Der Anwender will doch gar keine IT Sicherheit!?

Haben Sie schon einmal ein Auto wegen besseren Bremsen gekauft? Oder wegen besserer Werte im NCAP Crashtest? Nein, ich auch nicht. Denn Sicherheit ist eigentlich langweilig, kompliziert, unsexy und nervt oft, wenn sie uns behindert. Trotzdem machen die Hersteller damit Werbung – bei Autos funktioniert das schon schlecht, bei Computern, Internet und Datenschutz in der…


Bildnachweis: iStock.com/Warchi

Schuld an der schlechten IT-Sicherheit hat doch, natürlich wie immer, der Kunde und Anwender. Der Anwender in der breiten Masse versteht aber in der Regel leider gar nicht das Problem. Genau das ist das Problem! Wenn Anwender im Bereich der IT Sicherheit und Datenschutz meist kaum oder nur wenig Problembewusstsein haben, die Hersteller zur Differenzierung aber genau diese Themen in den Vordergrund stellen, werden sie den Anwender kaum erreichen. Und der Anwender „ignoriert“ so das Thema dann weiter komplett. Das ist keine Lösung. Als „die Welt noch in Ordnung war“ gab es die „Corporate“ IT-Abteilung der Unternehmen und Banken mit Servern und Windows Clients, Apple war was für Freaks und Telefone waren zum Telefonieren. Heute, in einer Welt in der alles und jedes „smart“ sein soll, es Apps für (fast) jedes Problem gibt, ist die zentrale Kontrolle der Unternehmens IT Abteilungen oft überfordert, ausgehebelt und umgangen.

Ständige Produktivitätssteigerungen erzwingen optimierte Werkzeuge

Der Vertrieb, die Berater in den Filialen oder vor Ort und viele andere Mitarbeiter haben schnell gelernt, sich an die sich ständig verändernden Anforderungen ihrer Kunden anzupassen. Die steigenden Unternehmensziele nach mehr Umsatz, höherer Produktivität und bessere Effizienz erzwingen gleichzeitig kontinuierliche Verbesserungen der eingesetzten Werkzeuge, Abläufe und Kommunikation. Leider hat dabei oft das Angebot aus der eigenen IT Abteilung nicht mehr Schritt gehalten. Draußen in der Cloud dagegen wurde die Welt zur selben Zeit schöner, bunter, besser und vor allem einfacher. Da ist es nicht verwunderlich, dass heute viele Mitarbeiter natürlich mal eben ein paar Daten in die Cloud bei Dropbox, Google Drive, etc. schieben, damit sie zuhause, beim Kunden oder von unterwegs besser darauf zugreifen können. Wie viele lassen sich im Urlaub die E-Mails auf ihr privates Google-, Microsoft- oder Apple-Konto weiterleiten. nur um die wichtige Kundenrückfrage, die Mail vom Chef oder andere wichtige Dinge nicht zu verpassen? Und bitte seien Sie mal ehrlich, welche Unternehmensdaten befinden sich auf Ihren privaten USB Sticks?

Die Unternehmens IT-Abteilungen sind oft überfordert

Das Internet ist voll von Anbietern von schönen, praktischen Werkzeugen und Diensten, die uns teils kostenlos oder nur für eine kleine Gebühr täglich helfen, unsere Arbeit zu machen. Das ist heute die Messlatte für unsere Unternehmens IT Abteilungen. Wenn die Unternehmens-IT hier zu weit zurückfällt, merkt der Verkäufer oder Berater als Erster das irgendwie sein Kollege oder Konkurrent schneller, besser und „smarter“ ist. Dann wird der betroffene Mitarbeiter sich schnell und pragmatisch Wege suchen, auch „smarter“ zu werden. IT-Sicherheit spielt dabei leider im Bewusstsein der meisten Anwender gar keine Rolle.
Es ist ein Trugschluss, nur mit restriktiven Policys, Systemen und 2/3/4 Faktor-Authentifizierungen, die Sicherheit in IT-Systemen erhöhen zu können. Das funktioniert auch in überschaubaren und besonders geschulten Organisationen, wie z.B. dem Militär, auch eher schlecht als recht. IT-Sicherheit darf für den normalen Anwender, egal ob Mitarbeiter oder Kunde, kein Ballast sein. IT-Sicherheit muss einfach eingebaut, einfach zu bedienen und einfach funktionieren. IT-Sicherheit ist eben ein Hygienefaktor. Eigentlich etwas Selbstverständliches. Wir vermissen sie nur, wenn sie offensichtlich nicht da ist, aber kaum einer entscheidet sich wissentlich dafür.

