Jetzt Mitglied werden

Der Anwender will doch gar keine IT Sicherheit!?

Haben Sie schon einmal ein Auto wegen besseren Bremsen gekauft? Oder wegen besserer Werte im NCAP Crashtest? Nein, ich auch nicht. Denn Sicherheit ist eigentlich langweilig, kompliziert, unsexy und nervt oft, wenn sie uns behindert. Trotzdem machen die Hersteller damit Werbung – bei Autos funktioniert das schon schlecht, bei Computern, Internet und Datenschutz in der Masse auch nicht wirklich.

Von Jan Wendenburg - 09. März 2015

Bildnachweis: iStock.com/Warchi

Schuld an der schlechten IT-Sicherheit hat doch, natürlich wie immer, der Kunde und Anwender. Der Anwender in der breiten Masse versteht aber in der Regel leider gar nicht das Problem. Genau das ist das Problem! Wenn Anwender im Bereich der IT Sicherheit und Datenschutz meist kaum oder nur wenig Problembewusstsein haben, die Hersteller zur Differenzierung aber genau diese Themen in den Vordergrund stellen, werden sie den Anwender kaum erreichen. Und der Anwender „ignoriert“ so das Thema dann weiter komplett. Das ist keine Lösung. Als „die Welt noch in Ordnung war“ gab es die „Corporate“ IT-Abteilung der Unternehmen und Banken mit Servern und Windows Clients, Apple war was für Freaks und Telefone waren zum Telefonieren. Heute, in einer Welt in der alles und jedes „smart“ sein soll, es Apps für (fast) jedes Problem gibt, ist die zentrale Kontrolle der Unternehmens IT Abteilungen oft überfordert, ausgehebelt und umgangen.

Ständige Produktivitätssteigerungen erzwingen optimierte Werkzeuge

Der Vertrieb, die Berater in den Filialen oder vor Ort und viele andere Mitarbeiter haben schnell gelernt, sich an die sich ständig verändernden Anforderungen ihrer Kunden anzupassen. Die steigenden Unternehmensziele nach mehr Umsatz, höherer Produktivität und bessere Effizienz erzwingen gleichzeitig kontinuierliche Verbesserungen der eingesetzten Werkzeuge, Abläufe und Kommunikation. Leider hat dabei oft das Angebot aus der eigenen IT Abteilung nicht mehr Schritt gehalten. Draußen in der Cloud dagegen wurde die Welt zur selben Zeit schöner, bunter, besser und vor allem einfacher. Da ist es nicht verwunderlich, dass heute viele Mitarbeiter natürlich mal eben ein paar Daten in die Cloud bei Dropbox, Google Drive, etc. schieben, damit sie zuhause, beim Kunden oder von unterwegs besser darauf zugreifen können. Wie viele lassen sich im Urlaub die E-Mails auf ihr privates Google-, Microsoft- oder Apple-Konto weiterleiten. nur um die wichtige Kundenrückfrage, die Mail vom Chef oder andere wichtige Dinge nicht zu verpassen? Und bitte seien Sie mal ehrlich, welche Unternehmensdaten befinden sich auf Ihren privaten USB Sticks?

Die Unternehmens IT-Abteilungen sind oft überfordert

Das Internet ist voll von Anbietern von schönen, praktischen Werkzeugen und Diensten, die uns teils kostenlos oder nur für eine kleine Gebühr täglich helfen, unsere Arbeit zu machen. Das ist heute die Messlatte für unsere Unternehmens IT Abteilungen. Wenn die Unternehmens-IT hier zu weit zurückfällt, merkt der Verkäufer oder Berater als Erster das irgendwie sein Kollege oder Konkurrent schneller, besser und „smarter“ ist. Dann wird der betroffene Mitarbeiter sich schnell und pragmatisch Wege suchen, auch „smarter“ zu werden. IT-Sicherheit spielt dabei leider im Bewusstsein der meisten Anwender gar keine Rolle.
Es ist ein Trugschluss, nur mit restriktiven Policys, Systemen und 2/3/4 Faktor-Authentifizierungen, die Sicherheit in IT-Systemen erhöhen zu können. Das funktioniert auch in überschaubaren und besonders geschulten Organisationen, wie z.B. dem Militär, auch eher schlecht als recht. IT-Sicherheit darf für den normalen Anwender, egal ob Mitarbeiter oder Kunde, kein Ballast sein. IT-Sicherheit muss einfach eingebaut, einfach zu bedienen und einfach funktionieren. IT-Sicherheit ist eben ein Hygienefaktor. Eigentlich etwas Selbstverständliches. Wir vermissen sie nur, wenn sie offensichtlich nicht da ist, aber kaum einer entscheidet sich wissentlich dafür.

