Information Security muss &quot;fair&quot; sein
Marc Ruef | 24.06.2013

In Fachkreisen sprechen Sicherheitsexperten gerne davon, dass Security ein sogenannter "Enabler" sein muss. Also eine Komponente, die einen Dienst möglicht macht. Möglich im Sinn, dass die gegebenen Risiken zum Wohle aller adressiert werden, wodurch ein gutes Gefühl und damit ein wirtschaftlich tragbarer Business Case generiert werden kann.

Bei der Betrachtung eines Enablers wird in erster Linie die Sicht der Betreiber oder der Geldgeber berücksichtigt. Diese müssen mit dem Produkt auf ganzer Linie zufrieden sein, damit es "enabled" werden kann. Die Nutzer und Kunden einer Lösungen können bei dieser Betrachtung gerne ungewollt ausser Acht gelassen werden.

Nämlich dann, wenn die Sicherheit dermassen unpraktikabel aufgezwungen wird, dass die Nutzung schlichtweg unkomfortabel und ineffizient wird. Ein typisches Beispiel sind Passwort-Richtlinien, die eine überproportional hohe Komplexität vorsehen. Mindestens 12 Zeichen, mindestens 1 Gross- und 1 Kleinbuchstaben, mindestens ein Sonderzeichen, kein Wiederverwenden der letzten 5 Passwörter, Ablauf des Passworts nach 30 Tagen.

Ein solches Passwort mag in hochsicheren Umgebungen richtig sein. Für viele alltägliche Anwendungen, wie zum Beispiel der Zugriff auf persönliche Emails oder der lokale Login eines Arbeitsplatzrechners ist dies jedoch ungeeignet. Die Sicherheit dieses spezifischen und eingegrenzten Aspekts der Gesamtlösung wird so hoch bewertet, dass die Wichtigkeit dessen in unfairer Weise durchgesetzt wird.

Die unmittelbare Folge davon ist Frustration. Benutzer werden sich jedes Mal nerven, wenn Sie das hochkomplexe Passwort eingeben müssen - Oder spätestens dann, wenn sie sich ein neues ausdenken sollen. Frustrierte Mitarbeiter sind sehr gefährlich.

Um die Frustration kompensieren zu können, werden Mitarbeiter anfangen "Workarounds" für ihre Gängelungen zu finden. Mit technischen Mitteln werden sie zwar gezwungen, hochkomplexe Passwörter auszuwählen und zu nutzen. Doch es kann niemand verhindern, dass man halt eben diese auf seinem Handy oder auf einem Postit-Zettelchen notiert. Unverschlüsselt. Und unter Umständen sehr einfach einsehbar.

Die Mitarbeiter untergraben damit die eigentlich sehr hoch gesteckten Sicherheitsanforderungen und reissen das durchschnittliche Niveau der Gesamtlösung herunter. Und sie machen das ganz bewusst, denn sie fühlen sich ungerecht behandelt.

Aus diesem Grund ist es sehr wichtig, dass Sicherheitsmassnahmen "fair" entwickelt werden. Fair bedeutet in diesem Zusammenhang, dass stets die Produktivität und Ergonomie im Auge behalten werden sollte. Für lokale Logins reichen auch 6-stellige Passwörter aus, sofern diese alle paar Wochen geändert werden müssen und nach 5-maliger Fehleingabe ein Account-Lockout stattfindet. Im Angriffsszenario muss nämlich berücksichtigt werden, dass nur Angreifer mit physischem Zugang adressiert werden müssen ... Und dass bei physischem Zugang sowieso früher oder später der Passwortschutz fallen wird.

Zudem muss Mitarbeitern in Schulungen und Weisungen klar gemacht werden, warum gewisse Massnahmen getroffen werden müssen. Aktuelle Bedrohungen müssen illustriert und im Kontext der eigenen Arbeit aufgezeigt werden. Es muss ihnen klar werden, dass die Schutzmassnahmen auch sie schützen sollen. Erst dann, wenn Mitarbeiter wirklich verstehen, warum sie zusätzliche Aufwände betreiben sollen, werden sie vom leichtsinnigen Anwenden von Workarounds absehen.