Ist das noch Sicherheit oder kann das weg?
Autor: Carsten Gellert (Senior Consultant #FORTSCHRITT)
- 08.04.2022 -
Technik, Apps und Software sind allgegenwärtig. Ob im Berufsleben oder privat, kaum jemand kommt heutzutage noch ohne Smartphone oder Laptop aus. Ermöglicht wird dies durch einfache und benutzerfreundliche Oberflächen. Doch leider nehmen mit den technischen Möglichkeiten auch die Bedrohungen zu. Um diesem entgegenzuwirken, kehren immer neue Methoden und Optionen zur Sicherheit ein.
Allerdings scheint das Zusammenspiel zwischen Sicherheit und Nutzerfreundlichkeit immer auf Kosten des ein oder anderen Aspekts hinauszulaufen. Aber warum kommen wir zu diesem Trugschluss? Und wie können wir Nutzerfreundlichkeit und Sicherheit effektiv verbinden?
„Wir verwenden Cookies und Daten für Folgendes, um …“
„Wir haben Ihnen einen Einmal-Code via Authenticator App zugesendet“
„Zur Identitätsüberprüfung haben wir Ihnen einen Code per E-Mail/ SMS gesendet.“
„Bitte markieren Sie alle Bilder mit Schornsteinen.“
„Die Firewall hat einen Zugriff auf der Webseite blockiert.“
„Die Webseite wird von Ihrem Browser als nicht vertrauenswürdig eingestuft.“
Sicherheitsmeldungen wie diese begegnen uns fast täglich; ob Bestellung auf Amazon oder das Einloggen in einem E-Mail-Account auf einem anderen Rechner. Es folgt, was für viele wie ein technischer Hürdenlauf wirkt, welcher sie an ihrem eigentlichen Ziel hindert. IT-Sicherheit scheint uns die Nutzung und den alltäglichen Umgang mit Webseiten, Applikationen, Automaten und Software immer sicherer, und dadurch umständlicher machen zu wollen. Auf der anderen Seite ist Technik allgegenwärtig und kann - sogar muss - von jedem genutzt werden.
- Kurzfristig ein Ticket für eine Zugfahrt buchen? Der Automat erspart das Anstellen an der Kasse.
- Kurz den Bekannten anrufen? Jeder hat heutzutage ein Smartphone und öffentliche Telefone wirken fast wie ein Relikt aus alten Tagen.
- Schnell jemandem Geld überweisen? Auch das geht mittlerweile via Anwendungen.
Dabei stellt die private Nutzung dieser Medien nur die Spitze des Eisberges dar. Im Unternehmensumfeld kommen zusätzlich Systeme wie Remote-Desktop-Umgebungen, VPNs, Multi-Faktor-Authentisierung u.v.m. hinzu. Der Einsatz dieser wirft bei vielen Nutzern die folgenden Fragen auf:
- Sind diese Sicherheitsvorkehrungen notwendig?
- Wird die Benutzerfreundlichkeit mit Applikationen durch zu hohe Sicherheitsvorkehrungen stark beeinflusst?
- Wo fängt Security an und wo hört Usability auf?
- Warum denken wir, dass sich diese beiden Ebenen gegenseitig ausschließen?
Usability vs. Sicherheit
Diese Frage und die Vereinbarkeit bzw. Limitierungen versuchen wir, in diesem Blogbeitrag zu erläutern.
„Design ist nicht nur, wie etwas aussieht oder sich anfühlt. Design ist, wie es funktioniert.“ - Steve Jobs
Um über ein gemeinsames Verständnis der Thematik zu verfügen, werden die beiden Begriffe kurz erläutert:
Usability (dt. Benutzerfreundlichkeit) beschreibt, wie der Nutzer u.a. mit technischen Systemen, Anwendungen und Webseiten umgehen kann und wie einfach er durch diese navigiert wird. Gute Usability basiert u.a. auf einer einfachen, konsistenten Nutzeroberfläche, klaren, aussagekräftigen Fehlermeldungen und dem Benutzen von bereits Bekanntem (bspw. der Büroklammer zum Signalisieren von Anhängen).1 Eine gute Benutzerfreundlichkeit erleichtert Nutzern den Umgang mit Applikationen, Webseiten oder Software und sorgt für ein angenehmes Benutzererlebnis. In bestimmten Fällen, wie zum Beispiel Videospielen, kann auch die Usability eingeschränkt werden, um das Benutzererlebnis zu bereichern. Usability darf hierbei nicht nur auf Benutzeroberflächen und Design beschränkt werden. Nutzerfreundlichkeit sind auch „Quality of Life“-Verbesserungen, wie automatische Updates, automatisches Speichern von Dateien, etc. Benutzerfreundlichkeit ist jedoch nicht nur im rein technischen Sinne anzuwenden, Nutzerfreundlichkeit begegnet uns in allen Bereichen des Lebens, wie Alltagsgegenständen, Markierungen, Schildern, etc.
