Technology Review 10/2015
Lange Zeit galten Sicherheit und Nutzbarkeit unter Informatikern als unvereinbar. Dabei muss man nur den Menschen und seine Stärken ernst nehmen.
Mantra eines Informatikers: „Lieber Nutzer, bitte verwende ein möglichst komplexes Passwort aus Buchstaben, Zahlen und Sonderzeichen, und nutze keinesfalls das Gleiche für verschiedene Dienste!“ Lieblingsreaktion des Durchschnitt-Nutzers: „Ok, dann nehme ich 123mail für den Mailaccount und 123ebay für Ebay, 123amazon für Amazon.“ Kein Wunder, dass manch ein Informatiker kapituliert. Aber das ist falsch, findet Emanuel von Zezschwitz von der Ludwig-Maximilians-Universität München: „Man könnte sagen: die Leute brauchen keine Sicherheit, wenn sie keine wollen, aber damit dürfen wir uns nicht zufrieden geben.“ Das Problem liegt woanders, ergänzt Albrecht Schmidt vom Lehrstuhl für Mensch-Computer-Interaktion der Universität Stuttgart: „Sicherheit wurde lange von Leuten entwickelt, die nur die mathematische Seite gesehen haben.“ Nur kann sich kaum jemand komplexe Passwörter merken: „Mit dem Menschen im System gibt es keine absolute Sicherheit.“ Wer die menschlichen Fähigkeiten mitdenkt, kann die Sicherheit enorm erhöhen, betont Matthew Smith, Leiter der Arbeitsgruppe Usable Security and Privacy an der Uni Bonn: „80 Prozent gelebte Sicherheit sind besser als 100 Prozent Sicherheit, die keiner nutzt.“
Nach den Studien des Medieninformatikers von Zezschwitz verschärft sich das Problem mit der wachsenden Zahl der mobilen Internetzugriffe: „Passwörter auf dem Smartphone sind signifikant schlechter als auf dem Computer.“ Auf den kleinen Displays ist es den Nutzern schlicht zu aufwendig, Großbuchstaben oder gar Sonderzeichen zu verwenden. „Es muss leicht sein, komplexe Passwörter zu erstellen“, formuliert er deshalb als Anforderung für sein Gebiet. Das motorische Gedächtnis der Menschen könnte bei der Lösung dieses Paradoxons behilflich sein - ein Gedächtnis für Bewegungen, das beispielsweise dazu führt, dass man Fahrradfahren nicht verlernt. Nutzer von PINs merken sich oft nicht die Zahlen, sondern die Bewegung, die ihr Finger vollzieht. Das erklärt, wieso die Muster der Android-Geräte so beliebt sind. Nur: Auch Diebe können sich diese gut merken, wenn sie dem Handy-Besitzer beispielsweise in der U-Bahn über die Schulter schauen.
Dagegen könnte eine einfacher Trick helfen: von Zezschwitz schlägt vor, die Mustereingabe auf die Rückseite des Smartphones zu verschieben. Da wir uns das Muster als Geste merken, müssen wir es beim Eingeben nicht sehen. Für eine Studie klebte er einfach zwei handelsübliche Smartphones aneinander: Die Nutzer waren zufrieden: offenbar ist es kein Problem, das Muster einzugeben, ohne es zu sehen. Diebe dürften auch verblüfft sein, wenn sie das Smartphone des Münchener Informatikers Alexander De Luca in die Hand bekommen und trotz richtiger Mustereingabe keinen Zugriff bekommen. De Luca hat einen Algorithmus entwickelt, der auch die Art und Weise vergleicht, wie der Nutzer das Muster zeichnet, beispielsweise seine Geschwindigkeit und den Druck auf das Display.
