Better sorry than safe – wir erziehen unsere Gesellschaft zur Unsicherheit

bei

 / 16. Oktober. 2017

Gigantische Account-Hacks und Datenleaks kommen inzwischen so häufig vor, dass die Aufnahmesolcher Nachrichten in der Öffentlichkeit von Empörung und Sorge übergegangen ist in Gleichgültigkeit. Selbst der Yahoo-Hack, der auf dem Papier quasi die Hälfte der menschlichen Erdbevölkerung betrifft, war auch nur eine Tages-News unter vielen. Hinzu kommt das gesellschaftliche Bild der IT-Sicherheit im Allgemeinen. Die Ende-zu-Ende-Verschlüsselung in WhatsApp wurde als Feature erst nachgeschoben, als das Produkt bereits ein riesiger Erfolg war. Die zusätzliche Sicherheit erscheint somit nicht als notwendig, denn sonst wäre sie ja von Anfang an eingebaut gewesen.

Hieraus ergibt sich ein großes Problem. Sicherheitsmängel werden so alltäglich, dass wir damit das Bild erschaffen, dass das in Ordnung ist. Für uns allgemeine Nutzer erscheint es nur natürlich, dass wir alle paar Wochen von einem Service dazu aufgerufen werden, unser Passwort zu ändern. Wir denken teilweise nicht mal mehr darüber nach, welche Implikationen es haben könnte, wenn mal unser Account gehackt wurde. Klartext-Passwort geleakt? Ich ändere einfach die letzte Stelle. Mail-Adresse geleakt? Das bisschen extra Spam ist doch auch nicht schlimm. – Aber das stimmt nicht. Es ist schlimm.

Lassen wir mal die offensichtlichen, potenziell fatalen Folgen dieser Denkweise beiseite und
konzentrieren uns auf die Ursache: Die IT-Industrie. Spätestens mit der Erfindung des Internets sind unsere Fortschritte in der Technologie und grenzenlosen Konnektivität gerade zu explodiert. Die Konkurrenz unter den IT-Giganten hat uns so wunderbare Produkte wie das Smartphone gebracht, oder das vernetzte Haus, das uns hoffentlich irgendwann mal dahin bringen wird, dass wir unsere Türklingel mit „JARVIS“ ansprechen können. Doch leider ist häufig bei diesem rapiden Fortschritt die Sicherheit auf der Strecke geblieben. Und zwar, weil sie in vielerlei Hinsicht nebensächlich ist.

IT-Sicherheit ist einer dieser Bereiche, die für die meisten Menschen schlichtweg ungreifbar sind. Von Experten und manchen interessierten Technikern abgesehen, gibt es wohl wenige Menschen, die ein solides Grundverständnis von Sicherheit haben, selbst auf rein theoretischer Ebene. Jeder Mensch kann nachvollziehen, dass ein Zahlenschloss mit drei Ziffern keine solide Methode ist, um sein Fahrrad über Nacht am Bahnhof stehen zu lassen. Doch nur wenige wissen, warum wir nicht „JesusFart“ als Passwort für Facebook, unsere zwei E-Mail Konten, sowie unser Online-Banking nutzen sollten.

Aus Sicht eines Unternehmens ist die Sicherheit ebenso schwammig. Klar könnten wir viele
Millionen Dollar in die sichere Systementwicklung stecken, doch wir könnten auch einfach darauf spekulieren, dass wir in der Laufzeit eines Unternehmens nur zwei, oder vielleicht drei große Systemhacks mitmachen müssen. Da sind die Kosten für die Schadensbegrenzung immer noch geringer, vor allem, wenn das Geschäft schon boomt. Und funktionierende Sicherheit bekommt eh niemand mit. Da sparen wir uns lieber das Geld und stecken es in die Produktentwicklung, denn neue Features bringen Geld, im Gegensatz zur Sicherheit.
Und hier liegt der Knackpunkt. Sowohl für den Konsumenten, als auch für den Hersteller ist
Sicherheit in der Regel kein Muss. Sie ist ein Gimmick. Wir wollen manchmal gar nicht erst
darüber nachdenken, welche Folgen unsere neue Technologie für uns und unsere Umwelt haben kann. Wir ziehen in der Industrie Fatalismus der Verantwortung vor, sei es aus Bequemlichkeit, Konkurrenzdruck, Kostensenkung oder purer Naivität.

Unsere IT-Industrie spiegelt nicht das wider, was uns Sicherheitsexperten seit Jahrzehnten
einprügeln wollen. Wir lehren unsere Kinder nur selten den verantwortungsvollen Umgang im
Internet, wir unterrichten unsere IT-Studenten nicht die Grundlagen der Sicherheit vom ersten
Semester an. Wir wollen keine sicheren Software- und Systementwickler, weil sie langsamer sind und uns Grenzen aufzeigen, anstatt uns grenzenlose Möglichkeiten zu bieten. Wir wollen nicht planen und vorausschauen. Wir wollen unser Leben hacken und uns um Konsequenzen keine Sorgen machen.

