Zeitung Heute : Komfort ist Pflicht

Sicherheitsprogramme müssen für PC-Nutzer ohne Fachkenntnisse vor allem einfach zu bedienen sein

Bettina wesselmann

„Stellen Sie sich vor, das sei Ihr neuer PC“, erklärt der Dozent. „Finden Sie heraus, ob Sie damit guten Gewissens ins Internet gehen und Online-Banking betreiben könnten.“ Im Department Psychologie der Ludwig-Maximilians-Universität München erforscht eine Gruppe von Wissenschaftlern, warum so wenig Endanwender genug für die Online-Sicherheit ihrer Heimcomputer tun. Ein Teilnehmer aus dem Kurs „Psychologie der IT-Sicherheit“ hat sich dazu im Seminarraum vor einen Testcomputer gesetzt. Der PC ist ausgestattet wie ein typischer Kaufhaus-PC direkt nach dem Auspacken. Er läuft mit Windows. Als Zugabe ist ein handelsübliches Sicherheitspaket eines Spezialanbieters installiert.

„Also los. Ich sehe hier ein Symbol, das mit Sicherheit zu tun haben könnte“, beginnt der Student. Sein Mausklick bringt tatsächlich die Security-Software auf den Bildschirm. Dass der Probant „laut denkt“, ist Teil des Testablaufs. Er soll seine Gedanken laut äußern und sein Vorgehen kommentieren, damit die Studienkollegen seine Aktionen aufzeichnen können. Gleichzeitig beobachten sie ihn. Sie halten fest, wie lange er für einzelne Schritte braucht und ob er Schwierigkeiten hat, sich zu orientieren.

Als erfahrener PC-Benutzer kommt der Student mit der Sicherheitssoftware zunächst gut zurecht. Routiniert prüft er, ob Virenschutz, Updates und Funktionen gegen Spionageprogramme eingeschaltet sind. Plötzlich aber gerät er ins Stocken: „Schutz vor Datendiebstahl klingt gut“, murmelt er, „aber was tut die Funktion eigentlich?“ Die Kursteilnehmer protokollieren akribisch, wie er minutenlang vergeblich nach einer Erklärung sucht und schließlich entnervt aufgibt. Der Diebstahlsschutz bleibt ausgeschaltet. Ungeduldig, wie er inzwischen ist, macht der Probant nun auch Fehler. So klickt er bei einer wichtigen Funktion unerwartet auf „aus“. „Das Dialogfeld sah doch wie eine Warnung aus“, wird er den Fehler später im Rückblick erklären.

Am Ende bekommt diese Sicherheitssoftware im Seminar dennoch eine gute Note, denn die meisten Funktionen waren auch ohne langes Handbuchstudium gut beherrschbar. „Aber wie weit kämen damit Ihre Eltern oder Großeltern?“, fragt der Dozent. „In den meisten Fällen wohl höchstens bis ins Startfenster“, ist die einhellige Antwort.

Wer kein technisches Grundwissen mitbringt, kann manches hoch gepriesene Security-Tool also gar nicht nutzen. Ein merkwürdiges Ergebnis, denn für Anwendungen wie Textverarbeitungen und Grafikprogramme gibt es Usability-Tests schon lange. Die Hersteller leisten sich dazu aufwändige Labors, in denen sogar die Augen- und Mausbewegungen der Benutzer aufgenommen werden, um unnötig komplizierte Arbeitsschritte aufzuspüren. Werden Sicherheitstools solchen Prüfungen seltener unterzogen?

„Die Fachwelt hat zwar gelernt, dass das Internet und die Unternehmensnetze nur sicherer werden, wenn man die Anwender gegen die Risiken mobilisiert“, erklärt Dr. Werner Degenhardt, als Akademischer Direktor und CIO der Fakultät für Psychologie und Pädagogik einer der Dozenten des Kurses an der Universität München, „aber sie zieht noch nicht überall Konsequenzen daraus.“ So bemühe man sich zwar, PC-Benutzern durch Sensibilisierungskampagnen wie dem „Safer Internet Day“ die Risiken der Computernutzung bewusst zu machen und sie zu sicherem Verhalten zu bewegen. Dann aber bekämen die Anwender nicht immer Werkzeuge an die Hand, mit denen sie das Gelernte auch umsetzen könnten.

