Über unsMediaKontaktImpressum
Nils Vossebein 21. Dezember 2021

Wie der Nutzer unsere Computer gefährdet

Angriffe auf Computer sind heute nicht ungewöhnlich, nicht nur tagtäglich, sondern millionenfach in der Sekunde. Man kann davon ausgehen, dass Sie selbst, während Sie diesen Artikel lesen, mindestens einem Cyberangriff ausgesetzt sind. Glücklicherweise gibt es viele gute Schutzmechanismen dagegen. Seien es Spam-Filter für Emails, seien es Firewalls für Netzwerke oder auch die Benutzernamen/Passwort-Kombination für ihre ganzen Online-Dienste. In diesem Artikel möchte ich mich insbesondere mit letzterem beschäftigen, erklären, warum es nicht schwer ist, die Verbindung zwischen Online- und Offline-Welt sicher zu gestalten und warum insbesondere nicht die Verteidigungskonzepte oder die Technik, sondern die tagtägliche Nutzung durch den Menschen das größte Problem darstellt.

Erwartungshaltung gegenüber Computern und ihrer Sicherheit

Ein Computer ist im Prinzip ein großer mathematischer Algorithmus. Man erwartet, dass bei gleicher Eingabe immer dasselbe herauskommt. Genau wie man erwartet, dass bei einer (komplizierten) mathematischen Berechnung immer das gleiche Ergebnis herauskommt. In Bezug auf die Sicherheit erwartet man also von einem Computer, dass wenn das Passwort nicht stimmt, er niemals "die Tür öffnet". Er hält sich also ohne Gegenfrage an die Definitionen, die ihm vorgegeben werden.

So ist in der Theorie für einen Computer das Passwort die mit Abstand sicherste Authentifizierungsmethode. Warum dem so ist? Passwörter werden heutzutage (zum Glück) nicht mehr im Klartext oder als verschlüsseltes Wort gespeichert, sondern mit einer Hash-Funktion quasi irreversibel verschlüsselt. Diese Hash-Funktion gibt für egal welchen Eingangswert immer ein anderes Ergebnis aus – aber dank mathematischer Grundsätze immer das gleiche Ergebnis bei der gleichen Eingabe. Bei aktuellen Hash-Funktionen konnten bisher auch noch keine zwei unterschiedlichen Eingaben (aus der Praxis) gefunden werden, die das gleiche Ergebnis liefern.

Damit kann man aktuell davon ausgehen, dass ein Computer bei Passwörtern eine Fehlertoleranz von de facto 0 hat, denn der Vergleich zweier Hash-Werte ist trivial und ergibt keine Fehler, sofern die Programmierung korrekt ist.

Doch es gibt auch noch andere Sicherheitsmechanismen. Der größte Unterschied besteht darin, dass diese Algorithmen im Gegensatz zu Passwörtern eine gewisse Fehlertoleranz haben. Man kann mathematisch nicht genau beweisen, dass z. B. ein Fingerabdruck immer genau richtig erkannt und zugeordnet werden kann oder dass die Gesichtserkennung auch nur bei der richtigen realen Person anspringt.

Dass diese Methoden trotz ihrer Fehleranfälligkeit empfohlen werden, verwundert vielleicht zunächst. Doch die Erklärung liegt auf der Hand, denn es gibt einen wichtigen Faktor, der bei der Messung der Fehleranfälligkeit meist nicht beachtet wird.

Die Sache mit der Theorie und den Experimenten

Die Forschung funktioniert meistens in der Form von Experimenten. Neue Ideen entstehen, müssen getestet (validiert), weiterentwickelt und wieder getestet werden. Dabei handelt es sich um einen relativ repetitiven Prozess, bei dem – wenn die Ergebnisse gut sind – immer mehr Eigenschaften geprüft werden. In der Forschung würde man auch sagen, dass immer mehr Parameter nicht mehr fest, sondern variabel sind. Schöne Beispiele, welche medial groß begleitet werden, sind die Entwicklungsversuche von SpaceX. Immer wenn mal wieder eine Rakete explodiert, wird darüber berichtet und doch ist es ganz normal. Ideen werden getestet, erst isoliert, dann zusammen. Auch wenn eine Explosion vielleicht in den Medien als Fehlschlag zählt, so ist es in der Forschung ganz normal – und oft ein Schritt in die richtige Richtung.

