Aufklärung der Nutzer ist keine Antwort auf Sicherheitsprobleme

Internetbetrug lässt sich nicht durchkreuzen, indem man den Anwendern die ganze Last der Selbstverteidigung aufbürdet. Die Anwender im Belagerungszustand brauchen Schutz, und die Technik muss sich ändern, um den Schutz zu gewährleisten.

 

by Jakob Nielsen (deutsche Übersetzung) - 25.10.2004

 

Computernutzer leiden unter unzähligen Sicherheitsproblemen, darunter

• Viren und Würmer,
• "nigerianische" Fallen (E-Mails, die einen um Hilfe bitten beim Herausschmuggeln angeblich grosser Summen von Schwarzgeld),
• Phishing (gefälschte E-Mails, die angeblich vom Kundendienst eines bekannten Verkäufers kommen und einen bitten, auf einer dem Original täuschend ähnlich sehenden Website seine Zugangsdaten einzugeben), und
• Spyware und Adware, die ohne bewusste Zustimmung des Anwenders Software auf seinem Rechner installieren (manche Vorgänge mögen wohl behaupten, sie hätten die Zustimmung des Getäuschten eingeholt, doch die meisten Leute wissen nicht, wozu sie Ja sagen, wenn sie im Web "OK?"-Knöpfe drücken; will man tatsächlich die Zustimmung des Nutzers, so muss dieser wissen, dass Software installiert werden soll, und er muss auch damit einverstanden sein, dass Adware-Funktionen aktiviert werden).

Jedes Mal, wenn die Presse einen neuen Skandal aufdeckt, liest man mit Sicherheit Zitate von Sicherheitsexperten, die sich über die Dummheit der Nutzer beklagen und die Firmen auffordern, Ihre Anwender besser über angemessene Vorsichtsmassnahmen aufzuklären.

Im Umgang mit Sicherheitsproblemen sollte der Hauptansatz nicht darin bestehen, die Anwender aufzuklären - aus drei Gründen:

Erstens und am wichtigsten: Aufklärung funktioniert nicht. Computersicherheit ist zu kompliziert, und die Übeltäter sind zu verschlagen und zu einfallsreich dafür. Die Annahme, dass ein Durchschnittsanwender mit ihnen mithalten könnte, ist schlicht unrealistisch. Man kann den Leuten zwar sagen, sie sollen keine Dateianhänge in E-Mails von Fremden öffnen, aber dann verschicken die Angreifer halt E-Mails, die anscheinend von deinem Chef, deiner Frau oder deinen besten Freunden kommen. In einem modernen Büro kann man nicht arbeiten, ohne E-Mailanhänge zu öffnen.

Zweitens: Die Aufklärung der Anwender bürdet die Verantwortung den Falschen auf. Es ist wie im Wilden Westen, wo die Antwort auf Verbrechen darin bestand, dass jeder Mann eine Waffe mit sich herumtrug. In der zivilisierten Gesellschaft haben wir diesen Ansatz zugunsten einer professionellen Polizei verworfen, die sich mit den Kriminellen beschäftigen soll. Wenn Technik und Mensch nicht zusammenpassen, sollte die Antwort nicht sein, den Menschen zu ändern. Die Antwort sollte sein, die Computer zu ändern. Computer und Internet wurden unter der Voraussetzung entwickelt, dass jeder vertrauenswürdig ist und es keine Verbrechen gibt. Das ist offensichtlich nicht mehr so, und wir müssen die Technik entsprechend überarbeiten. Selbst im alten Westen ging man letztlich zu Gesetzen, Gerichten, Polizei und Gefängnissen über.

Drittens: Solange wir die Last den Anwendern aufbürden, anstatt die Technik anzupassen, werden wir niemals den gesamten Nutzen des Internets realisieren. Stattdessen verängstigen wir die Nutzer und machen sie noch zurückhaltender bei der Nutzung aller Potenziale der Technik. In Usability-Studien haben wir bereits festgestellt, dass die Anwender sehr zurückhaltend geworden sind bei der Herausgabe ihrer E-Mailadressen. Davon sind auch legitime E-Commerce-Sites betroffen, die keine Spams verschicken. Für sie wird es dadurch schwerer, ihren Kunden nützliche Newsletter und Bestätigungs-E-Mails zu verschicken.

Das Web ähnelt heute dem heruntergekommenen Viertel einer Stadt. Die Leute werden belagert durch einen konstanten Strom von Angriffen und unangenehmen Belästigungen. Wir sollten die Anwender nicht länger ihrer Verunsicherung und ihren Ängsten überlassen. Wir können sie nicht länger ungeschützt lassen.

Analogie zum Autoabschliessen

Ein häufiges Gegenargument zu meiner Position lautet, es sei vernünftig, von den Nutzern zu verlangen, dass sie Verantwortung für ihre eigene Sicherheit übernehmen. Das sei genauso wie die Erwartung, dass die Leute ihr Auto abschliessen, wenn sie parken.

Doch die Analogie hinkt wegen der Unterschiedlichkeit zwischen der physischen und der virtuellen Welt. Einbrecher haben nur eine begrenzte Reichweite, und ein Durchschnittshaushalt muss sich nur vor Durchschnittseinbrechern schützen. Wir müssen unsere Häuser und Autos nicht gegen Angriffe der Einbruchsexperten des KGB absichern. Nur Organisationen wie die CIA müssen ihre Objekte gegen hartnäckige Bemühungen der besten Schurken der Welt absichern. Und zu diesem Zweck engagieren sie ganze Armeen von Sicherheitsexperten.

