Jeder kennt es: es sind wieder drei Monate vergangen und der Computer fordert auf, das Passwort zu erneuern. Und dann entspricht das neu gewählte Passwort mal wieder „nicht den geforderten Sicherheitsstandards“. Aus mindestens 8 Zeichen sollte es bestehen, aus Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen. Für den Computer heißt ein perfektes Passwort also „rsAtis1y2sa$I0O“. Schaut man sich die Top 100 Statistik der beliebtesten Passwörter an, rangieren zum Entsetzen von Cybersecurity-Experten auf den ersten Plätzen jedoch „12345678“, „passwort“ und „12345“. Keine Spur also vom komplexen, zufälligen Buchstabensalat. Menschen wählen einfach zu erinnernde Zeichenketten. Zwingt man sie, bestimmte Vorgaben einzuhalten, finden sie Wege, diese Sicherheitsmechanismen auszuhebeln. Oder der „Passwort vergessen“-Button läuft heiß.
Jetzt kann man natürlich entgegnen: Sicherheit hat eben ihren Preis. Damit Computer die Passwörter schwerer knacken können, müssen wir Menschen uns eben kryptische Zeichenketten merken. Falsch gedacht! Tatsächlich können kryptische Zeichenketten wie „6zFgb!NU“ deutlich unsicherer sein als eine Aneinanderreihung von beliebigen Alltagswörtern wie „ichwillechtindieseswlanrein“ (z.B. bei Brute-Force oder Common Word Attacken). Ein vom Arbeitgeber vorgegebenes kryptisches Passwort ist also oft leichter zu knacken, dabei aber auch noch viel schwerer zu merken – und hält eher den Mitarbeiter vom Zugriff ab, als andere. Oder wie es durch unten stehenden Comic auf den Punkt gebracht wird: „Through 20 years of effort, we’ve successfully trained everyone to use passwords that are hard for humans to remember, but easy for computers to guess“. Das Feld der sogenannten „Usability Security“ beschäftigt sich nun genau damit, für den Menschen einfach zu nutzende Sicherheitsmaßnahmen zu gestalten.
Aktuelle Anforderungen an die Erstellung von „sicheren“ Passwörtern führen also im Endeffekt dazu, dass a) ein leicht erinnerbares Passwort gewählt wird („12345“) oder b) dass das Passwort einfach aufgeschrieben wird (der berühmte Post-It unter Tastatur/ Blumentopf/ Schreibtisch oder ein txt-File auf dem Computer). Jetzt können Sie sagen: das ist doch ein schon alt bekanntes Lied. Doch an der grundlegenden Problematik von schwer nutzbaren Sicherheitsmechanismen hat sich bis heute auch im Umgang mit neuer Technologie nichts geändert: psychologisch gesehen sind Menschen sehr kreativ wenn es darum geht, Dinge zu vereinfachen. Damit unterwandern sie Security-Maßnahmen, wenn die Usability dieser Maßnahmen nicht durchdacht ist. Diese Tatsache beschränkt sich natürlich nicht nur auf Passwörter, sondern lässt sich auch in der Interaktion mit komplexeren Sicherheitsmechanismen beobachten.
Im Krankenhaus beispielsweise verwalten Ärzte Patientendaten immer noch oft an fahrbaren Computerstationen. Um zu verhindern, dass Unbefugte zufällig Zugriff auf diese Daten erlangen, wurden in einem Krankenhaus in Maryland diese fahrbaren Computerstationen mit Näherungssensoren ausgestattet. Jedes Mal, wenn sich also ein angemeldeter Arzt von der Computerstation entfernte, wurde er automatisch abgemeldet.
Das Interaktionskonzept schien am Reißbrett logisch und wurde flächendeckend umgesetzt. Was leider nicht beachtet wurde, waren die vielen kleinen Unterbrechungen, die im täglichen Arbeiten auftraten und zu unverhältnismäßig vielen automatischen Abmeldungen führten. Die Lösung der Ärzte für die Probleme mit dem auf Näherungssensoren basierenden System war auch hier einfach:
Ein Pappbecher. Um die schlechte Usability des Systems zu umgehen, wurden die Näherungssensoren an den fahrbaren Computerstationen einfach mit Pappechern überstülpt. Dem System wurde hierdurch ein permanent anwesender Benutzer vorgespielt und automatische Abmeldungen fanden fast nicht mehr statt. Die neue Security Maßnahme wurde durch den Faktor Mensch wirkungslos.
Ähnliche Beispiele finden sich in vielen Bereichen. Menschen sind tatsächlich kreativ und daran interessiert, als überflüssig empfundene Hürden zu umgehen. Ein frühzeitiges Einbeziehen der Gewohnheiten und Tagesabläufe von Benutzern kann bei der Entwicklung von wirklich praxistauglichen Security-Maßnahmen helfen. Diesem Thema widmet sich das Feld der Usable Security: Security hängt nicht alleine von technischen Aspekten der Sicherheitsmechanismen ab – mindestens genauso wichtig ist die tatsächliche Umsetzung der Sicherheitsmechanismen durch die einzelnen betroffenen Anwender.
Bei fuenfpunktnull ist Robert Tscharn unser Usable Security Experte, der Sie gerne bei Ihren Anliegen rund um das Thema berät.
