Sicherheitsdesign: Hören Sie auf zu versuchen, den Benutzer zu fixieren.
Alle paar Jahre repliziert ein Forscher eine Sicherheitsstudie, indem er USB-Sticks auf dem Gelände eines Unternehmens verstreut und darauf wartet, wie viele Personen sie abholen und anschließen, so dass die Autorun-Funktion harmlose Malware auf ihren Computern installiert. Diese Studien sind ideal, um Sicherheitsexperten das Gefühl zu geben, überlegen zu sein. Die Forscher können ihre Sicherheitskompetenz unter Beweis stellen und die Ergebnisse als "lehrbare Momente" für andere nutzen. "Wenn nur jeder mehr Sicherheitsbewusstsein hätte und mehr Sicherheitstraining hätte", sagen sie, "wäre das Internet ein viel sichererer Ort."
Genug davon. Das Problem sind nicht die Benutzer: Es ist, dass wir die Sicherheit unserer Computersysteme so schlecht ausgelegt haben, dass wir vom Benutzer verlangen, all diese unlogischen Dinge zu tun. Warum können Benutzer keine leicht zu merkenden Passwörter wählen? Warum können sie in E-Mails mit wildem Verlassenwerden nicht auf Links klicken? Warum können sie keinen USB-Stick an einen Computer anschließen, ohne mit einer Vielzahl von Viren konfrontiert zu werden? Warum versuchen wir, den Benutzer zu reparieren, anstatt das zugrunde liegende Sicherheitsproblem zu lösen?
Traditionell haben wir an Sicherheit und Benutzerfreundlichkeit als Kompromiss gedacht: Ein sichereres System ist weniger funktional und lästig, und ein leistungsfähigeres, flexibleres und leistungsfähigeres System ist weniger sicher. Dieses "Entweder-Oder"-Denken führt zu Systemen, die weder verwendbar noch sicher sind.
Unsere Branche ist übersät mit Beispielen. Erstens: Sicherheitswarnungen. Trotz der guten Absichten der Forscher locken diese Warnungen die Menschen nur zu ihnen. Ich habe Dutzende von Studien darüber gelesen, wie man Leute dazu bringt, auf Sicherheitswarnungen zu achten. Wir können ihren Wortlaut anpassen, sie rot markieren und auf dem Bildschirm wackeln, aber nichts funktioniert, weil die Benutzer wissen, dass die Warnungen immer sinnlos sind. Sie sehen nicht: "Das Zertifikat ist abgelaufen; bist du sicher, dass du auf diese Webseite gehen willst?" Sie sehen: "Ich bin eine lästige Botschaft, die dich daran hindert, eine Webseite zu lesen. Klicken Sie hier, um mich loszuwerden."
Weiter: Passwörter. Es macht keinen Sinn, Benutzer zu zwingen, Passwörter für Websites zu generieren, bei denen sie sich nur ein- bis zweimal im Jahr anmelden. Die Benutzer erkennen dies: Sie speichern diese Passwörter in ihren Browsern, oder sie versuchen nicht einmal, sich an sie zu erinnern, indem sie den Link "Ich habe mein Passwort vergessen" benutzen, um das System vollständig zu umgehen - und damit auf die Sicherheit ihres E-Mail-Kontos zurückgreifen.
Und schließlich: Phishing-Links. Es steht den Benutzern frei, im Web zu klicken, bis sie auf einen Link zu einer Phishing-Website stoßen. Dann will jeder wissen, wie man den Benutzer trainiert, nicht auf verdächtige Links zu klicken. Aber Sie können die Benutzer nicht trainieren, nicht auf Links zu klicken, wenn Sie die letzten zwei Jahrzehnte damit verbracht haben, ihnen beizubringen, dass Links zum Anklicken da sind.
Wir müssen aufhören zu versuchen, den Benutzer zu reparieren, um Sicherheit zu erreichen. Wir werden es nie schaffen, und die Forschung in Richtung dieser Ziele verdeckt nur die wirklichen Probleme. Gebrauchsfähige Sicherheit bedeutet nicht, "die Leute dazu zu bringen, das zu tun, was wir wollen." Es bedeutet, Sicherheit zu schaffen, die funktioniert, gegeben (oder trotz) dem, was Menschen tun. Es handelt sich um Sicherheitslösungen, die die Sicherheitsziele der Benutzer erfüllen, ohne - wie der niederländische Kryptograph Auguste Kerckhoffs aus dem 19. Jahrhundert treffend formulierte - "Stress des Geistes oder Kenntnisse einer langen Reihe von Regeln".
Ich sage das schon seit Jahren. Security Usability Guru (und einer der Gastredakteure dieser Ausgabe) M. Angela Sasse hat es noch länger gesagt. Die Leute - und die Entwickler - beginnen endlich zuzuhören. Viele Sicherheitsupdates erfolgen automatisch, so dass Benutzer nicht daran denken müssen, ihre Systeme manuell zu aktualisieren. Das Öffnen eines Word- oder Excel-Dokuments in Google Docs isoliert es vom System des Benutzers, so dass er sich keine Sorgen um eingebettete Malware machen muss. Und Programme können in Sandkästen ausgeführt werden, die nicht den gesamten Computer gefährden. Wir sind einen langen Weg gegangen, aber wir haben noch viel vor uns.
"Das Opfer beschuldigen" ist natürlich älter als das Internet. Aber das macht es nicht richtig. Wir sind es unseren Nutzern schuldig, das Informationszeitalter zu einem sicheren Ort für alle zu machen - nicht nur für diejenigen mit "Sicherheitsbewusstsein".
Dieser Aufsatz erschien zuvor in der September/Oktober-Ausgabe von IEEE Security & Privacy.