Lediglich fünf Entsperrungen genügen für das System, um diesen biometrischen Faktor zu lernen – bis dahin gilt das Muster wie bei klassischen Android-Handys. „Die meisten Probanden haben den zusätzlichen Faktor gar nicht bemerkt“, berichtet De Luca, „sie wurden nie abgewiesen.“ Die übrigen seien im Falle eines Fehlversuchs recht geduldig gewesen – eine Erkenntnis, die den Forscher zunächst verwunderte: Das Musterzeichnen dauert ohnehin deutlich länger als die Eingabe einer PIN. Wer beim ersten Versuch wegen dem Rütteln der Straßenbahn abgewiesen wird, braucht noch länger. Wie passt das zur geringen Toleranz gegenüber Sicherheitsmaßnahmen? Solche Phänomene fasst De Luca unter den Begriff „Likeability“: „Musterzeichnen macht den Menschen einfach Spaß, sie mögen es.“ Im gleichen Maß wächst ihre Toleranz für Fehlversuche, wenn das Gerüttel in der Straßenbahn den biometrischen Faktor verfälschte. Für den Fall, dass ein Nutzer beispielsweise durch einen Gipsverband sein Muster auf einmal völlig anders zeichnet, gibt es ein – möglichst komplexes - Masterpasswort, das er beispielsweise an einer sicheren Stelle notieren kann – ähnlich einer PUK.
Und der Spaß könnte in Zukunft wachsen – gleichermaßen mit der Sicherheit. Denn die Informatiker denken schon an die nächste Dimension: Dank der Bewegungssensoren eines Smartphones könnte die gestenbasierte Authentifizierung weg vom Display hin in den Raum gehen, indem beispielsweise das gesamte Gerät durch die Luft bewegt wird. Aus der Perspektive von Zezschwitz die Lösung beispielsweise für Smartwatches, auf deren winzigen Displays kaum andere sichere Authentifizierungsmöglichkeiten denkbar sind. Nutzer bewegen ihren Arm nach einem bestimmten, selbst ausgedachten Muster, um sich anzumelden. Studien zeigen, dass dreidimensionale Gesten wie ein gezeichneter Kringel in die Luft nur schwer exakt nachzuahmen sind.
Solche Gesten können aber auch die Kamera oder der Kompasssensor des Smartphones wahrnehmen: Eiji Hayashi von der Carnegie Mellon University lässt seine Probanden ihrem Computer zuwinken, der Algorithmus erkennt via Kamera individuelle Faktoren wie beispielsweise die Armlänge und die typische Winkbewegung. Den Nutzern in seiner Studie machte das Spaß, die Fehlerquote war gering. Der Stuttgarter Albrecht Schmidt benutzt einen Magneten, mit dem Smartphone-Nutzer ihre Unterschrift in die Luft schreiben: Die dadurch entstandenen Kompassdaten gehen in den Algorithmus ein, der die Ähnlichkeit der Unterschrift mit dem Original vergleicht. Auch hier zeigte sich eine große Zuverlässigkeit: Beobachter konnten die Bewegung nicht gut genug nachahmen, um das Handy zu entsperren, legitime Nutzer wurden in der Regel auf Anhieb akzeptiert.
Schon die klassische Biometrie wie ein Fingerabdruck ist eine recht zuverlässige und schnelle Methode, um das Smartphone zu entsperren: Abdrücke wurden zwar in der Vergangenheit immer wieder gehackt, das ist allerdings aufwendig und dürfte Otto-Normaluser eher weniger treffen. Wenn, dann ist das allerdings ungeschickt: ein solches Passwort lässt sich schließlich nur neun Mal ändern. Forscher sehen in erweiterten biometrischen Faktoren die Zukunft: beispielsweise könnte unsere Art zu gehen mobilen Geräten helfen, ihre legitimen Benutzer zu identifizieren, ebenso unsere üblichen Aufenthaltsorte, genutzte Apps, Telefonate zu bekannten Kontakten. Das Smartphone könnte so erkennen, wenn etwas aufällig anders ist, und nur dann nach einem Passwort fragen – das der Nutzer möglichst komplex erstellen und gut gesichert beispielsweise auf einem analogen Notizzettel aufbewahren sollte: er wird es so gut wie nie benötigen. „Wir sollten in Zukunft adaptiver werden“, fordert Zezschwitz: „Den Nutzer nur dann nerven, wenn es nötig ist.“ Denn die Zeit, die wir mit dem Entsperren unserer Handys verbringen, wächst: in einer Studie der Münchener Informatiker verbrachten Nutzer durchschnittlich eine Stunde im Monat mit Musterzeichnen, Powernutzer gar neun Stunden. Häufig benutzten sie das Smartphone dann nur für wenige Sekunden.
