Menschen sind fehlbar. Maschinen sind es nicht, oder zumindest wesentlich seltener. In der Cyber Security gilt daher der Mensch als schwächstes Glied in der Sicherheitskette. Jedenfalls ist das oft der allgemeine Tenor von Sicherheitsverantwortlichen in Unternehmen, Entwicklern und Politikern.
Damit ist nicht nur der Kontext von Social-Engineering-Angriffen gemeint, in dem Nutzer unter anderem dazu gebracht werden, auf schädliche E-Mail-Anhänge zu klicken. Unsichere Passwörter, die gerne weitergegeben oder aufgeschrieben werden, ignorierte Sicherheitshinweise oder mit Absicht umgangene Security-Lösungen wie Firewalls oder Virenscanner sorgen regelmäßig wahlweise für Empörung, Verzweiflung oder Ratlosigkeit auf Seiten der Security-Experten.
"Im Grunde ist das ein ungelöstes Forschungsproblem", erklärt Professor Florian Alt von der Universität der Bundeswehr in München. Im heutigen Dickicht an Endgeräten mit schwer verständlichen Sicherheitskonzepten, zeitaufwändigen Eingabemethoden und häufigen Log-In-Prozessen sei es nicht die Schuld der Benutzer, dass Sicherheitssysteme ausgehebelt werden. Für die menschliche Anwendung seien Geräte und Systeme schlicht falsch designed.
Seit Mai 2018 baut er deshalb die neue Forschungseinheit "Usable Security and Privacy" auf, eingebettet in das Forschungsinstitut CODE. Geplant sind 13 Professuren mit 200 Mitarbeitern. Bisher ist circa die Hälfte der Stellen besetzt.
"Usable Security" - eine Definition
Usable Security - unter diesem Begriff etablieren sich seit kurzem landesweit Forschungs- sowie Arbeitsgruppen und sogar ein Verband. Der Gedanke, in der Sicherheit den "Faktor Mensch" einzuberechnen, ist jedoch nicht neu. Fachbereiche wie zum Beispiel die Mensch-Computer-Interaktion oder Security by Design widmen sich diesem Thema bereits seit vielen Jahren. Diese Ansätze nähern sich dem Problem allerdings häufig von der technischen Seite. Der Bereich Usable Security dagegen stellt den Anwender ins Zentrum der Forschung. "Weil man verstanden hat, dass die Rolle des Menschen groß ist", erklärt Alt.
Heute existieren in der Forschung zur Usable Security drei verschiedene Ansätze, um Systeme besser zu sichern:
Verbesserung der Benutzeroberfläche sicherheitskritischer Systeme;
Schulung der Benutzer im Umgang mit sicherheitskritischen Systemen;
Automatisierung von Sicherheitsprozessen ohne Eingriff durch den Endnutzer.
Diese drei Ansätze lassen sich auf zwei grundlegende Richtungen zuspitzen: Cyber Security mit und ohne den User.
Security mit menschlichen Entscheidungen
Professor Melanie Volkamer vom Karlsruher Institut für Technologie konzentriert sich in ihrer Forschung darauf, wann und wie Nutzer in die Abläufe der Sicherheitssysteme einbezogen werden sollten. "Wir wollen beides nicht getrennt voneinander betrachten." Im Zuge ihrer Arbeit für die Forschungsgruppe SECUSO am Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL) suchen sie und ihr Team nach Möglichkeiten, Benutzer so einzubinden, dass sie informierte Entscheidungen treffen können.
"Wir wollen den Nutzer im ersten Schritt verstehen - was er in bestimmten Momenten glaubt und worauf er achtet", erklärt Volkamer. Auf dieser Basis sollen dann Design-Empfehlungen für Entwickler entstehen. Zum Beispiel rät Volkamer dazu, Systeme nach dem Prinzip "just in time and just in place" zu gestalten. Damit ist gemeint, dass sicherheitsrelevante Hinweise wie beispielsweise die URL, also die genaue Adresse einer Website, im Browser leicht sichtbar platziert wird. Bisher seien solche Angaben häufig außerhalb des Blickfelds zu finden, wo sie übersehen werden.
Modell für effektive Intervention
Ein weiteres Beispiel ihrer Forschungsergebnisse ist ein Fünf-Punkte-Modell, nach dem beispielsweise Virenscanner je nach Sicherheitsrelevanz mit Nutzern kommunizieren könnten:
Eine Situation ist aus Sicht des Tools sicher: Die Aktion kann ausgeführt werden, der Nutzer wird nicht behelligt.