Wie können wir dann das Sicherheitsniveau verbessern?

IT-Sicherheit muss direkt von Beginn an wesentlich stärker als Kerndisziplin beim Design von neuen Geschäftsprozessen, neuen Anwendungen, Apps und bei Veränderungen an bestehenden Systemen berücksichtigt werden. Der Anwender darf bei seinem persönlichen „User Experience“ keinen Unterschied feststellen. Die Sicherheit muss einfach, quasi unsichtbar, eingebaut sein. Dann wird der Anwender auch keinen Weg suchen, unbequeme und unverständliche Sicherheitsprozeduren zu umgehen. Dann wird es uns gelingen, das Online-Banking, Online-Zahlungen, Online-Datenspeicher, Online-Kommunikation und Anwendungen wirklich nachhaltig sicherer zu gestalten.

Der Faktor Mensch macht den Unterschied!

IT-Sicherheit ist kein Selbstzweck und funktioniert auch nicht allein. Wenn der Anwender wissentlich Sicherheitsmechanismen aushebelt, wird sie nicht funktionieren, egal wieviel Zeit, Geld und Ressourcen wir einsetzen. Beispiele haben wir genug; NSA hat Edward Snowden nicht verhindert, die Schweizer Banken die bei den deutschen Finanzbehörden beliebten Steuer-CDs und das Militär Wikileaks nicht unterbunden. Absichtliche, wissentliche Verletzungen von IT-Security-Policys oder Datenschutz sind mit IT-Systemen nicht zu verhindern. Unabsichtliche Verletzungen in der Regel schon. Wird der Anwender logisch nachvollziehbar, ohne komplizierte Schritte in der Anwendung oder in dem Prozess geführt, wird er der Führung gern folgen ohne eine (unsichere) Abkürzung zu suchen.

Komplexität der IT-Sicherheit wirksam vor dem Anwender verbergen

Die Herausforderung ist nun, die ständig zunehmende Komplexität von IT-Sicherheit vor dem normalen Anwender praktisch vollständig zu verbergen. Idealerweise sogar bei der Nutzung von Apps als Vorteil für den Anwender darzustellen, wie z.B. der Apple iPhone/iPad Touch-ID-Fingerprint Sensor. Dies alles ist einfach in der Bedienung, erhöht aber gleichzeitig die Sicherheit. Die Verwendung des Touch-ID für das Mobile Payment Apple Pay war da nur der logisch richtige Schritt. Der Anwender muss sich keine PIN mehr merken. Das ist eine klare, für den Anwender sofort spürbare Verbesserung. Logisch, dass andere Apps und Verfahren mit PIN im Vergleich das Nachsehen haben.

Der typische Ablauf einer 2-oder mehr Faktor Authentifizierung hingegen ist aus Sicht der Usability eher ein Rückschritt. Ein Ablauf aus Login mit UserID und Passwort, dann Empfang z.B. einer SMS mit Transaktionscode und anschließender Eingabe in das System, bzw. die Anwendung ist aus Usability Sicht mehr Katastrophe als Verbesserung. Das heute von einigen Banken eingesetzte Foto-TAN Verfahren ist sicherlich ein Schritt in die richtige Richtung, aber immer noch weit entfernt von automatischer, unsichtbarer Sicherheit.

Neue Konzepte für unsichtbare IT-Sicherheit sind gefragt

Jetzt sind wirklich neue und verbesserte Konzepte gefragt um einfache Bedienung und Sicherheit, um für den Anwender z.B. eine sichere Nutzer Authentifizierung, Verschlüsselung, Datenschutz und sichere Kommunikation zu ermöglichen. Wenn es endlich gelingt IT Sicherheit für den normalen Anwender unsichtbar zu machen werden wir auch das Sicherheitsniveau in der breiten Masse nachhaltig erhöhen können. Der Lohn für diese Anstrengungen für das Unternehmen, den Anbieter und die Dienste ist das viele IT Risiken wieder kalkulierbar werden.

Fazit

Bis dahin werden wir uns wohl leider noch eine Weile mit PIN, TAN, SMS, OTP, PGP, S/MIME und vielen weiteren für den Anwender völlig unverständlichen Abkürzungen beschäftigen dürfen.