Endnutzer – was für ein Wort – haben in der IT-Branche keinen guten Ruf. Sie machen Probleme. Sie wissen so wenig über die Technologie, die sie benutzen, dass sie zwangsläufig Probleme machen.
IT-Abteilungen haben einen großen Vorrat an manchmal lustigen, aber oft auch regelrecht bösartigen Spitznamen für ahnungslose oder durch die Technik geforderte und überforderte Benutzer.
Wenn es um Informationssicherheit geht, um sicheres oder wenigstens um unschädliches Verhalten am Rechner, sind die Beschreibungen des Charakters von Nutzern noch hoffnungsloser.
Fred Sampson beschreibt in einem vielzitierten Artikel mit dem schönen Titel „A Penny for Your Thoughts, a Latte for Your Password“ die Plage mit den Endnutzern mit drastischen Worten. „Alle Sicherheitssysteme hängen von Menschen ab und Menschen sind fehlbar, leichtgläubig, bestechlich, emotional und gierig“, meint er, und wenn es darum geht, diese menschlichen Schwächen durch Training zu beheben, dann „fehlen den Benutzern Zeit, Motivation oder die nötigen Grundkenntnisse, damit das Training wirken kann.“
Aussagen wie diese findet man zuhauf und es drängt sich der Verdacht auf, dass in der Weltsicht von Systembetreuern im Allgemeinen und von Sicherheitsexperten im Besonderen die Endnutzer – und Menschen überhaupt – wegen ihrer Unzulänglichkeiten und oft auch wegen ihrer Verderbtheit die wesentliche große Gefährdung für die ansonsten fehlerfrei funktionierende Technik seien. Die Mehrheitsmeinung liest sich so, als seien Benutzer chronisch anfällig für alle sieben Todsünden und einfach unverbesserlich schlechte Menschen – wenn sie nicht gerade selbst Sicherheitsexperten sind.
Als Maßnahmen zur Verbesserung dieser beklagenswerten Situation werden in der Regel vorgeschlagen:
• die Endnutzer zu trainieren und zu schulen, oder
• die Technik einfacher benutzbar zu machen – vor allem die sicherheitsrelevanten Funktionen.
Rationale Verweigerung
Beides kommt – wie wir wissen – nicht wirklich voran und es lohnt sich, über eine dritte Erklärung für unsicheres Nutzerverhalten zumindest einmal nachzudenken. Cormac Herley von Microsoft bringt in seinem Aufsatz: „So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users” eine dritte Erklärung auf den Tisch:
Unsicheres Verhalten von Benutzern ist – vom ökonomischen Standpunkt aus gesehen – vollkommen rational. Die Vorschriften und Ratschläge für sicheres Verhalten sollen Benutzer vor den direkten Kosten von Cyberangriffen schützen, sie bürden ihnen aber gleichzeitig indirekte Kosten auf, sogenannte Externalitäten. Die Wahrscheinlichkeit, das Opfer einer erfolgreichen Cyberattacke zu werden, ist schon für einen Privatanwender sehr gering und die Kosten werden in vielen Fällen von anderen übernommen, zum Beispiel von der Bank, die die unrechtmäßige Abbuchung einfach erstattet. Für einen Mitarbeiter im Betrieb ist das Risiko persönlicher Kosten für unsicheres Verhalten noch geringer. Es trifft ja nicht ihn persönlich, sondern den Betrieb und dort die IT-Abteilung, für die er ohnehin nicht die größten Sympathien hegt. Das heißt, persönliche Kosten durch einen erfolgreichen Cyberangriff sind selten und noch seltener hoch. Persönliche Kosten durch das Befolgen von Sicherheitsregeln treten immerzu und für alle auf.
Am Ende sind die laufenden persönlichen Kosten sicheren Verhaltens viel höher als die sehr selten entstehenden Kosten, die sich durch einen erfolgreichen Cyberangriff ergeben. Für den „homo oeconomicus“ ist die Sache klar: Er wählt die Alternative mit den durchschnittlich geringeren Kosten und verhält sich weiterhin unsicher.
Sicherheit? Private Kosten-Nutzen-Rechnung
Herley meint, dass es gute Gründe dafür gibt, dass die implizite Kosten-Nutzen-Rechnung von Benutzern in der Regel zum Nachteil der Befolgung von Sicherheitsratschlägen und Sicherheitsregeln ausgeht. Zuerst einmal sind Benutzer von der schieren Zahl von Ratschlägen und Regeln schlicht überfordert. Es sind ja nicht nur Zehn Gebote, sondern hunderte, die obendrein in vielen Fällen kontextabhängig sind. Ab einem bestimmten Punkt ist selbst der Bravste überfordert. Dann erscheint in manchen Fällen der Nutzen sicheren Verhaltens zweifelhaft. Die Mühe, sich starke Passwörter auszudenken, erscheint sinnlos – wenn man liest, dass sie schneller geknackt werden können als sie ausgedacht sind und der Profi sowieso einen Keylogger im Rechner platziert. Drittens ist der behauptete Nutzen des Befolgens von Verhaltensregeln zur Informationssicherheit nicht evidenzbasiert. Es gibt kaum Daten zur Häufigkeit und dem Erfolg von Angriffen, die (behauptete) Passwortschwächen ausnutzen. Wir hängen im Spekulativen fest und die Benutzer bemerken das.
