Ruhr-Uni-Bochum

Die aktuellen Forschungsprojekte in HUB D - Usability

Der Faktor Mensch in der IT-Sicherheit.

Eines der anspruchsvollsten Sicherheitsprobleme ist die Usabilty: Die Kunst, Sicherheitssysteme und –richtlinien so zu designen, dass es für User einfacher ist, sie einzuhalten, als sie zu umgehen. Denn durch die Nicht-Einhaltung entstehen oftmals neue Schwachstellen. In Hub D arbeiten Wissenschaftler*innen an genau dieser Aufgabe.

Benutzer*innen sind keine Feinde

Hub-Leaderin Angela Sasse hat das Gebiet der Usable Security 1999 mit Anna Adams und ihrem gemeinsamen Paper „Users are not the Enemy“ begründet. Die Arbeit verdeutlichte das Problem schlecht implementierter Passwortanforderungen in einem großen Unternehmen und enthielt Empfehlungen für das Design von Systemen und Richtlinien, die es den Benutzern leichter machen, diese zu erfüllen.

"Seitdem haben wir in den letzten 20 Jahren einige Fortschritte hinsichtlich nutzerfreundlicherer Formen der Authentifizierung gemacht", sagt Sasse. "Sie werden noch nicht überall eingesetzt, aber es ist im Gange."

Wie sich herausgestellt hat, sind viele Sicherheitslücken das Resultat von Problemen aufgrund von schlechtem Design – zum Beispiel durch Tools und Dokumentationen, die es Entwickeln erschweren, Sicherheit von vorneherein richtig zu gestalten.

Mangelnder Einsatz von Verschlüsselung

Verschlüsselung ist ein wichtiges Beispiel und der Schwerpunkt eines Projekts innerhalb von Hub D. Obwohl sie eine essenzielle Technologie zur Datensicherheit ist, findet Verschlüsselung noch immer nicht so selbstverständlich Anwendung, wie sie könnte. Das erste Paper, das dieses Problem aufzeigt, ist ebenfalls 20 Jahre alt: Why Johnny Can't Encrypt (PDF), von Alma Whitten und J. D. Tygar.

„Beim Thema Verschlüsselung hat es meiner Meinung nach keine großen Fortschritte gegeben. Wenn es darum geht, wie sie angewendet und von den Menschen genutzt wird, gibt es keine hinreichenden Verbesserungen – und letztendlich bieten Sicherheitsmechanismen, die nicht genutzt werden, keinen Schutz“, sagt Sasse. So würden die meisten E-Mails immer noch nicht verschlüsselt, auch wenn Unternehmen eindeutig davon profitieren würden, weil zum Beispiel die daraus resultierende Authentifizierung viele Phishing-Angriffe blockieren könnte.

Sasse leitet ein Projekt zum Verständnis über den mangelnden Einsatz von Verschlüsselung. Zum Start wird dafür eine Übersicht des Kryptographie-Ökosystems entwickelt, unter Einbeziehung der vielen Stakeholder und Wissenschaftler*innen mit ihren Arbeiten in dem Bereich. "Wir haben versucht, die Kette der Beteiligten bei der Entscheidung für die Nutzung, beim Einsatz und so weiter genau zu betrachten, um Hemmnisse und Förderer der Akzeptanz zu identifizieren."

Eines der ersten Ergebnisse betrifft die Entscheidung, wann eine sichere Kommunikation eingesetzt werden soll. "Sobald man eine spezielle Technologie verwenden muss, ist es bereits zum Scheitern verurteilt. Es wird immer ein zusätzlicher und erschwerender Aufwand sein, der damit verbunden ist. Sogar wenn die Menschen dazu bereit sind, dies auf sich zu nehmen, ist die Wahrscheinlichkeit immer noch hoch, dass sie Fehler machen. Es braucht eine Routine, es muss eine Gewohnheit werden.“

In einem ersten Schritt dieser Arbeit befragt Sasses Gruppe gestandene Forscher*innen zu ihren Erfahrungen und ihrer Meinung zu möglichen Hindernissen. Die eher provokanten Faktoren helfen, diese Konflikte in weiteren Interviews zu entwirren. Außerdem befragt die Gruppe zum einen Unternehmen, die Verschlüsselungs-Software entwickeln und verkaufen, zum anderen unentschlossene Kunden. Somit wollen die Forscher*innen Argumente, Vorurteile und Missverständnisse identifizieren, die angeführt werden, wenn Unternehmen die Einführung ablehnen oder zögern.

Wie Medien und Forschung falsche mentale Modelle erzeugen

Wichtige Erkenntnisse zeichnen sich bereits ab. Erstens sind die behördlichen Umsetzungsvorgaben für Regelungen wie das Bundesdatenschutzgesetz (BDSG) so komplex und ihre Restriktionen so erdrückend, dass Unternehmen davor zurückschrecken, wenn sie nicht gesetzlich dazu verpflichtet sind.

