spektrum.de, 14. August 2013 - Link
Selbst nach den Enthüllungen um das US-Geheimdienstprogramm Prism schützen nur wenige Bürger ihre Daten. Woran liegt das? Informatiker kritisieren auch ein Versagen ihrer eigenen Zunft: Viele Sicherheitsprogramme ignorieren die Eigenheiten der Menschen.
Seit den Enthüllungen des ehemaligen NSA-Mitarbeiters Edward Snowden weiß die Welt, dass US-amerikanische und britische Geheimdienste unsere E-Mails, Suchanfragen und Onlinekäufe mitlesen, registrieren, speichern und auswerten. Auch in Deutschland empören sich Politiker und Datenschützer über das nahezu lückenlose Überwachungsprogramm unserer Verbündeten. Nur die ganz normalen Internetnutzer bleiben erstaunlich gelassen. Private E-Mails verschlüsseln? Fehlanzeige. Selbst viele Firmen verzichten darauf, ihre Korrespondenz zu codieren.
Computerspezialisten schütteln über diese Sorglosigkeit nur die Köpfe. Dabei gibt es genügend technische Möglichkeiten, mit denen die Datensammelwut der staatlichen Schnüffler zumindest gebremst werden könnte. Warum also nutzen die Menschen diese Expertise nicht? Für Albrecht Schmidt, Professor am Lehrstuhl für Mensch-Computer-Interaktion der Universität Stuttgart, ist die Antwort naheliegend: „Die meisten Vorschläge von Experten sind viel zu komplex.“
Manche seiner Kollegen glauben, dass Internetnutzer, die nicht mal eine halbe Stunde in ihre Sicherheit investieren, selbst schuld sind, wenn sie ausgespäht werden. Albrecht Schmidt ärgert sich über solche Argumente. Das sei der komplett falsche Blick auf die Situation. „Aus Informatiker-Sicht ist alles immer ganz einfach, leider geht bei der Entwicklungsarbeit oft der Blick auf den Anwender verloren – und der sollte bei der Sicherheitsforschung im Mittelpunkt stehen“, so Schmidt.
Wirkungsvoller Schutz muss menschliche Eigenheiten berücksichtigen
Zwar ist das Verschlüsseln von Mails „nicht ganz einfach“, wie Schmidt betont, aber mit ein wenig Übung durchaus auch für Laien machbar. Dennoch ist die Hürde offenbar noch zu hoch. Der Informatiker erklärt das mit einem Vergleich: „Vermutlich könnten die meisten Menschen auch einen Anschnallgurt ins Auto einbauen, wenn sie alle Teile geliefert bekämen.“ Trotzdem würde das keiner selbst machen. Deshalb werden Fahrzeuge bereits mit eingebauten Sicherheitsvorkehrungen geliefert: weil es gesellschaftlicher Konsens ist, dass für die Sicherheit die Autohersteller zuständig sind. Das wäre auch für Kommunikationssysteme wünschenswert, so Schmidt – und technisch machbar.
Natürlich gebe es bereits Sicherheitsvorrichtungen. Doch die bleiben reine Theorie, solange die User zu bequem oder vertrauensvoll sind. Ein wirklich wirkungsvoller Schutz müsse diese menschlichen Eigenschaften berücksichtigen, fordert Schmidt.
Auch der Wissenschaftler Alexander De Luca vom Institut für Informatik der Ludwig-Maximilians-Universität München diskutiert derzeit viel mit seinen Kollegen über die Folgen von Prism – beziehungsweise über die ausbleibenden Konsequenzen. Liegt es daran, dass vielen Bürgern nicht klar ist, wie man ihre Daten zweckentfremden kann? Doch das Versäumnis liegt aus seiner Sicht nicht auf Seiten des Verbrauchers: „Private Daten und die dahinter liegenden technischen Vorgänge sind ein ganz abstraktes Konzept“, sagt er, „so komplexe Vorgänge muss nicht jeder verstehen – schließlich weiß auch nicht jeder Autofahrer, wie ein Dieselmotor funktioniert.“ Er sieht es als die Aufgabe seines Berufsstandes an, die Bürger zu schützen.
