IT Security
Wie viel Technik können wir dem User zumuten?

IT Security

Online-Sicherheit, die den User nicht mit technischem Wissen und technischen Strategien überfordert, ist der Schlüssel zum Erfolg, meint William Knight. Sie sollte intuitiv und transparent sein, so sein Vorschlag, andernfalls laufen die Kunden davon.

Die echte Welt hat ihre Vorteile: Du kannst sehen, was du kaufst, und es kann dir nicht passieren, dass deine Familie plötzlich einen Betrüger im Haus hat, den du unwissentlich zu deiner Weihnachtsgans eingeladen hast.

Online verkommen wir dagegen zu einem personifizierten Datenpaket in einem Metallkabel, werden manipuliert, gesteuert und verwandelt, bis wir schließlich selbst daran zweifeln, der zu sein, der wir vorgeben zu sein – geschweige denn die Waren, die wir bestellen, jemals zu erhalten. Die Vielfältigkeit menschlicher Handlungen und Verhaltsweisen kann man gar nicht überschätzen.

Wenn wir uns so in unserem realen Leben bewegen, zum Supermarkt fahren, den Wagen parken und unsere Zahnpasta suchend die Gänge entlang laufen, sind wir durch unsere Präsenz Teil einer Betrugsbekämpfungs-Strategie. Ohne es zu wissen, werden wir auf subtile Weise ständig kontrolliert und lösen möglicherweise durch “auffälliges Verhalten” einen Alarm aus. Der neugierige Nachbar, der hinter dem Vorhang lauert, verpfeift uns vielleicht wegen unserer abgelaufenen KFZ-Steuerplakette, kleine Verkehrssünden werden unauffällig registriert, beim Verlassen von Läden wird unser Auftreten überprüft und unser Geld auf Echtheit getestet. Die Sicherheit, die auf diesem Wege erreicht wird, ist durch technologische Methoden kaum gewährleistet.

“Beim Online-Business haben wir die Fähigkeit, Bedrohungen mit unserer Intuition zu erkennen, aufgegeben.

Wir Menschen haben im Laufe der Zeit eine Fähigkeit entwickelt, verdächtige Handlungen aufzuspüren und überall nach Bedrohungen Ausschau zuhalten, egal ob im Einkaufszentrum oder in längst vergangenen Zeiten. Darin sind wir wirklich gut. Deshalb sollten wir nur mit größtmöglicher Zurückhaltung unser intuitives Gefühl für Sicherheit aufgeben. Aber genau das haben wir mit der Erfindung des Online-Business getan.

In einer erdgeschichtlichen Nanosekunde haben wir eine Million Jahre der Evolution über den Haufen geworfen und durch ein Passwort und die Frage nach dem Geburtsnamen unserer Mütter ersetzt. Es ist daher kaum verwunderlich, dass der Online-Betrug boomt. Das Phishing, bei dem den Leuten die Kontendaten entlockt werden, indem man sie auf eine gefälschte Website leitet, hat nach Auskunft der Anti-Phishing Working Group (APWG) seit Anfang 2004 um 600 Prozent zugenommen.

Obwohl einige Schätzungen bei den Verlusten im Bankgeschäft von zweistelligen Millionenzahlen ausgehen, kann die NHTCU (National Hi-Tech Crime Unit in Großbritannien) seit ihrer Gründung 2001 erst 13 Festnahmen im Zusammenhang mit Phishing-Betrug verbuchen.

Dave Brunswick, Director of Technology bei Tumbleweed und Sprecher von APWG, glaubt, Phishing sei nur in einer breit angelegten Offensive zu bekämpfen. Und die soll so aussehen:
“Aufklärung über die Verwendung der neuesten verfügbaren Software wie Browser- und Anti-Virus-Software; E-Mail-Firewalls, zusammen mit verbesserten Identifikations- und Authentifizierungsmethoden sowie eine internationale Zusammenarbeit bei der Durchsetzung der Gesetze.” – und natürlich Aufklärung, wie sie neulich die Deutsche Postbank mit einer Warnung an ihre Kunden betrieben hat.

“Vom nichttechnischen Anwender verlangt man viel, wenn man erwartet, dass er Firewalls konfigurieren soll”

Doch vom nichttechnischen Anwender verlangt man viel, wenn man erwartet, dass er Firewalls konfiguriert, seine Antivirensoftware ständig aktualisiert und sich mit den neuesten Authentifizierungsmethoden auskennt.

Dr. Jakob Nielsen, Experte für Benutzerfreundlichkeit bei der Nielsen Norman Group, ist der Meinung, die Computertechnologie sei nicht dazu erfunden worden, kriminelle Handlungen zu verfolgen; und Architekturen zur Abwehr von Betrügereien müssten einfach sein. “Die Computersicherheit ist ein zu komplexes Feld und die Betrüger sind zu einfallsreich und erfinderisch, als dass man davon ausgehen könnte, dass der Durchschnittsanwender ihnen gewachsen sei.”

Während Computer dem Anfänger kompliziert erscheinen, meint Richard Starnes, Director von Incident Response für Cable and Wireless, ist es für einen technisch Interessierten keineswegs ein Problem, sich an Betrügereien zu beteiligen. “Das Vorgehen ist eigentlich recht einfach und erfordert kein besonderes Talent. Phishing ist kein technisch komplizierter Prozess.”

Wie so viele Softwaresysteme könnten auch Online-Sicherheitssysteme perfekt arbeiten, wenn der Benutzer dabei nicht eine wichtige Rolle spielte. Er wird so lange mit Belehrungen und Sicherheitsstrategien bombardiert, bis er sich vor lauter Angst überhaupt nicht mehr einloggt.

“Solange man die ganze Last auf die Benutzer abwälzt, statt die Technologie zu verbessern, wird das Netz nie in seiner ganzen Vielfalt genutzt werden können”, meint Nielsen. “Wir machen die Leute nur kopfscheu und halten sie davon ab, das volle Potenzial des Web auszuschöpfen.”

“…solange die Software nicht in der Lage ist, den Dorfspitzel zu emulieren…”

Aber solange die Software nicht in der Lage ist, den Dorfspitzel zu emulieren, und nicht genauso einfach wird wie das Abtasten eines 10-Euro-Scheins, scheinen wir uns damit abfinden zu müssen, durch abstrakte und beschwerliche Maßnahmen geschützt zu werden, die die wenigsten von uns verstehen. Oder – die Unternehmen müssen weiterhin die Verantwortung für Betrügereien übernehmen, damit Kunden auch weiterhin ihre Websites besuchen.