Und dieses Bild der verschwindenden Grenzen suggerieren wir auch unserer Gesellschaft. Es ist für uns Nutzer in Ordnung, dass Industriegiganten wie Microsoft und Facebook unsere Daten sammeln, dass Behörden aufgrund von mangelnder Sicherheit demokratische Grundwerte mit ihrer neuen Wahlsoftware riskieren. Das gehört heutzutage dazu. So ist unsere Welt, und wir können als Nutzer daran nichts ändern. Und deswegen regen wir uns auch gar nicht mehr so sehr darüber auf, wenn wir mal wieder von einem Hack oder Leak betroffen sind. Wir sind es gewohnt.

Natürlich haben wir trotzdem die Möglichkeit, uns zu informieren, Produkte nicht kaufen, Services zu ignorieren und uns aus aller Technik herauszuhalten, die uns suspekt vorkommt. Doch mit zunehmender Digitalisierung wird dies immer schwerer. Und genau hier sollten wir unser Verhalten als Industrie verändern. Wir können nicht darauf spekulieren, dass unsere gesamte Gesellschaft eine Fachlektüre in die Hand nimmt und plötzlich Enigmail installiert und E-Mails verschlüsselt. Usability ist hier das große Schlagwort und das heißt vor allem im Sicherheitsbereich, dass sich Nutzer nicht mit der Sicherheit selbst auseinandersetzen müssen, um sie zu nutzen und zu verstehen.

Ausnahmsweise ist in diesem Fall WhatsApp sogar ein gutes Beispiel. Ein einfaches, automatisches Update hat für uns Nutzer gereicht, um Nachrichten verschlüsselt zu übertragen. Keine Schlüsselpaarerzeugung, kein manueller Schlüsselaustausch, kein 15-Schritte-Installationsassistent, keine technische Blockade. Es war nicht nur einfach so da, sondern es wurde auch noch automatisch aktiviert. Gut, es kam deutlich zu spät, aber die Einführung selbst konnte aus Nutzersicht nicht komfortabler sein. Und genau so muss gute Usability im Sicherheitsbereich aussehen. Selbst die Information über die Verschlüsselung ist knackig: „Weder Dritte, noch WhatsApp können deine Nachrichten lesen oder hören.“

Sicherheit muss nicht nur implizit vorhanden sein, sie muss auch noch prägnant ausgewiesen sein. Erst dann können wir als Industrie der Gesellschaft auch das Bild vermitteln, das uns in eine sichere Zukunft führt. Das benötigt vor allem echte Verantwortung. Wir dürfen Sicherheit nicht als Feature ansehen. Sie muss ein Grundbaustein in jedem Projekt sein und sich durch alle Bereiche ziehen. Nur so können wir Expertenwissen auch an unsere Nutzer weitergeben. Das heißt, wir müssen auch unsere Fachleute aus allen beteiligten Bereichen in Sicherheitsaspekten unterweisen. Jeder Programmierer sollte wissen, welche Risiken ein Datenbankzugriff haben kann. Jeder Geschäftsführer sollte wissen, dass Sicherheit nicht nur das eigene Unternehmen betrifft und sich manchmal gar nicht in Zahlen ausdrücken lässt. Jeder UX-Designer sollte wissen, wie man Nutzer mit Sicherheit konfrontiert, ohne dass es abschreckend wirkt.

Dies sind alles Punkte, die uns unangenehm sein können, weil sie uns zwingen, einen Moment inne zu halten und über unsere Taten nachzudenken. Wir müssen weg vom fatalistischen Denken, damit wir uns nicht irgendwann selbst zum Verhängnis werden. Es ist an der Zeit Verantwortung zu übernehmen und die regelmäßigen Hacks und Leaks wieder als Skandale anzusehen. Nur so können wir unserer Gesellschaft beibringen, dass Sicherheit wichtig und richtig ist, und vor allem, dass Sicherheit immer implizit sein sollte.

Der Autor: Henning Neu, Datenschutz- und IT-Sicherheitsberater bei der praemandatum GmBH, hat Angewandte Informatik an der Hochschule Hannover studiert. Seine Spezialgebiete sind technische Risikoanalysen und die Bewertung von modernen Technologien in Unternehmenskontexten.

Vorheriger ArtikelSicherer Remote Access im Zeitalter der Digitalisierung
Nächster ArtikelData Leakage Prevention – Datendieben auf der Spur