Jedoch sind Experimente irgendwo begrenzt. Es gibt immer Faktoren, die man in einem Experiment nicht simulieren kann. Und manchmal erachten die Wissenschaftler manche Faktoren als nicht entscheidend und am Ende zeigt sich in der Praxis, dass diese besonders bedeutend sind.

So gibt es zum Beispiel bei der Gesichtserkennung große Unterschiede in der Erkennungsrate von Personen aus unterschiedlichen ethnischen Gruppen. Je nachdem wo die Systeme entwickelt wurden, sind unterschiedliche Gruppen mit mehr Beispieldaten vorhanden gewesen und entsprechend besser erkannt worden. Gleiches lässt sich übrigens auch bei der Passkontrolle mit menschlichen Kontrolleuren beobachten – auch sie haben deutlich höhere Erkennungsraten bei den vorherrschenden Ethnien. Beide "Systeme" achten bei diesen auf mehr Kleinigkeiten, während sie von dem Ungewohnten überrascht werden und nicht wissen, auf welche Eigenschaften sie genau achten müssen.

Doch worauf achten die meisten Forscher bei der Berechnung der Fehlerquelle nicht?

Passwörter in der Praxis – ein Fehlschlag

Bei den Experimenten zu Passwörtern wurde die Handhabung durch den menschlichen Nutzer vor einem Computer nicht ausreichend getestet. Allerdings ist das Verhalten von einem durchschnittlichen Nutzer auch nur sehr schwer zu testen. Natürlich kennen viele Menschen Methoden, um Passwörter sicher zu verwenden, doch wie steht es um den Rest. Bekommt man gesagt, dass das ein wichtiges Passwort ist, so ist man im Kopf ganz anders darauf fokussiert, als wenn man zum Beispiel in einer Alltagssituation nach dem Namen des Haustieres gefragt wird.

Das Passwort einfach einem Fremden zu verraten, würde doch sicherlich niemand. Leider stimmt noch nicht mal das für alle Menschen. So gibt es viele typische Muster, wie Menschen sich (zufällige) Passwörter ausdenken. So wird schon mal gerne gesagt: "Das Passwort enthält eine zufällige Zahlenkombination". Am Ende stellt sich heraus, dass es das Geburtstagdatum ist. Auch der Name des Haustieres oder die Namen von Geschwistern, Eltern oder Kindern sind mit der richtigen Fragetechnik leicht herauszufinden oder der Angreifer schaut einfach auf den Social-Media-Kanälen nach.

Wenn man doch sowieso der Einzige ist, der einen Computer bedient, warum braucht man dann ein Passwort? Und überhaupt, man würde doch auch nicht bei einem Kollegen an den Computer gehen, oder? Aber spätestens, wenn dort nach einem Passwort gefragt wird, macht man sich doch nicht den Aufwand dieses zu erraten – was gibt es dort schon zu entdecken?

Mit genau dieser Einstellung begegnet ein Nutzer dann seiner eigenen IT-Sicherheit. "Ich bin doch eh uninteressant" und selbst wenn, "was soll schon passieren?". "So schlimm ist es doch nicht, wenn das Passwort herausgefunden wird. Außerdem, wie soll ich mir denn für meine 100 Online-Dienste 100 unterschiedliche und sichere Passwörter merken? Da verwende ich doch lieber manche doppelt oder nehme zumindest Passwörter, die ich mir einfach merken kann."

Jedoch fallen die meisten nicht erst ab einer hohen Anzahl an Passwörtern in diesen Modus, sondern leider auch schon beim "Masterpasswort" bzw. bei seinem E-Mail-Passwort – dem Universalschlüssel aller Online-Dienste.