Security (dt. Sicherheit) beschreibt im IT-Umfeld vor allem den Schutz von Daten und Anwendungen vor Angriffen, unerlaubter Veränderung und anderen Bedrohungen2. Diese Bedrohungen können technische (Schadsoftware, Fehleinstellungen), anthropogene (Social Engineering) als auch natürliche (Naturkatastrophen) Ursprünge haben. Zur Gewährleistung einer adäquaten Sicherheit existieren Gesetze wie die DSGVO3 zum Schutz der Daten, wie auch genormte Vorgehen für IT-Sicherheit (BSI Grundschutz, ISO27001).
Ein Blick in die Geschichte
„Es gibt keinen Grund, warum jeder einen Computer zu Hause haben sollte.” - Ken Olsen, Gründer von Digital Equipment Corp.,1977
Sicherheit in der Informationstechnik ist von Anfang an ein wichtiges Thema gewesen. Dies beruht unter anderem darauf, dass Informationstechnik in Form von z.B. Computern anfangs maßgeblich im Militär und für Forschungstätigkeiten eingesetzt wurde.4 Vor allem im Krieg wurden Computer - oder vorher auch Rechenmaschinen - genutzt, um verschlüsselte Funksprüche zu entziffern.5
Zusätzlich waren die ersten Computer, die vor der Einführung des Personal Computers (PC) erschienen, von normalen Nutzern nur schwierig zu betreiben oder unterzubringen. Schaut man sich den ENIAC (Electrical Numerical Integrator and Calculator) an, benötigte dieser 167m2 Stellfläche.6 Die nächsten Generationen waren schon deutlich schlanker, aber dennoch konnte nicht jeder mit den Systemen umgehen: Eine Art „Sicherheit durch Exklusivität“. Kommandozeilen, Lochkarten und ähnliches als benutzerfreundlich zu definieren, wäre eine glatte Lüge. Komplizierte Verschlüsselungsalgorithmen, Sicherheitsmechanismen und -konzepte haben somit dafür gesorgt, dass erhöhte Sicherheit immer mit komplexeren und dadurch unhandlicheren Systemen assoziiert wird.
In medias res
Fundiert werden diese Annahmen in den Köpfen von Benutzern durch die Medien. Sicherheitssysteme benötigen immer „Spezialisten“ oder „Hacker“. Sichere Systeme sind also nicht jedem zugänglich oder verständlich. James Bond hat den Charme und Physique für seine Aufgaben, aber für Computer und technische Spielereien hat er „Q“. Zur Auswertung von Überwachungsvideos werden in jeder Krimiserie die Technikspezialisten rangeholt. Die Medien können die Wahrnehmung von Sicherheit also maßgeblich beeinflussen.7
Auf der anderen Seite wird Technik immer zugänglicher und einfacher zu bedienen. Jeder Jugendliche kann heutzutage einfach mit einem Smartphone umgehen; und selbst für ältere Generationen werden technische Neuheiten immer zugänglicher.8 Oft gehen auch technische „Errungenschaften“, wie wir sie heute als selbstverständlich verstehen, aus Bequemlichkeiten von Entwicklern zurück. So ist die erste Webcam auf den simplen Fakt zurückzuführen, dass die Entwickler den Stand der Kaffeemaschine überprüfen wollten, ohne dafür aufstehen zu müssen.9
Der unternehmerische Blickpunkt
Der hierdurch entstandene Irrglaube in den Köpfen Vieler, dass Sicherheit mit Komplexität und Benutzerfreundlichkeit auf Simplizität, fast sogar Bequemlichkeit, zurückzuführen ist und sich beide deswegen ausschließen, erstreckt sich auch auf die Unternehmenswelt. Dies bringt die Unternehmenswelt in ein Conundrum, welches keines ist:
Fast jeder kann heute einen PC, Laptop, Tablet oder ähnliches verwenden. Außerdem ist für viele Arbeitnehmer der Einsatz dieser Technik Voraussetzung für ein wirtschaftliches Arbeiten. Aber wie sichere ich die IT meines Unternehmens ab, ohne dabei die Effizienz zu senken oder gar meinen Mitarbeitern Steine in den Weg zu legen? Meist wird sich dafür entschieden, nur einen Weg vollends zu verfolgen.