Das gewohnheitsmäßige Nicht-Beachten von Zertifikatswarnungen, die wahrgenommen zu 100% falsch-positiv sind, macht es nicht leichter, an die Wirksamkeit der vorgeschrieben Sicherheitsvorkehrungen zu glauben. Zuletzt ist es leider so, dass die externen Kosten von Computerkriminalität in den meisten Fällen höher sind als die direkten Kosten. Betrachtet man einen Angriff, von dem pro Jahr 1% der Benutzer betroffen sind und die Betroffenen 10h Mühe auf die Beseitigung der Folgen aufwenden müssen, dann sollte die Befolgung der Sicherheitsvorschrift nicht mehr als 10/(365*100) = 0,98 Sekunden Nutzerzeit auf sich ziehen. Alles andere würde die globale Kosten-Nutzung-Betrachtung ungünstig aussehen lassen.
Im Gleichgewicht? Sicherheitsregeln und die Möglichkeit, sie einzuhalten
Herley ist nicht der erste, dem auffällt, dass da etwas nicht stimmt mit dem Gleichgewicht von Regeln und den Möglichkeiten, den Sinn dieser Regeln zu sehen und sie zu befolgen. Greenwald und seine Kollegen stellen in ihrem Aufsatz „The user non-acceptance paradigm“ im Jahre 2004 schon fest, dass der Weg von der Entscheidung für ein technisches Mittel zur Lösung eines Problems der IT-Sicherheit in einer Organisation bis zur produktiven Nutzung dieses technischen Mittels mit Stolpersteinen übersäht ist, die sie in zehn Kategorien zusammenfassen:
1. Die Risiken unsicheren Informationsverhaltens und die Belohnungen sicheren Informationsverhaltens werden nicht richtig verstanden.
2. Der Einsatz des Sicherheitsmechanismus ändert die Verantwortlichkeiten seiner Anwender.
3. Der Sicherheitsmechanismus schadet der Performanz.
4. Der Anwender hat konzeptuelle Schwierigkeiten mit dem Sicherheitsmechanismus.
5. Der Anwender ist mit dem Prozedere der Einführung des Sicherheitsmechanismus nicht zufrieden.
6. Der Sicherheitsmechanismus bringt Verhalten ans Tageslicht, das besser unentdeckt bleiben sollte.
7. Das Werkzeug verwirrt den Benutzer und wird nicht akzeptiert.
8. Der Sicherheitsmechanismus bringt andere Probleme zum Vorschein.
9. Der Sicherheitsmechanismus passt nicht in die Organisationsumgebung und zum Arbeitsumfeld.
10. Der Sicherheitsmechanismus beeinträchtigt andere schon vorhandene Sicherheitsmechanismen.
Jeder, der mit Informationssicherheit zu tun hat, hat Erfahrungen gemacht, die in diese zehn Kategorien passen. Man muss nur Sätze, die man im Umkreis der Einführung der DSGVO gehört hat, diesen Kategorien zuordnen:
1. Das ist doch alles Unfug. Ich werde sicher nicht angegriffen. Was gibt es bei mir schon zu holen?
2. Warum muss ich das alles auf mich nehmen? Ist unsere Politik nicht in der Lage, die Ursachen selbst aus der Welt zu schaffen?
3. Um Gottes Willen! Ich schaffe auch ohne DSGVO die Arbeit kaum und jetzt auch das noch.
4. Was wir hier in Europa betreiben ist an Verwaltungsirrsinn und Gesetzesirrsinn nicht zu überbieten.
5. Die Leute, die sich sowas ausdenken, sind immer die Gleichen: Engstirnige und machtbesessene Bürokraten
6. Wir hatten unsere Auftragsdatenverarbeitung gut im Griff und nie hat sich jemand beschwert. Jetzt müssen wir fast alles anders machen, sonst trauen sich unsere Kunden nicht mehr mit uns Geschäfte zu machen.
7. Zu diesen Gesetzestexten fällt mir nur ein: Kompliziert, verwirrend und unverständlich. Ich bin Unternehmer. Ich bin kein Jurist und will auch keiner werden.
8. Wenn es stimmt, dass die DSGVO im Wesentlichen nur sagt, was in anderen Gesetzen schon steht, dann haben wir seit Jahren vieles falsch gemacht und keinen hat es interessiert. Wie sollen wir das jetzt in so kurzer Zeit geradebiegen? Und warum überhaupt?
9. Mit der DSGVO habe ich endlich verstanden, was ein „unbestimmter Rechtsbegriff“ ist. Das ist was für Gerichte. Aber nichts für einen, der Vorgaben umsetzen will und muss.
10. Wir können unsere Systeme nicht so umstellen, dass sie der EU-DSGVO genügen. Wir müssen die Geschäftsbeziehung für lange Zeit unterbrechen.
Auch wenn diese Gedanken nicht wirklich zur produktiven Lösung des Problems beitragen – die Autoren sind weit davon entfernt, dem Benutzer Unverstand oder Böswilligkeit der Benutzer anzulasten.
Greenwald und seine Kollegen sagen im Gegenteil, dass Sicherheitsmechanismen (Sicherheitsregeln, Beschaffung von Sicherheitswerkzeugen, Anwendung von Sicherheitswerkzeugen) nur im produktiven Zusammenspiel von Individuum und Organisation wirksam werden können.
Und das ist genau der Punkt: Informationssicherheit kann nur im kompetenten und kooperativen Miteinander gelingen. Alles andere kostet wirklich mehr als es bringt.
Neueste Kommentare