Warum die eigene IT-Sicherheit unser allerhöchstes Gut sein sollte

Haben Sie schon einmal gesehen, wie sich ein Schauspieler eine Gesichtsmaske vom Kopf zieht? Wie in Filmen ein Agent sich unter die anderen mischt, indem er eine Gesichtsmaske trägt und vorgibt, jemand anderes zu sein? In der Realität ist es nicht so einfach, wie es im Film gezeigt wird – digital aber schon. Denn während es als physikalischer Mensch durchaus schwierig ist, einer genaueren Betrachtung kontinuierlich standzuhalten, so ist es bei unserem "Digitalen Ich" relativ einfach, sich als jemand anderes auszugeben.

Sind die Zugangsdaten einmal gestohlen, kann man sich von überall völlig unbeschwert einloggen und die digitalen Spuren einer anderen Person hinterlassen – in ihrem Namen allerlei Unfug treiben. Man muss sich das so vorstellen, als könnte sich jede Person in der Realität für mich ausgeben. Sich mit meinen Freunden unterhalten, an meinem Arbeitsplatz arbeiten und sich mit den Kollegen besprechen oder gar Geld abheben oder eine Bruchbude kaufen. Ganze Freundschaften könnten zerstört werden oder auf der anderen Seite neue Freundschaften (z. B. zu Sekten) geschlossen werden. Vielleicht würde der Angreifer in meinem Körper sich auch über meinen Bekanntenkreis einer anderen Person vorstellen – vielleicht bin gar nicht ich das eigentliche Opfer, sondern nur ein Mittel zum Zweck? Im Zweifelsfall könnte man sogar jemanden umbringen und die Polizei würde am Tatort überall meine Fingerabdrücke und DNA finden. Gruselig?

Es wird noch schlimmer, denn auch wenn ich vielleicht einen Alias bei verschiedenen Online-Diensten angegeben habe, so habe ich meist einen Universal-Schlüssel als Backup hinterlassen. Quasi alle meine Geheimnisse in einem Schließfach – welches der Bankmitarbeiter dem Angreifer mit meinem Gesicht zuvorkommend öffnet.

Die E-Mail-Adresse: Urquelle meiner Online-Identität(en)

Es gibt nichts Wichtigeres als die eigene E-Mail-Adresse, denn seien wir mal ehrlich – wie viele E-Mail-Adressen haben wir parallel und bei wie vielen unserer Online-Diensten sind wir mit derselben E-Mail-Adresse angemeldet? Die meisten dieser Dienste wissen, dass ihre Nutzer ab und an mal ihr Passwort vergessen und haben daher eine nutzerfreundliche Passwortzurücksetzen-Funktion eingebaut. Ein neuer Zugangscode wird einfach an die E-Mail-Adresse geschickt. Vielleicht ist es nicht unbedingt nutzerfreundlich, sondern eher angreiferfreundlich? Denn als dieser probiert man einfach bei den interessanten Diensten die Passwortzurücksetzen-Funktion aus und schaut welche Services bereitwillig die Tür öffnen. So habe ich als Angreifer nicht nur eine Online-Identität, sondern komme der Komplettübernahme der digitalen Repräsentation eines Menschen sehr nah.

Diese Übernahme muss natürlich unter allen Umständen verhindert werden. Aber wie wird das aktuell gehandhabt?

Alternative aktuelle Sicherheitsmechnismen

Bei vielen Methoden schaut man in die Vergangenheit und versucht alte Konzepte auf die digitale Welt zu übertragen. So gibt es zum Beispiel Sicherheitskarten, die ähnlich einem Haustürschlüssel funktionieren. Oder es gibt Netzwerke, zu denen nur spezielle Computer (dank individueller Kennungen oder gar komplett eigener Infrastruktur) Zugriff haben, welche physisch (mit Tor und Wachpersonal) abgesichert werden.

