Autorenprofil
Bei der Einführung neuer Technologien ist die Frage nach deren Sicherheit immer von herausragender Bedeutung. Insbesondere in der heutigen Zeit der Vernetzung unserer Welt, die in immer weitere Lebensbereiche einzieht, ist es wichtig, dass die Benutzer die Kontrolle behalten und Schutz davor besteht, dass andere ohne unseren Willen in unsere Privatsphäre eindringen bzw. im Namen unserer Identität (i.d.R. zu unserem Schaden) agieren.
Regelmäßig erfährt man dabei aus den Medien, wie schlecht es doch um diese Sicherheit bestellt ist. Mit teils reißerischen Artikeln und TV-Reportagen werden neue Technologien zerpflückt und die Leser bzw. Zuschauer verunsichert. Gerade bei den tendenziell besorgten Deutschen führt dies dann häufig zu einer ablehnenden Haltung.
Ohne Zweifel haben viele der Darstellungen ihre Berechtigung und in Punkto IT-Sicherheit besteht an etlichen Stellen ein erhebliches Verbesserungspotenzial. Dies gilt beispielsweise für viele der sog. IoT-Geräte (Internet of Things) mit denen man sein Heim vernetzen und die man von außen über das Internet steuern kann. Die Ursachen für die teils eklatanten Sicherheitslücken sind oft der Zeitdruck, der auf den Entwicklern lastet, um die Time to Market so kurz wie möglich zu halten, sowie fehlendes Wissen hinsichtlich der Sicherheitstechnologien, was dann zu Produkten mit sicherheitskritischen Schwachstellen führt. Dies tritt vor allem dort auf, wo kryptographische Technologien, wie Verschlüsselungen oder Signaturen verwendet werden.
Auch im Smartphone-Bereich existieren etliche Berichte, in denen z.B. Fingerabdruck- oder Iris-Scanner überlistet werden. Hier bestehen im Prinzip die gleichen Gründe wie oben, zusätzlich werden aber oft auch aus Kostengründen vom Hersteller Komponenten verbaut, die nicht das notwendige Sicherheitsniveau aufweisen, z.B. wenn der Fingerabdruck-Scanner zu grob arbeitet. Auch im Online- und Mobile-Banking werden immer wieder Verfahren ausgehebelt. Die Liste der Beispiele könnte beliebig verlängert werden.
Leider ist es dabei häufig der Fall, dass die Aufbereitung der Berichte in den Medien so erfolgt, dass der unbedarfte Benutzer die Informationen nicht richtig einschätzen kann und entsprechend zu Überbewertungen neigt. Zudem entsteht mitunter der Eindruck, dass die Produzenten der Informationen nicht richtig verstanden haben, worüber sie berichten. So findet z.B. auch selten Erwähnung, wenn die dargestellten Sicherheitslücken nur unter sehr spezifischen Umständen ausgenutzt werden, die für die überwiegende Mehrzahl der Benutzer nicht relevant sind.
Im Mittelpunkt der Berichte stehen in der Regel die Technologien, deren Gefährlichkeit mit Beispielen und Expertenbeiträgen plakativ dargestellt wird. Am Ende hat man dann als Leser/Zuschauer zumeist die Erkenntnis, dass die jeweilige Technologie nicht sicher ist. Dabei wird jedoch ein entscheidender Hinweis in der überwiegenden Mehrzahl der Fälle verschwiegen: „Technik kann nie zu 100% sicher sein!“.
Selbst, wenn sie es zu einem bestimmten Zeitpunkt wäre, kann dies zu einem späteren Zeitpunkt schon wieder anders sein, z.B. weil eine neue Technologie oder Methode entwickelt wurde, welche die bestehenden Sicherheitsmechanismen aushebeln kann. Ein Beispiel hierfür sind die Zunahme der Rechenleistung sowie die Entwicklung der Quantencomputer im Zusammenhang mit der Kryptographie.
Zur Veranschaulichung der Problematik hinsichtlich der Sicherheit durch Technik soll hier der Messenger Threema aufgeführt werden, der bekannt für sein hohes Sicherheitsniveau ist. Die Kommunikationspartner werden dort in drei Sicherheitsstufen eingeordnet. Die sicherste Stufe wird nur erreicht, wenn beide Kommunikationspartner ihre Identitäten über einen persönlichen Schlüsseltausch bestätigt haben. Der Schlüssel wird von der Threema-App als QR-Code auf dem Display angezeigt und dann vom Kommunikationspartner mit seiner Threema-App eingescannt. Die physische Anwesenheit beider Kommunikationspartner stellt somit auch ein Sicherheitselement im Rahmen der Authentifizierung dar. Diese physische Anwesenheit wird aber auf der technischen Ebene nicht geprüft. Beide könnten auch ihre QR-Codes abfotografieren und sich bspw. mittels E-Mail zusenden, womit dann Dritte in den Besitz der Informationen gelangen können.
