Diese Webseite nutzt nur technisch notwendige Cookies.

IT-Sicherheit für Menschen – Benutzbare Sicherheit

Benutzbare Sicherheit - Hacking Tutoirals Security Steffen Lippke

IT-Sicherheit muss immer umständlich sein?

Nein. Benutzbare Sicherheit vereint Benutzerfreundlichkeit mit Sicherheit.

Wie geht das? Das erklärt dieser Beitrag

Starten wir!

Probleme mit der IT-Sicherheit

War und ist nicht der Standard

Das Internet kannst Du auch als ein Uni-Experiment bezeichnen, dass total positiv aus dem Ruder gelaufen ist. Das Kommunikationsnetz sollte eigentlich nur zum Austausch zwischen ein paar Unis dienen.

Dieses Bild hat ein leeres Alt-Attribut. Der Dateiname ist image-5-1024x576.pngHTTP ist die Grundlage des Webs
HTTP ist die Grundlage des Webs

Die Grundlagensoftware, welche seit Beginn des Internets verwendet wird, ist nicht für die Abwehr von kriminellem Gedankengut gedacht. Eine Verschlüsselung oder ein Passwort waren und ist nicht der Regelfall und muss heute immer noch manuell aktiviert werden.

Selbstverständlich ist das sicher

Wenn Du Dir ein neues Handy käufst, käufst Du ein Handy wegen eines tollen Features oder weil Du die Marke dahinter noch reicher machen möchtest.

Die Wenigsten von uns (also ich) kaufen sich ein Gerät und achten dabei auf die Sicherheit. Du kannst bei renommierten Händler neue unbenutzte Geräte kaufen, welche aber keine Sicherheitsupdates mehr bekommen. Schamlos werden diese abverkauft.

Die unsichtbare Welt der Algorithmen

In der Regel fühlst Du keinen Unterschied zwischen einer verschlüsselten und unverschlüsselten Verbindung. Die Algorithmen für Verschlüsselung sind keine Nachtlektüre, sondern für die meisten unter uns verborgene Magie.

Was ist Benutzbare Sicherheit?

Interdisziplinäres Gebiet

Die Benutzbare Sicherheit ist ein Forschungsgebiet aus dem Bereich Informatik, Human-Computer-Interaktion (HCI), Design und Psychologie.

Das Forschungsgebiet hat sich zum Ziel gesetzt, Sicherheitslösungen zu entwickeln, welche die Sicherheit erhöhen und die Zufriedenheit des Nutzers mit der Software maximieren. Sicherheit und Benutzbarkeit sind auf den ersten Blick konträr zueinander. Ein Passwort ist immer umständlich und mindert den Spaß an einer Software gleich zu Beginn.

Keine Top-Sicherheit als Standard

Das Ziel ist es nicht noch effektivere Sicherheitsstandards zu schaffen, die es Kriminellen noch schwerer machen. Sie wollen einen Kompromiss für den Otto-Normal-Verbraucher finden, damit er überhaupt die Sicherheitstechnologie verwendet.

Was machen, wenn Passwort vergessen wurde
Was machen, wenn Passwort vergessen wurde

Wähle die motivierende Lösung

Was im ersten Moment alternativlos erscheint, ist nicht genügend erforscht.

Welche Alternativen haben wir zu physischen Sicherheitsgeräten (USB-Sticks)?

Brauchen wir wirklich eine weitere Plastikkarte, um uns bei der Arbeit auszuweisen?

NFC aus dem Smartphone ist eine gute Lösung, weil wir alle süchtigen Handy-Junkies das Gerät nie vergessen mitzunehmen. Benutzbare Sicherheit sucht nach einer attraktiven Lösung wie diese.

Idiotensicher ist Pflicht

Praktische Lösungen im Alltag

Überzogene Sicherheit – Passwort anzeigen lassen

Wenn Du ein Passwort eingibst, erscheint dieser nicht im Klartext auf dem Bildschirm, sondern mit Punkten (oder ohne Zeichen).

Paranoia ist nicht gut
Paranoia ist nicht gut

Dieses Vorgehen erhöht die Fehler beim Eintippen dramatisch, obwohl hier die Genauigkeit wichtig ist. Wenn wir zu Hause vor unseren Computer sitzen, brauchen wir einen solchen Schutz nicht. Hinter unserem Rücken befindet sich kein Spion, sondern eine 16 cm dicke Wand zum Nachbar.

Die Laune des Logins – Adaptive Logins

Große Tech-Unternehmen sind in letzter Zeit launisch bezüglich Deines Zugangs geworden.

Wenn Du Dich während Deines Urlaubs in Dein Geschäftskonto einloggst, dann fragt die Software Dich nach einem OTP, SMS-Tokens oder Gesichtserkennung.

Im Büro warst Du sofort über das Cookie eingeloggt. Das liegt daran, dass die Tech-Unternehmen (in Deinem Interesse) Standort und Gerätedaten sammeln, um Kriminellen mit 2 – 4 Authentifizierungsstufen zu belästigen.

