03. April 2017

Warum Security ohne Usability zu Fehlern führt!

Security 750x410

Neue regulatorische Anforderungen wie PSD2 und GDPR, sowie die ansteigende Bedrohung durch Cybercrime haben das Thema Security ganz oben auf die Agenda gesetzt. Kritisch ist aber, wie diese erhöhten Security-Anforderungen umgesetzt werden. Ungenügende Security macht angreifbar, andererseits kann schlecht umgesetzte Sicherheit zum Business-Killer werden.

Noch immer nimmt die Zahl an Cyberattacken exponentiell zu. Und dies nicht nur durch kriminelle Organisationen, sondern zunehmend auch durch Regierungen und Geheimdienste. Nun mag nicht jedermann Ziel einer Spionageüberwachung werden, allerdings erhöht sich durch die Einmischung der Geheimdienste auch das Arsenal an Angiffswerkzeugen. Das CIA Hacking Tools Arsenal Vault 7 beweist dies eindrücklich.

Es besteht Handlungsbedarf. Doch wie geht man diese Herausforderung korrekt an?

Menschliches Fehlverhalten als Hauptursache von Cyberangriffen

Es fällt auf, dass das Thema Security oft als eine rein technologische Debatte geführt wird. IT Fachleute, Netzwerkspezialisten und Mathematiker streiten sich um neuste Kryptographieverfahren und statistische Wahrscheinlichkeiten. Dabei wird oft vergessen, dass Cyberangriffe in nahezu allen Fällen direkt oder indirekt über den Benutzer erfolgen.

Das gesamte Spektrum von Viren, Trojanern, Phishing bis hin zu Brute Force Attacken mit Passwort Guessing - allesamt basieren sie in ihren Grundkonzepten auf menschlichem (Fehl)verhalten. Die Schuld für dieses Fehlverhalten den Benutzern zuzuschieben oder sie gar mit zusätzlichen „Schutzmechanismen“ wie z.B. längeren Passwörtern mit komplexen Regeln zu bestrafen ist offensichtlich wenig zielführend.

Das Resultat sind Passwörter, die sich Benutzer unmöglich merken können, aber für Computer relativ einfach zu erraten sind. Das menschliche Gehirn behilft sich in solchen Fällen mit nur allzu gut bekannten Eselsbrücken. Beispiele dafür sind wichtige Daten, Jahreszahlen, Eigennamen, Weinsorten usw. Eine Erhöhung der Passwortlänge macht dann aus einer Jahreszahl 17 einfach ein 2017.

Der Versuch, solche Eselsbrücken zu unterbinden führt letztlich dazu, dass Passwörter niedergeschrieben werden müssen. Oft wandern die Passwörter dann ins Telefonverzeichnis oder finden sich übersichtlich in einer zentralen Datei in einem Cloud Service wie Dropbox oder Google Drive.

Noch weit schwerwiegender ist aber die Tatsache, dass übermässige Hindernisse und unsinnige Regeln sich als Business-Killer erweisen können. Bestes Beispiel hierfür ist das aus Usability Sicht schlecht gemacht 3D-Secure Verfahren im Kreditkartengeschäft.

Die Registrierungsprozesse sind nur minimal geführt, äusserst fehleranfällig und erlauben keinerlei Toleranz. So führt eine Verwechslung von Karten- und Kontonummer genauso zu Fehlern, wie auch eine nur geringe Abweichung der Schreibweise des Karteninhabers. Schlimmer noch, nach drei Fehlversuchen – selbst mit unterschiedlichen Ursachen - ist Schluss und ein Anruf beim Call Center unumgänglich. Hat man diese Hürde gemeistert, wird man mit Passwortregeln konfrontiert, die selbst hierfür spezialisierte Programme vor unlösbare Probleme stellen.

Sofern der Kunde eine für ihn komfortablere Alternative hat, wird er mit hoher Wahrscheinlichkeit auf diese ausweichen. Eindrücklicher Beweis hierfür ist PayPal mit einem Jahresumsatz von Mittlerweile über 10 Milliarden Dollar.

PayPal nimmt bei der Usability eine Vorreiterrolle ein

Die Strategie von PayPal ist offensichtlich – Usability, Bequemlichkeit und einfache Integration sind die Schlüsselelemente. Dabei wird die Sicherheit keineswegs vergessen. Käufern und Verkäufern wird ein umfangreiches Schutzpaket angeboten und das bei erstklassigem Service. Wie ist so etwas möglich? Wie kann sich PayPal selbst vor Cyberattacken und traditionellem Betrug schützen?

Möglich wird dies durch ein breit angelegtes Netz von Validierungen für jede einzelne Transaktion. Dies ist an sich nichts neues, jede grössere Bank hat hierfür Fraud Detection Systeme im Einsatz, welche die Geschäftstransaktionen validieren. Banken plausibilisieren ihre Transaktionen aber einzig auf Basis des Business-Kontexts.

Technische Validierungsstrategien mit enormem Potential

Anders PayPal und andere moderne Internet Service Anbieter. Hier wird vorwiegen der Internet Connectivity Kontext betrachtet. So werden Verfahren zu Wiedererkennung das Kundengarätes zusammen mit Information zu den Netzwerkverbindungen ausgewertet. Werden verdächtige Verbindungen erkannt, erfolgt eine weitergehende Analyse mit aktuellsten Information von bekannten Angriffsrechnern oder Phishing Attacken. Last but not least wird der Kunde in die Validierung miteinbezogen, indem er über laufende Transaktionen informiert wird.