„Sicheres Verhalten bringt am PC ja kaum unmittelbar Vorteile“, erläutert Degenhardt. Für die meisten Anwender bleiben Online-Gefahren abstrakt. Außerdem stören Sicherheitsbarrieren bei eiligen Arbeiten, und sie sind dem Spaß am Computer im Weg. „Macht Sicherheitssoftware Probleme oder sind ihre Funktionen nicht auf Anhieb beherrschbar, ist alles Werben um risikogerechtes Verhalten umsonst“, zieht Degenhardt Bilanz, „denn der Schritt vom Wissen und guten Willen zur Verhaltensänderung ist ja ohnehin noch einmal groß – wie bei einem Raucher, der aufhören will“. Je nach Persönlichkeit nehmen die Anwender die Online-Gefahren lieber in Kauf oder halten sich, wenn sie können, vom Computer fern. Letzteres fürchten vor allem die Online-Banken, die um das Vertrauen der Anwender kämpfen müssen, seit die Presse immer häufiger über Identitätsdiebstahl und Phishing berichtet.

Den Heimanwendern sicheres Verhalten so einfach wie möglich zu machen, liegt auch im Interesse der Unternehmen. Der Grund: Online-Betrüger greifen Privat-PCs nicht etwa nur an, um Geld von den Online-Konten der Besitzer zu stehlen. Sie installieren auf den eroberten Computern vor allem auch Angriffsprogramme, die sie ferngesteuert für Attacken auf besser geschützte Systeme und lohnendere Ziele benutzen. Das Internet ist deshalb immer nur so sicher ist wie seine am schlechtesten geschützten Teilnehmer. „Außerdem kommt bessere Benutzbarkeit von Sicherheitsfunktionen auch gestandenen Profis zugute“, ergänzt Dr. Johannes Wiele, hauptberuflich Fachjournalist und Werner Degenhardts Co-Dozent in München. „Nicht immer steht einem Unternehmen jederzeit ein Fachadministrator für Sicherheitsfragen zur Verfügung. Und herrscht erst einmal Zeitdruck, führt Komplexität ohnehin nur zu unnötigen Fehlern.“ Die Industrie reagiert auf diese Erkenntnisse, indem sie Sicherheitsleitstände mit leicht interpretierbaren Warn- und Fehleranzeigen entwickelt oder selbst komplexe Systeme zur Mitarbeiteranmeldung an der Unternehmens-IT auf vorkonfigurierten Fertigcomputern anbietet.

„Bei Microsoft bemühen wir uns heute verstärkt darum, vor allem die Betriebssysteme und den Internet Explorer mit benutzerfreundlichen Sicherheitsfunktionen auszurüsten“, berichtet Tom Köhler, Direktor Strategie Informationssicherheit und Kommunikation bei Microsoft. Neue PCs sollen schon im Auslieferungszustand grundsätzlich sicher laufen. Darüber hinaus soll jeder Anwender in der Lage sein, seinen Computer verschiedenen Risikosituationen anzupassen.

Beim Windows-Hersteller hat man die Security-Funktionen deshalb im „Sicherheitscenter“ zusammengefasst. In den Anwendungen gibt es zwar die Möglichkeit, jede sicherheitsrelevante Einstellung im Detail vorzunehmen, aber weniger erfahrene Benutzer können auch einfach zwischen verschiedenen Sicherheitsstufen wählen. „Usability-Maßnahmen in derart verbreiteter Software kommen der Sicherheitsbilanz im Internet mehr zugute als der Versuch, technischen Perfektionismus ohne Rücksicht auf die Bedürfnisse der reinen Anwender durchzusetzen“, kommentiert Werner Degenhardt die Bemühungen. Aber auch andere Hersteller ziehen nach. Das auffälligste Ergebnis: E-Mail-Verschlüsselung, die über Jahre hinweg von der Bedienung her die nichttechnischen Anwender völlig überforderte, funktioniert auf einmal per Mausklick. Die Hersteller werben sogar ausdrücklich mit dieser Eigenschaft, was noch vor wenigen Jahren undenkbar gewesen war.