Zweitens zeigt ein Meta-Review der Literatur zur Nutzerfreundlichkeit von Verschlüsselung, dass selbst unter Entwickler*innen - ganz zu schweigen von normalen Benutzer*innen - die mentalen Modelle, wie Verschlüsselung funktioniert, spärlich sind. Erschwerend kommt hinzu, dass immer noch der Irr-Glaube vorherrscht, dass Verschlüsselung leicht zu brechen sei. Zum Teil ist das der Berichterstattung in den Medien und im Forschungsbereich geschuldet, die sich vor allem um das erfolgreiche Brechen dreht – und die die breite Landschaft der soliden funktionierenden Kryptografie überschattet.

Der Eindruck, dass Verschlüsselung leicht zu knacken ist, sei laut Sasse gefährlich, denn "er fördert das Argument der Aussichtslosigkeit, dass die Mühe eigentlich nicht lohnt. Das Verständnis für Ende-zu-Ende-Verschlüsselung ist außerdem besonders gering, so dass viele denken, dass ihr E-Mail-Anbieter oder jeder, der die Software schreibt, sie sowieso lesen kann." Das Projekt beabsichtigt, ein Glossar und einige grundlegende Modelle für die Kommunikation zu erstellen, um diese falschen Vorstellungen zu ändern.

Unklarheit über Entscheidungsprozessen bei Entwickler*innen

Ein weiteres Projekt zusammen mit Sascha Fahl untersucht den Entscheidungs-Prozess von Entwickler*innen bei der Implementierung von Sicherheitsrichtlinien und Schutzmaßnahmen. Überraschend ist, dass es über dieses Gebiet der Grundlagenforschung noch keine wissenschaftlichen oder akademischen Erkenntnisse gibt.

„Wir wissen, wie Sicherheits-Systeme gestaltet sein sollten, damit User besser mit ihnen als mit den meisten heute implementierten Systemen umgehen können“, sagt Fahl. „Innerhalb der Forschungsgemeinschaft wissen wir aber nicht, wie Entwickler*innen Entscheidungen hinsichtlich der Nutzerfreundlichkeit für ihre End-User treffen.“  Wer entscheidet zum Beispiel bei einem gewöhnlichen Anmeldeformular, welche Einschränkungen für die Passwortbildung gelten sollen, und wie wird diese Entscheidung getroffen? Wie werden die Warnmeldungen in Antiviren-Software geschrieben? Wer trifft die Entscheidungen überhaupt: Designer*innen, Entwickler*innen, Produktmanager, User-Experience-Expert*innen? „Der entscheidende Punkt ist, dass aus irgendeinem Grund schlechte Entscheidungen hinsichtlich der Sicherheit in allen möglichen Produkten zu finden sind, aber wir wissen nicht, wie es dazu kommt.“

Der erste Teil des Projekts besteht aus etwa 40 Interviews, um herauszufinden, ob es strukturierte Prozesse in den Lebenszyklen der Softwareentwicklung gibt und wer die Entscheidungen trifft. Basierend auf den Erkenntnissen aus den Interviews wird der zweite Teil darin bestehen, neue Interventionen zu entwerfen und zu erforschen.

Neue Forschung zu Systemprogrammiersprache RUST

In einem dritten Projekt arbeitet Fahl mit Lucas Davi von Hub C. Sie beschäftigen sich mit Software-Sicherheit und erforschen die Ergebnisse der Adaption der zehn Jahre alten Systemprogrammiersprache RUST. RUST sollte die Sprachen C und C++ ersetzen und weniger Schwachstellen bei ähnlicher Laufzeitleistung aufweisen. Das Projekt verfolgt zwei Aspekte: Zum einen will es die Frage klären, ob die Tools und Dokumentation aus Entwicklersicht besser sind und zum anderen, ob der vom System produzierte Code besser ist, indem er permanent Codeanalyse und weitere Techniken nutzt.

Alle diese Projekte zeigen die besondere Rolle von Hub D innerhalb der Grundlagenforschung zur Informationssicherheit. Der Faktor Mensch ist ein wesentlicher Bestandteil der Sicherheit, aber noch zu wenig erforscht. Hier will CASA neue Meilensteine setzen

Weitere CASA-Projekte

Die Arbeiten von Hub D zur Usability sind eines von vier Projekten im Exzellenzcluster CASA - Cyber Security in the Age of Large-Scale Adversaries (CASA). Die anderen drei sind "Kryptographie der Zukunft", geleitet von Eike Kiltz (Hub A); "Eingebettete Sicherheit" geleitet von Christof Paar (Hub B); und "Secure Systems" geleitet von Thorsten Holz (Hub C).

Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.