Vom Online-Banking kennen wir alle die Tan-Apps, die darauf setzen, dass das eigene Smartphone schon nicht in die Hände der Angreifer gelangt (übrigens auch dort gibt es eine Schwachstelle, die Angreifer bereits ausnutzen).

Sehr häufig verwenden wir beim Telefon eine weitere Funktion, die schon sehr alt ist. Der Mensch verifiziert sich mit dem was oder wie er ist. Sei es ein Fingerabdruck, das Gesicht, die Iris etc. – all das sind identifizierende Merkmale des Menschen, die man ebenfalls kontrollieren kann. Oft werden diese Mechanismen nicht nur beim Smartphone, sondern auch bei zum Beispiel Einlasskontrollen verwendet – siehst du aus, wie der Mensch, den ich erwarte?

Aktuell befinden wir uns jedoch an einem Scheidepunkt, wo wir grundsätzlich fast nichts und niemandem mehr vertrauen können – insbesondere allem, was online ist bzw. erfasst wird. Wir haben Bilder, Videos und Stimmen, die man so verändern kann, dass nur noch bei der genauesten Analyse auffällt, dass sie gefälscht sind (Deepfakes). Auch Fingerabdrücke und Gesichter können gut nachgebildet werden. Doch das ist nicht das einzige Problem mit diesen Methoden.

Immer noch die gleichen Probleme in der Praxis

Der gültige Nutzer muss immer noch einen für ihn unnötigen und unlogischen Prozess durchlaufen, weil er beweisen muss, dass er tatsächlich die Person ist, die er ist. Verständlicherweise ist dieses Verfahren für ihn seltsam, weil er weiß, dass er wirklich er ist.

Natürlich ist das Prozedere eigentlich nicht für ihn, sondern für den Computer/das Netzwerk. Man kann sich das wie die Sicherheitskontrolle am Flughafen vorstellen. Für einen selbst ist das erst einmal völlig unnötig, denn man weiß ja, dass man nichts Gefährliches dabei hat – doch die Mitreisenden wissen das nicht und am Ende dient es der eigenen Sicherheit. Doch, warum stellen wir uns alle beim Flughafen in die Schlage für die Sicherheitskontrolle, während wir in anderen Fällen das in den eigenen Augen "kalkulierte Risiko" eingehen? Das gilt nicht nur für die IT-Sicherheit. Wie viele Personen fahren angetrunken noch Auto – obwohl auch dort die Wissenschaft einig ist, dass selbst geringe Mengen das Urteilsvermögen bereits beeinträchtigen können.

Die Gruppe als "Schlechtes Gewissen"

Es gibt tolle Sozialexperimente, die zeigen, wie einfach sich Menschen durch eine Gruppe beeinflussen lassen, ohne dass die Gruppe tatsächlich Druck ausübt. Durch die vorhandene Gruppe wird implizit erwartet, dass man sich an die aufgestellten Regeln hält. Wenn sich das Gleiche jedoch in einem anonymen Umfeld (ohne Autoritätsperson) wiederholt, wird der "Gehorsam" schnell gebrochen und die eigenen Überzeugungen und Werte setzen sich durch.

Dabei nimmt der Weg des geringsten Widerstands einen übergeordneten Platz ein. In dieser Umgebung müssen wir nur an uns selbst denken und soziale Implikationen werden eher weniger betrachtet. Kennen Sie das Experiment, bei dem man einem Kind eine Süßigkeit in die Nähe stellt und ihm sagt: "Du darfst es zwar essen, aber wenn du wartest, gibt es noch mehr." Ungefähr so ist das auch mit der IT-Sicherheit. Allerdings ist dabei völlig unklar, wann man seine Belohnung bekommt (vermutlich nie) und die Süßigkeit wird auch regelmäßig wieder aufgefüllt – man kann sich ja auch mit unsicheren Passwörtern einloggen.

Eine zusätzliche Belohnung gibt es de facto nicht – und eine Bestrafung lässt sich aus der Vergangenheit nicht ableiten. Wer wird da nicht irgendwann schwach? Denn während einem die Unannehmlichkeiten immer wieder vor Augen geführt werden, bleibt eine negative Reaktion fast immer aus.

