IT-Sicherheit muss immer umständlich sein?
Nein. Benutzbare Sicherheit vereint Benutzerfreundlichkeit mit Sicherheit.
Wie geht das? Das erklärt dieser Beitrag
Starten wir!
- 1 Probleme mit der IT-Sicherheit
- 2 Was ist Benutzbare Sicherheit?
- 3 Praktische Lösungen im Alltag
- 3.1 Überzogene Sicherheit – Passwort anzeigen lassen
- 3.2 Die Laune des Logins – Adaptive Logins
- 3.3 Was bedeutet Graues Schloss und Rotes Schloss?
- 3.4 Im Büro eingesperrt – Nearfencing
- 3.5 Standard ist Nein – Least Privilege
- 3.6 Nutze das Potential der Möglichkeiten
- 3.7 Sicher und Praktisch? – Die E-Mail-Verschlüsselung
- 4 Benutzbare Sicherheit für Entwickler
Probleme mit der IT-Sicherheit
War und ist nicht der Standard
Das Internet kannst Du auch als ein Uni-Experiment bezeichnen, dass total positiv aus dem Ruder gelaufen ist. Das Kommunikationsnetz sollte eigentlich nur zum Austausch zwischen ein paar Unis dienen.
Die Grundlagensoftware, welche seit Beginn des Internets verwendet wird, ist nicht für die Abwehr von kriminellem Gedankengut gedacht. Eine Verschlüsselung oder ein Passwort waren und ist nicht der Regelfall und muss heute immer noch manuell aktiviert werden.
Selbstverständlich ist das sicher
Wenn Du Dir ein neues Handy käufst, käufst Du ein Handy wegen eines tollen Features oder weil Du die Marke dahinter noch reicher machen möchtest.
Die Wenigsten von uns (also ich) kaufen sich ein Gerät und achten dabei auf die Sicherheit. Du kannst bei renommierten Händler neue unbenutzte Geräte kaufen, welche aber keine Sicherheitsupdates mehr bekommen. Schamlos werden diese abverkauft.
Die unsichtbare Welt der Algorithmen
In der Regel fühlst Du keinen Unterschied zwischen einer verschlüsselten und unverschlüsselten Verbindung. Die Algorithmen für Verschlüsselung sind keine Nachtlektüre, sondern für die meisten unter uns verborgene Magie.
Was ist Benutzbare Sicherheit?
Interdisziplinäres Gebiet
Die Benutzbare Sicherheit ist ein Forschungsgebiet aus dem Bereich Informatik, Human-Computer-Interaktion (HCI), Design und Psychologie.
Das Forschungsgebiet hat sich zum Ziel gesetzt, Sicherheitslösungen zu entwickeln, welche die Sicherheit erhöhen und die Zufriedenheit des Nutzers mit der Software maximieren. Sicherheit und Benutzbarkeit sind auf den ersten Blick konträr zueinander. Ein Passwort ist immer umständlich und mindert den Spaß an einer Software gleich zu Beginn.
Keine Top-Sicherheit als Standard
Das Ziel ist es nicht noch effektivere Sicherheitsstandards zu schaffen, die es Kriminellen noch schwerer machen. Sie wollen einen Kompromiss für den Otto-Normal-Verbraucher finden, damit er überhaupt die Sicherheitstechnologie verwendet.
Wähle die motivierende Lösung
Was im ersten Moment alternativlos erscheint, ist nicht genügend erforscht.
Welche Alternativen haben wir zu physischen Sicherheitsgeräten (USB-Sticks)?
Brauchen wir wirklich eine weitere Plastikkarte, um uns bei der Arbeit auszuweisen?
NFC aus dem Smartphone ist eine gute Lösung, weil wir alle süchtigen Handy-Junkies das Gerät nie vergessen mitzunehmen. Benutzbare Sicherheit sucht nach einer attraktiven Lösung wie diese.
Idiotensicher ist Pflicht
Praktische Lösungen im Alltag
Überzogene Sicherheit – Passwort anzeigen lassen
Wenn Du ein Passwort eingibst, erscheint dieser nicht im Klartext auf dem Bildschirm, sondern mit Punkten (oder ohne Zeichen).
Dieses Vorgehen erhöht die Fehler beim Eintippen dramatisch, obwohl hier die Genauigkeit wichtig ist. Wenn wir zu Hause vor unseren Computer sitzen, brauchen wir einen solchen Schutz nicht. Hinter unserem Rücken befindet sich kein Spion, sondern eine 16 cm dicke Wand zum Nachbar.
Die Laune des Logins – Adaptive Logins
Große Tech-Unternehmen sind in letzter Zeit launisch bezüglich Deines Zugangs geworden.
Wenn Du Dich während Deines Urlaubs in Dein Geschäftskonto einloggst, dann fragt die Software Dich nach einem OTP, SMS-Tokens oder Gesichtserkennung.