Was bedeutet Graues Schloss und Rotes Schloss?

Wenn Du Dich auf einer unverschlüsselten Webseite befindest, kannst zeigt Dein Browser ein rotes offenes Schloss an. Du bekommst Angst und Bange und wechselst zum nächsten Google Ergebnis.

Grau ist sicher - also Standard
Grau ist sicher – also Standard

Das ist auch gut so, weil der Shop mit einem roten Symbol Deine Kreditkartendaten unverschlüsselt überträgt.

Im Büro eingesperrt – Nearfencing

Die neuen, schicken Smartwatches sehen nicht nur gut aus, sondern sind auf für die IT-Sicherheit interessant.

Sie sagen Deinem Laptop, ob Du auf dem Klo bist oder nur vor Dich hin grübelst. Der Laptop sperrt sich automatisch, sobald das Signal zur Smartwatch zu schwach wird. Auf der anderen Seite sperrt sich der Computer nicht in einer Präsentation oder bei einer Grübel-Sitzung dauernd.

Standard ist Nein – Least Privilege

Wenn der Chef einem Nutzer Rechte zuweist, dann schlägt die Software standardmäßig alle Rechteoptionen als Unausgewählt vor. Das ist die sicherste Option. Statt alle Haken (außer ein paar) nicht abzuwählen, erhält der Nutzer nur für die Funktionen die Berechtigung, die er wirklich braucht.

Nutze das Potential der Möglichkeiten

Du kannst auf vielen Arten Deine Identität beweisen – mit

  • Reisepass
  • Ausweis von der Behörde
  • Einmaliges Gesicht
  • Einmaliger Fingerabdruck
  • Gangart! – mit Erschütterungsanalysen
  • Stimme
  • Geheime Punkte auf einem Bild
  • Geheimmuster (Zeichnen)
  • Puzzle, was nur Du lösen kannst

Jede Methode hat Vor- und Nachteile, aber manche Menschen können aus körperlichen Gründe z. B. Ihre Finger nicht zum Authentifizieren nutzen.

Sicher und Praktisch? – Die E-Mail-Verschlüsselung

Mit sehr hoher Wahrscheinlichkeit sendest und empfängst Du jeden Tag nicht-verschlüsselte E-Mails. PGP ist die kostenfreie Lösung für das Problem.

Leider hat sich das System nie durchgesetzt, weil es so umständlich ist. Kostenpflichtige Lösungen für S/MIME bieten eine bessere Nutzbarkeit an und sind deshalb beliebter.

Benutzbare Sicherheit für Entwickler

Einfach angenehmer gestalten – User Experience

Wenn das Passwort eingeben schon lästig ist, kann man es doch auch cool gestalten.

  • Fetzige Sounds (Wop, Beep, Bopp, …)
  • Coole Hintergrundbilder
  • Geniale Animationen
  • Klare Fehlertexte
  • Übersichtlicher Aufbau
  • Einheitliche Designsprache

können die Motivation stark erhöhen.

Muss das wirklich sein? – Hinterfragen

Komplexe Passwortregeln sind quatsch.

Das haben inzwischen die Bundesbehörden und Normierungshäuser verstanden. Ein Passwort muss lang sein, z. B. 14 Zeichen, um eine hohe Sicherheit zu garantieren. Der Entwickler darf nicht Zeichenauswahl oder Passwortlänge limitieren.

14 Zeichen sollten in 2024 ausreichen
14 Zeichen sollten in 2024 ausreichen

Einfache Regeln führen zu besserer Akzeptanz und verhindern Post-its am Bildschirm.

Der Mensch macht Fehler – Entwicklerfreundlich

Kryptografie ist kein Kindergarten – selbst für Software-Entwickler. Die Software-Entwickler, die sich ausschließlich damit befassen, bündeln ihr Wissen in wiederverwendbare Module zusammen, welche jeder idiotensicher nutzen kann.

Fehler passieren ständig
Fehler passieren ständig

IT-Sicherheit ist teuer – kostenlos?

Unsere heutige IT-Sicherheit basiert auf Vertrauensstellen, welche für ihre Arbeit bezahlt werden wollen.

Diese verkaufen überteuerte Zertifikate, um Inhalte zu verschlüsseln (Webseiten) oder zu signieren (E-Mails). Die Vertrauensstellen stellen die Zertifikate aus und verifizieren diese gegenüber dem Nutzer, welche ein solches Zertifikat erhalten.

Seit erst 10 Jahren gibt es eine kostenlose Möglichkeit für Webseiten (Let’s Encrypt). Das Internet gibt es aber schon seit 40 – 50 Jahren. Alle Webseiten, die kein Geld oder Muse haben, waren also unverschlüsselt.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


Jeden Monat teile ich mit Mitgliedern
4 neue praxisnahe Tutorials (je 1000+ Wörter).


Trage Deine Mail, damit Du
Deine Coding + Hacking Skills erweitern kannst!