Die Sicherheit bei Threema entsteht somit nicht durch die Technik alleine. Vielmehr gibt es einen vordefinierten Prozess, nach dem die gegenseitige Authentifizierung stattfinden soll. Diesen müssen die beiden Kommunikationspartner kennen und sich auch daran halten. Im anderen Fall ist die Sicherheit nicht gewährleistet, obwohl sie von der App ausgewiesen wird.
Das Beispiel dokumentiert, dass Sicherheit nicht nur durch Technik allein entsteht. Es bedarf vielmehr zwei weiterer Komponenten, dem Menschen und der Organisation. Der Mensch muss mit seinem Wissen, seiner Einstellung und seinem daraus folgenden Verhalten wie im obigen Fall zu der Sicherheit bei der Techniknutzung beitragen. Wenn er nichts über den Authentifizierungsprozess weiß oder es ihm egal ist oder er sich (z.B. aus Bequemlichkeitsgründen) nicht daran hält, dann kann eine sichere Nutzung nicht stattfinden. Die Organisation definiert die Prozesse, in deren Rahmen die Technik (möglichst) sicher genutzt werden kann und sollte dabei auch die entsprechenden Kontrollmechanismen bereitstellen. Nur durch das Zusammenspiel von Technik, Mensch und Organisation lässt sich somit Sicherheit realisieren. Die Technik allein kann dazu nicht in der Lage sein.
Ein weiteres Beispiel sind die biometrischen Verfahren, die derzeit zunehmend Verbreitung finden. Es existieren etliche Beispiele, bei denen Fingerabdruckscanner, Gesichtserkennung, Irisscanner oder auch Handvenenscanner überlistet werden. Die Geräte sind dabei teils von hoher Qualität. Schaut man sich die (zumeist sehr aufwendigen) Angriffe jedoch näher an, so fällt auf, dass sie zumeist unter Umständen erfolgen, die sich verhindern lassen. Wenn beispielsweise der Fingerabdruckscanner und der Angreifer völlig alleine sind und keine Zeitnot besteht, so hat dieser sehr viel mehr Möglichkeiten für einen erfolgreichen Angriff, als wenn der Prozess in einem überwachten Raum stattfinden würde, wo irreguläres Verhalten unmittelbar zu einem Abbruch des Vorgangs führen würde.
Es gilt somit, Prozesse für die Nutzung zu schaffen, die dem erforderlichen Sicherheitsniveau des jeweiligen Anwendungsbereichs entsprechen. Für deren Einhaltung sollten zudem Kontrollmöglichkeiten geschaffen werden.
Auch der Mensch als mündiger Nutzer muss hier Verantwortung für sein Tun und Handeln übernehmen. Je wichtiger die Technologie im Leben des Einzelnen wird, desto mehr muss man auch erwarten können, dass eine entsprechende Kenntnis hinsichtlich des Umgangs mit ihr vorhanden ist. Ob darauf auch ein sicherheitsbewusstes Verhalten folgt, bleibt dem Individuum schließlich selbst überlassen, allerdings muss es dann gegebenenfalls auch die Konsequenzen für sein Handeln tragen.
Ein offenerer Umgang mit dem Thema Sicherheit hätte hierbei Vorteile. So ist der Druck auf die Hersteller durch die Berichterstattung von Sicherheitsmängeln und -lücken zwar gut, da diese dadurch bewegt werden, mehr in die Produktsicherheit zu investieren. Andererseits kann eine Berichterstattung unter Vernachlässigung der Tatsache, dass Technik nicht alleine eine ausreichende Sicherheit bringen kann, aber auch schnell zu unerwünschten Wirkungen führen. So könnten potentielle Nutzer abgeschreckt werden und ein Klima des Misstrauens in Technik die Folge sein. Bei den Herstellern kann ein zu hoher Druck dazu führen, dass sie als Reaktion ihre Produkte mit Sicherheitsfunktionalitäten überfrachten, so dass sie für die Benutzer unbequem und damit gefühlt unbrauchbar werden.
Insofern wäre es hilfreich, wenn sich die Berichterstattung nicht nur auf die, oft weit hergeholten, Sicherheitsprobleme konzentrieren würde, sondern auch eine notwendige Aufklärung hinsichtlich des Benutzerbeitrags zur Sicherheit leisten würde sowie Hilfestellungen für einen sicheren Umgang mit der Technologie gäbe. Das Abschrecken der Benutzer ist hier die schlechteste Alternative.
Frankfurt School gGmbH
Adickesallee 32-34
60322 Frankfurt am Main
