Dieser Standpunkt Sicherheit sucht Gründe für das mangelnde Sicherheitsbewusstsein der Benutzer. Und eines ist dabei klar: Benutzer sind meist keine Wirtschaftswissenschaftler.

Als Fortsetzung des Standpunkt Sicherheit vom vorigen Montag geht es diesmal um die "wirtschaftlichen" Aspekte des Artikels von Cormac Herley von Microsoft Research, 'So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users' (PDF). Herley hat mit schönen Formeln begründet, wann sich Sicherheitsmaßnahmen, namentlich die Passwortregeln und das Erkennen von Phishing-Angriffen, für den Benutzer lohnen und wann nicht. Dazu hat er dann noch aufgeführt, dass manche Anbieter ihren Nutzern garantieren, dass sie für Schäden nicht haften, sondern sie ersetzt bekommen, und ausgerechnet, wie viel Zeit für die aus Benutzersicht unnützen Regeln verbraucht wird und was das ganze kostet.

Benutzer, nicht Wirtschaftswissenschaftler

Das ganze hat nur einen kleinen Schönheitsfehler: Die meisten normalen Benutzer denken gar nicht so weit, wie Cormac Herley es ihnen unterstellt. Die Durchschnittsbenutzer, von denen er ja wohl ausgeht, sind erst mal nur eins: Benutzer. Sie wollen ihren Rechner für einen bestimmten Zweck nutzen, und das so einfach, wie es möglich ist. In Herleys Beispiel ist das das Onlinebanking. Das wird heutzutage in den meisten Fällen über den Webbrowser abgewickelt, geschützt durch PIN und TAN (in welcher Ausprägung auch immer). Warum? Weil es einfach ist und funktioniert. Keine Probleme mit zusätzlich zu installierender Software oder gar Hardware, keine Bindung an ein bestimmtes System oder einen bestimmten Rechner, die PIN ist schön kurz und sowieso oft im Passwortmanager gespeichert, und die TAN-Listen kann man ja unter die Tastatur schieben oder abtippen. Sämtliche Bedrohungen, vielleicht mit Ausnahme von Phishing, sind für die normalen Benutzer völlig abstrakt. Ein Trojaner oder ein Man-in-the-Middle, der ihre Daten ausspäht - wo soll der denn herkommen? Entweder haben sie einen Virenscanner, der sowas verhindert, oder sie brauchen keinen, weil sie nicht mal wissen, was sie damit machen sollten. Außerdem: Viren - dass merkt man doch, wenn man sowas hat. Dann purzeln die Buchstaben durcheinander oder der Rechner pfeift La Paloma - solange nichts Auffälliges passiert, ist also alles in Ordnung. Und diese Benutzer sollen anfangen, zu überlegen, ob es sich lohnt, ein Passwort zu wechseln oder eine Mail oder URL zu prüfen? Die denken nicht mal im Traum daran, sich darüber Gedanken zu machen. Wozu auch? Das Passwort bleibt, wie es ist, sonst müssten sie sich ja ein neues merken, vom vorher ausdenken ganz zu schweigen. Und Mails oder URLs prüfen - wozu denn? Spam etc. filtert der Provider aus, evtl. noch der Virenscanner, und der Rest wird ignoriert (weil man bei dem Institut, von dem der Köder angeblich kommt, gar kein Konto hat) oder akzeptiert. Letzteres belegt auch eine Studie von Trusteer: Der zu Folge geben 45% der Benutzer, die auf einer Phishing-Seite landen, dort auch ihre Daten ein.