Im Büro warst Du sofort über das Cookie eingeloggt. Das liegt daran, dass die Tech-Unternehmen (in Deinem Interesse) Standort und Gerätedaten sammeln, um Kriminellen mit 2 – 4 Authentifizierungsstufen zu belästigen.
Was bedeutet Graues Schloss und Rotes Schloss?
Wenn Du Dich auf einer unverschlüsselten Webseite befindest, kannst zeigt Dein Browser ein rotes offenes Schloss an. Du bekommst Angst und Bange und wechselst zum nächsten Google Ergebnis.
Das ist auch gut so, weil der Shop mit einem roten Symbol Deine Kreditkartendaten unverschlüsselt überträgt.
Im Büro eingesperrt – Nearfencing
Die neuen, schicken Smartwatches sehen nicht nur gut aus, sondern sind auf für die IT-Sicherheit interessant.
Sie sagen Deinem Laptop, ob Du auf dem Klo bist oder nur vor Dich hin grübelst. Der Laptop sperrt sich automatisch, sobald das Signal zur Smartwatch zu schwach wird. Auf der anderen Seite sperrt sich der Computer nicht in einer Präsentation oder bei einer Grübel-Sitzung dauernd.
Standard ist Nein – Least Privilege
Wenn der Chef einem Nutzer Rechte zuweist, dann schlägt die Software standardmäßig alle Rechteoptionen als Unausgewählt vor. Das ist die sicherste Option. Statt alle Haken (außer ein paar) nicht abzuwählen, erhält der Nutzer nur für die Funktionen die Berechtigung, die er wirklich braucht.
Nutze das Potential der Möglichkeiten
Du kannst auf vielen Arten Deine Identität beweisen – mit
- Reisepass
- Ausweis von der Behörde
- Einmaliges Gesicht
- Einmaliger Fingerabdruck
- Gangart! – mit Erschütterungsanalysen
- Stimme
- Geheime Punkte auf einem Bild
- Geheimmuster (Zeichnen)
- Puzzle, was nur Du lösen kannst
Jede Methode hat Vor- und Nachteile, aber manche Menschen können aus körperlichen Gründe z. B. Ihre Finger nicht zum Authentifizieren nutzen.
Sicher und Praktisch? – Die E-Mail-Verschlüsselung
Mit sehr hoher Wahrscheinlichkeit sendest und empfängst Du jeden Tag nicht-verschlüsselte E-Mails. PGP ist die kostenfreie Lösung für das Problem.
Leider hat sich das System nie durchgesetzt, weil es so umständlich ist. Kostenpflichtige Lösungen für S/MIME bieten eine bessere Nutzbarkeit an und sind deshalb beliebter.
Benutzbare Sicherheit für Entwickler
Einfach angenehmer gestalten – User Experience
Wenn das Passwort eingeben schon lästig ist, kann man es doch auch cool gestalten.
- Fetzige Sounds (Wop, Beep, Bopp, …)
- Coole Hintergrundbilder
- Geniale Animationen
- Klare Fehlertexte
- Übersichtlicher Aufbau
- Einheitliche Designsprache
können die Motivation stark erhöhen.
Muss das wirklich sein? – Hinterfragen
Komplexe Passwortregeln sind quatsch.
Das haben inzwischen die Bundesbehörden und Normierungshäuser verstanden. Ein Passwort muss lang sein, z. B. 14 Zeichen, um eine hohe Sicherheit zu garantieren. Der Entwickler darf nicht Zeichenauswahl oder Passwortlänge limitieren.
Einfache Regeln führen zu besserer Akzeptanz und verhindern Post-its am Bildschirm.
Der Mensch macht Fehler – Entwicklerfreundlich
Kryptografie ist kein Kindergarten – selbst für Software-Entwickler. Die Software-Entwickler, die sich ausschließlich damit befassen, bündeln ihr Wissen in wiederverwendbare Module zusammen, welche jeder idiotensicher nutzen kann.
IT-Sicherheit ist teuer – kostenlos?
Unsere heutige IT-Sicherheit basiert auf Vertrauensstellen, welche für ihre Arbeit bezahlt werden wollen.
Diese verkaufen überteuerte Zertifikate, um Inhalte zu verschlüsseln (Webseiten) oder zu signieren (E-Mails). Die Vertrauensstellen stellen die Zertifikate aus und verifizieren diese gegenüber dem Nutzer, welche ein solches Zertifikat erhalten.
Seit erst 10 Jahren gibt es eine kostenlose Möglichkeit für Webseiten (Let’s Encrypt). Das Internet gibt es aber schon seit 40 – 50 Jahren. Alle Webseiten, die kein Geld oder Muse haben, waren also unverschlüsselt.
