Benutzerfreundliche IT-Sicherheit: Die 5 Fußangeln

Menschen machen Fehler. Das ist nicht nur eine Binsenweisheit (und Geschäftsgrundlage privater Fernsehsender), sondern auch der wichtigste Auslöser für Zwischenfälle in der IT-Sicherheit. Das bestätigen Statistiken und Analysen aus verschiedenen Quellen seit Jahren.

SeilOffensichtlich ist also der vielzitierte „Faktor Mensch“ das Problem. Oder?

Ein bisschen zu kurz gedacht. Schließlich ist es nicht der Daseinszweck von Menschen, Informationssysteme korrekt zu bedienen. Vielmehr sollen die Systeme sich an Menschen anpassen und ihnen nützlich sein – ohne darauf zu lauern, dass sie einen Fehler begehen. Das ideale System lässt seine Nutzer keine Fehler begehen, sondern sie ganz mühelos durch die korrekten Abläufe gleiten.

Und es wird ja auch engagiert geforscht und entwickelt in den Bereichen Usability, User Experience und Mensch-Technik-Interaktion. Warum machen also Menschen in der IT-Sicherheit immer noch Fehler?

Alma Whitten und J.D. Tygar haben in ihrem Klassiker „Why Johnny Can’t Encrypt“ schon im Jahr 1999 die fünf Eigenschaften der Informationssicherheit identifiziert, die zu Bedienungsfehlern führen:

1. Benutzer sind unmotiviert.
Informationssicherheit ist für den Benutzer ein untergeordnetes Ziel – wenn es überhaupt eins ist. Niemand setzt sich an den Rechner, um seine Sicherheitseinstellungen zu verwalten, sondern um eine E-Mail zu verschicken, eine Bestellung in einem Online-Shop aufzugeben oder einen Film zu gucken. Wenn IT-Sicherheitsmaßnahmen den Benutzern bei diesen Zielen im Weg stehen, dann werden sie ausgeschaltet oder umgangen. Selbst wenn die Informationssicherheit die Benutzer nicht direkt behindert, so sehen sie doch keinen Grund, sich näher mit ihr zu beschäftigen und beispielsweise ein Handbuch zu lesen oder nach versteckten Optionen zu suchen. Das bringt die Nutzer ihren primären Zielen nicht näher.

2. Informationssicherheit ist abstrakt.
Regeln und Konzepte in der Informationssicherheit sind nicht sehr anschaulich. Es ist schwer, passende Metaphern zu finden – und wenn man eine brauchbare gefunden hat, führt sie möglicherweise zu Missverständnissen, wie die Schloss-Schlüssel-Metapher in der Public-Key-Kryptographie, die nicht zwischen öffentlichem und privatem Schlüssel unterscheiden kann.

3. Benutzer bekommen wenig Rückmeldung.
Es ist schwierig, die komplizierten Sachverhalte der Informationssicherheit in intuitive, kurze Dialogfelder zu packen. Außerdem tut eine Konfiguration dann „das Richtige“, wenn das Ergebnis sich mit dem deckt, was der Nutzer beabsichtigt hat. Da das System die gedanklichen Absichten des Nutzers aber nicht kennt, ist es schwierig, eine sinnvolle Fehlerprüfung durchzuführen.

Pferd4. Das Stalltor muss durchgehend verschlossen bleiben.
Nicht erst dann das Stalltor zumachen, wenn das Pferd schon abgehauen ist: Dieser agrarwissenschaftliche Rat lässt sich eins zu eins auf die Informationssicherheit übertragen. Wenn ein Geheimnis nur für kurze Zeit im Klartext zugänglich war, gibt es keine Möglichkeit mehr, um festzustellen, ob es schon einem Angreifer in die Hände gefallen ist. Abhängig davon, ob Perfect Forward Secrecy implementiert ist oder nicht, können die Auswirkungen einer kurzzeitigen Sicherheitslücke auch für die Zukunft fatal sein.

5. Die Verteidigung ist so stark wie ihre schwächste Stelle.
Da eine Schwachstelle nicht durch besonders gute Sicherheit an anderer Stelle wettgemacht werden kann, müssen die User besonders gut durch den Konfigurationsprozess geführt werden. Ein sprunghaftes Erkunden von Optionen und Möglichkeiten – der übliche Weg, auf dem Benutzer der Umgang mit Textverarbeitungs- oder Präsentationssoftware lernen – führt in der IT-Sicherheit nicht zum gewünschten Ergebnis.

Jede dieser Eigenschaften macht den Entwicklern und UX-Designern von Sicherheitsanwendungen das Leben schwer – aber jede davon kann auch gezielt mit Gegenmaßnahmen angegangen werden. Die Informatiker Tobias Straub und Harald Baier haben Prinzipien für das Design von Sicherheitsanwendungen vorgeschlagen, die für jede der fünf Fußangeln Abhilfe schaffen sollen:

  • Fehlertoleranz in der Bedienung

Die Vermeidung von Fehlern, die aus der Bedienung resultieren, mildert das Risiko durch die Fußangeln 4 (Scheunentor) und 5 (schwächstes Glied).

  • Kontrolle von individuellen Einstellungsmöglichkeiten

Dort, wo der Benutzer Einstellungsmöglichkeiten hat, soll er rigide geführt werden, wenn seine Einstellungen die Sicherheit vermindern können. Dies mildert ebenfalls das Risiko durch die Fußangeln 4 (Scheunentor) und 5 (schwächstes Glied).

  • Lernfreundlichkeit

Nutzer lernen häufig durch Versuch & Irrtum. Sie sollen dazu ermutigt werden, sich auf diese Weise überhaupt mit der Software zu beschäftigen – nicht jedes neugierige Herumklicken soll gleich zu einem Fehler oder einer Fehleinstellung führen (Fußangel 1, ummotivierte Benutzer).

  • Selbsterklärende Oberflächen und Meldungen

Die Anwendungen sollen sich so weit wie möglich während der Bedienung selbst erklären und vom Benutzer nicht das Studium dicker Handbücher verlangen. Dies mildert das Risiko durch die Fußangeln 2 und 3 (und, meiner Meinung nach, auch 1).

  • Konsistenz und Vorhersagbarkeit

Die Anwendung sollte für die gleichen Konzepte stets die gleichen Worte benutzen und auch mit dem allgemeinen Sprachgebrauch übereinstimmen (Fußangel 3).

  • Tauglichkeit und Zweckmäßigkeit

Die gängigen Bedienungsziele sollte der Benutzer einfach und effizient erreichen können, auch wenn er wenig IT-Erfahrung hat (Fußangel 1).

Diese Design-Prinzipien sind zwar sehr einleuchtend, aber auch auch sehr abstrakt – die wahre Kunst ist es, sie in die Tat umzusetzen. Mit welchen Maßnahmen konnten Sie Ihre Systeme benutzerfreundlicher gestalten, und wo mussten Sie Abstriche machen?