Ratgeber

Security by Design: Mit durchdachter UX zu mehr Sicherheit

(Grafik: Shutterstock / Jane Kelly)

Alles auf den Nutzer schieben? Nach großen Datenleaks werden gerne die Anwender aufgefordert, sich sicherheitsbewusster zu verhalten. Dabei könnte die Branche selbst einiges dafür tun, um höhere Standards zu etablieren. Acht konkrete Vorschläge.

Gefühlt haben wir sie alle schon 1.000 Mal gelesen: ­Artikel, in ­denen die wichtigsten Sicherheitstipps im Umgang mit ­Computern, Internet und Apps aufgelistet sind. „Benutze ­möglichst lange und komplizierte Passwörter und zwar in ­jedem Account ein anderes. Klicke nicht auf Anhänge oder Links in E-Mails, die du nicht erwartet hast, selbst wenn du den Absender kennst.“ Obwohl seit Jahren bekannt, scheinen diese Ratschläge wenig zu bewirken. Auch im Jahr 2018 waren die drei beliebtesten Passwörter ­deutscher Anwender noch immer „123456“, „12345“ und „123456789“.

Unter Entwicklern ist eine Haltung verbreitet, die den ­Nutzern die alleinige Verantwortung dafür zuschiebt: Selbst schuld, wer ein schwaches Passwort verwendet. Das Problem sitzt halt vor dem Computer. Vielleicht bloggen sie noch den nächsten gut gemeinten Text mit Sicherheitstipps, der dann wieder nur von anderen Entwicklern gelesen wird, die sich für IT-Sicherheit interessieren. An einer großen Zahl von Nutzern, die vielleicht gar keinen Computer mehr hat, sondern nur noch ein Smartphone, und die sich im Alltag mit anderen Dingen beschäftigen muss, gehen solche Tipps vollständig vorbei. Während wohl alle schon mal von ihren Eltern gesagt bekommen haben, dass sie sich warm anziehen sollen, weil es draußen kalt ist, dürfte es Seltenheitswert haben, dass die Eltern fragen, ob das Passwort auch lang genug sei.

Trotz Kryptoparties: Kaum jemand nutzt PGP

Ein Beispiel dafür, was passieren kann, wenn man sämtliche Verantwortung an Nutzer abgibt, ist die E-Mail-­Verschlüsselung, die trotz aller Aufklärungsmaßnahmen und Kryptoparties selbst unter IT-Experten eine seltene Ausnahme geblieben ist. Dabei hat ein sehr großer Teil der Menschen, der eine E-Mail-­Adresse besitzt, sich angesichts der Snowden-Enthüllungen oder ­Meldungen über Hacks schon einmal bedroht gefühlt. Die meisten ­wissen aber schlicht und ergreifend nicht, wo sie anfangen sollen: Wenn sie das Thema googlen, stoßen sie auf zahlreiche Texte, die ­ihnen etwas von Alice und Bob erzählen und von ­öffentlichen und ­privaten Schlüsseln. Für sehr viele Menschen, die sich sonst kaum mit IT auseinandersetzen, ist das zu kompliziert. Natürlich gibt es Hartnäckige, die den Verschlüssler PGP trotzdem ­herunterladen und auf ihrem Computer installieren. Aber oftmals verstehen sie nur halb, was sie da tun – und fühlen sich im Ergebnis ­unsicherer als zuvor.

Darauf reagiert ein Großteil der Menschen mit Rückzug: Je nach Mentalität und Lebens­umständen werden sie ­lieber gar nicht mehr mailen, weil ihnen das alles zu unsicher und ­gefährlich erscheint, oder eben ­weiterhin unverschlüsselt mailen, weil das ja schließlich auch alle anderen machen, und es deshalb ja alles nicht so schlimm sein kann. Und wenn wir ehrlich mit uns sind, gestehen wir ein, dass nicht nur Gelegenheitsanwender so mit IT-Sicherheit umgehen, sondern auch sehr viele Menschen in der ­IT-Branche. Obwohl sie es besser wissen sollten.

Die Vorliebe für schicke Klick-­Buttons in HTML-Mails wird von E-Mail-Betrügern ausgenutzt, um Nutzer auf Phishing- oder Malware-Seiten umzuleiten. Sicherer sind Klickanweisungen mit deutlich sichtbarer URL, die dem Nutzer auf einen Blick zeigt, wo es hingeht. (Abbildung: t3n)

Die Vorliebe für schicke Klick-­Buttons in HTML-Mails wird von E-Mail-Betrügern ausgenutzt, um Nutzer auf Phishing- oder Malware-Seiten umzuleiten. Sicherer sind Klickanweisungen mit deutlich sichtbarer URL, die dem Nutzer auf einen Blick zeigt, wo es hingeht. (Abbildung: t3n)

Stellen wir uns dagegen folgendes Szenario vor: Schon in den 1990er-Jahren hätte Microsoft eine Public-Key-­Verschlüsselung in Windows/Outlook implementiert. Sie wäre als Default ­eingeschaltet gewesen und hätte schon bei der Installation – ungefragt – Schlüssel generiert und auf Keyserver hochgeladen. Jede E-Mail an andere Outlook-Nutzer wäre ohne deren Zutun automatisch verschlüsselt worden. Mit der Einführung dieser Verschlüsselungsmethode, die schlagartig große Teile des weltweiten E-Mail-Traffics betroffen hätte, hätten sich auch die anderen Anbieter dem Druck des Marktes gebeugt und dem System angeschlossen. Heute kommunizierten wir alle standardmäßig über verschlüsselte E-Mails.

