Sicherheit durch Usability

Wer sich von Berufs wegen mit IT-Sicherheit beschäftigt, nimmt zumeist einiges auf sich, um seine IT-Systeme abzu­si­chern. Das liegt ver­mutlich daran, dass man sich ständig mit mög­lichen Risiken beschäftigt und zudem genügend Nega­tiv­bei­spiele kennt.

Auf IT-Sicherheit achte ich nicht nur am Arbeits­platz, sondern auch beim pri­vaten Gebrauch von IT pein­lichst genau. Und auch wenn ich ein Fan von her­um­lie­genden Notiz­zetteln bin, werden sie darauf niemals mein Passwort finden. Ehrenwort!

Ich kenne aber in meinem pri­vaten Umfeld genügend Leute, bei denen das ganz anders läuft. Es gibt sie tat­sächlich, diese Men­schen, bei denen das Passwort an einem Haft­zettel stets in Reich­weite des PCs klebt. Wenn man nach­fragt, erhält man die Antwort, dass das sehr prak­tisch sei. Denn wenn man das Passwort mehrmals falsch eingibt, wird der PC gesperrt und man muss ihn vom Admi­nis­trator frei­schalten oder zurück­setzen lassen. Das dauert min­destens 15 Minuten und in dieser Zeit kann man nicht arbeiten. Besagte Person ist daher fest davon über­zeugt, dass die Post-its auch im Interesse ihres Arbeit­gebers sind. Denn sie ist ziemlich ver­gesslich und bei kom­pli­zier­teren Pass­wörtern könnten so schon mal zwei untätige Stunden pro Woche vor dem PC zusam­men­kommen. Die Vor­teile der gesparten Arbeitszeit sind aber schnell zunichte, falls sich mal ein Unbe­fugter für die Daten inter­es­siert, auf die man von diesem PC aus zugreifen kann.

Dabei gibt es für Pass­wörter ein­fache und sichere Lösungen

Ich kenne auch Leute, die ihren PC aus­schließlich privat nutzen, und über einen Pass­wort­schutz ver­fügen, der für Dritte nir­gends hin­terlegt ist. Da der Privat-PC aller­dings auch für Spiele genutzt wird, könnte man diese Leute ziemlich einfach hacken. Denn irgendwann haben sie fest­ge­stellt, dass Viren- und Mal­wa­re­scanner enorm viele Sys­temres­sourcen ver­brauchen und so das PC-System ver­lang­samen. Das könnte in einer Online­schlacht tödlich enden, daher ver­zichtet man lieber kom­plett darauf, besagte Scanner mit­laufen zu lassen. Besonders nach­teilig ist das, wenn auch Online-Ein­­käufe und Bank­ge­schäfte auf den PCs getätigt werden. (Hier sollten die Fire­walls zumindest nach den Online­spielen wieder hoch­ge­fahren werden.)

Warum ich Ihnen das alles erzähle?

Weil die Mit­ar­beiter in Ihrem Unter­nehmen vor­aus­sichtlich auch nicht anders reagieren als die Men­schen aus meinem Umfeld. Wenn man sich der Gefahren nicht bewusst ist oder sich in dem, was man gerade gerne tun möchte, massiv ein­ge­schränkt sieht, wählt man den ver­meint­lichen Weg des geringsten Widerstands.

Eine Sicher­heits­lösung kann nur sicher sein, wenn sie die Men­schen, die sie nutzen, nicht von ihren eigent­lichen Auf­gaben oder Inter­essen abhält. Das heißt im Klartext, Sicher­heits­software soll unsere Auf­ga­ben­er­le­digung sicherer machen und nicht schwie­riger oder gar unmöglich. Die gewählte Lösung sollte mög­lichst unbe­merkt im Hin­ter­grund laufen und den Anwender nicht davon abhalten, seine eigent­lichen Auf­gaben zügig zu erledigen.

Ein wei­terer wich­tiger Punkt ist aber auch, die Men­schen für die Sicher­heits­ri­siken zu sen­si­bi­li­sieren. Viele Mit­ar­beiter sind sich nicht darüber im Klaren, welche Werte im Unter­nehmen vor­handen sind.

Ange­fangen von Kun­den­daten über Know-how gibt es Etliches, was für Dritte inter­essant sein könnte und zu Geld zu machen ist. Wenn man sich erst einmal den Wert dieser Infor­ma­tionen vor Augen hält, fällt es leichter, diese Infor­ma­tionen zu schützen. Der nächste Punkt ist, neben diesen Werten, die auf den ersten Blick viel­leicht nicht ersichtlich sind, auch die mög­lichen Sicher­heits-Risiken bekannt­zu­machen. Wenn der Nutzer sich über die Hin­ter­gründe im Klaren ist, fällt es ihm leichter, Sicher­heits­software zu nutzen, bzw. diese nicht zu umgehen.

Das ist es, was es für IT-Abtei­­lungen manchmal so schwer macht, IT-Sicherheit zu gewähr­leisten: Es reicht nicht, gute Pro­dukte zu kaufen und zu instal­lieren. Man muss auch immer die Men­schen mit ihren Bedürf­nissen im Blick haben, die dann mit diesen Pro­dukten arbeiten werden.

Bild: © Rudolpho Duba / pixelio.de