Negativschlagzeilen - Telekom und BKK Gesundheit machen es vor, zahlreiche Unternehmen folgen

In Zeiten verstärkter Meldungen zu Datenklau, Sicherheitslücken und gestiegener Sicherheitsrisiken macht es Sinn, die gängige Betrachtungsweise zu hinterfragen, um nach möglichen Gründen zu suchen.

Ein gängiger Ansatzpunkt für die sicherheitsrelvante Bewertung ist meistens die genaue Inspektion das Software- oder  IT-System selbst. Mit enormem technischem Aufwand werden bestehende Systeme analysiert und verbessert. Dieser einseitige Kampf verschlingt enorme Mittel.

In der Realität bestimmt nicht nur die Sicherheit von einzelnen Komponenten des Software- oder IT-Systems über mögliche Schwachpunkte, sondern das Gesamtsystems als eine große Einheit muss betrachtet werden.  Systeme verhalten sich oftmals ähnlich wie eine Kette, die erfahrungsgemäß am schwächsten Glied nachgibt.

Ein (wenn nicht sogar der wichtigste) Bestandteil eines jeden Systems ist der Mensch. Ob nun direkt als Anwender, Techniker oder in anderen Rollen kann ein menschlicher "Fehler" im Umgang mit dem System zu schwerwiegenden Folgen führen.

Horrorszenarien zu räuberisch erpressten Zugangsdaten sind in der Realität extrem selten und eher unwahrscheinlich. Viel häufiger kommt es zu Datenlecks, weil ein Mensch aus Versehen den falschen e-Mail-Empfängers auswählt. Durch einen ungewollten Mausklick können so vertrauliche Daten in falsche Hände gelangen.

Ähnlich riskant ist der oft beobachtete Umgang mit mobilen Endgeräten wie Notebooks, Handys oder PDAs. Denn mobile Endgeräte machen auch die darauf befindlichen Daten und Datenzugänge ebenfalls mobil.

Auch eine andere Problematik ist nicht auf unsichere Infrastrukturen zurückzuführen, sondern überwiegend auf den Faktor Mensch - die Rede ist vom sogenannten Phishing. Ein Kunstwort aus password (Passwort) und fishing (Angeln). Zu Deutsch also "Pangeln".
Phishing ist seit Jahren in aller Munde und findet sporadisch sogar Erwähnung als eine der größten Bedrohungen für unsere vernetzte Welt. Die Ursache des Phänomens Phishing liegt in der Interaktion des Systems mit dem Nutzer. Ähnlich anmutende Internetseiten werden als bekannt und damit sicher und vertrauenswürdig bewertet. So ermutigt eine Webseite, die aussieht wie der Internetauftritt der eigenen Bank, zur Eingabe von hochsensiblen Zugangsdaten. Der notwendige Schritt der Identifikation anhand der Internetadresse im Browserfenster selbst, wird häufig vernachlässigt.
Versucht man dieses "leichtsinnige" Verhalten zu verstehen, genügt ein Blick in die "reale" Welt. Menschen, die wir kennen, vertrauen wir auch. Vertrauen heißt, dass wir diese Person nicht tiefergehend überprüfen, obwohl uns ein Blick auf den Personalausweis oder Reisepass Gewissheit liefern könnte.
Betrachtet man in diesem Fall nun das System Internet wird man feststellen, dass ähnliche Abläufe wie in der Realität zur Identifikation herangezogen werden, ohne dass das System intuitive Alternativen anbietet. So verwundert es nicht weiter, dass viele Menschen einer von ihrer Erscheinung her bekannten Webseite intuitiv Vertrauen schenken. So kommt häufig der Blick auf die Adresse oder Zertifikate -der digitale "Reisepass"- zu kurz.

Nun mögen diese Beispiele für den ein oder Anderen sehr weit hergeholt und unrealistisch wirken - die grundsätzliche Problematik ist unabhängig davon sehr real.

Um auch in der Zukunft umfassend sichere Systeme zu entwickeln, wird es notwendig sein, verstärkt auf die vermeintlich unsicherste Komponente einzugehen. Der Systemarchitekt muss die Kette also stets durch Stärkung des schwächsten Gliedes stärken.
Voraussetzung hierfür ist es, den Anwender zu kennen und zu verstehen, damit letztendlich und dessen Bedürfnisse, Gewohnheiten und auch "menschliche Schwächen" in das System adäquat integriert werden können.

---