Eine Glosse zur IT-Sicherheit in gefährlichen Zeiten

Man möchte meinen, im Jahr 2025 sei die grundsätzliche Idee von IT-Sicherheit im Onlinehandel angekommen. Doch wie so oft liegt der Unterschied zwischen Wunsch und Wirklichkeit nicht in den Firewalls, sondern in den Menschen.

Ein harmloser Einkauf auf einer seriösen Seite. Ich wähle meine Ware, klicke auf den Warenkorb, bemerke, dass nur noch PayPal als Zahlungsoption angeboten wird – gut, das wollte ich sowieso nutzen. Aber trotzdem komisch … wer macht denn heute sowas?

Dann, beim Wechsel von der Shopseite zum Bezahlvorgang: Nach dem bekannten Paypal-Login ein mir völlig unbekanntes Captcha. Jede Aktion, jeder beliebige Klick auf diese Seite führt zu einem abrupten Ende mit der schlichten Botschaft: „You are blocked.“

Nicht etwa von der Shopseite selbst. Nein, von einer PayPal-Imitierung, die sich plötzlich dazwischenschiebt. Optisch brav, inhaltlich leer. Ich ahne: Hier greift jemand nach Daten. Und zwar nicht mit einem Kuhfuß, sondern mit einem freundlichen Interface.

Ich tue, was man tun muss: Passwort ändern, Browsercache löschen, anderen Browser nehmen, Paypal-Login testen. Alles wieder normal. Aber sicher ist sicher.

Weil ich ein Gewissen habe, informiere ich den Online-Shop. Ganz klar war der entscheidende Punkt bei der Sache das Verlassen der Shopseite zur Bezahlung via Paypal. Auch die Shopseite selbst dürfte schon manipuliert gewesen sein, da anders als zuvor nur noch Paypal als Zahlungsoption wählbar war. Drei Ansprechpersonen, drei Reaktionen:

  • A: „Das kann nicht sein.“
  • B: „So etwas gibt es bei uns nicht.“
  • C: „Wird wohl irgendwas von PayPal sein. Versuchen Sie es später nochmal.“

Ich hätte lachen können, wenn ich nicht gewusst hätte, wie ernst der Vorgang war. Denn hier geht es nicht um ein bisschen Technikversagen. Hier geht es um digitale Verantwortungslosigkeit mit Kundenkontakt.

Was bei technischen Vorfällen sehr oft immer noch fehlt, ist nicht etwa ein IT-Fachmann mit Code-Zugang – sondern ein Mensch mit einem Minimum an Vorstellungskraft. Der begreift, dass eine Seite kompromittiert sein könnte, dass es Handlungsbedarf geben könnte, und dass der Kunde, der anruft, vielleicht nicht bloß ein Spinner ist, sondern der erste, der den Ernstfall erkennt.

Aber nein. Lieber bleibt man im mentalen Service-Modus, der alles, was nicht in die FAQ passt, zur „vorübergehenden Störung“ erklärt.

You are blocked.

Man könnte sagen: Das ist die perfekte Metapher für ein System, das sich selbst nicht mehr ernst nimmt. Und dafür auch keine Verantwortung übernehmen will.

In Zeiten, in denen Hackerstaaten, Datensammler und Künstliche Intelligenz um die Vormacht im Netz ringen, bleibt der Mensch die größte Schwachstelle. Nicht, weil er Fehler macht. Sondern weil er sich weigert, sie zu erkennen.