Wie können wir dann das Sicherheitsniveau verbessern?

IT-Sicherheit muss direkt von Beginn an wesentlich stärker als Kerndisziplin beim Design von neuen Geschäftsprozessen, neuen Anwendungen, Apps und bei Veränderungen an bestehenden Systemen berücksichtigt werden. Der Anwender darf bei seinem persönlichen „User Experience“ keinen Unterschied feststellen. Die Sicherheit muss einfach, quasi unsichtbar, eingebaut sein. Dann wird der Anwender auch keinen Weg suchen, unbequeme und unverständliche Sicherheitsprozeduren zu umgehen. Dann wird es uns gelingen, das Online-Banking, Online-Zahlungen, Online-Datenspeicher, Online-Kommunikation und Anwendungen wirklich nachhaltig sicherer zu gestalten.

Der Faktor Mensch macht den Unterschied!

IT-Sicherheit ist kein Selbstzweck und funktioniert auch nicht allein. Wenn der Anwender wissentlich Sicherheitsmechanismen aushebelt, wird sie nicht funktionieren, egal wieviel Zeit, Geld und Ressourcen wir einsetzen. Beispiele haben wir genug; NSA hat Edward Snowden nicht verhindert, die Schweizer Banken die bei den deutschen Finanzbehörden beliebten Steuer-CDs und das Militär Wikileaks nicht unterbunden. Absichtliche, wissentliche Verletzungen von IT-Security-Policys oder Datenschutz sind mit IT-Systemen nicht zu verhindern. Unabsichtliche Verletzungen in der Regel schon. Wird der Anwender logisch nachvollziehbar, ohne komplizierte Schritte in der Anwendung oder in dem Prozess geführt, wird er der Führung gern folgen ohne eine (unsichere) Abkürzung zu suchen.

Komplexität der IT-Sicherheit wirksam vor dem Anwender verbergen

Die Herausforderung ist nun, die ständig zunehmende Komplexität von IT-Sicherheit vor dem normalen Anwender praktisch vollständig zu verbergen. Idealerweise sogar bei der Nutzung von Apps als Vorteil für den Anwender darzustellen, wie z.B. der Apple iPhone/iPad Touch-ID-Fingerprint Sensor. Dies alles ist einfach in der Bedienung, erhöht aber gleichzeitig die Sicherheit. Die Verwendung des Touch-ID für das Mobile Payment Apple Pay war da nur der logisch richtige Schritt. Der Anwender muss sich keine PIN mehr merken. Das ist eine klare, für den Anwender sofort spürbare Verbesserung. Logisch, dass andere Apps und Verfahren mit PIN im Vergleich das Nachsehen haben.

Der typische Ablauf einer 2-oder mehr Faktor Authentifizierung hingegen ist aus Sicht der Usability eher ein Rückschritt. Ein Ablauf aus Login mit UserID und Passwort, dann Empfang z.B. einer SMS mit Transaktionscode und anschließender Eingabe in das System, bzw. die Anwendung ist aus Usability Sicht mehr Katastrophe als Verbesserung. Das heute von einigen Banken eingesetzte Foto-TAN Verfahren ist sicherlich ein Schritt in die richtige Richtung, aber immer noch weit entfernt von automatischer, unsichtbarer Sicherheit.

Neue Konzepte für unsichtbare IT-Sicherheit sind gefragt

Jetzt sind wirklich neue und verbesserte Konzepte gefragt um einfache Bedienung und Sicherheit, um für den Anwender z.B. eine sichere Nutzer Authentifizierung, Verschlüsselung, Datenschutz und sichere Kommunikation zu ermöglichen. Wenn es endlich gelingt IT Sicherheit für den normalen Anwender unsichtbar zu machen werden wir auch das Sicherheitsniveau in der breiten Masse nachhaltig erhöhen können. Der Lohn für diese Anstrengungen für das Unternehmen, den Anbieter und die Dienste ist das viele IT Risiken wieder kalkulierbar werden.