Dass sich diese Aspekte nicht gegenseitig ausschließen, zeigt ein einfaches Beispiel: Nutzer sind in ihrem Arbeiten gestört, wenn beim Zugriff auf ein Nutzerkonto ein weiterer Faktor (Mehr-Faktor-Authentifizierung) wie eine PIN oder das Verwenden von einem USB-Dongle verlangt wird. Niemand hinterfragt jedoch die Mehr-Faktor-Authentifizierung, um Geld von seinem Konto abzuheben. Auch hier wird der Faktor Besitz (Bankkarte) und Wissen (PIN) abgefragt.
Zur Vereinbarung von Sicherheit und Nutzerfreundlichkeit gibt es diverse Ansätze, welche wir im Folgenden kurz vorstellen wollen.
Security by Design and Default
Die Integration von Usability in bestehende oder ältere Sicherheitssoftware und -produkte schlägt meist fehl, da während der Entwicklung kein besonderer Fokus auf Benutzerfreundlichkeit gelegt wurde. Ähnlich verhält es sich mit Produkten, die auf Nutzerfreundlichkeit ausgelegt sind und in deren Entwicklungsprozess Sicherheit nur eine Nebenrolle spielte.
Ein späteres Hinzufügen des fehlenden Aspekts bedeutet meist eine unzureichende Umsetzung des ein oder anderen. Des Weiteren sind die Ansatzpunkte für potenzielle Änderungen nur begrenzt. Sollte die Software bereits bestehen, können Änderungen an grundlegenden Eigenschaften nur schwierig umgesetzt werden. Ein Hinzufügen von Sicherheitsmaßnahmen oder Änderungen der Nutzerfreundlichkeit ist also meist nur am Nutzer-Endpunkt einfach möglich. Z.B. durch das Hinzufügen von Endpoint-Firewalls oder die Änderung der User-Interfaces. Als Metapher kann hier ein Haus gesehen werden, an dem ein Balkon später für eine bessere Sicht angebaut wurde. Dies unterstützt die Nutzerfreundlichkeit der Einwohner aber gefährdet potenziell die Sicherheit, da die Statik des Hauses nicht für einen Balkon ausgelegt war.
Um beide Spektren ausreichend zu bedienen, sind Usability und Security im gesamten Entwicklungsprozess zu berücksichtigen. Von der Konzeption bis hin zum Endprodukt sollten beide Aspekte betrachtet werden. Dies stellt sicher, dass individuelle Prozesse, Vorgaben und Maßnahmen des Unternehmens abgebildet werden. Aber auch, dass Dimensionen wie Geschwindigkeit oder Verzögerung der Anwendung, simple, angepasste Nutzeroberflächen sowie Betrachtung der potenziellen gesetzlichen Vorgaben nicht außer Acht gelassen werden.
Jedoch kann nicht jedes Unternehmen Software von Grund auf neu entwickeln oder entwickeln lassen. Nicht jedes Unternehmen hat dazu die Kapazitäten oder Kompetenzen. Wie kann man also für Sicherheit und Nutzerfreundlichkeit sorgen, wenn Security by Design and Default keine Option ist?
Einbeziehen von Prozessen und Datenflüssen
Viele Unternehmen gehen diesen Prozess schon, indem sie für sich passende Sicherheitslösungen suchen und implementieren. Von Endpoint-Anti-Virenprogrammen zu Firewalls, etc. gibt es eine ganze Brandbreite an kommerziellen Produkten. Aber warum scheitert es hier meist bei der Integration in die Arbeitsprozesse?
Ein Fehler, den viele Unternehmen an dieser Stelle machen ist, dass eigene Prozesse und Anforderungen hinter anderen Dimensionen wie Kostenpunkte, allgemeine Vergleichstests von Produkten, etc. anstehen. Meist entsteht so eine „Schnellschuss-Reaktion“, es wird eine Software-Lösung zur Sicherheit gekauft, welche nicht in die Unternehmensstruktur passt. Hier hilft eine tiefgreifende vorhergehende Anforderungsanalyse auf Basis aller Faktoren.
