder in einer sehr sicher verschlüsselten Cloud Ihrer Wahl abgelegt werden, was die Angriffsfläche reduziert.
Master-Passwort: Nur Sie kennen das Master-Passwort - es wird nie übertragen oder auf fremden Servern gespeichert.
Ja, die Optik ist aus den 90ern und der Alptraum eines jedes stilbewußten Menschen. Sorry, in diesem Fall dürft ihr bitte gerne darüber hinwegsehen.
Wie finde ich ein sicheres Master-Passwort, dass ich mir merken kann?
Auch hier kommt die Antwort von XKCD:
4 zufällige, mittellange Wörter hintereinander generieren mit 20 - 30 Zeichen (nur Kleinbuchstaben!) bereits eine Entropie, die zum heutigen Stand der Technik in ca. 600 Billionen Jahren knackbar wäre.
Da müssen Sie sich wirklich nur noch am Schreibtisch umschauen und ein Passwort "sehen"!
Fazit
Filme sind Unterhaltung, keine Dokumentationen. Das ist völlig in Ordnung – solange wir den Unterschied kennen.
Wenn Sie sich das nächste Mal eine Hacker-Szene anschauen und innerlich schmunzeln, weil Sie jetzt wissen, wie unrealistisch das ist, hat dieser Artikel seinen Zweck erfüllt.
Vor allem aber: Unterschätzen Sie die Risiken nicht.
Sie sind nicht zu unwichtig für einen Angriff. Sie können sich wehren.
Und es ist weit weniger Aufwand, als die Einbrecher wieder aus Ihrem digitalen Haus zu bekommen, wenn sie erst einmal drin sind.
Dieser Artikel basiert auf
- "The effect of entertainment media on mental models of computer security" von Kelsey R. Fulton, Rebecca Gelles, Alexandra McKay, Yasmin Abdi, Richard Roberts und Michelle L. Mazurek. (University of Maryland, 2019).
- „When is a tree really a truck? Exploring mental models of encryption“ von Justin Wu and Daniel Zappala. (Symposium on Usable Privacy and Security 2018)
- Einem sehr lustigen Gespräch zwischen mir und Lukas B. und Lars L. irgendwo in den Niederlanden beim Frühstück im Mai 2025