Und auch Apps, die sie dann nutzen, sind häufig ein Sicherheitsproblem, das viele offenbar unterschätzen. Nach Beobachtungen des Bonner Sicherheitsexperten Matthew Smith akzeptieren Nutzer in der Regel alle Zugriffsrechte einer App, ohne sich klar zu machen, was das bedeutet. Smith hat herausgefunden, dass das ein Kommunikationsproblem ist. Er visualisierte die sonst nur per Text kommunizierten Zugriffsrechte im Installationsprozess: wollte eine App Zugriff auf den Standort, vermeldete das System von Smith sinngemäß: „Du befindest dich jetzt in der Hauptstraße 7 in Stuttgart-Feuerbach – das weiß die App künfitg auch“, der Zugriff auf die Kontaktdaten wurde mittels eines Fotos beispielsweise der Großmutter des Nutzers visualisiert. „Die Leute entscheiden sich unter solchen Bedingungen signifikant privatsphärenbewusster“, sagt Smith.
Auch die Sicherheits-Warnungen im Internet, die beispielsweise vor einer Seite mit nicht vertrauenswürdigem Zertifikat warnen, sind Smith ein Dorn im Auge. Auch sie werden meist von den Nutzern ignoriert, was unter anderem daran liege, dass sie sehr oft vorkommen und kaum verständlich sind: „Selbst Sicherheitsexperten können häufig nicht erkennen, ob eine Gefahr davon ausgeht, auf ok zu klicken.“ Gerade weil sie so häufig auftreten, machen sie das System unsicherer: keiner nimmt sie ernst - und in der Regel passiert auch nichts. Im Schnitt verbirgt sich nach Smiths Berechnungen nur hinter einer von 15.400 Zertifikats-Warnungen ein Angriff. „Eigentlich sollte man diese Warnungen abschaffen, aber sie sind momentan das beste, was die Welt bieten kann“, sagt Smith: Immerhin schrecken sie nach Informationen von Eduard Snowden, mit dem sich Smith über technische Details der Ausspähungen austauschte, Geheimdienste vor entsprechenden Spähattacken ab: auch die geringe Chance, entdeckt zu werden, hindert sie daran.
Würde man Entwicklern etwas mehr unter die Arme greifen, könnten solche Warnungen seltener und damit wieder ernst zu nehmender werden, so Smith. Denn sie sind kompliziert zu programmieren und deshalb häufig fehlerhaft. Das Entwickeln von Apps müsste ebenfalls nutzerfreundlicher gestaltet werden, um die Sicherheit zu erhöhen: In einer Studie scheiterten 20 Prozent aller untersuchten Apps an einer sicheren Netzwerkkommunikation – obwohl die Entwickler die Sicherheit versucht hatten einzubauen. „Wir sollten es Entwicklern einfacher machen, sicheren Code zu erzeugen“, sagt Smith. Möglich wäre, diesen Prozess teilweise zu automatisieren, so dass diese nur noch entsprechende Bausteine für die gewählte Sicherheitsstufe verwenden müssen. Das Problem dabei sei derzeit ein marktwirtschaftliches: „Es ist viel mehr Geld damit zu machen, einen neuen Dienst auf den Markt zu bringen, als einen bestehenden sicherer zu machen.“ Und auch die Forschungsförderung ist gefragt, ergänzt Albrecht Schmidt: „Forschungen zur nutzbaren Sicherheit werden noch zu wenig gefördert.“
Der Nutzer soll sich dennoch alles andere als hilflos fühlen, sagt Smith. „Wir müssen es den Angreifern schwer machen.“ Schließlich geschehen die wenigsten Angriffe gezielt, viele sind zufällig. Dagegen hilft das Argument „wer interessiert sich schon für mich, ich habe nichts zu verbergen“ herzlich wenig. Denn auch wenn wir gegen unsere stärksten Angreifer – die Geheimdienste - nach seiner Einschätzung derzeit keinen hundertptozentigen Schutz aufbauen können, sei es wichtig, in nutzbare Sicherheit zu investieren. „Wir lassen ja auch nicht die Haustüre offen stehen, nur weil ein Dieb sie aufbrechen könnte.“