Der Mensch scheitert an banalen Sicherheitsfragen
Der Schutz gegen Geheimdienstspitzelei im Netz ist das eine: Viele Menschen scheitern aber schon an ganz banalen Sicherheitsfragen wie der Wahl eines sicheren Passwortes für ihre Online-Einkäufe. Alexander De Luca kennt die Gewohnheiten des „Otto-Normal-User“ in Sachen Privatsphäre besser als kaum ein anderer: Seit vielen Jahren beschäftigt er sich mit Authentifizierungsmethoden: dem alltäglichen Schritt, mit dem Nutzer ihre Daten schon heute sichern. Das sind meist Passwörter oder PINs, die Smartphones und Computer entsperren oder Zugang zu Nutzerkonten im Internet gewähren. De Lucas zentrale Erkenntnis: Das Verständnis für die Notwendigkeit von Sicherheitsmaßnahmen ist oft sehr gering. Viele halten beim Geldabheben nicht einmal die Hand über das Eingabefeld des Geldautomaten, wie eine seiner Studien ergab. „Dabei ist der Geldautomat einer der unsichersten Plätze überhaupt“, erklärt er: Dort ist unser Konto 24 Stunden am Tag zugänglich, gesichert mit einer leicht zu knackenden vierstelligen PIN, die insgesamt nur 10.000 mögliche Kombinationen zulässt.
Authentifizierung betrifft nicht nur Geldautomaten, sondern in wachsendem Maße Smartphones oder Tablet-PCs. „Je heikler die Daten sind, desto schlechter sind sie oft geschützt“, hat De Luca herausgefunden. Denn weder die Bank noch Facebook möchten ihre Kunden vergraulen, weil die Vorgaben für Passwörter zu streng sind. Eine hohe Benutzerfreundlichkeit erkaufen die Internetkonzerne mit miserabler Sicherheit.
Vielleicht ist die Suche nach sicheren Passwörtern überhaupt der falsche Ansatzpunkt. „Sicherheitstechnik wurde lange von Leuten entwickelt, die nur die mathematische Seite gesehen haben“, sagt Albrecht Schmidt. Aber niemand kann sich eine lange Zufallskombination aus Zahlen, Buchstaben und Sonderzeichen merken. Wer gezwungen wird, solche Passwörter zu verwenden, schreibt sie sich auf, klebt sie mit einem Notizzettel unter die Tastatur, schickt sie sich selbst per Googlemail oder speichert sie im Handy – und macht sie damit quasi nutzlos.
Die Informatik wird kreativ
Lange Zeit hatte die Informatik für dieses Dilemma keine Lösung und schien zu kapitulieren. Sicherheit schien sich mit den Eigenheiten der Menschen nicht vereinbaren zu lassen. Dabei wächst der Bedarf an sicheren Authentifizierungsmethoden unter anderem mit der Zahl der Smartphones. Gerade diese Geräte werden oft in der Öffentlichkeit entsperrt und sind dafür unzureichend geschützt: Eine PIN oder das Display-Muster der Android-Geräte, bei dem der Nutzer bis zu neun Punkte miteinander verbinden muss, können Diebe beispielsweise in öffentlichen Verkehrsmitteln mit einem einfachen Blick über die Schulter ausspähen. „Die Gefahr ist gewachsen, seit es in jedem Telefon eine kaum sichtbare Kamera gibt", sagt Schmidt.
Interessant sind also Identifizierungsmethoden, die nicht so einfach auszuspähen, aber einfach und schnell anwendbar sind. Dieses angebliche Paradoxon hat Informatiker in den vergangenen Jahren herausgefordert. In den Laboren der Universitäten werden erstaunlich kreative Lösungen getestet. De Luca hat beispielsweise eine biometrische Art der Mustererkennung für Android-Geräte entworfen, bei der nicht nur das gezeichnete Muster, sondern auch die Geschwindigkeit und die Art der Eingabe ausgewertet wird: selbst wenn der Dieb das Muster kennt, entsperrt sich das Gerät nicht. Auch die Rückseite der Geräte ist ins Blickfeld der Münchener Forscher geraten: Sie ist häufig für Außenstehende schlechter einzusehen als die Vorderseite. Nutzer können dort ihre PIN eingeben oder das Muster zeichnen, so die Idee. Auch Systeme, die ungewöhnliches Verhalten ihres Nutzers erkennen und sich dann selbst sperren, werden aktuell erforscht. In Stuttgart wird unter anderem an Authentifizierung über die Verfolgung der Augenbewegungen (Eyetracking) geforscht: Der Blick des Nutzers ist schwierig auszuspähen.
Der Münchener Informatiker Emanuel von Zezschwitz ist überzeugt, dass die klassischen Passwörter aus Buchstaben und Zahlen bald der Vergangenheit angehören werden. „Seit 20 Jahren gibt es diese Methode, seit 15 Jahren kritisieren sie Experten und seit zehn Jahren sucht man nach Alternativen.“ Erst jetzt erforschen Wissenschaftler praktikable, nutzerfreundliche Möglichkeiten. Ähnlich könnte es künftig bei den Verschlüsselungstechniken funktionieren: Um sie massentauglich zu machen, muss in die Wissenschaft investiert werden. „Man könnte Verschlüsselung sogar so programmieren, dass der User nichts davon merkt“, sagt de Luca, „aber es gibt momentan offenbar keinen Markt dafür.“ Denn eine gute Verschlüsselung ist arbeitsintensiv zu entwickeln und obendrein rechenaufwendig.