Das Tool erkennt eine Situation, die einer vergangenen Situation ähnlich ist. Der Nutzer hat sie damals als sicher eingestuft: Die Aktion kann ausgeführt werden, der Nutzer wird nicht behelligt.
Das Tool ist sicher, dass ein Angriff stattfindet: Das Fortfahren wird geblockt.
Das Tool kennt die Situation nicht und kann daher nicht selbst entscheiden. Es weist nichts auf einen Angriff hin: Die Situation wird dem User erklärt, damit der er eine Entscheidung treffen kann. Eine Mindestzeit zur Entscheidungsfindung kann erzwungen werden.
Das Tool kennt die Situation nicht und kann daher nicht selbst entscheiden. Es gibt Hinweise auf einen Angriff: Dem User werden die Hinweise erklärt, damit er eine Entscheidung treffen kann. Der erzwungene Zeitrahmen bis zum Fortfahren fällt größer aus.
Damit der Dialog mit dem Nutzer effektiv verläuft, untersucht Volkamer zudem, wie Sicherheitshinweise formuliert werden. Auch hier sind konkrete Begriffe und Textbausteine als Empfehlungen für zukünftige Entwicklungen das Ziel.
Security ohne menschliche Interaktion
Professor Alt von der Universität der Bundeswehr ist überzeugt: Security ist dann am besten, wenn der User sie - zumindest in der oberflächlichen Anwendung - nicht mehr wahrnimmt. Er forscht beispielsweise an Authentifizierungs-Szenarien via Verhaltensbiometrie. Während in der physischen Biometrie beispielsweise ein Fingerabdruck genutzt wird, um Menschen zu identifizieren, versucht man in der Verhaltensbiometrie einem Menschen bestimmte Verhaltensmuster zuzuordnen. Ein ähnliches Konzept setzen Finanzdienstleister ein, um durch verdächtige Bezahlvorgänge Kreditkartenmissbrauch zu erkennen.
Dies lässt sich theoretisch auf andere Technologien übertragen: Zum Beispiel kann mit der genauen Tippgeschwindigkeit eines Nutzers und den Abständen zwischen dem Drücken der Tasten auf dem Smartphone oder der Tastatur festgestellt werden, wer das Gerät gerade nutzt. Diese Verhaltensmuster können Systeme mithilfe von Machine-Learning-Methoden erlernen, speichern und vergleichen. Stimmt das Verhalten nicht mit dem des richtigen Nutzers überein, kann das System den Zugriff verweigern.
In der Praxis setzt auch Alt für seine Forschung im ersten Schritt bei den Nutzern an, um zu verstehen, wie diese sich im Umgang mit Maschinen verhalten. Erst dann kann er festlegen, welche Parameter geeignet sind, um einen Menschen für ein System identifizierbar zu machen.
Räumliche vs. zeitliche Parameter
Ein Fallbeispiel ist der Zugang zu einem Gebäude: Wie läuft der Nutzer auf den Eingang zu? Stellt man beispielsweise eine Pflanze in den Weg, wird die Vorhersage genauer: Umgeht der Nutzer sie von rechts oder links? Bringt man ein Display im Außenbereich an, wie reagiert die Person dann? Riskiert sie einen Blick, zwei, drei?
Ein wichtiger Aspekt sei zudem die Frage, wie leicht diese Muster von anderen Menschen imitiert werden können. Erstes Ergebnis: Beim Tippen auf Smartphones sind räumliche Parameter besser als zeitliche. Zwar könne man laut Alt einen Benutzer mit der Tippgeschwindigkeit genauer identifizieren als mit der Analyse der exakten Stelle, an der er auf den Bildschirm tippt. Doch die Tippgeschwindigkeit sei auch leichter nachzuahmen.
Die Sache mit dem Datenschutz
Das Sammeln der Verhaltensdaten ist im Anwendungsfall vor dem Hintergrund des Datenschutzes nicht unbedenklich. "Natürlich überlegen wir auch, wie die Systeme an relevante Daten kommen, ohne sensitive Daten zu verarbeiten", erklärt Alt. Ein Ansatz sei die Entwicklung von Filtermechanismen.
Die Verhaltensbiometrie funktioniere aber zum Beispiel auch mit Blickdaten, die, so die Meinung des Wissenschaftlers, in naher Zukunft nicht mehr privat bleiben: Große Unternehmen wie beispielsweise Apple und Facebook interessierten sich für Eye-Tracking-Technologien, um durch Blickbewegungen mehr über die Interessen der Nutzer zu erfahren. Laut Alt sei klar, dass die nächste Hardware-Generation damit ausgestattet sein wird. "Das ist eine Technologie, die kommt, das ist nicht aufzuhalten."