© alphaspirit, 123RF
Wo Sicherheit vom Anwender Unmögliches verlangt, steht sie nur auf dem Papier. Die Keynote auf dem DFN-CERT-Kongress geriet zum Plädoyer für das menschliche Maß in Security-Fragen.
Passwörter sollen lang und kryptisch sein, man soll sie niemals doppelt verwenden, niemals notieren, dafür aber regelmäßig wechseln. Das sind die ehernen Regeln, die die meisten Sicherheitsbeauftragten, aber auch Nutzer im Kopf haben. Alles Quatsch, sagt Dr. Zinaida Benenson von der Friedrich-Alexander-Uni Erlangen-Nürnberg.
In ihrer Keynote auf dem 25. DFN-CERT-Kongress “Sicherheit in vernetzten Systemen” begründet sie das auch: Kein Mensch kann sich viele lange Zufallsfolgen merken. Schafft er das für einige wenige, kann er sie morgen nicht auf Befehl vergessen, nur weil ihre willkürlich festgelegte Gültigkeit abgelaufen ist. Statt unerfüllbarer Forderungen, so ihr Resümee, brauchen wir eine menschengerechte IT-Sicherheit, die den Nutzern nicht mehr abverlangt, als sie leisten können.
Ein anderes Beispiel ist das Experiment einer Forschergruppe mit Studenten, denen E-Mails zugespielt wurden, denen zufolge eine bestimmte Facebook-Seite Fotos der Silvesterparty enthalte. Als Absender wurde zufällig ein Vorname aus den aktuellen Top-10 der häufigsten Namen gewählt. Dann wurden die Probanden gefragt, warum sie die Seite angeklickt hatten oder warum nicht.
Jene, die auf die Phishing-Mail hereingefallen waren, gaben Neugier als ihr hauptsächliches Motiv an (34 Prozent). Viele (27 Prozent) fanden auch die Inhaltsangabe plausibel oder glaubten, den Absender zu kennen (16 Prozent). Umgekehrt hatten viele derer, die sich nicht zu dem Klick überreden ließen, Bedenken wegen des unbekannten Absenders (51 Prozent) oder vermuteten einen Betrugsversuch (41 Prozent). Gut jedem Dritten (36 Prozent) schien auch das Setup nicht plausibel zu sein.
Schnell wünscht sich der Sicherheitsbeauftragte nur Mitarbeiter aus der zweiten, kleineren Gruppe, die allem und jedem erst mal mit einer guten Portion Misstrauen begegnen. Aber auch hier dämpft Dr. Zinaida Benenson die Erwartungen: Das geht ebenfalls nicht, meint sie. Niemand kann dauerhaft aufmerksam sein, ohne zu ermüden. Bei der Masse an E-Mails, die täglich zu beantworten sind, kann niemand jede einzelne einem gewissenhaften Plausibilitätscheck unterziehen. Nicht zu reden von dem sozialen Druck, der aus der Angst entsteht, man könne ein echtes Anliegen als vermeintliche Fälschung zurückweisen und so einen Freund oder Bekannten beleidigen und sich selbst ausgrenzen.
Was bleibt? Die kritische Frage, was der Sicherheit tatsächlich dient. Auf dem Papier ist ein für jeden Account einmaliges 20-stelliges, rein zufälliges Passwort, das nach vier Wochen verfällt, sehr sicher. Praktisch ist es das nicht, weil es jeder, der kein Gedächtniskünstler ist, aufschreiben muss. Zudem bleibt die Forderung, Sicherheitsprozeduren, wo immer es möglich ist, der Technik zu übertragen, statt Menschen damit zu überfordern. Und es bleibt die Erkenntnis, dass es ein Patentrezept nicht gibt.
Der Kongress Ende Februar in Hamburg bot nach zahlreiche interessante Vorträge rund um Sicherheitsfragen, darunter einen von Ralf Spenneberg und einem seiner Mitarbeiter über die Historie der Sicherheitsvorkehrungen in Android, einen Vortrag von Hans-Joachim Knobloch über die Perspektiven der Entwicklung von Krypto-Algorithmen nach RSA-2048 oder ein Referat über Intrusion Detection anhand aufgezeichneter Systemcalls von Martin Grimmer sowie Martin Max Röhling von der Universität Leipzig. Zu diesem Thema hatten die Referenten auch einen Artikel im Linux-Magazin 03/18 beigesteuert.