Warum man das Verhalten des Menschen in den Vordergrund stellen muss

Dies ist auch der Grund, warum man bei der IT-Sicherheit nicht die Ideen und Theorien in den Vordergrund stellen muss, sondern das Anwendungsverhalten des Nutzers – insbesondere, wenn sich dieser in einer anonymen und unbewachten Situation befindet. Schaut der Chef oder die Kollegen über die Schulter, so ändert der Mensch sein Verhalten. Gruppenzwang eben – man macht was die Gruppe macht und daher implizit auch das, was erwartet wird. Diese Gruppendynamik wird jedoch immer weniger ihren Teil zur IT-Sicherheit beitragen, denn Home-office und Remote-Work werden immer beliebter.

Stellen Sie sich dagegen ein Großraumbüro vor. Der Scherz des Tages besteht darin, dass Kollege A eine E-Mail an alle vom Profil des Kollegen B, der vergessen hat, sich für die Kaffeepause auszuloggen, schickt und sagt, dass B morgen gerne Kuchen für alle im Büro mitbringen wird. Auch wenn das für den einen oder anderen erst einmal lustig ist, erinnern solche Scherze auch daran, wie einfach es ist, sich digital als jemand anderes auszugeben. Denn wer weiß schon, ob das die einzige Mail war, die verschickt wurde? Oder was wurde sonst noch so geändert oder installiert?

Wenn jemand erst einmal in ein System eingedrungen ist, kann der Angreifer oft sehr lange Zeit unbemerkt bleiben. Laut der IBM-Sicherheitsstudie 2021 dauert es im Durchschnitt mehr als 150 Tage, bis ein IT-Angriff entdeckt wird. Stellen Sie sich vor, jemand könnte 150 Tage damit verbringen, mit Ihrem Geld einzukaufen, mit Ihren Freunden als Sie kommunizieren oder in Ihrem Namen Verbrechen begehen.

Single-Point-Kontrollen sind in der IT-Sicherheit nicht genug

Hier zeigt sich bereits ein Hauptproblem des derzeitigen Vorgehens bei einigen IT-Sicherheitsproblemen, insbesondere bei der Authentifizierung. Wir versuchen, die Eingangspforte so dicht wie möglich zu machen und gehen davon aus, dass jeder, der es schafft durchzukommen, "clean" bzw. "good to go" ist. Weitere Überprüfungen im Verlauf der Sitzung werden in der Regel nicht durchgeführt, weil diese dem Benutzer noch schwerer zu erklären sind. Um auf das Beispiel der Sicherheitskontrollen am Flughafen zurückzukommen: man wird dort auch nur einmalig kontrolliert.

Die IT-Sicherheit unterscheidet sich jedoch grundlegend von einem Sicherheitsbereich am Flughafen, insbesondere in der Kontrollierbarkeit des Zugangs zu diesem Bereich. Im Falle des Sicherheitsbereichs eines Flughafens können alle Eingänge kontrolliert werden, und sich deshalb innerhalb des Bereiches keine neuen Gefahrenquellen auftun. Im Rahmen der IT-Sicherheit ist dies nicht möglich. Hardware kann zwar sicher und kontinuierlich verifiziert werden, jedoch können die Nutzer der Hardware jederzeit ausgetauscht werden. Der Nutzer ist jedoch ein wichtiger Bestandteil des Sicherheitskonzepts und muss daher ebenfalls jederzeit valide sein. Daher reichen Single-Point-Kontrollen für die Validität des Nutzers nicht aus.

Was benötigt eine technische Lösung?

