Inter­view mit Sicher­heits­for­sche­rin Angela Sasse

„Wir müs­sen IT-Sicher­heit mach­bar machen“

Sind Passwörter zu kompliziert für Menschen? Sicherheitsforscherin Angela Sasse über unser Verhalten im Netz, falsche Schuldzuweisungen und die Zukunft der IT-Sicherheit.

Frau Sasse, wie sicher fühlen Sie sich im Internet?
Angela Sasse:
Nicht besonders sicher. Ich treffe zwar einiges an Vorsichtsmaßnahmen, aber hundertprozentig sicher kann man sich nie sein. Angriffe werden oft von langer Hand vorbereitet. Ich muss mir also bewusst sein, dass ich mit meinem heutigen Verhalten im Netz eine Schwachstelle schaffe, die Angreifer erst in zwei Jahren nutzen.

Unterscheidet sich unser Sicherheitsempfinden in der realen Welt von dem im Cyberspace?
Sasse:
Eindeutig, ja. Menschen entwickeln ihre Risikowahrnehmung und ihren Umgang mit Risiken von Kindheit an: Unsere Eltern bringen uns bei, was gefährlich ist und wie wir Risiken managen können. Bis vor etwa 20 Jahren waren Risiken relativ stabil und haben sich nur langsam geändert. Seither hat sich die Digitalisierung so radikal entwickelt, dass unsere Risikowahrnehmung und unser -management dem nicht schnell genug folgen konnten. 

Wie entscheiden wir, ob etwas sicher ist?
Sasse:
Ganz wichtig sind Vertrauenssignale, die wir empfangen und decodieren. In einem Geschäft beispielsweise kann ich die Risiken um mich herum sehr leicht abschätzen und mache das auch – intuitiv: Wurde in die Einrichtung investiert, ist das Personal gut ausgebildet, wer sind die anderen Kunden? In einem Online-Shop kann ich diese Signale so nicht empfangen. Bis ich weiß, ob   die bestellte und bezahlte Ware ankommt, vergehen einige Tage. Auch ob mein gewohntes Rechtssystem greift, weiß ich im Moment des Kaufes nicht. Diese Faktoren sorgen also eher für Unsicherheit. Hier stehen wir vor einem Prozess des Umlernens.  

Ist die Generation, die mit dem Internet aufgewachsen ist, da schon weiter? 
Sasse:
Digital Natives fühlen sich in der Regel sicherer – sie sind es aber nicht zwangsläufig. Einerseits haben sie von klein auf gelernt, Signale im Internet zu decodieren. Andererseits führt mitunter genau diese Vertrautheit zu einer Art Selbstüberschätzung. Hinzu kommt: Dadurch, dass diese Nutzergruppe sich sehr gut auskennt, weiß sie in der Regel auch, wie sich lästige Sicherheitsvorkehrungen abschalten lassen – und macht davon Gebrauch.


Viele Menschen wissen um die Risiken im Netz, halten sich selbst aber nicht für gefährdet. Warum?
Sasse:
Es ist in der Regel ja so, dass den Menschen das Risiko bewusst ist. Sie haben aber nicht gelernt damit umzugehen. Insofern ist die positive Selbsteinschätzung eher als Selbstberuhigung zu sehen.

Bei Unternehmen lässt sich dasselbe Phänomen beobachten. Ist das ein Indiz für mangelnde Professionalität?
Sasse:
Wenn ich als Unternehmer nicht nur für mich selbst verantwortlich bin, sondern auch für Mitarbeiter, wenn ich Kundendaten verwalte und mit anderen Firmen vernetzt bin: Ja. Aber: Kleine Unternehmen werden häufig dafür verantwortlich gemacht, dass Angriffe eine hohe Verbreitung erlangen – weil ihr Sicherheitsniveau zu niedrig sei. Das ist der falsche Ansatz.

Warum, was wäre denn der richtige?
Sasse:
 Der ständige Vorwurf führt am Ende nur dazu, dass diese kleinen Firmen auf Durchzug schalten. Wenn sich also Schadsoftware etwa durch einen Ransomware-Angriff verbreitet, brauchen die kleinen Unternehmen schnelle und konkrete Ratschläge, statt Schuldzuweisungen. Wenn Verbände in Zusammenarbeit mit dem Staat Schulungspakete und Instrumente ausarbeiten, können kleine Unternehmen diese abrufen. Über die IHK etwa gibt es solche Angebote bereits. Das kann in meinen Augen sehr gut funktionieren.

