Schuld an der schlechten IT-Sicherheit hat doch, natรผrlich wie immer, der Kunde und Anwender. Der Anwender in der breiten Masse versteht aber in der Regel leider gar nicht das Problem. Genau das ist das Problem! Wenn Anwender im Bereich der IT Sicherheit und Datenschutz meist kaum oder nur wenig Problembewusstsein haben, die Hersteller zur Differenzierung aber genau diese Themen in den Vordergrund stellen, werden sie den Anwender kaum erreichen. Und der Anwender โignoriertโ so das Thema dann weiter komplett. Das ist keine Lรถsung. Als โdie Welt noch in Ordnung warโ gab es die โCorporateโ IT-Abteilung der Unternehmen und Banken mit Servern und Windows Clients, Apple war was fรผr Freaks und Telefone waren zum Telefonieren. Heute, in einer Welt in der alles und jedes โsmartโ sein soll, es Apps fรผr (fast) jedes Problem gibt, ist die zentrale Kontrolle der Unternehmens IT Abteilungen oft รผberfordert, ausgehebelt und umgangen.
Stรคndige Produktivitรคtssteigerungen erzwingen optimierte Werkzeuge
Der Vertrieb, die Berater in den Filialen oder vor Ort und viele andere Mitarbeiter haben schnell gelernt, sich an die sich stรคndig verรคndernden Anforderungen ihrer Kunden anzupassen. Die steigenden Unternehmensziele nach mehr Umsatz, hรถherer Produktivitรคt und bessere Effizienz erzwingen gleichzeitig kontinuierliche Verbesserungen der eingesetzten Werkzeuge, Ablรคufe und Kommunikation. Leider hat dabei oft das Angebot aus der eigenen IT Abteilung nicht mehr Schritt gehalten. Drauรen in der Cloud dagegen wurde die Welt zur selben Zeit schรถner, bunter, besser und vor allem einfacher. Da ist es nicht verwunderlich, dass heute viele Mitarbeiter natรผrlich mal eben ein paar Daten in die Cloud bei Dropbox, Google Drive, etc. schieben, damit sie zuhause, beim Kunden oder von unterwegs besser darauf zugreifen kรถnnen. Wie viele lassen sich im Urlaub die E-Mails auf ihr privates Google-, Microsoft- oder Apple-Konto weiterleiten. nur um die wichtige Kundenrรผckfrage, die Mail vom Chef oder andere wichtige Dinge nicht zu verpassen? Und bitte seien Sie mal ehrlich, welche Unternehmensdaten befinden sich auf Ihren privaten USB Sticks?
Die Unternehmens IT-Abteilungen sind oft รผberfordert
Das Internet ist voll von Anbietern von schรถnen, praktischen Werkzeugen und Diensten, die uns teils kostenlos oder nur fรผr eine kleine Gebรผhr tรคglich helfen, unsere Arbeit zu machen. Das ist heute die Messlatte fรผr unsere Unternehmens IT Abteilungen. Wenn die Unternehmens-IT hier zu weit zurรผckfรคllt, merkt der Verkรคufer oder Berater als Erster das irgendwie sein Kollege oder Konkurrent schneller, besser und โsmarterโ ist. Dann wird der betroffene Mitarbeiter sich schnell und pragmatisch Wege suchen, auch โsmarterโ zu werden. IT-Sicherheit spielt dabei leider im Bewusstsein der meisten Anwender gar keine Rolle.
Es ist ein Trugschluss, nur mit restriktiven Policys, Systemen und 2/3/4 Faktor-Authentifizierungen, die Sicherheit in IT-Systemen erhรถhen zu kรถnnen. Das funktioniert auch in รผberschaubaren und besonders geschulten Organisationen, wie z.B. dem Militรคr, auch eher schlecht als recht. IT-Sicherheit darf fรผr den normalen Anwender, egal ob Mitarbeiter oder Kunde, kein Ballast sein. IT-Sicherheit muss einfach eingebaut, einfach zu bedienen und einfach funktionieren. IT-Sicherheit ist eben ein Hygienefaktor. Eigentlich etwas Selbstverstรคndliches. Wir vermissen sie nur, wenn sie offensichtlich nicht da ist, aber kaum einer entscheidet sich wissentlich dafรผr.
Wie kรถnnen wir dann das Sicherheitsniveau verbessern?