Fazit

Bis dahin werden wir uns wohl leider noch eine Weile mit PIN, TAN, SMS, OTP, PGP, S/MIME und vielen weiteren für den Anwender völlig unverständlichen Abkürzungen beschäftigen dürfen.

Lesen Sie auch

Der Transparenz verpflichtet

Die regulatorische Belastung auf deutsche Finanzinstitute wächst stetig[…]

Axel Schmale

19. November 1984: Der BTX-Hack schockiert Deutschland

Der Auftritt des Chaos Computer Clubs am 19.[…]

Daniel Fernandez

Wenn Digitalisierung einfach intelligent ist

Zukunftsweisend, papierlos, nachhaltig – diese Aspekte fehlten bis[…]

Siegfried Fichtler

Der Computer analysiert, der Mensch entscheidet

Der Einsatz von Künstlicher Intelligenz hat das Potenzial,[…]

Thomas Belker

Künstliche Intelligenz als Use Case Factory: vom Management operativer Risiken lernen

Viele Herausforderungen der Gesamtbanksteuerung sind noch nicht gelöst.[…]

Lars Holzgraefe

Das gute Gefühl, alles unter Kontrolle zu haben

Klingt nach einer klassischen Fintech-Idee, kommt aber von[…]

Nils Brinkhoff

Das Blockchain Lab der Commerzbank

Vor zwei Jahren startete die Commerzbank zusammen mit[…]

Sören Hartung

„There is no such thing as a killer feature“

Auf dem Ein-Tages-Kongress "Digitale Transformation" am 10. April[…]

Philipp Scherber

„Technologie lässt Barrieren fallen“

An zwei Abenden in Köln und Berlin stellten[…]

Philipp Scherber

Digital Wealth Management im Drehstuhl

Am 18. Mai 2018 widmeten wir uns gemeinsam[…]

Philipp Scherber

Ausweg aus der Legacy-Falle

Advertorial: IT-Verantwortliche von Finanzunternehmen geraten zunehmend unter Druck:[…]

Thomas Hellweg

Die Zukunft ist fehlerfrei – Dortmunder Volksbank arbeitet erfolgreich mit helic ID

Eine schlechte Datenqualität kann sich heutzutage kein Unternehmen[…]

Patrick Paetzel

„Den Nachbearbeitungsaufwand so gering wie möglich gestalten“

Im Jahr 2015 kam es zu einer Sonderprüfung[…]

Christian Grosshardt

„Ohne Macher kommen Projekte nicht in Gang“

Der Erfolg von IT-Projekten ist zu einem Großteil[…]

Philipp Scherber

BAIT – Bankaufsichtliche Anforderungen an die IT: Herausforderung und Chance

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reagiert auf wachsende[…]

Gerald Spiegel

Die elektronische Signatur

Für eine verbesserte und kontrollierbare Kundekommunikation

Redaktion

Papierlos zu mehr Effizienz – und nebenbei Bäume retten

Die Bank of Montreal (BMO) setzt auf technologische[…]

Jochen Razum

Robotic Process Automation ist das neue Outsourcing für Banken

Banken in Deutschland entdecken Robotic Process Automation (RPA),[…]

Robert Scholze

Vom digitalen Assistenten zum virtuellen Bankberater

Künstliche Intelligenz hat Einzug in die Bankenwelt gehalten[…]

Sven Guhr

Vier Kriterien zur erfolgreichen Digitalisierung des Kreditantragsprozesses

Die Digitalisierung schreitet nicht nur im Kreditgeschäft mit[…]

Achim Himmelreich

Die CeBIT will neue Wege gehen

„d!conomy – no limits“ – unter diesem Motto[…]

Christian Grosshardt

Business Intelligence: So profitieren Banken von professioneller Datenverwertung

Zunehmende Regulierung, immer komplexere Prozesse und Disruption im[…]

Heiko Böhm

„Kreditwirtschaft hat noch keine Lösung gefunden“

Obwohl mittlerweile vielerlei Payment-Lösungen existieren, sind Bargeld und[…]

Christian Grosshardt

„Man muss als Bank vorne mit dabei sein“

Kreditinstitute stehen vor der täglichen Herausforderung, ihre Services[…]

Christian Grosshardt

Blockchain birgt großes Potential für Finanzdienstleister

„Blockchain wird die Art, wie weltweit Geschäfte gemacht[…]

Daniel Fernandez

„Gewaltiger Engpass entstanden“

Seit einiger Zeit sehen sich insbesondere die IT-Fachbereiche[…]

Christian Grosshardt

Digitaler Erfolgsfaktor für Banken: einfacher und schneller Kreditantrag

In Zeiten des Internetgeschäfts macht der Wunsch nach[…]

Cybercrime: Ein wesentliches Risiko?