Sicherheit ist nicht effizient
Dieses Phänomen beschäftigt derzeit auch den Erlanger Informatiker Felix Freiling: Sicherheit ist nicht effizient. Dabei liegt das Problem seiner Meinung nach im Selbstverständnis seiner Fachrichtung. Der Professor für IT-Sicherheitsinfrastrukturen ärgert sich über die „Schmutzeffekte der Informatik“, wie er sagt: Programme und Anwendungen aller Art speichern Daten auf den Festplatten der Nutzer, löschen sie aber hinterher nicht wieder. „Wir haben uns immer nur um Schnelligkeit und Effizienz geschert, aber nie um die Datensparsamkeit unserer Systeme“, sagt er selbstkritisch. Denn das Löschen dieser Daten benötige Rechenkapazität und mache die Programme möglicherweise langsamer. „In der gesamten Programmierausbildung wird nicht vermittelt, dass man angefallene Daten löschen oder überschreiben sollte.“
Freiling untersucht aktuell im Rahmen eines DFG-Projekts solche Spuren auf Festplatten. Zusammen mit seinen Kollegen versucht er, darin Muster zu erkennen, um rekonstruieren zu können, welche Programme und Anwendungen der Besitzer genutzt hat. Das ist interessant für die Verfolgung von Straftätern, zeigt aber im Umkehrschluss auch, was unsere Festplatten alles über uns verraten. Das Unheimliche dabei: Selbst für Informatiker sind diese Datenspuren offenbar ein unübersichtliches Durcheinander. „Wir können erst 20 Prozent aller Spuren zuordnen, die auf einer Festplatte existieren“, sagt Freiling. Der Nutzer ist dabei nahezu machtlos: Das einfache Löschen, sogar das Formatieren der Festplatte hilft nichts gegen solche Spuren. Freiling selbst würde deshalb nie eine gebrauchte Festplatte verkaufen, selbst wenn er alles nach bestem Wissen gelöscht hat.
Soziale Kontrolle im Netz muss sich etablieren
Sei es die Forschung für eine nutzerfreundliche Sicherheit oder die Reinigung der Informatik von ihren Schmutzeffekten: Das alles geht in die richtige Richtung, findet Albrecht Schmidt. „Aber schnelle Lösungen wird es nicht geben“, warnt er vor falschen Erwartungen: Die Digitalisierung habe zu einem gesellschaftlichen Umbruch geführt, der viele offene Fragen hinterlassen habe, beispielsweise: Was für eine Sicherheit wollen wir als Gesellschaft? „Wenn ich mir diese Frage fürs Digitale anschaue, sind wir noch bei der Idee: Ich baue mir ein Haus, das so sicher ist, dass mich niemand angreifen kann.“ Das wäre dann ein Haus ohne Fenster, umgeben von einem Minensystem, eine Festung. Tatsächlich zieht niemand einen Burggraben um sein Eigenheim, wir schützen uns mit Fenstern aus zerbrechlichem Glas, in vielen Gärten liegen zudem Werkzeuge herum, mit denen ein Dieb die Fenster einschlagen könnte. Trotzdem fühlen wir uns nicht bedroht, die Zahl der Einbrüche ist nicht Besorgnis erregend. „Es geht um das Gesamtsystem“, erklärt Schmidt: Ein Dieb muss fürchten, von Nachbarn entdeckt zu werden oder im Gefängnis zu landen. So etwas wie soziale Kontrolle, Ethik und letztlich eine Art Rechtssystem – das muss sich in der digitalen Welt erst noch etablieren.
Das Argument, dass sich globale Internetfirmen nicht auf deutsche Forderungen einlassen werden, lässt Schmidt dabei nicht zählen. „Deutschland ist beispielsweise für Google ein extrem wichtiger Markt.“ In keinem anderen Land hat das Unternehmen eine solche Dominanz bei Suchmaschinen. Mit dem politischen Willen gäbe es aus seiner Sicht durchaus die Möglichkeit, solche Firmen zu Zugeständnissen zu bringen. Er hält es beispielsweise für denkbar, dass Mailprovider nur verschlüsselte Mails annehmen dürfen.
Aber wie auch immer die Lösung konkret aussehen wird: Am Ende wird ein System stehen, das so sicher ist, wie es die verschiedenen Teile der Gesellschaft es untereinander verhandelt haben. Das ist am allerwenigsten ein technisches Problem. Und dieses System wird dann so selbstverständlich sein wie der Sicherheitsgurt im Auto – und hoffentlich ebenso einfach anzuwenden.
von Eva Wolfangel