IT-Sicherheit muss direkt von Beginn an wesentlich stรคrker als Kerndisziplin beim Design von neuen Geschรคftsprozessen, neuen Anwendungen, Apps und bei Verรคnderungen an bestehenden Systemen berรผcksichtigt werden. Der Anwender darf bei seinem persรถnlichen โUser Experienceโ keinen Unterschied feststellen. Die Sicherheit muss einfach, quasi unsichtbar, eingebaut sein. Dann wird der Anwender auch keinen Weg suchen, unbequeme und unverstรคndliche Sicherheitsprozeduren zu umgehen. Dann wird es uns gelingen, das Online-Banking, Online-Zahlungen, Online-Datenspeicher, Online-Kommunikation und Anwendungen wirklich nachhaltig sicherer zu gestalten.
Der Faktor Mensch macht den Unterschied!
IT-Sicherheit ist kein Selbstzweck und funktioniert auch nicht allein. Wenn der Anwender wissentlich Sicherheitsmechanismen aushebelt, wird sie nicht funktionieren, egal wieviel Zeit, Geld und Ressourcen wir einsetzen. Beispiele haben wir genug; NSA hat Edward Snowden nicht verhindert, die Schweizer Banken die bei den deutschen Finanzbehรถrden beliebten Steuer-CDs und das Militรคr Wikileaks nicht unterbunden. Absichtliche, wissentliche Verletzungen von IT-Security-Policys oder Datenschutz sind mit IT-Systemen nicht zu verhindern. Unabsichtliche Verletzungen in der Regel schon. Wird der Anwender logisch nachvollziehbar, ohne komplizierte Schritte in der Anwendung oder in dem Prozess gefรผhrt, wird er der Fรผhrung gern folgen ohne eine (unsichere) Abkรผrzung zu suchen.
Komplexitรคt der IT-Sicherheit wirksam vor dem Anwender verbergen
Die Herausforderung ist nun, die stรคndig zunehmende Komplexitรคt von IT-Sicherheit vor dem normalen Anwender praktisch vollstรคndig zu verbergen. Idealerweise sogar bei der Nutzung von Apps als Vorteil fรผr den Anwender darzustellen, wie z.B. der Apple iPhone/iPad Touch-ID-Fingerprint Sensor. Dies alles ist einfach in der Bedienung, erhรถht aber gleichzeitig die Sicherheit. Die Verwendung des Touch-ID fรผr das Mobile Payment Apple Pay war da nur der logisch richtige Schritt. Der Anwender muss sich keine PIN mehr merken. Das ist eine klare, fรผr den Anwender sofort spรผrbare Verbesserung. Logisch, dass andere Apps und Verfahren mit PIN im Vergleich das Nachsehen haben.
Der typische Ablauf einer 2-oder mehr Faktor Authentifizierung hingegen ist aus Sicht der Usability eher ein Rรผckschritt. Ein Ablauf aus Login mit UserID und Passwort, dann Empfang z.B. einer SMS mit Transaktionscode und anschlieรender Eingabe in das System, bzw. die Anwendung ist aus Usability Sicht mehr Katastrophe als Verbesserung. Das heute von einigen Banken eingesetzte Foto-TAN Verfahren ist sicherlich ein Schritt in die richtige Richtung, aber immer noch weit entfernt von automatischer, unsichtbarer Sicherheit.
Neue Konzepte fรผr unsichtbare IT-Sicherheit sind gefragt
Jetzt sind wirklich neue und verbesserte Konzepte gefragt um einfache Bedienung und Sicherheit, um fรผr den Anwender z.B. eine sichere Nutzer Authentifizierung, Verschlรผsselung, Datenschutz und sichere Kommunikation zu ermรถglichen. Wenn es endlich gelingt IT Sicherheit fรผr den normalen Anwender unsichtbar zu machen werden wir auch das Sicherheitsniveau in der breiten Masse nachhaltig erhรถhen kรถnnen. Der Lohn fรผr diese Anstrengungen fรผr das Unternehmen, den Anbieter und die Dienste ist das viele IT Risiken wieder kalkulierbar werden.
Fazit
Bis dahin werden wir uns wohl leider noch eine Weile mit PIN, TAN, SMS, OTP, PGP, S/MIME und vielen weiteren fรผr den Anwender vรถllig unverstรคndlichen Abkรผrzungen beschรคftigen dรผrfen.
Jan Wendenburg ist seit 2016 CEO bei certgate. Vorher: Vorstand bei der XCOMpetence AGAuรerdem ist er seit 2004 Geschรคftsfรผhrer bei der W TRUST GmbH.