„Diese Verbindung ist nicht sicher.“ Viele von uns haben diese oder ähnliche Sicherheitswarnungen beim Surfen schon einmal gesehen. Doch was bedeutet dieser Hinweis eigentlich? IT-Sicherheitssysteme können für die Nutzer*innen im Alltag schwer zu verstehen und auch zu bedienen sein. Deswegen widmen sich Forscher*innen und Security-Expert*innen weltweit seit vielen Jahren der Frage, wie das Nutzungserlebnis in der IT-Sicherheit verbessert werden kann. Natürlich beteiligen auch wir von Microsoft uns aktiv an der Entwicklung von nutzungsfreundlichen Sicherheitslösungen. Was genau es mit dem Forschungsgebiet „Usable Security“ auf sich hat und wie wir unsere Lösungen von Anfang an so gestalten, dass Benutzungsfreundlichkeit und Sicherheit ineinandergreifen, erklären wir in Folge 18 unserer Reihe „1×1 der IT-Sicherheit“.
Menschen sind die größte Schwachstelle in der IT-Sicherheit. Durch unsichere Passwörter, Unaufmerksamkeit, Nachlässigkeit oder Unwissen ergeben sich schwerwiegende Sicherheitsrisiken. Technologien können Nutzer*innen dabei unterstützen, Gefahren zu erkennen und zu verstehen, wie sie entsprechend reagieren können. Das ist der Grundgedanke hinter dem Forschungsfeld Usable Security: Wie lässt sich die IT-Sicherheit im Sinne der Anwender*innen gestalten, um dadurch Gefahren zu minimieren?
Butler Lampson, MIT-Professor und Fellow bei Microsoft Research, beschrieb das Problem schon 2009 so: „The most common user model today is ‚Say OK to any question about security’”. Die gängigste Form von Sicherheitslösungen der Endgeräte ist: Immer, wenn Endgeräte etwas zur Sicherheit melden, „Ja” zu klicken. An der Ausbesserung dieses Modells wollen Forscher*innen heute arbeiten.
Nutzer*innen statt Technologie im Fokus der Forschung
Seit 2009 hat sich die Technologie in extremer Geschwindigkeit weiterentwickelt, die Zahl der Endgeräte ist exponentiell gewachsen und das Forschungsfeld Usable Security hat stetig an Relevanz gewonnen. Das zeigt etwa die Arbeit der Forscher*innen im Arbeitskreis Usable Security & Privacy im Berufsverband für User Experience und Usability Professionals. Statt der Technologie rücken sie die Anwender*innen in den Fokus. Wie können Benutzeroberflächen einfach und verständlich designt werden? Wie können Nutzer*innen besser geschult werden, um Sicherheitsrisiken zu erkennen und zu vermeiden? Bei welchen Sicherheitsprozessen müssen Anwender*innen wirklich aktiv werden – und was sollte nur im Hintergrund geschehen?
Wie Tools mit Nutzer*innen kommunizieren sollten
Wie ein Programm gestaltet sein könnte, das die Bedürfnisse der Nutzer*innen berücksichtigt und auf dieser Basis mit ihnen kommuniziert, hat die Computerwoche veröffentlicht. Professorin Melanie Volkamer vom Karlsruher Institut für Technologie erklärt darin: „Wir wollen den Nutzer im ersten Schritt verstehen – was er in bestimmten Momenten glaubt und worauf er achtet.“ Aus diesen Erkenntnissen werde dann eine Empfehlung zum Design abgegeben. Ein Beispiel: Phishing-Webseiten, die vortäuschen, die Seite eines Unternehmens zu sein, sind häufig an ihrer URL zu erkennen. Je zentraler die URL einer Seite im Browser dargestellt wird, desto leichter sind gefälschte Seiten also zu entlarven.
Die neuesten Erkenntnisse der IT-Sicherheitsforschung fließen immer auch in die Weiterentwicklung der Technologie von Microsoft ein. Wir nutzen sie auf verschiedene Weisen: Einerseits, indem wir die Abwehrmechanismen unserer Sicherheitslösungen stärken – so filtern und blocken wir mit Hilfe von Künstlicher Intelligenz und Maschinellem Lernen Milliarden Angriffsversuche, bevor sie unsere Nutzer*innen überhaupt erreichen. Andererseits fließen die Forschungsergebnisse auch in die Gestaltung der Tools, mit denen Endanwender*innen direkt arbeiten: Windows Hello macht beispielsweise das Merken komplexer Anmeldepasswörter überflüssig, die Microsoft Authenticator-App weist auf Login-Versuche hin, die mit nur einem Swipe abgelehnt oder per Fingerabdruckscan bestätigt werden können. Outlook warnt, wenn das Tool verdächtige Anhänge oder Links in einer E-Mail vermutet.
Unser „Security by Design“ Ansatz
All diese Überlegungen und Entwicklungen basieren auf unserem Ansatz „Security by Design“. Wir haben dafür die Microsoft Security Development Lifecycle (SDL) entwickelt – ein ganzheitliches Programm, mit dem Ziel, Best Practices zu definieren, wie Sicherheit in allen Phasen der Softwareentwicklung mitgedacht wird – und nicht erst durch Updates. Auch das potenzielle Verhalten von Nutzer*innen versuchen wir bereits während der Entwicklung zu antizipieren, um das Risiko für Angriffe zu minimieren. Ganz im Sinne der Usable Security-Forscher*innen. Eines der simpelsten Beispiele: Programme, die bestimmte Regeln für Passwörter haben, damit der hochriskante, aber dennoch beliebte Code „12345“ von vornherein ausgeschlossen wird. Mehr Informationen zu Passwortsicherheit bietet dieser Beitrag.
Unser Grundgedanke ist, dass jede*r zur Sicherheit eines Produkts im Laufe der Entwicklung beitragen kann, wenn klare Richtlinien formuliert sind. So werden viele Risiken schon vor der Veröffentlichung minimiert und Einfallstore geschlossen, bevor sie überhaupt jemand entdecken kann. Die Schwierigkeit ist jedoch, dass auch in der IT-Sicherheit ein Mehr nicht immer besser ist. „More is not the Answer” ist der Titel eines Forschungspapiers von Cormac Herley, Principal Researcher bei Microsoft Research. Er schreibt, dass Aufwand und Nutzen für Nutzer*innen im richtigen Verhältnis stehen muss, was ihre persönliche IT-Sicherheit angeht. Systeme müssten also so designt sein, dass die Formel nicht lautet „Mehr Sicherheit durch mehr Aufwand für Nutzer*innen“. Sondern: „Mehr Sicherheit bei gleichbleibendem Aufwand für Anwender*innen.“
Menschliches Verhalten mag das größte IT-Risiko sein, doch Technologie kann unterstützen, erklären und helfen, Endgeräte so sicher wie möglich zu machen.
Ein Beitrag von Stratos Komotoglou
Head of Security, Compliance, Identity Customer Success bei Microsoft Deutschland
@HerrStratos