Einbindung von aktuellen Sicherheitsmaßnahmen, die die Nutzererfahrung erweitern
Ein weiterer Punkt, welcher in diesem Zusammenhang angesprochen werden muss, ist, dass Sicherheitsmaßnahmen und die dazugehörigen Usability-Maßnahmen überholt werden können. Um das Beispiel mit der Bankkarte aufzugreifen: Die ersten Optionen in Bezug auf Online-Banking benötigten noch eine ausgedruckte PIN-Liste. Diese Methode ist aktuell nach Vorgaben des BSI nicht mehr als sicher anerkannt7, weswegen viele Banken auf Mobile-PINs via Apps auf dem Smartphone oder PIN-Generatoren umgestellt haben.
Nicht jede Anwendung muss von Grund auf neugestaltet werden. Aber aktuelle Technologien wie z.B. biometrische Optionen (Fingerabdrücke, Facial Recognition) sollten in Betracht gezogen werden. Diese schränken die Sicherheit der Anwendung nicht ein und erlauben dem Nutzer ein Erlebnis, welches er aus dem privaten Umfeld ggf. bereits kennt.
Gestalten einfacher Nutzeroberflächen von Sicherheitsanwendungen mit praktischen Sicherheitsmaßnahmen
Ein letzter Punkt, welcher bei der Entwicklung oder Auswahl von sicheren Anwendungen beachtet werden sollte, ist eine gut gestaltete Nutzeroberfläche.
Diese sollte eine einfache Navigation bieten, keine Optionen vor dem Nutzer verstecken, aber die einfachen, und ggf. Standardprozesse als Vorauswahl anbieten. Die Oberfläche sollte so intuitiv sein, dass der Nutzer sich nicht fragen muss, ob er gerade sicher handelt. Und sollte es doch zu Fehleingaben kommen, muss es eine Option zur Rückabwicklung geben.
Ein gutes Interface sollte die Sicherheit hervorheben, indem es den Spielraum für Nutzerfehler einschränkt.
#FORTSCHRITT-Fazit
„Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende beides verlieren“ - Benjamin Franklin
Lassen sich Usability und Security vereinbaren? - Ja, und nein.
Ja, im Hinblick darauf, dass es Möglichkeiten gibt, diese beiden Horizonte technisch zu vereinbaren - und theoretisch klingen all diese Optionen umsetzbar und logisch.
Nein, da Theorie und Praxis jedoch oft weit auseinander liegen und nicht immer die finanziellen Mittel oder Ressourcen zur adäquaten Umsetzung bereitstehen. An dieser Stelle sind die Unternehmen gefragt, ihre Ziele klar zu definieren und gegebenenfalls die notwendigen Kompetenzen zu akquirieren. Oft ist es aber auch „Betriebsblindheit“ oder Bequemlichkeit, was die eigenen Prozesse und Software angeht, und/oder fehlendes Wissen in Bezug auf Sicherheitskonzepte und deren Umsetzung. Hier hilft vor allem eins: plan before acting. Die Planung von Softwareentwicklung bzw. die entsprechende Umsetzung oder Änderungen muss alle Aspekte betrachten und mit Blick sowohl auf den Nutzer als auch die Zukunft und die Sicherheit ausgelegt sein. Ein affektartiges, kurzfristiges Handeln führen - wie häufig - eher zu langfristigen Problemen.
So bleibt abschließend zu sagen:
Die oben genannten Methoden können in diesem Rahmen nur kurz angerissen werden. Zu jedem einzelnen Vorgehen könnten Diskussionen in inhaltlicher und technischer Tiefe geführt werden.
Auch wenn nicht alle Lösungen eine hundertprozentige Zufriedenheit garantieren können, ist es doch möglich, mit einer weitsichtigen strategischen Planung die Anforderungen von Sicherheit und Nutzerfreundlichkeit so miteinander zu vereinbaren, dass beide Aspekte an einem Strang ziehen.
Sollten Sie Interesse an einem fachlichen Austausch haben, akute Probleme bei der Vereinbarkeit von Nutzerfreundlichkeit und Sicherheit haben ober die Umsetzung eines IT-Projektes planen, sprechen Sie Carsten Gellert gerne direkt an.
Zur weiteren Vertiefung des Themas empfehle ich Ihnen auch folgende Beiträge zum Thema Cyber Security:
-
1https://www.businessinsider.de/gruenderszene/lexikon/begriffe/benutzerfreundlichkeit/
2https://www.greenbone.net/it-sicherheit-informationssicherheit-datensicherheit/
3https://www.datenschutz-grundverordnung.eu/
4http://www.informatik.uni-oldenburg.de/~iug10/sli/index06d0.html?q=node/20
5https://www.britannica.com/topic/Bombe
6https://www.cs.umd.edu/~ricro/research/publications/soups19_mediasec.pdf
-