Die ZEIT, 23. Januar 2019
Wenn wir aus dem aktuellen Hack die richtigen Schlüsse ziehen, kann sich etwas ändern. Entwickler bekommen zu wenig Freiheiten, um Sicherheit zu berücksichtigen. Ein genauerer Blick auf die Rolle der Unternehmen lohnt sich, wie eine aktuelle Studie zeigt.
Beim aktuellen Hack waren die Schuldigen schnell ausgemacht: die dummen Nutzer und ihre schlechten Passwörter. Und ein Schüler, der offenbar nicht ausgelastet war und durch pures Herumprobieren viele dieser Passwörter erriet. Doch so einfach ist die Realität nicht. Es gibt schon seit mehr als 20 Jahren ein Forschungsgebiet namens „Usable Security“, nutzbare Sicherheit, und auch die Forschungsrichtung „Privacy by design“ wurde bereits im Jahr 2000 geboren: beide entwickeln Methoden, die Privatsphäre so in Technik einzubauen, dass der Mensch und seine Natur dabei nicht vergessen werden. Sicherheit und Privatsphäre sollen bereits im Design von Computersystemen und nicht erst in der Anwendung berücksichtigt werden.
Denn das ist ebenfalls ein altbekanntes und eigentlich nicht sonderlich überraschendes Problem: wir Menschen sind nicht dafür gemacht, uns lange und komplizierte alphanumerische Passwörter zu merken, idealerweise noch ein eigenes für jeden der mehr als 100 Dienste im Netz, die wir durchschnittlich nutzen. In der Praxis wird dieses Konzept zwangsläufig unsicher. Dennoch fordern jetzt Politiker und Kommentarschreiber aller Couleur, der Nutzer solle gefälligst sicherheitsbewusster werden. Nur: das geht mit den aktuellen Systemen nur in sehr begrenztem Maße. Diese Sicherheit wird immer eine Theoretische bleiben.
Auch die dieser Tage viel zitierte Zwei-Faktor-Authentifizierung muss erst einmal angeboten werden: die wenigsten Internetdienste sehen sie vor – und wenn, dann ist sie häufig gut versteckt. Und sie ist nur der erste Schritt zu mehr Sicherheit. Forscher haben viele andere Konzepte in ihren Labors entwickelt, die der menschlichen Natur mehr entgegenkommen – angefangen von einer Anmeldung mittels Bildern, die Menschen sehr viel eingänglicher sind, bis hin zu komplexen biometrischen Verfahren, bei denen Systeme die rechtmäßigen Nutzer teils ganz ohne Zutun erkennen. Manche davon sind freilich mit Vorsicht zu genießen, da es auch problematisch sein kann, wenn Individuen von Maschinen eindeutig erkannt werden – ohne, dass sie es verhindern können. Doch manche dieser Entwicklungen verdienen es durchaus, die schwachen Systeme auf dem Markt zu ersetzen.
In der Informatik und Mensch-Maschine-Interaktion ist man sich seit mehr als zehn Jahren weitgehend einig, dass das Einloggen via Nutzername und Passwort unsicher ist, weil es der menschlichen Natur widerspricht. Nur: wieso hat sich in den vergangenen Jahren hieran nichts geändert? Und wieso sind die aktuellen Systeme nach wie vor unsicher und damit angreifbar für Hacker? Dieser Frage sind Wissenschaftler um die Wiener Philosophin und Wirtschaftsinformatikerin Sarah Spiekermann und den Informatiker Marc Langheinrich von der Universität Lugano in den vergangenen Jahren nachgegangen. Ihre Publikation in Proceedings of the IEEE, eine der führenden Fachzeitschriften in der Computertechnik, kommt gerade rechtzeitig, denn sie zeigt, was die gegenwärtige Computertechnik unsicher macht.
Die kurze Antwort lautet: Sicherheit wird nicht in die Systeme implementiert, weil sich viele Entwickler nicht dafür verantwortlich fühlen. Von den mehr als 124 Entwicklern aller Karrierestufen (ein Viertel davon in leitender Position; ein Drittel davon aus deutschen Unternehmen), die von den Forschern ausführlich befragt wurden, fanden zwar 90 Prozent Sicherheit wichtig, doch lediglich 63 Prozent fühlten sich auch dafür verantwortlich, Sicherheit in ihre Programme einzubauen. „Fast 40 Prozent fühlen sich nicht verantwortlich! Dabei gehört es unbestritten zu deren Aufgaben“, sagt Sarah Spiekermann.
Die Forscher fragten auch, welche Faktoren in der Vergangenheit dazu beigetragen hatten, dass die Entwickler Sicherheit in Systeme implementierten. Weil sie es wichtig finden? Weil es ihnen Spaß macht? Weil sie von ihrem Chef gezwungen wurden? „Der mit Abstand wichtigste Grund, dass Entwickler Sicherheit berücksichtigen, ist, dass sie sich verantwortlich fühlen“, erklärt Spiekermann das Ergebnis. Doch gleichzeitig sagten 47 Prozent aus, dass sie nicht genug Zeit und Autonomie haben, Sicherheit in ihre Systeme einzubauen. Sprich: es gab andere Vorgaben vom Chef, konkurrierende Prioritäten, so dass die Sicherheit hinten anstand. „Das deutet auf einen Konflikt in den Organisationen hin“, sagt Spiekermann. Während die deutschen Entwickler das noch großteils mit sich selbst ausmachen, haben sich ihre US-Kollegen vor zwei Jahren öffentlich und in großem Stil beschwert, dass sie gezwungen werden, unethische bis illegale Dinge zu tun.
Das zeigt: Entwickler haben einen hohen Berufsethos. Sie wollen gute Arbeit machen, die der Gesellschaft nutzt – doch offenbar werden sie von der Unternehmenskultur daran gehindert. „Die Organisationen müssen den Mitarbeitern also klar kommunizieren, dass sie verantwortlich sind und dass sie die notwendige Zeit und Kontrolle für die erforderlichen Aufgaben geben“, fordert Spiekermann. Die Frage ist nur, ob sie das überhaupt wollen. „Das Kernproblem ist, dass die Organisationen unter einem riesigen Druck stehen.“ Sicherheit kostet Geld und Zeit, doch Software soll immer billiger und schneller auf den Markt kommen. Das muss sich ändern, wenn wir wollen, dass Sicherheit nicht weiterhin Theorie bleibt.