Sicherheit und Nutzbarkeit – der ewige Konflikt oder Frieden in Sicht?

„Der sicherste Computer der Welt hat keine Netzwerkzugänge, keine User und liegt in einer Kiste begraben“ – diesen Ausspruch hört jede IT-Sicherheitsexpert:in innerhalb der ersten fünf Tage nach dem Berufseinstieg von Vorgesetzten. Wie sich Nutzbarkeit und Sicherheit im IT-Betrieb dennoch miteinander verbinden lassen, ist mittlerweile eine Diskussion, welche beinahe philosophische Ausmaße annimmt. In diesem Blog-Beitrag wollen wir die Herausforderungen aufzeigen, vor denen nur auf Sicherheit und nicht auf Nutzbarkeit getrimmte IT-Umgebungen die User stellen. Weiterhin wollen wir einige Vorschläge unterbreiten, wie die Frustration der User bei angemessenen Sicherheitsmaßnahmen vor dem Überkochen bewahrt werden kann.

Neben dem Einsatz von Security Tools ist ein rigoroses Patch Management ein Kernbaustein zum Schutz vor Hacking-Angriffen. Gutes Timing ermöglicht es dem IT-Security Team, die Patches dann einzuspielen, wenn die meisten User gerade nicht arbeiten (sollte die Installation beispielsweise einen Neustart der Maschinen erfordern). Weiterhin bietet es sich an, non-invasive Technologien zu nutzen, um den Usern Interaktionen mit Sicherheitsmechanismen zu ersparen. Ein Beispiel hierfür ist die Abschaffung von Captchas durch Google und die Einführung von „reCAPTCHA“. Das System erkennt menschliche User nicht durch das Markieren von Ampeln und Zebrastreifen auf verpixelten Bildern, sondern durch die Identifikation von typisch menschlichem Verhalten auf Websites. Hierzu gehören Faktoren wie Cursor-Bewegungen und verstrichene Zeit zwischen Klicks.

Der erste Schritt in Richtung Versöhnung von Sicherheit und Nutzbarkeit ist also, Sicherheitsmaßnahmen außerhalb der Wahrnehmung von Usern vorzunehmen. Wie man es dreht und wendet wird dies aber nicht bei allen Vorgängen möglich sein. Um den Schutz der Systeme sicherzustellen, werden sich Nutzende an diversen Punkten authentifizieren müssen. Hierbei kann der Ansatz von risikobasierter Authentifizierung hilfreich sein, um zu bestimmen, welcher User für den Zugriff auf bestimmte Daten Hürden in Form von Sicherheitsmaßnahmen überwinden muss. Je nach Aktionspotenzial des Users nach der Authentifizierung sind vorhergehend proportional hohe Sicherheitsmechanismen einzusetzen. Bei hochprivilegierten Nutzer:innen oder dem Zugriff auf sensitive Daten müssen entsprechend höhere Anforderungen, wie Multifaktor-Authentifizierung mit Hardware-Tokens genutzt werden. So werden nur die Nutzer mit Reibung durch IT-Security konfrontiert, bei denen ein Account-Highjacking oder anderer Missbrauch zu schwerwiegenden Konsequenzen führen könnte.

Sicherheitsexpert:innen sind schnell darin, dem DAU Unfähigkeit zu unterstellen, und ihm so viele Leitplanken und Sicherheitsmechanismen wie möglich vorzusetzen.  Aber eine Beschäftigten mit einem guten Verständnis über IT-Sicherheit und der Notwendigkeit von Schutzmaßnahmen kann ein mächtiges Werkzeug in der Abwehr von Cyberattacken sein. Kommunikation über den Sinn von Maßnahmen führt in vielen Bereichen zu weitgehender Akzeptanz durch die Nutzer:innenbasis. Das beste Beispiel hier ist jegliche Art von Online-Transaktionen, sei es Online-Banking oder die Nutzung von Webshops. Sobald Geld fließt, sind User bereit, Multifaktor-Authentifizierung zu nutzen. Das Bewusstsein über den Sinn von Sicherheitsmechanismen ist der erste Schritt in Richtung Akzeptanz. Hierfür muss klar kommuniziert werden, dass IT-Sicherheit dem Unternehmenserhalt dient. Die Sicherheit ist hierbei nicht als reines IT-Problem zu verstehen, sondern auch als Geschäftsproblem, bei welchem alle Beschäftigten ihren Teil zu beitragen können.  Zur Kommunikation zwischen IT-Security und Usern gehören Feedback-Schleifen in beide Richtungen. Bei Rollouts von neuen Sicherheitsmechanismen für kleine Testgruppen von Beschäftigten muss neben der Sicherheit auch die Nutzbarkeit besprochen werden. Sollten die Tester:innen angeben, dass die neue Maßnahme zu viel Reibung erzeugt, besteht das Risiko des Ausweichens auf Schatten-IT. Man muss eben die Sorgen der User ernst nehmen, um die Nutzer:innenbasis nicht zu verlieren. Insbesondere bei Schnittstellenkommunikation zwischen IT-Abteilungen und Nutzer:innen sowie C-Level Management, welches von einigen Änderungen der IT-Sicherheitsarchitektur überzeugt werden muss, kann das Team von COMPLION  aus jahrelanger Erfahrung berichten. Die Akzeptanz der Nicht-IT ist ein wichtiger Baustein des Gesamtbauwerkes „IT-Sicherheit“.

Zu viel Reibung erzeugt Frust und Umgehung von Sicherheitsmaßnahmen durch die Nutzer:innen. Die Vermeidung von Konfrontation zwischen User und Sicherheitsmechanismus kann einen großen Teil zum Burgfrieden beitragen. Eine angemessene Nutzung von reibungserzeugenden Maßnahmen, wie (Multifaktor) Authentifizierungen, ist für die Gewährleistung der Systemintegrität jedoch nicht wegzudenken und wird weiterhin ein essenzielles Mittel der Absicherung gegen Cyberattacken dienen. Die Einbindung der Nutzer:innen in die Einführung von neuen Sicherheitsmechanismen und der Einbezug von Nutzerfreundlichkeit als Kriterium für die Entwicklung neuer Policies und Tools können zu weitreichender Akzeptanz von einem gewissen Maß an Reibung im Unternehmen führen. Hand in Hand arbeitet es sich eben besser und sicherer.

Verfasser: Tobias Philipsen