Das Internet potenziert die Reichweite übler Burschen. So kann ein einzelner Hacker, der ein Sicherheitsloch entdeckt, Milliarden von Nutzern angreifen. Jeder einzelne Netzbürger benötigt deshalb Schutz vor den Computerkriminellen der ganzen Welt - und nicht bloss vor dem Hacker in der Nachbarschaft.

Sicher wird der Wissensstand der Anwender über den florierenden Internetbetrug sich laufend erhöhen, genau wie die meisten von uns sich im Allgemeinen vor Autodieben und Wohnungseinbrüchen in Acht nehmen. In unserer Studie darüber, wie Kinder das Web nutzen, stellten wir fest, dass Kinder sich sehr davor hüten, persönliche Daten herauszugeben und Software herunterzuladen. Und es schadet sicher nie, die Leute daran zu erinnern, dass sie ihre Passwörter nicht herausgeben dürfen. Besonders auf Websites von Finanzdienstleistern kann es hilfreich sein, eindeutige Erklärungen zu präsentieren, dass sie niemals ihre Kunden per E-Mail auffordern werden, Passwörter anzugeben. Solche Schritte sind zwar notwendig, aber sie reichen einfach nicht aus.

Genau so wenig können wir von den Systemadministratoren erwarten, dass sie ihre Server ständig mit den neuesten Sicherheitspflastern versehen. Zum einen beschäftigen viele Unternehmen gar keine professionellen Systemadministratoren. In kleinen Unternehmen ist der Besitzer oder der Büromanager oft auch für die Rechner zuständig. Selbst mittelständische Unternehmen haben häufig nicht genug Sicherheitskompetenz im Einsatz, weil jeder ihrer Fachmänner vor Ort mit Projekten belastet ist, die normalerweise ein ganzes Team einer grossen IT-Abteilung beschäftigen.

Die Lösung: Sicherheit neu konstruieren

Die einzige wirkliche Lösung besteht darin, Sicherheit zum eingebauten Bestandteil sämtlicher Rechnerelemente zu machen. Ja, es ist an der Zeit, sich von der Illusion zu verabschieden, dass Rechner nur von ehrenwerten Akademikern benutzt würden, dass die einzigen wertvollen Informationen im Speicher des Systems Entwürfe von Forschungsbeiträgen und dass die anderen Leute im Netz alles Universitätskollegen seien.

Vielmehr sind verschiedene spezifische Schritte notwendig, nämlich:

• alle Informationen jederzeit zu verschlüsseln, ausser wenn sie auf dem Bildschirm erscheinen. Vor allem: niemals E-Mails oder andere Informationen im Klartext über das Internet zu versenden: Alles, was deinen Rechner verlässt, muss verschlüsselt sein.
• alle Informationen digital zu signieren, um Fälschungen zu verhindern und die Anwender auf einfache Weise darüber zu informieren, ob etwas aus einer vertrauenswürdigen Quelle stammt. Das würde hoffentlich die derzeit üblichen dummen Sicherheitswarnungen ablösen, die die Leute nicht verstehen, weil sie irgendwelche Eingeweide der Technik ans Tageslicht zerren. ("Das Sicherheitszertifikat ist abgelaufen oder nicht mehr gültig." - Aha! Und was bedeutet das nun für den Normalverbraucher?)
• alle Sicherheitsoptionen standardmässig einzuschalten, da sich die meisten Leute nicht um die Grundeinstellungen kümmern. Und es dann einfach zu machen, die Einstellungen zu verändern, damit die Leute vertrauenswürdige Dinge empfangen können, ohne jedermann Tür und Tor zu öffnen.
• alle Aktualisierungen zu automatisieren. Die meisten Virenschutzprogramme laden neue Virendefinitionen im Hintergrund herunter; das ist ein guter erster Schritt. Das automatische Flicken, das mit Windows XP SP2, eingeführt wurde, ist ebenfalls eine Verbesserung.
• die Usability der Sicherheitsfunktionen aufzupolieren auf ein Niveau, das alles, was wir bislang gesehen haben, in den Schatten stellt. Sicherheit ist an sich kompliziert, und sie ist etwas, um das sich die Nutzer nicht kümmern (bevor es zu spät ist). Die Nutzeroberfläche erfordert ein Maximum an Einfachheit. Gross angelegte Nutzertests und detaillierte Feldstudien sind ein Muss.

Es sind noch eine Menge weiterer Schritte nötig, die mit Usability nicht direkt zu tun haben. Einschliesslich Dingen wie der Reduzierung von Softwarefehlern.

Schliesslich muss sich in der Gesellschaft ein stärkerer Aktivismus gegen Spammer, Phisher, Virenprogrammierer, Ebay-Betrüger und andere, die die Rechte der Nutzer verletzen, entfalten. Sie müssen kriminalisiert und bekämpft werden. Wir brauchen dazu permanente Arbeitskreise des FBI, die sich diesen Problemen annehmen, denn ihr Einfluss auf die Wirtschaft und auf das Wohlergehen der Bürger ist längst grösser als der einiger altmodischer Verbrechen, die Ressourcen beim Gesetzesvollzug absorbieren.

Die Sicherheit systematisch anzugehen ist ein grosses Projekt, aber es ist der einzige gangbare Weg, einen sicheren Umgang mit Computern zu gewährleisten und dafür zu sorgen, dass sich die Leute im Web wohl fühlen.

 

© Deutsche Version von Jakob Nielsens Alertbox. Institut für Software-Ergonomie und Usability AG. Alle Rechte vorbehalten.