Menschen sind fehlbar. Maschinen sind es nicht, oder zumindest wesentlich seltener. In der Cyber Security gilt daher der Mensch als schwächstes Glied in der Sicherheitskette. Jedenfalls ist das oft der allgemeine Tenor von Sicherheitsverantwortlichen in Unternehmen, Entwicklern und Politikern.
Damit ist nicht nur der Kontext von Social-Engineering-Angriffen gemeint, in dem Nutzer unter anderem dazu gebracht werden, auf schädliche E-Mail-Anhänge zu klicken. Unsichere Passwörter, die gerne weitergegeben oder aufgeschrieben werden, ignorierte Sicherheitshinweise oder mit Absicht umgangene Security-Lösungen wie Firewalls oder Virenscanner sorgen regelmäßig wahlweise für Empörung, Verzweiflung oder Ratlosigkeit auf Seiten der Security-Experten.
"Im Grunde ist das ein ungelöstes Forschungsproblem", erklärt Professor Florian Alt von der Universität der Bundeswehr in München. Im heutigen Dickicht an Endgeräten mit schwer verständlichen Sicherheitskonzepten, zeitaufwändigen Eingabemethoden und häufigen Log-In-Prozessen sei es nicht die Schuld der Benutzer, dass Sicherheitssysteme ausgehebelt werden. Für die menschliche Anwendung seien Geräte und Systeme schlicht falsch designed.
Seit Mai 2018 baut er deshalb die neue Forschungseinheit "Usable Security and Privacy" auf, eingebettet in das Forschungsinstitut CODE. Geplant sind 13 Professuren mit 200 Mitarbeitern. Bisher ist circa die Hälfte der Stellen besetzt.
"Usable Security" - eine Definition
Usable Security - unter diesem Begriff etablieren sich seit kurzem landesweit Forschungs- sowie Arbeitsgruppen und sogar ein Verband. Der Gedanke, in der Sicherheit den "Faktor Mensch" einzuberechnen, ist jedoch nicht neu. Fachbereiche wie zum Beispiel die Mensch-Computer-Interaktion oder Security by Design widmen sich diesem Thema bereits seit vielen Jahren. Diese Ansätze nähern sich dem Problem allerdings häufig von der technischen Seite. Der Bereich Usable Security dagegen stellt den Anwender ins Zentrum der Forschung. "Weil man verstanden hat, dass die Rolle des Menschen groß ist", erklärt Alt.
Heute existieren in der Forschung zur Usable Security drei verschiedene Ansätze, um Systeme besser zu sichern:
Verbesserung der Benutzeroberfläche sicherheitskritischer Systeme;
Schulung der Benutzer im Umgang mit sicherheitskritischen Systemen;
Automatisierung von Sicherheitsprozessen ohne Eingriff durch den Endnutzer.
Diese drei Ansätze lassen sich auf zwei grundlegende Richtungen zuspitzen: Cyber Security mit und ohne den User.
Security mit menschlichen Entscheidungen
Professor Melanie Volkamer vom Karlsruher Institut für Technologie konzentriert sich in ihrer Forschung darauf, wann und wie Nutzer in die Abläufe der Sicherheitssysteme einbezogen werden sollten. "Wir wollen beides nicht getrennt voneinander betrachten." Im Zuge ihrer Arbeit für die Forschungsgruppe SECUSO am Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL) suchen sie und ihr Team nach Möglichkeiten, Benutzer so einzubinden, dass sie informierte Entscheidungen treffen können.
"Wir wollen den Nutzer im ersten Schritt verstehen - was er in bestimmten Momenten glaubt und worauf er achtet", erklärt Volkamer. Auf dieser Basis sollen dann Design-Empfehlungen für Entwickler entstehen. Zum Beispiel rät Volkamer dazu, Systeme nach dem Prinzip "just in time and just in place" zu gestalten. Damit ist gemeint, dass sicherheitsrelevante Hinweise wie beispielsweise die URL, also die genaue Adresse einer Website, im Browser leicht sichtbar platziert wird. Bisher seien solche Angaben häufig außerhalb des Blickfelds zu finden, wo sie übersehen werden.
Modell für effektive Intervention
Ein weiteres Beispiel ihrer Forschungsergebnisse ist ein Fünf-Punkte-Modell, nach dem beispielsweise Virenscanner je nach Sicherheitsrelevanz mit Nutzern kommunizieren könnten:
Eine Situation ist aus Sicht des Tools sicher: Die Aktion kann ausgeführt werden, der Nutzer wird nicht behelligt.
Das Tool erkennt eine Situation, die einer vergangenen Situation ähnlich ist. Der Nutzer hat sie damals als sicher eingestuft: Die Aktion kann ausgeführt werden, der Nutzer wird nicht behelligt.
Das Tool ist sicher, dass ein Angriff stattfindet: Das Fortfahren wird geblockt.
Das Tool kennt die Situation nicht und kann daher nicht selbst entscheiden. Es weist nichts auf einen Angriff hin: Die Situation wird dem User erklärt, damit der er eine Entscheidung treffen kann. Eine Mindestzeit zur Entscheidungsfindung kann erzwungen werden.
Das Tool kennt die Situation nicht und kann daher nicht selbst entscheiden. Es gibt Hinweise auf einen Angriff: Dem User werden die Hinweise erklärt, damit er eine Entscheidung treffen kann. Der erzwungene Zeitrahmen bis zum Fortfahren fällt größer aus.
Damit der Dialog mit dem Nutzer effektiv verläuft, untersucht Volkamer zudem, wie Sicherheitshinweise formuliert werden. Auch hier sind konkrete Begriffe und Textbausteine als Empfehlungen für zukünftige Entwicklungen das Ziel.