Braucht IT-Security mehr Psychologie?
Computersicherheit ist nicht allein eine Frage der Logik und Wahrscheinlichkeit, sondern auch der Psychologie. Zumindest wenn man das Thema IT-Security aus Sicht der User betrachtet. Denn „normale Menschen“ denken und handeln anders, als Software-Entwickler theoretisch annehmen.
Wie das menschliche Gehirn mit IT-Security wirklich umgeht, erläuterte der renommierte Computerwissenschaftler Peter Gutmann an der FH Campus Wien. Er plädiert für mehr Psychologie in der IT-Security. Für Gutmann steht eines fest: „Der Verstand von ‚normalen‘ Menschen arbeitet völlig anders als der Verstand von Menschen, die Computersoftware entwickeln.“ Dieser Unterschied führe dazu, dass Entwickler Usern und ihren Umgang mit Security oftmals als „irrational“ und „nicht logisch“ einstuften. Nach wie vor nähmen Entwickler Logik und Wahrscheinlichkeit bei der Entwicklung von Software wichtiger als die Psychologie des menschlichen Gehirns. Dabei biete gerade sie Modelle und Erklärungen dafür, wie User denken und warum sie mit Sicherheitsfeatures und -hinweisen nicht umgehen könnten.
Von Geeks für Geeks
Sicherheitsapplikationen würden „von Geeks für Geeks“ entwickelt. „Entwickler sind sich viel zu wenig darüber im Klaren, dass der oder die durchschnittliche UserIn mit deren Logik nicht zurechtkommt“, sagt Peter Gutmann. Er beschäftigt sich als Computerwissenschaftler seit gut zehn Jahren mit der Bedeutung von Psychologie bei der Entwicklung von Sicherheitssoftware. Seiner Erfahrung nach funktioniere es nicht, die UserInnen zu erziehen. Vielmehr müssten die Entwickler lernen, wie wichtig es sei, die Psychologie des menschlichen Denkens und Handelns bei der Entwicklung von Security-Software mit einzubeziehen.
Psychology meets Security
Anhand mehrerer psychologischer Modelle erklärte Peter Gutmann in seinem Vortrag, warum User mit Security-Software oft nicht umgehen könnten: Menschen treffen Entscheidungen nicht ökonomisch, indem sie anhand logischer Überlegungen aus einer Vielzahl von Möglichkeiten die beste auswählen. Vielmehr entwickeln sie unter Druck und mit unklaren Zielen eine Lösungsmöglichkeit nach der anderen und nehmen dann die erste, die funktioniert (Singuläres Evaluationsmodell). Sie bevorzugen einfache Verfahren, um Probleme zu lösen, und wenden keine hochkomplexen Entscheidungsfindungsprozesse an. Deshalb seien User nicht in der Lage, aus Entwicklersicht „logische“ Entscheidungen in Sachen Security zu treffen.
Menschen reagieren auf Situationen entweder kontrolliert, langsam und überlegend oder automatisch, schnell, wenig überlegt und ohne richtig wahrzunehmen, was sie tun. Aus diesem Grund würden User Warnhinweise automatisch und ohne viel darüber nachzudenken wegklicken. Menschen können plausible Erklärungen finden und glauben auch dann noch daran, wenn sie längst wissen, dass ihre Schlussfolgerungen falsch sind. So fänden User plausible Erklärungen für Phishing-Seiten.
Menschen können negative Informationen schlechter verarbeiten als positive. Und sie nehmen Objekte und Details nur wahr, wenn ihre Aufmerksamkeit darauf gerichtet wurde (Unaufmerksamkeitsblindheit). Dementsprechend seien negativ formulierte Warn- und Sicherheitshinweise für User nur schwer zu verarbeiten und alle Arten von Sicherheitshinweisen (Dialoge, Balken, Toolkits) einfach oft nicht wahrnehmbar.
Von Usern lernen
Peter Gutmann versteht seinen Ansatz als Beitrag zu einer entsprechenden Bewusstseinsbildung bei Entwickler. Er empfiehlt, mehr Nicht-Geeks in die Entwicklung von Security-Software einzubinden: „Um rauszufinden, wie ‚normale‘ Menschen denken und mit Sicherheitshinweisen umgehen, sollten Entwickler beobachten, was User tatsächlich tun und wie sie Sicherheitsfeatures nutzen. Sie sollten User fragen, was sie brauchen. Das wäre ein erster wichtiger Schritt in Richtung mehr Usability im Bereich Computersicherheit.“
Peter Gutmann ist Computerwissenschaftler und forscht am Department of Computer Science an der Universität Auckland in Neuseeland. Er beschäftigt sich mit Computersicherheit und Verschlüsselungsverfahren. Sein Forschungsschwerpunkt liegt im Design und der Analyse von Sicherheitssystemen. Peter Gutmann hat cryptlib, eine plattformübergreifende Open-Source-Verschlüsselungssoftware, entwickelt und ist Mitentwickler des Verschlüsselungsprogramms PGP2.0. Er ist Autor zahlreicher einschlägiger Fachpublikationen. Peter Gutmann ist der Erfinder der 1996 erstmals veröffentlichten und nach ihm benannten Gutmann-Methode zur vollständigen Löschung von Daten auf elektronischen Speichermedien.
Peter Gutmann war kürzlich zu Gast im Kompetenzzentrum für IT-Security an der FH Campus Wien und hat im Rahmen der Veranstaltungsreihe „Campus Lectures“ einen Vortrag zum Thema „The Psychology of Computer Insecurity“ gehalten.
IT-Security an der FH Campus Wien
Das Kompetenzzentrum für IT-Security an der FH Campus Wien forscht und entwickelt – in Zusammenarbeit mit Unternehmen – neue Lösungsansätze zur abhör- und manipulationssicheren Datenübertragung. Forschungsschwerpunkte sind Kryptographie auf Constraint Devices bzw. Embedded Systems, Searchable Encryption und Sicherheit kryptographischer Protokolle.
Von den Forschungsergebnissen im Kompetenzzentrum für IT-Security profitieren unmittelbar auch die Studiengänge im Fachbereich Informationstechnologien und Telekommunikation, allen voran das berufsbegleitende Masterstudium IT-Security. Es bildet Studierende in vier Semestern zu SpezialistInnen für technische Sicherheitsaspekte oder den „Sicherheitsfaktor Mensch“ aus. Die Bewerbungsfrist läuft bis 31. Juli 2016. Mehr dazu hier
