Warum sensibilisierte Nutzer ein Kernelement der IT-Sicherheit sind
Unsere Arbeitswelt ist ohne IT-Unterstützung kaum mehr denkbar. Auch in privaten Lebensbereichen schreiten die Vernetzung und Durchdringung mit IT weiter voran. Man denke beispielsweise an intelligente Heizungssteuerungen (Smarthome), die vor dem Hintergrund der aktuellen Energiekrise an Bedeutung gewonnen haben. Hinzu kommt, dass immer mehr Menschen in direkten Kontakt mit IT-Lösungen kommen. Professor Dr. Andreas Heinemann von der Hochschule Darmstadt hat sich mit seinem Steinbeis-Transferzentrum InCUPS – Internet Communication, Usability, Privacy, Security unter anderem auf IT-Sicherheit und Usability spezialisiert und untersucht, wie Cyberrisiken reduziert werden können.
Während der Corona-Pandemie wurden bereits in Grundschulen Videokonferenzen und digitales Lernen erprobt. Ebenso ist man bestrebt, immer mehr älteren Menschen möglichst lang ein autonomes und selbstbestimmtes Leben zu ermöglichen, hier unterstützt die IT dann in Form von „Ambient Assisted Living“-Lösungen.[1] Dieser Trend der voranschreitenden IT-Durchdringung und Vernetzung birgt aber auch Risiken. Die sogenannte Angriffsoberfläche für Cyberattacken weitet sich aus. Phishing-Angriffe, Identitätsdiebstahl oder Erpressung durch Ransomware bedrohen Unternehmen und Bürger. Der aktuelle Fachkräftemangel in der IT-Branche verschärft diese Situation. Insbesondere kleine und mittelständische Unternehmen haben selten die personellen Ressourcen und das fachliche Know-how den Bedrohungen adäquat allein mit technischen Mitteln zu begegnen. Da viele IT-Lösungen die Interaktion mit einem Benutzer erfordern, sei es im Betrieb oder als Endkunde im privaten Umfeld, ist es notwendig, den Benutzer als Teil eines ganzheitlichen Sicherheitskonzeptes zu verstehen. Adams und Sasse sprachen bereits 1999 vom Nutzer als „first line of defence“.[2] Daraus folgen zwei wesentliche Konsequenzen: Zum einen muss das IT-Sicherheitsbewusstsein (Security Awareness) der Mitarbeiter in Unternehmen, aber auch beim Bürger als Endanwender beziehungsweise Kunde gestärkt werden. Zum anderen müssen IT-Anwendungen so umgesetzt werden, dass Bedienfehler möglichst vermieden oder zumindest erkannt werden. Dies ist eine zentrale Forderung der benutzbaren Sicherheit (Usable Security).
Security Awareness und Usable Security
Security Awareness wird oft als Dreiklang aus der Wahrnehmung von potenziellen Gefahren, dem nötigen Wissen über eine geeignete Schutzmaßnahme und dem korrekten Handeln verstanden. Alle drei Aspekte müssen beim Endnutzer gestärkt werden. Aufklärung und Weiterbildung in Form von Schulungen, Rollenspielen, Simulationen oder Phishing-Kampagnen sind etablierte Ansätze, die Security Awareness beim Endnutzer zu stärken, wobei Letzterer in jüngerer Zeit kontrovers diskutiert wird.[3] Hierbei besteht die Herausforderung, dass Cyberangriffe auf Endnutzer immer ausgefeilter werden. Daneben begreifen Endnutzer selten die IT-Sicherheit und die damit verbundenen Sicherheitsziele als primäres Ziel ihrer Handlungen. Sie wollen zum Beispiel E-Mails lesen und versenden, die Vertraulichkeit der Inhalte wird oft vernachlässigt.
Usable Security als interdisziplinärer Bereich der IT-Sicherheit und Mensch-Maschine-Interaktion zielt darauf ab, die Benutzbarkeit von IT-Sicherheitsfunktionen zu verbessern, ohne die Sicherheit selbst zu schwächen. Hierbei wird im Sinne eines User-Centered-Designs der Endnutzer mit seinen Fähigkeiten und auch Einschränkungen in den Mittelpunkt der Betrachtung gestellt.[4] Sollten die Endnutzer sehr unterschiedlich sein und in Nutzergruppen zerfallen, muss ein zukünftiges Produkt für all diese Nutzergruppen eine gute Usability aufweisen. Somit sollten der Einführung einer neuen IT-Sicherheitslösung immer erfolgreiche Usability-Tests vorangehen.
Gedankenspiel: Phishing-Attacke abwenden
Im nachfolgenden Gedankenspiel soll exemplarisch das Zusammenspiel von Security Awareness und Usable Security anhand einer Phishing-Attacke dargestellt werden. Solche Angriffe zielen darauf ab, einem Benutzer seine Accountdaten und Passwörter zu entlocken, um diese missbräuchlich zu verwenden. Dazu werden häufig gefälschte E-Mails verschickt, die jedoch schon beim Betrachten des enthaltenen Links eine Phishing-Attacke erkennen lassen. Ein Benutzer muss sich also ganz allgemein der Gefahren von Cyberrisiken bewusst sein und diese auch zweifelsfrei erkennen können. Das geht einher mit der Kenntnis über den technischen Aufbau einer URL, sodass er beispielsweise „https://www.arnazon.de“ statt „amazon.de“ als irreführend erkennen kann. Im nächsten Schritt leitet er daraus das entsprechende Handeln ab, das heißt er meldet den Angriff zunächst seiner IT-Abteilung oder seinem IT-Dienstleister und löscht dann die E-Mail, ohne den Link aufzurufen. Eine gute Usability muss hier den Nutzer unterstützen: Müsste er sich beispielsweise erst umständlich durch ein Ticketsystem klicken, um das Risiko zu melden, wäre die Hemmschwelle größer, aktiv zu werden und die IT-Kollegen zu informieren. Die Reduzierung von Cyberrisiken kann nur gelingen, wenn IT-Sicherheit als Prozess begriffen wird und die Sensibilisierung bereits früh erfolgt. Vor dem Hintergrund der allumfänglichen IT-Durchdringung unserer Arbeits- und Lebensbereiche sollte bereits früh verpflichtend, zum Beispiel in der Schule, auf Cyberrisiken hingewiesen werden. Andreas Heinemann empfiehlt dringend, dieses Wissen im Laufe eines (Berufs-)Lebens durch regelmäßige Schulungen und Weiterbildungsangebote zu vertiefen und dabei immer aktuelle Erkenntnisse aus der Forschung zu berücksichtigen. „Ideal wäre es, wenn sich mittelfristig herausragende Usability als ein verpflichtendes Qualitätsmerkmal für IT-Produkte mit Sicherheitsfunktionen etablieren würde“, erklärt der Steinbeis-Experte der Hochschule Darmstadt.
Kontakt
Prof. Dr. Andreas Heinemann (Autor)
Steinbeis-Unternehmer
Steinbeis-Transferzentrum InCUPS – Internet Communication, Usability, Privacy, Security (Darmstadt)
www.incups.de