IT Security und Verantwortung
Die Wahrung der Sicherheit von Informationssystemen ist für deren alltäglichen Nutzer ein zunehmend mühsames Geschäft: Passwörter müssen erinnert, Zusatzcodes eingegeben, Finger eingescannt, Schutzprogramme auf dem neusten Stand gehalten werden – und doch tauchen regelmässig Meldungen über neue Sicherheitsprobleme auf. In einer Zeit, in der vermehrt wirtschaftlich relevante Aktivitäten auf die Sicherheit der dabei übermittelten Informationen bauen, öffnet sich damit eine gefährliche Schere: Dem Nutzer der Systeme wird zunehmend Verantwortung hinsichtlich der Sicherheit der von ihm beanspruchten System aufgebürdet. Die Kontrahenten wiederum – also jene, welche von der Verletzung der Informationssicherheit unrechtmässigen Profit schlagen wollen – werden immer professioneller.
Neue Bedrohungslage
Dies ist Ausdruck einer stark veränderten Bedrohungslage im Internet. Früher gingen die Gefahren vor allem von technisch motivierten Angreifern aus, die mit der Überwindung von Sicherheitssystemen Prestige erreichten. Heutzutage sind die Angreifer kriminelle Elemente, die mit Erpressung, Industriespionage und Betrug arbeiten. Zudem haben sich die Ziele der Angreifer verändert; waren in den vergangenen Jahren primär die Server Angriffspunkte, hat der zunehmende Aufwand für deren Sicherung den End-User, beispielsweise den E-Banking-Kunden, zum Ziel werden lassen.
Dieses Problem gewinnt an Schärfe durch die neue Generation von Malware, welche als Man in the Middle unbemerkt in gesicherte Verbindungen eindringt. Die Melde- und Analysestelle Informationssicherung des Bundes hat in ihrem kürzlich veröffentlichten Halbjahresbericht klar gemacht, dass die gängigen Zwei-Faktor-Authentisierungssysteme (z.B. Streichlisten, SecurID, usw) keinen Schutz gegen solche Angriffe bieten und als unsicher betrachtet werden müssen, sobald der PC des Kunden mit Malware verseucht worden ist.
Nur begrenzter Nutzen von Zertifikaten
Im Hinblick auf die Verantwortung, welche der User für die Gewährung der IT Security tragen soll, ist das keine gute Nachricht. So bleiben beispielsweise übliche Warnungen gegen das früher noch verbreitete Phishing, keine Codes auf zweifelhaften oder via E-Mail zugeschickten Websites einzugeben, wirkungslos, denn bereits als harmlos geltende Websites können durch Malware verseucht sein, welche dann nur durch deren Besuch auf dem Computer des Nutzers landen können. Bereits beim Phishing hatte sich das Problem ergeben, dass die an sich einfache Verteidigungsstrategie gegen solche Angriffe – die Verifikation des digitalen Zertifikates der Internet Banking Applikation – oft nicht praktikabel ist, denn viele Benutzer wissen gar nicht wie man Zertifikate verifiziert, und diejenigen, die das Wissen haben, tun dies aus Bequemlichkeit oft nicht.
Computer sind unsicher
Heute sind die Nutzer zusätzlich mit dem Problem konfrontiert, dass die Sicherheit seines Computers nicht gewährleistet werden kann Die schiere Komplexität der heute auf den Rechnern verwendeten Programme öffnen immer wieder neue Schlupflöcher, die sich in einer Welt vernetzter Computern anderen darbieten. Im Wettrüsten zwischen Angreifern und Verteidigern bietet der Einsatz von Internet Security Produkten zwar eine erhöhte Sicherheit, aber letztlich wird ein hochversierten Angreifer immer obsiegen.
Das fundamentale Problem ist, dass man heute nicht in der Lage ist, sichere Software zu entwickeln. Softwaresicherheit ist zwar ein aktuelles Gebiet der Security Forschung, doch ein fundamentaler Durchbruch im Gebiet der Softwaresicherheit scheint in naher Zukunft unwahrscheinlich. Das heisst, dass die Internetkriminalität ein Teil unseres Alltags werden wird.
Relevante Entscheide brauchen Bewusstsein
Dieses Problem bedeutet, dass man dem Benutzer nicht beliebig viel Verantwortung hinsichtlich der Nutzung von Sicherheitstechnologie übertragen kann. Etliche Sicherheitstechnologien werden von den Benutzern als Behinderung empfunden und deshalb umgangen oder abgeschaltet. Menschen wollen nun mal nicht Dutzende Zugangscodes auswendig lernen. Vielmehr muss der Nutzer das Sicherheitssystem möglichst einfach bedienen können. Zentral ist dabei, dass er das System im Bewusstsein bedienen muss, dass er eine sicherheitsrelevante Aktivität macht, für die ihm auch Verantwortung übertragen werden kann.
Für ersteres Problem werden heute biometrische Verfahren vorgeschlagen – also Merkmale zur Authentifizierung verwendet, die Personen eindeutig charakterisieren (wie ein Fingerabdruck). Solche Merkmale lassen sich einfach erfassen, ohne dass der Nutzer eine besondere Leistung erbringen muss, um identifiziert zu werden – beispielsweise kann man sich so heute bei Laptops authentifizieren.
Auch biometrische Daten verlangen Schutz
Das hier oft noch unzureichend erkannte Problem ist aber, dass dafür biometrische Daten digitalisiert und damit – je nach System – für andere Personen zugänglich werden. Dies eröffnet eine neue Möglichkeit des Missbrauchs, so dass man dazu übergeht, so genannte „eingekapselte Biometrie“ zu verwenden, bei der beispielsweise ein digitalisierter Fingerabdruck nur im System selbst abgelegt wird und für andere unzugänglich bleibt.
Ein „Ritual“ für Sicherheit einführen
Für das zweite Problem macht es Sinn, die relevante Entscheidung für eine gesicherte Transaktion gewissermassen an ein „Ritual“ zu knüpfen, das nicht dem herkömmlichen Umgang mit einem Computer entspricht. Ein Klick auf ein „OK“ ist in der heutigen Computerwelt derart weit verbreitet und taucht in derart unterschiedlichen Kontexten auf, dass verantwortungs-relevante Entscheide nicht mittels Maus und Tastatur umgesetzt werden sollten. Der Nutzer muss durch einen physisch ausgezeichneten Vorgang wissen, dass er einen Entscheid trifft, für den er auch die Verantwortung zu tragen hat. Überspitzt gesagt muss der Rechner selbst nur noch als prinzipiell unsichere „Telefonleitung“ angesehen werden.
Bedeutung von trusted computing devices
Dieses Problem verlangt danach, dass die sicherheitssensiblen Berechnungen in einem so genannten trusted computing device stattfinden müssen, das auf eine spezifische Weise verwendet wird. Dies sind geschlossene System, auf denen sich nur bereits vorinstallierte Software ausführen lässt, die sich wegen ihrer geringen Komplexität sehr sicher machen lässt und mit der Aussenwelt nur über simple und wohl definierte Protokolle in Kontakt tritt.
Künftig sollte demnach mit solchen Geräten die Authentizität der Person wie ihre online-Transaktion gesichert werden, wobei dem Datenschutz („eingekapselte Biometrie“), der Bedrohung durch Malware und der einfachen Bedienung Rechnung getragen werden muss. Zentral ist aber, dass der spezifische Gebrauch des Geräts dem Nutzer klar macht, dass er nun einen verantwortungs-relevanten Entscheid trifft. Nur so lassen sich IT Security und das Konzept der Verantwortung in Einklang finden.
Endre Bangerter, Markus Christen