Security frisst UX. Was nun? 

Security

Die Umsetzung von Security-Maßnahmen erschwert Arbeitsabläufe, erfordert von dem Benutzer zusätzliche Aktionen und ist generell meist nervig. Einzig und allein die Einsicht in die Notwendigkeit der Maßnahmen hält den Nutzer davon ab, sie einfach zu ignorieren. Aber wie können wir das erreichen? 

Sicherheit in der digitalen Welt ist komplex, unüberschaubar und nicht immer auf den ersten Blick verständlich. Aus meiner Erfahrung mit Vorträgen, Schulungen und Meetings ist es oftmals sinnvoll und hilfreich, eine Analogie aus der analogen Welt zu verwenden, um zu verdeutlichen, worum es überhaupt geht. So auch in diesem Artikel. 

Anzeige

Ich erinnere mich aus meiner Kindheit an einen Besuch bei meiner Großtante in einem kleinen Dorf, in dem das Zusammenleben massiv auf Vertrauen beruhte. Die Haustüren hatten gewöhnliche Buntbartschlösser und waren nicht abgeschlossen. Besuch kam rein und machte sich mit einem lauten “Hallo” bemerkbar, und wenn man in der Nachbarschaft etwas abgeben wollte, aber niemanden antraf, ging das trotzdem. 

Das würde heute so nicht mehr funktionieren und ist aus Sicherheits-Perspektive eine Katastrophe – auch wenn es gegebenenfalls regionale Unterschiede gibt. In Regionen mit hoher Kriminalitätsrate werden die Türen häufiger abgeschlossen. Vermutlich nicht, weil die Einwohner das besonders gerne tun. 

Und auch die meisten Versicherungen hätten vermutlich eine sehr eindeutige Meinung dazu. Aus Usability-Sicht aber ist es ein Traum. Alles ist viel einfacher. Vielleicht sollten wir einfach gar kein Schloss mehr an unserer Haustür haben. Nie mehr nach dem Schlüssel suchen, wenn man nach Hause kommt. Nie mehr Ärger mit abgebrochenen oder verlorenen Schlüsseln. Kein “Wir haben Sie nicht angetroffen!” mehr vom Paketdienst. 

Anzeige

Klingt das verlockend für Sie? Natürlich nicht. In der analogen Welt erkennen wir eine schlechte Idee, wenn wir sie sehen. Und vermeiden sie aus genau dieser Einsicht. 

Sicherheit ist fast immer das Gegenteil von Benutzbarkeit. Jede einzelne Maßnahme zur Erhöhung des Sicherheitsniveaus ist eine Maßnahme, die das Leben des Benutzers komplexer macht. Und funktional bringt sie keinen Vorteil oder Mehrwert. 

Trotzdem – bzw. gerade deshalb – halten wir stundenlange Security Awareness Trainings, und erzählen Firmenmitarbeitern, dass sie keine Passwörter teilen sollten, keine Passwörter wiederverwenden, keine sensitiven Informationen im Drucker oder auf dem Schreibtisch offen rumliegen lassen, und sich möglichst überall mit einem zweiten Faktor authentifizieren sollen. Alles Dinge, die ihren Alltag anstrengender machen. Wir stehen als Referenten oder Security-Experten in einer Reihe mit der Brandschutzschulung, dem Ersthelferkurs, oder dem Zahnarzt, der nach der regelmäßigen Nutzung von Zahnseide fragt. Vielleicht lässt sich da ein lustiges Spiel draus machen – wenn das nächste Mal der Automechaniker fragt, wann die letzte Inspektion war, frage ich zurück: “Und wann haben Sie zum letzten Mal Ihr Passwort geändert?” 

Aber Spaß beiseite und zurück zum Thema:

Wir müssen es irgendwie schaffen, die Nutzer von IT-Systemen (sowohl privat als auch beruflich) so zu sensibilisieren, dass sie die Notwendigkeit des Schutzes von Daten und Infrastruktur ebenso verinnerlichen wie das Zuziehen und Abschließen der Wohnungstür am Morgen. Das ist nicht einfach, da digitale Prozesse unübersichtlicher sind als Dinge, die in der analogen Welt passieren. 

Ein paar Erfahrungswerte aus Beratung und Schulung können hier hilfreich sein. 