 

Wie groß ist der Faktor Mensch bei IT-Sicherheitsproblemen?
Sasse:
Der ist sehr groß. Aber daran ist der Mensch in der Regel nicht schuld. In der augenblicklichen Debatte um IT-Sicherheit wird viel zu viel auf den einzelnen Mitarbeiter abgeschoben. Die Verantwortung liegt bei denen, die die IT-Plattformen bauen und die entscheiden, wie viel sie in die Sicherheit investieren.

Warum sind Unternehmen so zögerlich dabei, ihre Mitarbeiter in IT-Sicherheit zu schulen?
Sasse:
Vielen Unternehmen ist einfach nicht bewusst, dass jeder Mitarbeiter – nicht nur IT-Verantwortliche – potenzielle Angriffspunkte für Cyberkriminelle bietet. Dabei kommen Attacken aktuell nicht ausschließlich über die IT-Infrastruktur, sondern in Kombination auch über Telefon und E-Mail. Hacker können sich auch physisch über den Empfang Zutritt verschaffen. Deshalb ist es wichtig, dass auch die Mitarbeiter dort geschult werden. 

 

Warum fallen Menschen – teils sogar gestandene Facharbeiter oder Manager – auf Bauernfänger-Maschen wie Fake-President herein?
Sasse:
Die Arbeitswelt ist heute viel schneller getaktet als vor ein paar Jahren. Das heißt, wir haben weniger Zeit für einzelne Entscheidungen. Eindeutige Vertrauenssignale wie eine Mail oder ein Anruf vom Chef sorgen bei hohem Arbeitsdruck für eine rasche und – im Fall einer Fake-President-Attacke – falsche Entscheidung.

Lässt sich dieses Risiko minimieren?
Sasse:
Wenn es ganz klare Regeln gibt, werden Mitarbeiter nicht auf Fake-President oder ähnliche Maschen hereinfallen. Eine einfache Lösung in diesem Fall: Transaktionen müssen immer von zwei Mitarbeitern abgezeichnet werden.

An solchen und ähnlichen Richtlinien mangelt es ja in der Regel nicht. In der Praxis werden sie aber oftmals nicht angewendet. Warum?
Sasse:
Verhaltensänderung ist harte Arbeit. Unternehmen brauchen hier einen Change-Management-Prozess. Sicherheitsregeln werden heute meist abstrakt geschaffen. Keiner scheint dafür verantwortlich zu sein, die Nebenwirkungen zu prüfen, und zu checken, ob die aufgestellten Regeln für die Aufrechterhaltung des Geschäftsprozesses sinnvoll sind.

Wie sollte IT-Sicherheit gestaltet sein, damit sie sinnvoll ist und die Menschen sie anwenden?
Sasse:
Wir müssen IT-Sicherheit machbar machen. Ich kann von meinem Mitarbeiter nicht erwarten, dass er sich zu allem anderen, was er zu tun hat, auch noch mit komplizierten Passwortrichtlinien auseinandersetzt. Stattdessen ist eine Zwei-Faktor-Authentifizierung mit Hilfe eines Chips und einer biometrischen Erkennung längst möglich. Ein solches Identitätsmanagement kostet Geld, ja. Aber mit einer langfristigen Strategie lässt sich so etwas Stück für Stück aufbauen. 

Wie sieht der Schutz vor Hackern in zehn Jahren aus?
Sasse:
Verschlüsselungstechnologie könnte heute bereits viele Probleme lösen, die es in der IT-Sicherheit gibt. Sie kann aber nur funktionieren, wenn alle mitmachen. Hier müssen die Großen den Kleinen helfen. Mit der großflächigen Nutzung digitaler Signaturen und Authentifizierung, die leicht und von allen zu benutzen ist, würde so ein Grundgerüst für Sicherheit entstehen.

Das Gespräch führte Simon Frost.

Zur Startseite
Auch inter­essant