Keep it simple

Würde es den Benutzern um die Sicherheit gehen, würde niemand mehr PIN und TAN im Webbrowser eingeben, sondern alle würden spezielle Onlinebanking-Programme mit HBCI-Kartenlesern nutzen. Da die aber unnötig kompliziert und vor allem erst mal zu installieren und einzurichten sind, macht sich niemand die Mühe, solange es die einfachere Lösung der Webbrowser gibt. Das Problem "Onlinebanking absichern" kann man nur auf zwei Arten lösen: Entweder die Banken verzichten auf die einfache Lösung und erzwingen eine sichere, z.B. in Form spezieller Programme und HBCI-Kartenlesern oder spezieller Linux Live-CDs, oder sie sichern die einfache Lösung so gut wie möglich ab. "Kundenzufriedenheit" ist zwar nicht unbedingt ein Ziel vieler Banken, aber "Wenige Supportanfragen" hätten alle gerne, also bleibt es beim Onlinebanking über die Webbrowser. Um das abzusichern, wurden ja in den letzten Jahren schon einige Schritte unternommen wie der Wechsel vom TAN-System zu iTAN oder mTAN oder die auffällige Markierung von HTTPS-Verbindungen mit passendem Zertifikat im Browser. Alles Lösungen, die beim Benutzer gar keine oder zumindest keine großen Änderungen am gewohnten Verhalten erfordern und die daher akzeptiert wurden. Ebenso verhält es sich mit den Regeln für Passwörter oder zum Erkennen von Phishing-URLs: Die müssen einfach sein, damit sie nicht stören. Da die meisten Passwort-Regeln ruhig vernachlässigt werden können, reicht es aus, wenn die Benutzer einmal ein sicheres Passwort gewählt haben, solange sie das nur für sich behalten. Darum ist es viel wichtiger, den Leuten einzubleuen, dass sie ihr Passwort nicht weitersagen dürfen, auch nicht dem netten Bankmitarbeiter am Telefon oder in der E-Mail, als es sie regelmäßig wechseln zu lassen. Ebenso sieht es beim Phishing aus - wozu Regeln zum Erkennen von Phishing-Domains pauken, die von den Cyberkriminellen sowieso immer wieder durch neue Methoden unterlaufen werden, wenn ein simples "Nichts klicken, immer nur die URL direkt eingeben oder aus den Bookmarks aufrufen" reicht?

Bekannte und gefühlte Bedrohung

Warum sollten sich die Benutzer eigentlich bedroht fühlen? Weil man es ihnen sagt? Dass das kein Grund ist, sieht man am Beispiel unseres ehemaligen Bundesinnenminister: Dessen ständiges Gerede von der Gefahr durch islamistische Terroristen hat wohl kaum dazu geführt, dass sich irgend jemand bedroht gefühlt hat. Und es ist ja auch nie etwas passiert. Ebenso ist es beim Onlinebanking: Solange die Benutzer niemanden kennen, dem schon mal etwas passiert ist, und auch niemanden kennen, der jemanden kennt oder von jemanden gehört hat, der jemanden kennt..., so lange ist das ein abstraktes Risiko, das ihnen im realen Leben ja wohl kaum begegnen wird. Warum sollten sie sich also aufwendig davor schützen? Solange der Schutz nicht stört, wird er mitgenommen ("Schadet ja nichts"), sobald er aber als störend empfunden wird, wird er ignoriert, umgangen, unterlaufen. Ganz unabhängig von der Frage, wie viel Zeit man dafür aufwenden muss oder was das kostet. So lange man sich nicht mal bedroht fühlt, hat man keinen Grund, Aufwand für Sicherheit zu treiben. Vor allem nicht, wenn das mit Komforteinbußen bei der Benutzung verbunden ist.

Der Wert von Daten

Bleibt ein letzter Punkt: Was sind dem Benutzer seine Daten eigentlich wert? Gegenfrage: Warum sollten sie ihm denn etwas wert sein? "Wert" - das ist das, was man als Bargeld im Portemonnaie hat, was man als Euro auf dem Konto sieht, oder was unten auf der Rechnung steht, wenn man einen Wertgegenstand gekauft hat. Manches hat noch einen ideellen Wert, der meist höher als der reale ist. Aber Daten? Warum sollten die einen Wert haben? "Weil man damit ans Geld kommt" ist für die meisten Nutzer schon zu abstrakt. Vor allem, da die Daten ja nicht weg sind, wie es das übliche Gerede von "gestohlenen Daten" ja eigentlich nahe legt. Ganz im Gegenteil, die sind noch da und man sieht ihnen nicht mal an, dass sie kopiert wurden. Was für Daten allgemein gilt, gilt natürlich erst recht für Zugangsdaten. Um zurück zum Wert der Onlinebanking-Zugangsdaten zu kommen: Die sind de Facto soviel Wert, wie auf dem jeweiligen Konto drauf ist, plus dem evtl. vorhandenen Überziehungskredit. Denn soviel kann der "Datendieb" an realen Werten tatsächlich stehlen. Den meisten Benutzern ist das aber gar nicht bewusst, und meist wird von den Banken auch nicht besonders viel Wert darauf gelegt, es ihnen klar zu machen. Erst wenn die Benutzer begriffen haben, dass Cyberkriminelle ihnen viel mehr Geld stehlen können als normale Taschendiebe auf dem Weihnachtsmarkt, werden sie anfangen, sich über die Sicherheit des Onlinebankings Gedanken zu machen. Aber auch dann werde sie nicht anfangen, Online- oder Arbeitszeiten zu addieren, sondern weiterhin "einfache Nutzung" und "störende Sicherheit" gegeneinander abwägen - nur unter anderem Gesichtspunkten, die das "störend" weniger schlimm erscheinen lassen.