"Nutzer sollen sich in den Fuß schießen dürfen"

“Sicherheitssoftwareentwickler sind nicht wie normale Leute. Die Art und Weise, wie sie Entscheidungen treffen und Information evaluieren, ist bei diesen ‘Geeks’ anders”, sagt Sicherheitsexperte Stephan Neuhaus beim Security Forum am FH OÖ Campus Hagenberg gegenüber der futurezone. Das führe oft zu Missverständnissen. Laut Neuhaus ist die Problemlösungsstrategie, die von den meisten Sicherheitssoftware-Anwendern eingesetzt wird, dieselbe, die auch schon frühe Vorfahren der Menschen genutzt haben: “Es wird einfach alles ausprobiert und das erste, was funktioniert, wird gemacht. Deshalb klicken die meisten Nutzer zum Beispiel Zertifikatswarnungen sofort weg. Das Abwälzen von Entscheidungen auf den Anwender funktioniert im Securitybereich deshalb nicht.”

Die meisten Anwender haben demnach schlicht keine Lust, sich mit solchen Dingen auseinanderzusetzen. “Die Menschen möchten ein Amazon-Geschenk kaufen, keine Zertifikatswarnungen. Die Abwägung zwischen dem Besuch einer möglicherweise gefälschten Webseite und der Mama, die mir den Kopf abreißt, weil sie kein Geschenk bekommt, ist einfach”, erläutert der IT-Fachmann. Als Lösung empfiehlt Neuhaus, die Nutzer nicht mehr länger mit sicherheitsrelevanten Entscheidungen zu belasten. Stattdessen sollen Systeme implementiert werden, die selbständig auf Zertifikatswarnungen und andere Probleme reagieren. “Durch eine automatische Who-is-Abfrage und eine Prüfung ob es sich um ein selbstausgestelltes Zertifikat handelt, kann ein System die Sicherheit einer Seite im Hintergrund evaluieren und den Zugriff notfalls verwehren”, sagt Neuhaus.

Programme entscheiden

Ein Versuch, das Problemlösungsverhalten der Anwender zu ändern, kommt für den Experten nicht in Frage, da es das Ergebnis eines langwierigen Evolutionsprozesses sei. Durch eine automatisierte Risikoevaluierung könnten dagegen viele Probleme vermieden werden. “Wenn dem System etwas seltsam vorkommt, soll es die Verbindung erst gar nicht aufbauen”, sagt Neuhaus. Die letzte Entscheidungsgewalt soll aber trotzdem beim Nutzer bleiben, damit er sich nicht bevormundet fühlt. “Wenn Nutzer sich in den Fuß schießen wollen, sollen sie das auch dürfen”, sagt Neuhaus. Techniken wie Safe Browsing sieht der Fachmann als ersten Schritt in diese Richtung. Hier werden eingegebene URLs von den Browsern mit Listen abgeglichen, die gefährliche Seiten enthalten.

Das Prinzip der Automatisierung von sicherheitsrelevanten Entscheidungen ließe sich laut Neuhaus auch in einem Betriebssystem wie Windows umsetzen. Auch in Form von Browser-Plug-ins könnten solche Ansätze umgesetzt werden. “Wir haben seit 20 Jahren fünf vor zwölf, was IT-Sicherheitsprobleme angeht. Der von mir beschriebene Ansatz wird bislang oft ignoriert, weil die entsprechenden Leute die Forschungsarbeiten teilweise auch nicht kennen. Geeks sind eine kleine Gruppe, vielleicht sieben Prozent der Bevölkerung, sie schreiben aber Software für die anderen 93 Prozent. Das sollten die Entwickler im Hinterkopf behalten”, sagt Neuhaus.

Dieser Artikel ist im Rahmen einer Kooperation zwischen futurezone und FH Oberösterreich entstanden.

Beim Security Forum, das alljährlich im April am Campus Hagenberg der FH Oberösterreich stattfindet, halten Experten aus dem In- und Ausland Vorträge zu aktuellen Themen der IKT-Sicherheit. Organisiert wird die Veranstaltung vom Hagenberger Kreis zur Förderung der digitalen Sicherheit, dem Studentenverein der FH OÖ-Studiengänge „Sichere Informationssysteme“.