Natürlich ist es mit den derzeitigen Methoden nicht möglich, alle Aktionen zu validieren, denn wir wissen bereits, dass die Nutzer mit dem einmaligen Vorgang der Authentifizierung sehr frustriert sind. Man stellt sich vor, man müsste dies zum Beispiel jede Minute erledigen. Die Benutzer wären noch viel mehr genervt und würden alles tun, um diese Einschränkungen zu vermeiden. Deshalb braucht es eine Lösung, die den Menschen nicht stört. Eine Lösung, die dem Menschen gar nicht bewusst ist. Eine Möglichkeit, wie er erkannt werden kann, ohne dass er etwas dafür tun muss – sozusagen nur durch seine Anwesenheit verifiziert.

Natürlich weiß ein Computer nicht, wann der richtige Benutzer "anwesend" ist (d. h. vor ihm sitzt). Den Nutzern verpflichtend einen Chip zu implantieren, ist moralisch schwierig und birgt ganz neue Risiken. Eine ständige Videoüberwachung ist nicht nur in Bezug auf die Privatsphäre äußerst schwierig.

Kennen Sie diese Klappen, die Sie vor die Kamera Ihres Laptops kleben können und die Sie erst aufschieben müssen, bevor die Kamera etwas sieht? Wie viele von Ihnen vergessen, sie wieder zu schließen, wenn Sie sie geöffnet haben? Wir erkennen die Vorteile nicht direkt, sie sind nicht greifbar und wir müssen noch etwas aktiv für sie tun. Doch wenn uns jemand daran erinnert, ist es total logisch und einfach.

Gerade wegen solcher Beispiele braucht es eine technische Lösung, die vom Nutzer überhaupt kein aktives Handeln erfordert. Eine Lösung, die ihm auch nicht abverlangt, Änderungen an sich oder seinem Verhalten vorzunehmen.

Verhalten – wir haben es, intuitiv

Damit sticht auch direkt ein Merkmal hervor – das Verhalten. Denn die anderen Möglichkeiten schränken sich schnell ein. Das Verhalten haben wir immer bei uns, wir benutzen es ständig, und doch fällt es uns gar nicht auf. Denn es geht nicht nur darum, was wir schreiben, sondern auch darum, wie wir es schreiben. Wenn man aber unter anderem wüsste, in welcher Geschwindigkeit einzelne Buchstaben und Wörter getippt wurden, könnte man tatsächlich überprüfen, ob zwei Wörter von der gleichen Person geschrieben wurden. Und das alles, ohne dass der Nutzer etwas davon merkt oder gar seinen Schreibstil ändern muss. Unser Verhalten macht uns erkennbarer, als wir vielleicht denken...

Preisgekrönte Verhaltensbiometrie

Wir haben eine solche verhaltensbasierte Lösung entwickelt. Unser innovativer Algorithmus kann Nutzer während ihrer Arbeit kontinuierlich verifizieren. Besonderes Gewicht haben wir dabei auf den Datenschutz und die Benutzerfreundlichkeit gelegt. Dafür haben wir unter anderem den Deutschen Startup-Pokal im Bereich Cybersecurity gewonnen und kooperieren mit führenden Forschungseinrichtungen.

Um den Datenschutz besonders in den Vordergrund rücken zu können, reduzieren wir unsere Lösung auf eine kontinuierliche Verifizierung, anstatt eine Identifizierung vorzunehmen. Damit können alle individuellen Nutzermodelle einzeln verschlüsselt und so auch der Zugriff von Dritten verhindert werden.

Unser Algorithmus verifiziert Nutzer nur durch die Eingaben mit Maus und Tastatur und kann so jede Aktion mit einem unsichtbaren zweiten Faktor sichern. Durch diesen innovativen Ansatz können so auch mehrere Sicherheitslevel einfach dargestellt werden, um immer die optimale Balance zwischen Nutzungsfreundlichkeit und Sicherheit zu ermöglichen.

Autor

Nils Vossebein

Nils hat nach dem Informatik-Studium an der Universität des Saarlandes bereits verschiedene Stipendien und Projektförderungen erhalten. U.a. hat sein Team und er für die Konzeption und Forschung an intelligenter Authentifizierung…
>> Weiterlesen
Das könnte Sie auch interessieren
Kommentare (0)

Neuen Kommentar schreiben