Interview „Die Devise lautet: IT-Sicherheit für, statt gegen die Nutzer“
Ist der Mensch die größte Schwachstelle der IT-Sicherheit? Diese Frage beantwortet Linus Neumann.
Er war einer der Stargäste bei der Summer School des NRW-Forschungskollegs Sec-Human an der RUB: Linus Neumann, Sprecher des deutschen Chaos Computer Clubs. Im Interview schildert er seine Sicht der Dinge in Sachen IT-Sicherheit und Digitalisierung.
Herr Neumann, in Ihrem Vortrag sagten Sie: Jede Cyber-Attacke hat auch eine menschliche Komponente. Ist der Mensch die größte Schwachstelle der IT-Sicherheit?
Linus Neumann: Der Eindruck drängt sich auf – aber es wäre falsch, die Forschung an dieser Stelle abzuschließen und nicht nach Möglichkeiten zu suchen, daran etwas zu ändern. Es ist zu einfach zu sagen: „Unsere technischen Systeme sind sicher, der Mensch ist nur zu dumm, sie zu verstehen oder anzuwenden.“ Das kann nicht die Lösung sein.
Dank ausführlicher Forschung kennen wir sehr genau die Handlungsabfolgen und Situationen, die anfällig für Angriffe mittels der sogenannten Human Factors sind. Die interessante Frage aber lautet: Welche Handlungsabläufe und Aktionen – insbesondere im sicherheitsrelevanten Bereich – sind nicht oder weniger anfällig als andere?
Bisher begnügen wir uns damit, solch fehlgeleitetes Sicherheitsverhalten als dumm zu bezeichnen.
Sinnvoll ist es, dieses Wissen zur Anwendung zu bringen und Nutzeroberflächen, Handlungsabfolgen und Prozesse zu gestalten, die verständlicher und dadurch weniger anfällig sind. Ein einfaches Beispiel: Den üblichen Prozess zum Ändern des Passworts nicht per E-Mail und Web-Login abzubilden, reduziert die Anfälligkeit für Phishing dramatisch – ganz einfach, weil andere Gewohnheiten etabliert werden. Diese Gewohnheiten können zwar durch Phishing-Versuche ausgelöst werden, sind aber inhärent dadurch weniger angreifbar.
Verhalten Menschen sich im Internet unvorsichtiger als im realen Leben? Wenn ja: Warum ist das so?
Wie vorsichtig Menschen sich verhalten hängt davon ab, ob sie verstanden haben, wie ihre potenziellen Gefahren funktionieren. Gegen eine Gefahr, die ich nicht verstanden habe, kann ich eine Menge subjektiv sinnvoller, praktisch jedoch völlig fehlgeleiteter Schutzmaßnahmen ergreifen. Subjektiv verhalte ich mich dann vielleicht sogar viel vorsichtiger als in anderen Situationen. Schade nur, wenn meine Vorsichtsmaßnahmen mit meinen realen Bedrohungen nichts zu tun haben.
Im Umgang mit dem Netz ist dies an zwei unschönen Phänomenen einfach zu illustrieren:
Erstens: Viele Menschen geben gutes Geld für unterschiedliche Software aus, die Sicherheit verspricht – ohne zu verstehen, wovor die Software wie schützen kann und wovor nicht.
Zweitens: Die gleichen Menschen verwenden bei allen Accounts das gleiche Passwort – ein enormes Risikoverhalten, das die Angriffsfläche multipliziert und mit an Sicherheit grenzender Wahrscheinlichkeit mittelfristig zum Desaster führt, und sei es nur, weil einer der Anbieter gehackt wird und somit das Passwort für alle anderen Anbieter bei den Angreifern landet.
Bisher begnügen wir uns damit, solch fehlgeleitetes Sicherheitsverhalten als dumm zu bezeichnen, zu verbieten oder mit mehr oder weniger erfolgreichen Trainings reduzieren zu wollen. Was aber wäre ein Ansatz, Login-Prozesse zu schaffen, die dieses Problem aus der Welt schaffen? Was also, wenn wir Sicherheitsmechanismen entwickeln, die die Menschen intuitiv verstehen, intuitiv korrekt bedienen und so auch mehr von ihnen profitieren? Hier gibt es einige vielversprechende Ansätze, die wir verfolgen sollten.
In welche Fallen tappen User am häufigsten?
Tatsächlich sind es nur wenige Standard-Situationen der Computer-Nutzung, die immer und immer wieder bei Social-Engineering-Angriffen genutzt werden: Diesen Situationen ist gemeinsam, dass sie gewohnte, sicherheitsrelevante Aktionen per Nudging nahelegen und uns Situationen aussetzen, in denen wir – aus Langeweile oder Panik – nicht mehr über unser Handeln nachdenken.