In einer solchen technischen Validierungsstrategie steckt ein enormes Potential. Aus Sicht des Angreifers bedeutet dies, dass keine „zentralen“ Angriffsrechner erfolgreich verwendet werden können. Will ein Angreifer unentdeckt bleiben, muss der Angriff erheblich besser verschleiert werden, was wiederum zu einem markant höheren Ressourcenbedarf führt. Zudem müssen für einen erfolgversprechenden Angriff weit mehr Information über den Kunden ausspioniert und aufbereitet werden.

Alles in allem wird ein signifikant höherer Aufwand erforderlich, bei gleichzeitig höherem Risiko frühzeitig erkannt zu werden. Kurzum, der Business Case für einen Cyberangriff wird erheblich erschwert. Aber das vermutlich bemerkenswerteste Resultat ist, dass dies alle ohne aktives Zutun des Benutzers möglich ist. Damit ist bestmögliche Usability gewährleistet.

Gut gewappnet für die Zukunft mit innovativen Lösungen und Usability First

Wie hilft nun aber diese Erkenntnis auch kleineren Unternehmen mit aktuellen Security-Herausforderungen umzugehen? Kann zum Beispiel ein mittelständisches Unternehmen mit PayPal und Co. Schritt halten?  Die gute Nachricht ist ja, durchaus, sofern man die Bereitschaft mitbringt, sich von alten, eingetreten Pfaden wegzubewegen.

Der Security-Markt befindet sich im Umbruch und alte, eingesessene Technologien werden in Frage gestellt. Neue Hersteller und Industriekonsortien drängen mit innovativen Ideen und Produkten auf den Markt. Stellvertretend wäre hier die Fido Alliance zu nennen, welche sich als Standardisierungsgremium zwei grosse Ziele gesetzt hat. Da wären einerseits die Abschaffung bzw. der Ersatz von Passwörtern durch biometrische Verfahren. Zum andern werden Technologien und Protokolle spezifiziert, welche erschwinglich sind und dank einfachster Anwendbarkeit Benutzerfehler weitgehend ausschliessen sollen. Dank moderner asymmetrischer Verschüsselungsverfahren und eingebautem Schutz vor Phishing ist der FIDO U2F Standard gängigen One Time Password Token Lösungen weit überlegen.

Noch weit grösseres Potential hat allerdings ein ganz anderes Token. Steve Jobs hatte einmal gesagt „die beste (Foto)Kamera ist diejenige, die man dabei hat“. Übersetzt bedeutet dies, dass unsere Smartphones dem idealen Hilfsmittel zur Authentisierung des Inhabers sehr nahe kommen. Ganz besonders dann, wenn moderne Hardware Kryptographie Chips genutzt werden können, so wie dies bei der neusten Android Gerätegeneration der Fall ist. Allerdings ist hierbei die technologisch korrekte Umsetzung Voraussetzung. SMS basierte mTAN Lösungen, welche auf Technologien aus dem letzten Jahrtausend zurückgreifen, sind trotz ihrer Popularität nur bedingt geeignet.

Unternehmen, welche bereit sind Usability First konsequent umzusetzen und „keine“ Risiken einzugehen, können doppelt profitieren. Der Dank ihrer Kunden ist ihnen genauso sicher, wie die Gewissheit, auf die aktuelle Bedrohung durch Cybercrime gut gewappnet zu sein. Bedingung ist jedoch die Bereitschaft, sich auf neue, innovative Lösungen einzulassen.


Harald Böttcher
Harald Böttcher

Harald Böttcher arbeitet seit 2009 bei ti&m als Principal und verantwortet den Fokusbereich Security. Zuvor war er als Solution Architect und Teamleiter in verschiedenen Unternehmen tätig und blickt auf eine 20-jährige Erfahrung im Consulting zurück. Sein Studium als El. Ing. HTL, Betriebsingenieur ISZ/SIB absolvierte er an der Hochschule für Technik in Zürich.

Ähnliche Artikel

Why Large Companies Need Small Garages
Why Large Companies Need Small Garages for Their Digitization Initiatives

Many established companies face the challenge of digitization and possible disruption by innovative startups or new market entrants.

Mehr erfahren
Karin_Mathys_lead
Die digitale Transformation verändert Verhalten und Erwartungen der Kunden

Nach und nach verlagern sich Teile der Customer Journey in den digitalen Kanal. Trotzdem bleibt die persönliche Beratung für den Kunden wichtig. Um die konkreten Erwartungen zu erfüllen, müssen Unternehmen bei der Gestaltung ihres Angebots die Kunden und ihre Bedürfnisse ins Zentrum stellen.

Mehr erfahren
MAC Token Profile: the Never-Ending Battle over Signatures<br/>
MAC Token Profile: the Never-Ending Battle over Signatures

Mehr erfahren
Self-Sovereign 750x410
Self-Sovereign Identity in der Blockchain

Mehr erfahren
Sehnsucht Digitalisierung 750x410
Sehnsucht Digitalisierung

Mehr erfahren