Es gibt Dinge, die muss man zweimal lesen, um sicherzugehen, dass sie echt sind. So zum Beispiel eine E-Mail, die dieser Tage in meinem Postfach landete: von Payback, angeblich – oder doch nicht? Betreff: „Sicherheitshinweis – Wir haben Ihr Passwort zurückgesetzt.“
Wie bitte? Ich wusste ehrlich gesagt gar nicht, dass es meinen PAYBACK-Account noch gibt. Seit vielen Jahren nehme ich an diesem Programm nicht mehr teil. Und nochmal: Wie bitte? Ich möchte nicht, dass ein Anbieter einfach so das dürfen kann, mein Passwort per „vorsorglichem Reset“ zu ändern. Das liest sich, als hätte jemand gesagt: „Wir haben Ihr Auto kurz stillgelegt — nur um sicherzugehen, dass niemand anders es fährt.“
Die Mail ist tatsächlich echt. Leider, möchte man fast sagen. Denn sie ist ein Musterbeispiel dafür, wie man Menschen die digitale Urteilskraft abtrainiert.
Erster Akt; Die Ästhetik des Misstrauens
Bunte Gestaltung, in die Mail eingebetteter Link, Alarmton: „Passwort ändern“. Ellenlange Erklärungen. Jede halbwegs professionelle Phishing-Mail der letzten Jahre sieht genauso aus. Nur steht dort meist paybaI.com statt payback.de. Man fragt sich ernsthaft, ob bei PAYBACK jemand die letzten Jahre Internet überhaupt mitbekommen hat.
Der durchschnittliche Nutzer lernt:
- E-Mails mit eingebetteten Links → löschen.
- Mails mit Dringlichkeitsrhetorik → Alarm.
- Mails, die Passwortänderungen ankündigen → höchste Vorsicht.
Und dann kommt PAYBACK und kombiniert alle drei. Das ist keine Sicherheitskommunikation, das ist ein Crashkurs in digitaler Verwirrung.
Ein Dienst, der seine legitimen Sicherheitsmitteilungen so gestaltet, trägt dazu bei, dass echte Warnungen von falschen nicht mehr zu unterscheiden sind. Das erzeugt Misstrauen — und damit das genaue Verhalten, das Betrüger ausnutzen: reflexhaftes Klicken, weil man „doch irgendetwas tun muss“. Wer so kommuniziert, ist nicht Teil der Lösung, sondern Teil des Problems.
Zweiter Akt: Das nicht einloggbare Konto
Ich dachte mir: Sei’s drum. Setz das Passwort neu, räum den alten Account auf, lösche ihn endlich.
Gesagt, getan – nach Paybacks Vorgaben, mit starkem Passwort, ohne Fehler.
Doch beim Login begrüßte mich eine neue Meldung: Achtung, derzeit sind viele Phishing-Mails im Umlauf.
Sic!
Und danach?
Nichts.
Das neue Passwort funktionierte nicht. Auch nach einer Stunde, nach zwei Browsern und drei Anläufen nicht.
Ich war im System, aber doch nicht drin – Schrödingers Kundenkonto, die Quantenphysik der Digitalisierung.
An diesem Punkt hätte ich gern jemanden gefragt, ob das Satire ist.
Aber der Support antwortet natürlich nicht, erst recht nicht auf eine solche Frage. Schade eigentlich.
Dritter Akt: Das Captcha des Todes
Neuer Tag, neuer Versuch. Vielleicht lief der Server ja inzwischen rund.
Und siehe da: Login erfolgreich! Für ganze drei Sekunden.
Dann erschien sie – die letzte Bastion digitaler Gnade: das Captcha des Todes.
„Wählen Sie alle Felder mit Fahrrädern.“
Nur dass die Fahrräder nie ganz in den Feldern stehen. Halb drin, halb draußen, manchmal nur ein Pedal oder ein Schatten.
Nach dem dritten Versuch: Zugang gesperrt. Bitte erneut anmelden.
An dieser Stelle wusste ich:
Ich kämpfe nicht gegen Hacker.
Ich kämpfe gegen Systeme, die vorgaben, mich vor ihnen zu schützen.
Sicherheit ist wichtig. Aber wer glaubt, Vertrauen ließe sich durch Paranoia ersetzen, hat das Prinzip Sicherheit nie verstanden – und das Prinzip Mensch schon gar nicht.
Epilog
Ich wollte mich nur einloggen, um mein altes Konto zu löschen.
Jetzt lasse ich es einfach so stehen. Vielleicht löscht es sich von selbst – durch Sinnlosigkeit. Und das wäre, bei Licht betrachtet, die eleganteste Art, sich von Payback zu verabschieden.
Und: Wer heute noch diese Captchas aus der Frühsteinzeit verwendet, der hasst seine User.
Schreibe einen Kommentar