Banken sollten das Thema Informationssicherheit nicht nur der[…]

Gerald Spiegel

Der Schlüssel zum Erfolg liegt in der IT

Wenn Finanzinstitute wachsen, steigt nicht nur die Bilanzsumme.[…]

Elisabeth Schoss-Leppert

Wo bleibt Smart-Banking?

Die Digitale Agenda der Bundesregierung beschreibt die Grundsätze[…]

Florian Dreifus

Neue (digitale) Wege einer Traditionsbank

Digitalisierung bedeutet für viele eine Umstellung im prozessualen[…]

Michael C. Neubert

Digitale Vermögensverwaltung – Kunden-erfolg und MiFID II unter einem Dach

Digitalisierte Mehrwertdienstleistungen machen die Vermögensbetreuung auch im Retailbereich[…]

Mario Alves

„Es bedarf eines zentralen Kommunikationskonzepts“

Im 21. Jahrhundert leben und arbeiten wir in[…]

Christian Grosshardt

Die Gunst der Stunde

Als noch das Kerbholz oder der Ishango-Knochen zum[…]

Horst Liebscher

„Dialog statt Push-Kommunikation“

Social Business-Technologien können interne Unternehmensprozesse und externe Kommunikation[…]

Philipp Scherber

„Heutzutage muss man vielen Qualitätsaspekten genügen”

SDL ist weltweiter Marktführer für Übersetzungslösungen. Das Unternehmen[…]

Anna Stötzer

Kosten runter, Datensicherheit rauf und zufriedenere Mitarbeiter

Die Volksbank Freiburg hat ihre Druckerflotte konsolidiert. Kostendruck[…]

Julian Achleitner

Kosten- und Risikoreduzierung durch qualitativ hochwertige Kundendaten

Entity Resolution, also die Systematisierung, Verlinkung und Gruppierung[…]

Philipp Scherber

„If you can make it in Ansbach, you’ll make it anywhere.”

Cloud Computing, Safe Harbor, Privacy Shield und Blockchain[…]

Philipp Scherber

„Gemeinsam mit unseren Kunden deren Herausforderungen lösen.“

Security-Lösungen sind für jede Bank ein absolutes Muss.[…]

Julian Achleitner

Transaktionsklassifikation für die Kundenanalyse

Es gibt eine unglaubliche Menge an Kundendaten, welche[…]

Ronny Fuchs

EZB mit neuer Website

Die Europäische Zentralbank hat ihr Kommunikationsangebot einer Frischzellenkur[…]

Christian Grosshardt

„Bank geht heute nur, wenn man seine Daten auch entsprechend im Griff hat!“

Digitale Zeiten erfordern schnelles Handeln und eine noch[…]

Christian Grosshardt

„Positiver Wandel in der Projektmanagementkultur mit Softwareeinsatz“

Die Berlin Hyp AG ist auf großvolumige Immobilienfinanzierungen[…]

Julian Achleitner

„Aktionismus ohne ganzheitliche Strategie muss endlich aufhören!“

Gerne lassen Banken über ihre Marketingabteilung verlautbaren, dass[…]

Christian Grosshardt

Advertorial: Was Kunden wollen – Deutschlands Banken-IT im digitalen Umstyling

Banken-IT: Zwischen Software und Beratungsgespräch Vielfältig und modern:[…]

Christian Grosshardt

Datenschutz gilt nicht nur für Firewalls

In Zeiten von Cyber-Attacken und den dafür notwendigen[…]

Christian Grosshardt

Sind Banken bereits abgehängt?

Während Banken über die bestmögliche Umsetzung von Mobile-Payment-Lösungen[…]

Christian Grosshardt

Digitalisierung, aber wie?

Berlin, London und im Silicon Valley, hier entstehen[…]

Thorsten Hahn

„Es ist höchste Eisenbahn!“

Die Komplexität in der gesamten Banksteuerung hat sich[…]

Christian Grosshardt

Wem gehört die Zukunft?

Autor: Jaron Lanier Euro: 24,99 480 Seiten, gebunden[…]

Christian Grosshardt