Die Utopie zeigt, was möglich wäre, wenn die Branche selbst ihre Verantwortung für die Sicherheit der Nutzer ernst nehmen würde. Es reicht nicht aus, ihnen ständig zu predigen, dass sie sich sicherheitsbewusst verhalten sollten. Unternehmen, die Apps, Webseiten und Services anbieten, müssen erkennen, dass Sicherheit kein Hemmschuh, sondern zentraler Bestandteil von UX-Design ist. Das ist im eigenen Team oftmals schwer durchzusetzen, denn viele Unternehmen wollen zunächst möglichst viele Nutzer gewinnen und unterlassen deshalb alles, was den Nutzern den Zugang erschweren könnte – aus Angst, sie schon bei der Registrierung zu verlieren. Doch angesichts der häufigen Hacks, Leaks und Doxing-Vorfälle, bei denen gezielt persönliche Daten öffentlich gemacht werden, ist es Aufgabe der System­architekten und UX-Designer, ihre Programme so zu gestalten, dass sie Anwender zur sicheren Nutzung verleiten, statt davon abzuhalten. Acht Vorschläge.

Acht Ideen für Security by Design

1. Hashes statt Klartext

Passwörter sollten von Diensteanbietern niemals im Klartext in den eigenen Datenbanken gespeichert werden. Am besten, ein Dienst kennt die Passwörter seiner Nutzer überhaupt nicht, sondern nur Hashes. Zwar ist es theoretisch auch möglich, aus ­Hashes Passwörter auszurechnen, in der Praxis jedoch so aufwändig, dass allein diese Maßnahme die Sicherheit im Fall ­eines Leaks der Nutzerdatenbank drastisch erhöht. Diese Sicherheits­regel ist so alt und allgemein bekannt, dass man sich kaum traut, sie überhaupt noch zu erwähnen. Aber leider gibt es ­regelmäßig neue Fälle, wonach Unternehmen genau dieser Fehler ­unterlaufen ist. So ist noch im März 2019 bekannt geworden, dass Facebook die Passwörter von mehreren hundert Millionen Nutzern im Klartext in einer Datenbank gespeichert hatte, auf die zahlreiche Facebook-Mitarbeiter Zugriff hatten.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

4 Kommentare
Hans-Peter Braun
Hans-Peter Braun

„So wollen iCloud oder iTunes beim Login unter ­MacOS zwar gelegentlich einen Authentifizierungscode haben, zeigen diesen jedoch auf dem gleichen Gerät an, selbst wenn der Nutzer ein verknüpftes iOS-Gerät besitzt. Dann kann man 2FA auch gleich bleiben lassen.“ – Falsch! 2FA ist das eine und vertrauenswürdige Geräte sind das andere (jedenfalls bei Apple). Die beiden haben nichts miteinander zu tun. Bei 2FA melde ich mich bei einem *online-Dienst* an und erhalte einen Sicherheitscode auf *irgend*-ein vertrauenswürdiges Gerät, im Zweifelsfall auch gern auf dasselbe Gerät. Dieses ist per se wegen seiner Seriennummer, die mit meiner Apple-ID verknüpft ist, vertrauenswürdig – mit der online-Anmeldung, die ich gerade vornehme, hat das rein gar nichts zu tun. Sollte das Gerät geklaut, verloren, verkauft oder vermisst sein, ist das ein anderer Fall, dann muss ich es aus der Liste der vertrauenswürdigen Geräte löschen (das funktioniert dank der geheimen Fragen auch auf jedem fremden, nicht vertrauenswürdigen Gerät). Viele Leute haben überhaupt nur ein Gerät, die könnten dann nie eine 2FA-Anmeldung machen, wenn es nach der Logik des Autors geht. Immer dieses gefährliche Halbwissen, tststs …

Antworten
Sebastian

Guten Abend,

wenn wir schon bei achtens über automatische E-Mails sprechen: warum sind diese ganzen Status- und Sicherheitsmails die über Anmeldungen von neuen Computern, Passwortrücksetzungen, Statuszusammenfassungen etc. nicht wenigstens signiert?

Schöne Grüße

Antworten
Paul
Paul

„Sicherer sind Klickanweisungen mit deutlich sichtbarer URL, die dem Nutzer auf einen Blick zeigt, wo es hingeht.“
Das entspricht leider nicht ganz der Wahrheit, die sichtbare URL kann jeder ziemlich einfach verändern. Somit sieht man nicht immer wo genau man „landet“.

Antworten
Tobias

Zu 6., Apple mache angeblich bei 2FA alles falsch, „Da kann man 2FA auch gleich bleiben lassen.“:

Wenn Enno Park nicht nachvollziehen kann, warum etwas unerwartet anders funktioniert, dann ist Schweigen Gold und man zeigt nicht, dass man darin überhaupt keine Ahnung hat. Im Gegenteil, Enno Park ist so blöd, Apple wegen dem Unerwartetem als blöd zu bezeichnen, weil er dies nicht verstanden hatte.

Das 2FA bei Apple Geräten ist dafür da, damit die Ende-zu-Ende-Verschlüsselung ermöglicht wird und somit in iCloud ein paar Daten (leider nicht alle) sicherer sind , aber nicht um das Passwort zu schützen, was Enno Park nicht verstanden hatte.

Zudem

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung