03. April 2017

Warum Security ohne Usability zu Fehlern führt!

Security 750x410

Neue regulatorische Anforderungen wie PSD2 und GDPR, sowie die ansteigende Bedrohung durch Cybercrime haben das Thema Security ganz oben auf die Agenda gesetzt. Kritisch ist aber, wie diese erhöhten Security-Anforderungen umgesetzt werden. Ungenügende Security macht angreifbar, andererseits kann schlecht umgesetzte Sicherheit zum Business-Killer werden.

Noch immer nimmt die Zahl an Cyberattacken exponentiell zu. Und dies nicht nur durch kriminelle Organisationen, sondern zunehmend auch durch Regierungen und Geheimdienste. Nun mag nicht jedermann Ziel einer Spionageüberwachung werden, allerdings erhöht sich durch die Einmischung der Geheimdienste auch das Arsenal an Angiffswerkzeugen. Das CIA Hacking Tools Arsenal Vault 7 beweist dies eindrücklich.

Es besteht Handlungsbedarf. Doch wie geht man diese Herausforderung korrekt an?

Menschliches Fehlverhalten als Hauptursache von Cyberangriffen

Es fällt auf, dass das Thema Security oft als eine rein technologische Debatte geführt wird. IT Fachleute, Netzwerkspezialisten und Mathematiker streiten sich um neuste Kryptographieverfahren und statistische Wahrscheinlichkeiten. Dabei wird oft vergessen, dass Cyberangriffe in nahezu allen Fällen direkt oder indirekt über den Benutzer erfolgen.

Das gesamte Spektrum von Viren, Trojanern, Phishing bis hin zu Brute Force Attacken mit Passwort Guessing - allesamt basieren sie in ihren Grundkonzepten auf menschlichem (Fehl)verhalten. Die Schuld für dieses Fehlverhalten den Benutzern zuzuschieben oder sie gar mit zusätzlichen „Schutzmechanismen“ wie z.B. längeren Passwörtern mit komplexen Regeln zu bestrafen ist offensichtlich wenig zielführend.

Das Resultat sind Passwörter, die sich Benutzer unmöglich merken können, aber für Computer relativ einfach zu erraten sind. Das menschliche Gehirn behilft sich in solchen Fällen mit nur allzu gut bekannten Eselsbrücken. Beispiele dafür sind wichtige Daten, Jahreszahlen, Eigennamen, Weinsorten usw. Eine Erhöhung der Passwortlänge macht dann aus einer Jahreszahl 17 einfach ein 2017.

Der Versuch, solche Eselsbrücken zu unterbinden führt letztlich dazu, dass Passwörter niedergeschrieben werden müssen. Oft wandern die Passwörter dann ins Telefonverzeichnis oder finden sich übersichtlich in einer zentralen Datei in einem Cloud Service wie Dropbox oder Google Drive.

Noch weit schwerwiegender ist aber die Tatsache, dass übermässige Hindernisse und unsinnige Regeln sich als Business-Killer erweisen können. Bestes Beispiel hierfür ist das aus Usability Sicht schlecht gemacht 3D-Secure Verfahren im Kreditkartengeschäft.

Die Registrierungsprozesse sind nur minimal geführt, äusserst fehleranfällig und erlauben keinerlei Toleranz. So führt eine Verwechslung von Karten- und Kontonummer genauso zu Fehlern, wie auch eine nur geringe Abweichung der Schreibweise des Karteninhabers. Schlimmer noch, nach drei Fehlversuchen – selbst mit unterschiedlichen Ursachen - ist Schluss und ein Anruf beim Call Center unumgänglich. Hat man diese Hürde gemeistert, wird man mit Passwortregeln konfrontiert, die selbst hierfür spezialisierte Programme vor unlösbare Probleme stellen.

Sofern der Kunde eine für ihn komfortablere Alternative hat, wird er mit hoher Wahrscheinlichkeit auf diese ausweichen. Eindrücklicher Beweis hierfür ist PayPal mit einem Jahresumsatz von Mittlerweile über 10 Milliarden Dollar.

PayPal nimmt bei der Usability eine Vorreiterrolle ein

Die Strategie von PayPal ist offensichtlich – Usability, Bequemlichkeit und einfache Integration sind die Schlüsselelemente. Dabei wird die Sicherheit keineswegs vergessen. Käufern und Verkäufern wird ein umfangreiches Schutzpaket angeboten und das bei erstklassigem Service. Wie ist so etwas möglich? Wie kann sich PayPal selbst vor Cyberattacken und traditionellem Betrug schützen?

Möglich wird dies durch ein breit angelegtes Netz von Validierungen für jede einzelne Transaktion. Dies ist an sich nichts neues, jede grössere Bank hat hierfür Fraud Detection Systeme im Einsatz, welche die Geschäftstransaktionen validieren. Banken plausibilisieren ihre Transaktionen aber einzig auf Basis des Business-Kontexts.

Technische Validierungsstrategien mit enormem Potential

Anders PayPal und andere moderne Internet Service Anbieter. Hier wird vorwiegen der Internet Connectivity Kontext betrachtet. So werden Verfahren zu Wiedererkennung das Kundengarätes zusammen mit Information zu den Netzwerkverbindungen ausgewertet. Werden verdächtige Verbindungen erkannt, erfolgt eine weitergehende Analyse mit aktuellsten Information von bekannten Angriffsrechnern oder Phishing Attacken. Last but not least wird der Kunde in die Validierung miteinbezogen, indem er über laufende Transaktionen informiert wird.

In einer solchen technischen Validierungsstrategie steckt ein enormes Potential. Aus Sicht des Angreifers bedeutet dies, dass keine „zentralen“ Angriffsrechner erfolgreich verwendet werden können. Will ein Angreifer unentdeckt bleiben, muss der Angriff erheblich besser verschleiert werden, was wiederum zu einem markant höheren Ressourcenbedarf führt. Zudem müssen für einen erfolgversprechenden Angriff weit mehr Information über den Kunden ausspioniert und aufbereitet werden.

Alles in allem wird ein signifikant höherer Aufwand erforderlich, bei gleichzeitig höherem Risiko frühzeitig erkannt zu werden. Kurzum, der Business Case für einen Cyberangriff wird erheblich erschwert. Aber das vermutlich bemerkenswerteste Resultat ist, dass dies alle ohne aktives Zutun des Benutzers möglich ist. Damit ist bestmögliche Usability gewährleistet.

Gut gewappnet für die Zukunft mit innovativen Lösungen und Usability First

Wie hilft nun aber diese Erkenntnis auch kleineren Unternehmen mit aktuellen Security-Herausforderungen umzugehen? Kann zum Beispiel ein mittelständisches Unternehmen mit PayPal und Co. Schritt halten?  Die gute Nachricht ist ja, durchaus, sofern man die Bereitschaft mitbringt, sich von alten, eingetreten Pfaden wegzubewegen.

Der Security-Markt befindet sich im Umbruch und alte, eingesessene Technologien werden in Frage gestellt. Neue Hersteller und Industriekonsortien drängen mit innovativen Ideen und Produkten auf den Markt. Stellvertretend wäre hier die Fido Alliance zu nennen, welche sich als Standardisierungsgremium zwei grosse Ziele gesetzt hat. Da wären einerseits die Abschaffung bzw. der Ersatz von Passwörtern durch biometrische Verfahren. Zum andern werden Technologien und Protokolle spezifiziert, welche erschwinglich sind und dank einfachster Anwendbarkeit Benutzerfehler weitgehend ausschliessen sollen. Dank moderner asymmetrischer Verschüsselungsverfahren und eingebautem Schutz vor Phishing ist der FIDO U2F Standard gängigen One Time Password Token Lösungen weit überlegen.

Noch weit grösseres Potential hat allerdings ein ganz anderes Token. Steve Jobs hatte einmal gesagt „die beste (Foto)Kamera ist diejenige, die man dabei hat“. Übersetzt bedeutet dies, dass unsere Smartphones dem idealen Hilfsmittel zur Authentisierung des Inhabers sehr nahe kommen. Ganz besonders dann, wenn moderne Hardware Kryptographie Chips genutzt werden können, so wie dies bei der neusten Android Gerätegeneration der Fall ist. Allerdings ist hierbei die technologisch korrekte Umsetzung Voraussetzung. SMS basierte mTAN Lösungen, welche auf Technologien aus dem letzten Jahrtausend zurückgreifen, sind trotz ihrer Popularität nur bedingt geeignet.

Unternehmen, welche bereit sind Usability First konsequent umzusetzen und „keine“ Risiken einzugehen, können doppelt profitieren. Der Dank ihrer Kunden ist ihnen genauso sicher, wie die Gewissheit, auf die aktuelle Bedrohung durch Cybercrime gut gewappnet zu sein. Bedingung ist jedoch die Bereitschaft, sich auf neue, innovative Lösungen einzulassen.


Harald Böttcher
Harald Böttcher

Harald Böttcher arbeitet seit 2009 bei ti&m als Principal und verantwortet den Fokusbereich Security. Zuvor war er als Solution Architect und Teamleiter in verschiedenen Unternehmen tätig und blickt auf eine 20-jährige Erfahrung im Consulting zurück. Sein Studium als El. Ing. HTL, Betriebsingenieur ISZ/SIB absolvierte er an der Hochschule für Technik in Zürich.

Ähnliche Artikel

HackZurich: This Is How 565 Techies Spent the Weekend
HackZurich: This Is How 565 Techies Spent the Weekend

565 registered participants, 152 submitted projects and 20280 hours of coding – the occasion was of course Hack Zurich, Europe’s biggest hackathon and one of the most anticipated events for ambitious hackers. The rainy weekend was the perfect opportunity for hackers from all over the world to get together in the Technopark and develop innovative solutions and new apps for the sponsor’s challenges. The goal: develop an amazing prototype and maybe, even disrupt a whole industry.

Mehr erfahren
commerce-container-export-379964
OpenShift vs. Kubernetes

Welche Vor- und Nachteile haben Kubernetes und OpenShift? Dieser Frage geht ti&m-Surfer Bernd Leinfelder in seinem aktuellen Blog-Beitrag nach.

Mehr erfahren
Karin_Mathys_lead
Die digitale Transformation verändert Verhalten und Erwartungen der Kunden

Nach und nach verlagern sich Teile der Customer Journey in den digitalen Kanal. Trotzdem bleibt die persönliche Beratung für den Kunden wichtig. Um die konkreten Erwartungen zu erfüllen, müssen Unternehmen bei der Gestaltung ihres Angebots die Kunden und ihre Bedürfnisse ins Zentrum stellen.

Mehr erfahren
Authentication vs. Authorization with OAuth, Does It Really Matter?
Authentication vs. Authorization with OAuth, Does It Really Matter?

While in the security field the terms authentication and authorization have a clearly defined definition, with the introduction of concepts such as “delegated authorization” ambiguity might arise. However, it seems that we know what we intend and therefore should we even bother with such discussions?

Mehr erfahren
Multi-Project Development Environment Setup<br/>
The Developer’s Nightmare: Multi-Project Development Environment Setup

If you are a developer, you have had to set up your development environment for any of your projects. Database, application server, index, and so on. That might go smoothly… or not. If the first applies, CONGRATULATIONS! And get to work ;) but if not, then welcome to the non-smooth environment setup problem. Even worse, what if you need to have different environments for different projects (e.g. database versions)? And what if you need to reset one, but keep the others untouched?

Mehr erfahren