IT Security
Informiert die Anwender besser über Gefahren!

IT Security

Wenn ich aus dem Haus gehe, schließe ich die Tür ab. Ich übernehme die Verantwortung für die Sicherheit. Würde ich die Tür weit offen stehen lassen und käme dann ein Einbrecher, würde ich nicht zum Hersteller der Türschlösser rennen und mich über ein Produkt beschweren, dessen Qualität unter den normalen Standards liegt.

Genau so wurde allerdings die Morgan-Stanley-Bank in der letzten Woche behandelt. Im Gegensatz zu den meisten anderen Finanzinstituten lässt Morgan Stanley zu, dass die Funktion des automatischen Vervollständigens von Microsoft Windows genutzt wird, so dass Kreditkartenbenutzer nicht ihr vollständiges Passwort eingeben müssen.

Man versucht dem Anwender die Verantwortung über die Sicherheit seines PCs zu entziehen.

Morgan Stanley hat dieses “Schlupfloch” inzwischen gestopft, aber es erheben sich zwei fundamentale Fragen. Hatte die Bank von Anfang an Unrecht, und sollten die User verhätschelt ? man könnte auch sagen kontrolliert ? werden, wenn es um Sicherheit geht?

Morgan Stanley hat den Nutzern einfach eine Wahl gelassen. Ich hatte immer den Eindruck, Auswahl sei eine gute Sache. Wenn ich beim Ausfüllen von Formularen Zeit sparen will und die Funktion zum automatischen Vervollständigen aktiviere, warum nicht? Es liegt in meiner Verantwortung, die Risiken zu begreifen.

Die Sicherheits-Panikmacher (von denen viele ihr Geld damit verdienen, “Sicherheitslösungen” zu propagieren) versuchen, die Verantwortung vom Endnutzer wegzunehmen. Microsoft hat Trustworthy Computing eingeführt. Das ist an sich kein schlechter Zug, lässt aber die Frage offen, wer das Recht hat zu bestimmen, was ich auf meinem PC laufen lasse.

Sicherheitswarnungen sollen Angst machen und nicht helfen.

Die Unternehmen reden gern vom “Durchschnittsnutzer”. Das ist wahrscheinlich jemand ohne Abschluss in Computer-Wissenschaften. Um diesen Durchschnittsnutzer zu schützen, werden wir jedes Mal mit Warnungen überschüttet, wenn wir etwas tun wollen. Mitteilungen wie “diese Website versucht, eine Seite zu öffnen” oder “Download blockiert” sollen Angst machen, nicht helfen. Der User muss eine Entscheidung treffen, aber auf der Basis von unvollständigen Informationen.

Ein Download ist nicht notwendigerweise unsicher, nur weil Microsoft sich weigert, ihn zu erkennen. Wenn Durchschnittsnutzer so viel Angst vor möglichen Sicherheitsverletzungen haben, dass sie nur noch Anwendungen herunterladen, die Microsoft abgesegnet hat, was passiert dann mit dem freien Wettbewerb? Könnte es künftig so sein, dass jede Anwendung durch einen Microsoft-Testvorgang gehen muss, bevor sie auf den Markt kommt?

Ein Download ist nicht unsicher, nur weil Microsoft sich weigert, ihn zu erkennen.

Das ist nicht nur ein Microsoft-Problem. Das Unternehmen bemüht sich, die Arbeit mit dem Computer zu Hause und im Unternehmen sicherer zu machen ? eine lobenswerte Initiative. Wir sollten allerdings die Rolle des Endnutzers anerkennen. Er benötigt relevante Informationen, um eine vernünftige Wahl zu treffen. Was macht dieses ActiveX-Element, wenn es installiert wird? Es sollte die Fähigkeiten des Software-Anbieters nicht überschreiten zuzulassen, dass die Elemente von einem Dritten gelesen werden können, der detaillierte Informationen bieten kann.

Ich habe ein Freeware-Programm installiert, das meinen Start-Ordner prüft und berichtet, was jede Anwendung tut, die beim Start geöffnet wird. Wenn ein Privatmensch solche Details gratis liefern kann, könnte die IT-Industrie in ihrer Gesamtheit doch sicher etwas Ähnliches implementieren?