DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Kann Sicherheit einfach sein?

Egal, ob es darum geht, E‑Mails zu ver­schlüsseln oder das Ein­loggen sicherer zu machen: Was sicher ist, muss auch kom­pli­ziert sein. So lautet das Kli­schee. Doch von dieser Vor­stellung sollten wir uns schnellst­möglich ver­ab­schieden.

Wenn es um Ein­fachheit im Bereich Com­pu­ter­nutzung geht, sollte die Mess­latte sein: Es muss einfach funk­tio­nieren und der Nut­zer­sollte  mög­lichst wenig selbst ein­greifen müssen. Das gilt gerade dann, wenn es um sichere Lösungen und Ver­schlüs­se­lungen geht, die viele Men­schen nutzen sollen. Denn mit jedem Schritt, der zusätzlich anfällt, wenn etwa  E‑Mail ver­schlüsselt werden sollen, werden mehr Nutzer aus­steigen. Wenn vieles ein­zu­stellen und zu kon­fi­gu­rieren ist, machen das nur die Profis. Gerade im Bereich Ver­schlüs­selung und Sicherheit muss es aber das Ziel sein, auch die breite Bevöl­kerung zu erreichen.

Wir müssen aus Sicht des Nutzers denken

Das hat vor allem mit der großen Ver­breitung von Smart­phones und Tablets zu tun: Diese Geräte sind von Anfang an kon­se­quent vom Nutzer und seinen Nut­zungs­sze­narien aus gedacht. Sie „ver­kapseln“ die hinter ihren Funk­tionen lie­gende Technik sehr stark, zeigen dem User nicht, was im Hin­ter­grund abläuft. Dadurch werden die Geräte viel leichter bedienbar. Weil der Nutzer viel weniger zur Inter­aktion gezwungen ist. Denn die Hin­ter­gründe einer Funktion sind für Ent­wickler und Wis­sen­schaftler bedeutsam, für den Nutzer aber nicht.

Die ein­zelnen Bau­steine zum Bei­spiel für die Ver­schlüs­selung sind zum größten Teil vor­handen, die kryp­to­gra­fische Technik ist bereits da. Und wir beherr­schen sie. Aber wie werden diese Bau­steine so zusam­men­ge­bracht, dass sie für einen durch­schnitt­lichen Nutzer einfach zu bedienen und dennoch wirklich sicher sind? Auch hier ist es wieder sinnvoll, sich die Welt der Smart­phones genauer anzu­schauen: Die mobilen Geräte und ihre Betriebs­systeme sind immer Teil einer ganzen Produkt- und Dienst­leis­tungswelt. Sowohl bei Apple als auch bei Google ent­wi­ckeln Smart­phones und Tablets ihre eigent­liche Stärke und ein­fache Benutz­barkeit aus der Tat­sache, dass sie Teil eines gut funk­tio­nie­renden Öko­systems sind, dass diese Firmen in solchen Sys­temen denken und ihre Nutzer hier­durch binden. Das Bei­spiel des Bezahl­systems Apple Pay belegt dies ein­drücklich.

Nur ein­fache Lösungen werden sich all­gemein ver­breiten

Ein Bei­spiel dafür ist die Initiative der von Google initi­ierten FIDO Alliance. Deren Ziel ist: Standard-Ver­­­schlüs­­se­­lungs­­­tech­­no­­logie ver­wenden, um sichere Lösungen ein­facher nutzbar zu machen. Konkret ver­wenden Nutzer dann zum Bei­spiel einen USB-Stick beim Ein­loggen als Zusatz­si­cherheit, ohne dass dafür spe­zielle Pro­gramme oder Plug-ins benötigt werden. Die Tech­no­logie ist im Browser schon ent­halten, der  Nutzer muss nichts zusätzlich instal­lieren oder auf­wändig kon­fi­gu­rieren. Mit so einer Tech­no­logie könnte man theo­re­tisch für alle Accounts das­selbe Passwort nutzen – der USB-Stick muss ja immer ein­ge­steckt sein. Trotzdem ist die Lösung sehr sicher. Nur wenn es derart einfach ist, haben wir eine Lösung, die auch wirklich „ska­liert“, nur dann werden viele Men­schen sie nutzen.

Die Nutzer sind es gewohnt, einfach etwas aus dem App Store laden zu können, was dann sofort funk­tio­niert. Wir müssen mehr über Usa­bility nach­denken, darüber, auf was der Nutzer achtet und wie er Dinge ver­steht. Wir müssen uns in den Anwender hin­ein­ver­setzen.

Für den Tech­niker oder Ent­wickler sind oft ganz andere Dinge ent­scheidend als für die Person, die das System nutzen will. Denn es kann nicht das Ziel sein, dass jeder zum Kryp­to­logen und Sicher­heits­ex­perten werden muss, nur um seine E‑Mails zu ver­schlüsseln oder Ver­träge sicher und rechts­ver­bindlich mit einer digi­talen Unter­schrift zu ver­sehen.

Natürlich darf man nicht den Fehler machen, den Wunsch nach Sicherheit und Ver­schlüs­selung mit einem intrans­pa­renten System, einer Art Black Box, zu beant­worten. Wenn jemand behauptet, dass sein Dienst kom­plett sicher ist, muss das auch jederzeit nach­prüfbar sein. Bei FIDO etwa liegt das System völlig offen, jeder kann es sich ansehen, jeder kann es imple­men­tieren.

Ich begreife es als eine Art Mission, diese neue tech­nische Welt mit­zu­ge­stalten. Wir wollen das Thema „Sichere Iden­tität“ in die digitale Welt bringen. Und der Kern dazu liegt in der Ein­fachheit: Die Tech­no­logie muss man beherr­schen und ver­stehen. Das tun wir. Jetzt müssen wir es schaffen, sie für alle nutzbar zu machen.

 

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Kim Nguyen, Bun­des­dru­ckerei

Kim Nguyen stu­dierte Mathe­matik und Physik an der Uni­ver­sität Göt­tingen, am Trinity College in Cam­bridge (UK) sowie der Universität/Gesamthochschule Essen. Von 2001–2003 war er bei Phillips Semi­con­ductors in Hamburg beschäftigt. Seit 2004 ist er bei der Bun­des­dru­ckerei GmbH in Berlin tätig. Hier übernahm er unter­schied­liche Auf­gaben in den Bereichen Ent­wicklung und Mar­keting und war zudem an der Umsetzung des elek­tro­ni­schen Rei­se­passes sowie des neuen Per­so­nal­aus­weises beteiligt. Seit 2011 ist er als Chief Sci­entist Security im Ent­wick­lungs­be­reich der Bun­des­dru­ckerei GmbH tätig. Seit Juni 2012 hat er zusätzlich die Geschäfts­führung der D‑Trust GmbH über­nommen.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.