Cybersicherheit

Prof. Dr. Matthew Smith: »Macht der Mensch Fehler, war die Technologie nicht gut genug.«

Interview / 17.10.2016

IT-Schutz funktioniert nur dann zuverlässig, wenn er sich am Menschen orientiert. Denn meist hat dieser weder Lust noch Zeit, sich durch unverständliche Informationen zu wühlen – und vertraut darauf, dass schon nichts passieren wird. Prof. Dr. Matthew Smith arbeitet mit seinem Team am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE daran, IT-Sicherheit anwendbarer zu machen.

© Foto Universität Bonn

Professor Smith, wie wollen Sie IT-Sicher­heit einfacher gestalten?

Sicherheitstechnologien werden in der Praxis häufig fehlerhaft bedient oder gleich ganz umgangen. Ein Großteil der Sicherheitsforschung beschränkt sich da­bei auf die technologische Seite – wenn der Mensch Fehler bei der Anwendung macht, dann war der Mensch nicht gut genug. Wir verfolgen mit »Usable Secu­rity« den entgegengesetzten Ansatz: Macht der Mensch Fehler, war die Tech­nologie nicht gut genug. Bei uns steht also der Mensch im Mittelpunkt.

Wie gehen Sie dabei konkret vor?

Im ersten Schritt wollen wir herausfinden, wo die Probleme liegen. Dazu holen wir Menschen in unser Labor und beobachten, wie sie Sicherheitstechnologien anwen­den. Welche Probleme haben die Nutzer damit? Wo tauchen Fragen auf? Diese Stolperfallen beheben wir und nehmen der Technologie ihre Komplexität. Auch spezielle Wünsche der Nutzer setzen wir um. In einem letzten Schritt testen wir unsere Entwicklung in einer Studie.

Wie profitiert der Nutzer davon?

Nehmen wir zum Beispiel Apps auf dem Smartphone. Sie können zum Teil auf Adressbuch und Bilder zugreifen, den Aufenthaltsort des Geräts bestimmen und ähnliches. Üblicherweise haben die Nut­zer nicht im Blick, welche Daten für die App freigeschaltet werden. Und wollen sie es doch herausfinden, sind die Informationen so komplex, dass sie schnell wieder aufgeben. Wir haben für Android ein System entwickelt, das den Nutzern konkrete Hinweise gibt – etwa »Diese App kann auf deine Bilder zugreifen und sie löschen«. Eine Untersuchung zeigte: Nutzer, die unsere Lösung verwenden, installieren deutlich häufiger sichere Apps als eine Vergleichsgruppe ohne unsere Technologie. Sprich: Die Anwender kön­nen besser einschätzen, welche Apps auf welche Daten zugreifen und können ent­sprechend reagieren. Zudem sinken die Risiken für eine Fehlbedienung.

Woran forschen Sie momentan?

Während die klassische »Usable Security«-Forschung den Anwender im Blick hat, konzentrieren wir uns seit einiger Zeit auf die Experten. Schließlich sind sie ja auch Menschen – nur sind ihre Fehler deutlich gravierender als die der Nutzer. Dieser Ansatz trägt viele Früchte. Ein Beispiel: Entwickler von Apps schützen die Kommunikation ihrer Anwendungen durch Verschlüsselung gegen Angriffe. Aber bei fast jeder fünften App war dieser Schutz unzureichend. Angreifer hätten also Kre­ditkartennummern oder Bankdaten der Anwender abgreifen können. In einer Studie mit den App-Entwicklern haben wir die Ursachen der Fehlerquellen aufgedeckt und eine entsprechende Lösung erarbeitet: Sie vereinfacht den Entwick­lungsprozess deutlich, die gängigen Feh­ler in der Programmierung treten nicht mehr auf.

Wann kommt Ihre Technologie auf den Markt?

Google hat unseren Ansatz jetzt in And­roid-N integriert. Auch Studien mit Exper­ten, die sich auf Schadsoftware konzentrieren, zeigen: Die Nutzbarkeit – sowohl für User als auch für Experten – ist ein unglaublich wichtiges Thema. »Usable Security« kann vieles leisten, weil sie den Menschen als gleichwertigen Partner betrachtet.