1. Möglichst viele anschauliche Beispiele aus der analogen Welt und dem echten Leben verwenden

Die besonders gut geschützte Gittertür an einem Grundstück, um die man problemlos links und rechts herumgehen kann, hat man sicher schon als Meme im Internet gesehen. Warum ist das lustig? Weil jeder sofort sieht, dass es sinnlos ist. Bei einer falsch konfigurierten Firewall sieht man das nicht so ohne weiteres und wiegt sich in falscher Sicherheit. 

2. Sicherheitsvorfälle demonstrieren, nicht einfach nur beschreiben

Vielen Menschen ist Cybersecurity zu abstrakt. Hacker und Cyber klingt wie Hexen und Zauber aus einem alten Märchenbuch. Eine kleine Livehack-Vorführung kann hier einen entscheidenden Aha-Effekt ergeben: “Huch, das ist ja real! Und ging ja wirklich ganz schnell und einfach!” Ebenfalls sehr wirksam ist es, die ansonsten eher trockene Sicherheitsbelehrung in ein spannendes Spiel zu packen, wie es Thomas Immich im nächsten Artikel in dieser Reihe beschreibt. 

3. Bezug zum erlebten (Arbeits-)Alltag herstellen

Sehr hartnäckig hält sich beispielsweise das Gerücht, man sei ja “zu unwichtig” oder “zu klein”, um ein Ziel für Hacker zu sein. Das stimmt vielleicht für sehr gezielte Angriffe, aber wie bei Einbrechern im echten Leben gibt es auch hier verschiedene Ausprägungen: Die, die ein konkretes Ziel (Villa, großes Firmennetzwerk) haben und die, die durch die Straßen schlendern und nach einem ungesicherten Kellerfenster Ausschau halten – entweder aus sportlichem Interesse oder aber weil leichte Beute generell auch von Interesse ist, und sei es auch nur eine kleine. 

4. Organisatorische Maßnahmen immer sinnvoll begründen und motivieren

Wenn Sie Ihren Mitarbeitern sagen: “Wir machen jetzt Datenschutz, weil wir müssen, und das beinhaltet viele Dinge, die Ihren Alltag komplizierter machen!” werden sie mit Sicherheit früher oder später Möglichkeiten finden, diese zu umgehen. Ja, nicht alle Datenschutzvorschriften sind intuitiv, und nicht immer passen sie so gut zur gelebten Realität, wie wir das möchten. Das ist manchmal schwer zu erklären. 

Motivieren Sie stattdessen doch lieber den Wert der Daten, um die es geht. Was kann man damit machen? Kennen Sie Spearphishing? Wissen Sie, was man alles aus Metadaten herauslesen kann? Was passiert, wenn man langweilige Datensätze miteinander kombiniert zu spannenden, neuen Informationen und Erkenntnissen? 

5. Bei sensiblen Daten kommt es immer auf den Verwendungszweck an

Insbesondere ist hier auch der gesamte Medizinbereich anzuführen. Medizinische Daten sind unheimlich wertvoll, weil wir aus großen Datenmengen gegebenenfalls wichtige Erkenntnisse ziehen können, oder wenn die zeitnahe Verfügbarkeit aller relevanten Informationen über einen Patienten Leben retten kann. Auf der anderen Seite sind es aber auch mitunter die sensibelsten persönlichen Daten, die wir haben, und ihr Schutz ist extrem wichtig. Wie gehen wir damit um?

6. Nutzen Sie die Kreativität Ihres Teams 

Wie in einem vorigen Punkt bereits geschrieben: Die effizientesten Wege werden von Menschen gefunden, die sie tagtäglich gehen müssen. Nutzen Sie das doch einfach! Vielleicht gibt es Möglichkeiten, die Sicherheits- und Datenschutzmaßnahmen zu vereinfachen, ohne Kompromisse in der Sicherheit eingehen zu müssen. Ein offenes Ohr schadet nie. Coaching hilft hier, die Mitarbeiter auf die entsprechenden Fragen vorzubereiten.

Christoph

Endres

Gesellschafter und Geschäftsführer

sequire technology GmbH

Christoph Endres war ursprünglich im Bereich der KI-Forschung tätig und hat im Bereich Automotive User Interfaces promoviert. Durch einer eher zufällig angenommene Rolle als Professor in der Webserie “Dr. Security – Ein Mann wie eine Firewall” ( drsecurity.de ) wurde 2014 sein Interesse am Thema Cybersecurity geweckt.
Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.