Peter Gutmann ist Informatiker an der Universität Auckland.
Wien – Phishing-Mails, Identitätsdiebstahl, falsche Shoppingportale, Malware, Spam, Viren: Im Internet lauern sowohl bei beruflicher als auch bei privater Verwendung vielfältige Gefahren. IT-Administratoren, Programmierer, Virenschutzverkäufer und andere Experten tun zwar einiges, um bei der Abwehr schädlicher Programme und bösartiger Geschäftemacher zu helfen, doch dabei sind sie sich manchmal selbst im Weg.
"Die Einstellung der Entwickler ist doch: User sind Idioten", sagt Peter Gutmann. Der Computerwissenschafter der Universität Auckland (Neuseeland) gilt als einer der weltweit profiliertesten Experten für Verschlüsselung; er hat unter anderem bei der Entwicklung der Verschlüsselungssoftware PGP 2.0 mitgearbeitet und eine nach ihm benannte Methode zur Löschung von Daten auf Speichermedien wie Festplatten entwickelt.
Nun hat sich Gutmann allerdings einer schwierigeren, weil unberechenbaren Seite der IT-Sicherheit zugewandt, nämlich dem Faktor Mensch. Im Rahmen der Campus Lectures des Fachhochschule Campus Wien erläuterte Gutmann auf Einladung des Kompetenzzentrums für IT-Security die Psychologie der IT-Unsicherheit. Bisher läuft es laut Gutmann nämlich so ab: Entwickler bauen Sicherheitsapplikationen, die Anwender verwenden sie nicht korrekt und daher sind die Anwender aus dem Blickwinkel der Experten unfähig. "Die User handeln irrational, zumindest nach Ansicht der Entwickler", sagt Gutmann.
Tatsächlich verhält sich nicht nur der vielzitierte "dümmste anzunehmende User" auf eine Art und Weise, die IT-Profis beunruhigt – gar die Mehrheit der Computernutzer klickt Warnfenster weg, lässt sich auf augenscheinlich gefälschte Sites locken und ignoriert Update-Aufforderungen. Und weshalb? Weil sie es nicht anders gewohnt sind und sich so verhalten, wie sie es sonst auch tun.
Studien zeigen, dass unter Druck nicht lange überlegt wird, sondern die erstbeste Möglichkeit gewählt wird. Gutmann nennt als Beispiel die Tierwelt: Wenn ein Affe von einem Löwen attackiert wird, überlegt er nicht lange, welcher Baum der höchste und stärkste ist, sondern klettert kurzentschlossen auf den erstbesten. Genauso handeln Menschen, selbst wenn es nur um Warnhinweise am Bildschirm geht, die ihnen zum Beispiel erklären wollen, dass diese Seite unsicher sein könnte. Sie wählen die erstbeste, von ihrer Intuition eingegebene Möglichkeit – also das Wegklicken lästiger Fenster .
Lücken bleiben unbemerkt
Dazu kommt: Entscheidungen, die sofortiges Feedback bewirken, werden leichter getroffen als jene, deren Auswirkungen in zeitlicher Ferne liegen. Gerade bei Sicherheitsthemen gibt es laut Gutmann in den meisten Fällen aber keine unmittelbare Auswirkung einer Handlung: Wenn Kreditkartendaten gestohlen wurden, merkt man das oft erst nach einigen Wochen; in vielen Fällen bleiben Lücken im Sicherheitssystem gänzlich unbemerkt. Daher kann nicht beurteilt werden, wann und ob sich die Entscheidung überhaupt auswirken wird.
Dazu kommt: Offensichtlich irrelevante Dinge werden herausgefiltert – und dazu könnte die x-te Update-Aufforderung seitens des Computers zählen. Schließlich weiß die Mehrzahl der Computernutzer gar nicht, welche Sicherheitsmängel gerade vorhanden sind. Und wenn es um Internetbetrüger geht, denken die wenigsten an Programme, die selbstständig ihre Arbeit verrichten, sondern an zwielichtige Gestalten, die mit Panzerknackeroutfit in die Tastatur hämmern – gefördert werden solche Bilder nicht nur von Hollywood, sondern auch von den ewig gleichen Sujets in den Medien.
Die Psychologie liefere also Einsichten, wie Menschen denken und entscheiden. Wie kann das aber für die IT-Sicherheit genutzt werden? "Es gibt unzählige relevante Psychologiestudien, diese könnten bei der Entwicklung von Sicherheitssystemen verwendet werden", sagt Peter Gutmann dem STANDARD gegenüber.
Geeks denken anders
Ein Beispiel sei das Sicherheitsschloss in der Browser-Leiste: Fehlende Informationen werden Studien zufolge viel schwieriger verarbeitet als positive Informationen. Das bedeutet, dass das Fehlen dieses Browser-Symbols eine denkbar schlechte Möglichkeit sei, den Mangel an Sicherheit darzustellen, meint Gutmann: "Viel dümmer hätte man das nicht machen können."
Ein weiteres Beispiel: Bei Windows-Vista-Warnfenstern wurden in verschiedenen Situationen unterschiedliche Farben verwendet – nicht einmal erfahrenen Usern ist das aufgefallen. "Das Problem: Die Geeks, die Computersoftware entwerfen, denken nicht wie andere Menschen", meint Gutmann. "Weil diese beiden Gruppen auf unterschiedliche Weise Entscheidungen treffen, funktionieren viele Sicherheitssysteme nicht."
Wenn Sicherheitssysteme versagen, dann handelt es sich nach Ansicht von Gutmann um "schlecht designte Software, nicht um dumme User". Daher sollten beim Entwickeln öfters Menschen von außerhalb der Programmiersphäre herangezogen werden. "Die Entwickler sollten einfach die Leute machen lassen und nur zusehen, dann bemerken sie selbst, welche Fehler ihre Systeme haben." Die evolutionäre Konditionierung der User sollte nicht als Bug gesehen werden, sondern als Chance.
Sollte aber nicht gleichzeitig die Alarmbereitschaft bei den Anwendern erhöht werden, um sie zum längeren Nachdenken zu zwingen? Davon hält Gutmann nichts, denn "wenn es keine ausreichenden Antworten auf Bedrohungen gibt, ist das ohnehin sinnlos". Eine akute Bedrohung ist für ihn übrigens die aktuelle Entwicklung des Internets der Dinge, in dem smarte Gegenstände in einem Netzwerk zusammengeschlossen werden. Für Gutmann sollte dieses eher "Internet of Targets" heißen. Ebenso ist für ihn die steigende Verwendung von Mobilgeräten sicherheitstechnisch bedenklich: "Die Sicherheit bei Android-Geräten ist furchtbar." (Robert Prazak, 8.5.2016)