Wir müssen technische Schutzmaßnahmen so gestalten, dass sie für Nutzer intuitiv verständlich sind.
Nehmen wir für die Nutzer kryptische Warnmeldungen, deren Default-Antwort, das Wegklicken nahegelegt und antrainiert wird. Ein Beispiel: Seit vielen Jahren werden eingebettete Makros in Microsoft-Office-Dokumenten als sogenannte Dropper (Infektionswege) für Schadsoftware genutzt. Zwar warnt das Programm die Nutzer vor der Aktivierung der Makros, präsentiert dafür aber einen riesigen Button zum gefährlichen Ignorieren der Warnung und versteckt die sicherere Handlungsoption so gut es geht vor den Nutzerinnen und Nutzern. Allein diese kleine Design-Entscheidung – seit vielen Jahren nicht sinnvoll revidiert – führt weltweit täglich zu zahlreichen Schäden für Wirtschaft und Privatpersonen.
Es wäre fatal, hier nicht endlich mal die Nutzeroberfläche des Programms kritisch zu hinterfragen, statt Nutzerinnen und Nutzern die Schuld zu geben.
Sind Sie selbst schon einmal Opfer von Social Engineering geworden?
Fast! Und das obwohl ich mich sehr genau mit dem Thema beschäftige, alle Tricks und Kniffe der Angreifer kenne und regelmäßig selbst Probe-Angriffe und Trainings im Kundenauftrag durchführe.
Und genau das ist das Problem: Da die Angriffe auf automatisierte Prozesse setzten, die wir ohne hohen kognitiven Aufwand und ohne nachzudenken durchführen können – Experten sprechen vom heuristischen und ressourcenschonenden System 1 – ist es nur wenig aussichtsreich, sich über das analytische System 2 antrainieren zu wollen, Social-Engineering-Angriffe zu erkennen: Das System 2 ist mit hoher Wahrscheinlichkeit beim Angriff gar nicht aktiv, um zu intervenieren.
Wir laufen der Digitalisierung hinterher und versuchen längst geschaffene Fakten rückgängig zu machen.
Genau deshalb plädiere ich dafür, unsere alltäglichen Login- und Sicherheitsprozesse so zu gestalten, dass System 1 sie einfach absolvieren kann, ohne dabei anfällig für Täuschungen zu werden.
Was ist Ihrer Meinung nach effektiver: Ausgefeilte technische Schutzmechanismen zur Abwehr von Cyberattacken zu entwickeln oder die User für digitale Gefahren zu sensibilisieren?
Entscheidend ist der dritte Weg: Technische Schutzmaßnahmen so zu gestalten, dass sie für Nutzer intuitiv verständlich sind und sie möglichst wenige Fehler im Umgang damit machen können. Nutzeroberflächen, die Menschen ohne regelmäßige Trainings nicht beherrschen können, sollten endlich der Vergangenheit angehören. Die Devise lautet: IT-Sicherheit für, statt gegen die Nutzer.
Sie haben sich nach eigenen Angaben schon seit Ihrer Kindheit für IT-Themen begeistert. Warum haben Sie sich dann für ein Studium der Psychologie entschieden und nicht für eins im technischen Bereich? Welche Schnittmengen gibt es da?
Zu dem Zeitpunkt in meinem Leben bildete ich mir ein, genug über Computer zu wissen und lieber noch etwas über Menschen zu lernen. Heute lerne ich als Berater täglich neues über beide Welten.
Als Sprecher des Chaos Computer Clubs haben Sie die Entwicklungen innerhalb der Computersicherheit gut im Blick. Was sind – aus Ihrer Sicht - die größten digitalen Gefahren für unsere Gesellschaft in den kommenden Jahren?
Die größte Gefahr für unsere Gesellschaft liegt darin, dass wir gesellschaftliche und politische Weichenstellungen vornehmen, ohne a) ein technisches Verständnis der Konsequenzen und b) eine gesellschaftliche Vision für die Digitalisierung zu haben.
Wir laufen der Digitalisierung hinterher und versuchen, längst geschaffene Fakten rückgängig zu machen, statt in Richtung einer positiven Vision aktiv zu lenken. So kommt es, dass wir in Deutschland nur zögerlich in den Genuss der Vorteile der Digitalisierung kommen, während die Nachteile Wirtschaft und Bürgerinnen und Bürgern täglich mit voller Härte treffen. Die mangelnde IT-Sicherheit ist dabei nur ein Teilaspekt – der Verlust unserer digitalen Autonomie wirkt schwerer.