In einigen Fällen steckt hinter den sichtbaren Verbesserungen auch eine industrieweite Zusammenarbeit. Ein weltweit akzeptierter neuer Standard für die Web-Verschlüsselungstechnik SSL etwa erlaubt es, dass beispielsweise der Internet Explorer heute anzeigen kann, ob ein aufgerufener Webshop vertrauenswürdig ist. Dazu färbt er die Adresszeile grün oder bei Gefahr rot, andere Browser wie der Firefox erhalten nach und nach ähnliche optische Anzeigen.

Mit den „Ampelfarben“ lehnt sich Microsoft bewusst an Alltagserfahrungen an und vermeidet zugleich, die Anwender zu erschrecken. Auf derart sanfte Hinweise legen unter anderem die Online-Banken wert, seit sie bei der Einführung des verschlüsselten Zugriffs auf Online-Konten einen Fehler machten: Damals öffnete sich ein Fenster, das stolz die Umschaltung auf eine „sichere“ Verbindung verkündete. Statt diesen Service zu honorieren, brachen viele Bankkunden ihre Aktionen ab. Der für sie unverständliche Hinweis weckte eher Ängste als Vertrauen.

Nicht zuletzt aufgrund solcher Erfahrungen mit unerwarteten Nebenwirkungen von Sicherheitsmaßnahmen ist die Industrie heute bereit, bei der Umsetzung ihrer Konzepte auch psychologische Meinungen einzuholen und die Benutzerfreundlichkeit ihrer Security-Funktionen wichtig zu nehmen. Die Kunst dabei ist, bei der Wirksamkeit der Sicherheitsmaßnahmen keine Abstriche zu machen.

Im Grunde arbeiten die Hersteller noch immer daran, die rein technisch durchaus ausgereiften Sicherheitskonzepte aus der Vor-PC-Ära auf die heutige Zeit und ihre Anwender anzupassen. Für die Administratoren alter Zentralrechner bedeutete ideale Sicherheit, die Rechte der Anwender möglichst einzuschränken und alle unnötigen Funktionen außer Betrieb zu setzen oder zu blockieren. Dazu benötigten sie viel Fachwissen, und sie hatten die nötige Macht.

Beim PC aber ist der Anwender selbst Herr über sein Gerät. Er will es seinen Bedürfnissen anpassen und ohne Einschränkungen und großes Hintergrundwissen Programme installieren. Im Internet will er alle multimedialen Kommunikationsangebote frei nutzen können. Computer mit eingeschränkten Benutzerrechten würde er nicht akzeptieren.

Auch das Sicherheitsmodell von Windows Vista ist ein Versuch, beide Welten und ihre Sicherheitsvorstellungen zusammenzubringen: Zwar hat der PC-Benutzer noch alle Rechte, aber die Aktivierung riskanter Funktionen muss er ebenso ausdrücklich bestätigen wie die Versuche unbekannter Programme, mit dem Internet Kontakt aufzunehmen. Wie viele Rückfragen dieser Art wirklich die Aufmerksamkeit der Anwender finden und ob ihn zu viele Warnungen am Ende auch wieder überfordern können, ist nun Sache der Forschung und Feinabstimmung in den Usability-Labors der Software-Produzenten. Auf jeden Fall aber nimmt die IT den Anwender nun auch im Bereich Sicherheit ernst.

Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!

0 Kommentare

Neuester Kommentar
      Kommentar schreiben