Psychologie der IT-Sicherheit, Teil 2

“Für die Hersteller ist das nicht so einfach”, so Degenhardt. Das liege daran, dass die Sicherheit sowohl für die Hersteller als auch für die Nutzer eher sekundär sei.

Wenn man heute ein IT-Gerät wie einen PC im Laden kauft, sei dieser zunächst unsicher. “Und dann wird gepatcht, wird nachgebessert.” Die IT-Anwender hätten sich daran gewöhnt. “Stellen Sie jedoch einmal vor, Sie kaufen ein Auto und erhalten dann nach wenigen Tagen einen Anruf, dass Sie die Bremsanlagen in der Werkstatt nachstellen lassen sollen. Das würde Ihnen komisch vorkommen.”

Die Frage sei, ob dass so sein muss. “Ja, denn das haben wir als Kunden so gewollt. Wir bezahlen viel zu wenig für die Geräte.” Es gebe heute zwar sichere Software – sonst würde keine Rakete zum Mond kommen. Normalerweise gelte jedoch, dass niemand den Preis für sichere Software zahlen wolle.

&nbsp

[itframe url=574]

&nbsp

Video-Producer Marcus Kämpf blendet im Hintergrund 3D-Grafiken von Viren und Trojanern ein, die der IT-Dienstleister MessageLabs zur Verfügung gestellt hat. Unter der Grafik lesen Sie den Namen und die Kategorie der Schadsoftware. Um das Video zu sehen, klicken Sie bitte auf das Steuerelement. Der Film startet nach einer kurzen Werbeeinblendung.

Betrachte man die Einstellung des Nutzers zu IT-Sicherheit, falle auf: Warnungen und Hinweise stören ihn bei der Arbeit. “Stellen Sie sich vor, Sie arbeiten an einer wichtigen Präsentation und auf einmal meldet sich die Firewall. Natürlich wollen Sie erst einmal die Präsentation fertig machen.”

Kann man etwas dagegen tun? “Ich glaube, nein. Sie werden immer zuerst die Aufgabe erledigen, die Sie für wichtiger halten.” Eine Illusion sei es zudem, Sicherheitslösungen aus der analogen Welt in die digitale Welt übertragen zu können. “Ein Beispiel dafür sind die Passwörter. Die haben im Sinne der Sicherheit noch nie gut funktioniert.”

Page: 1 2

Silicon-Redaktion

View Comments

  • Interessante Videos
    Kann man die Videos irgendwo auch erwerben? Wenn ich sowas erzähle glaubt mir nie einer.

  • Interessante Sichtweise
    Auf mich wirkt sehr seltsam, was Professor Degenhardt hier zum Besten gibt.
    Es als Gottgegeben aufzufassen, das unsere IT Systeme unsicher sind befremdet mich sehr.
    Richtig ist sicherlich, dass das Hauptproblem vor dem Computer sitzt.
    Allerdings kann man Menschen sehr wohl für den Umgang mit vertrualichen Informationen sensibilisieren.
    Und auch die IT Industrie arbeitet an besseren Lösungen, die den Benutzer wenig zu Interaktion auffordern und dennoch mehr Sicherheit bieten. Zum Beispiel Single Signon, Smartcards, Fingerprint Reader - keine Kennwörter mehr nötig!

    Auch bei der Entwicklung wird versucht durch Automation den Single Point of Failure (der Mensch) zu überwachen.
    Das sind die richtigen Ansätze.
    Nicht zu sagen: "Die Systeme sind unsicher - mei, das ist halt so."

  • Um Lösungen wird erst gebeten, ist der Schaden eingetreten
    Diese allgemein verbreitete Verhaltensweise zeigt deutlich das Grundproblem unseres Umgangs mit Sicherheit im allgemeinen und IT-Sicherheit im speziellen auf.

    Da Sicherheitsmaßnahmen in der Regel die einfachen Wege zur Erreichung von Primärzielen erschweren, werden sie solange wie nur irgend möglich wegignoriert. Wenn das Risiko sich dann doch als Schadensereigniss realisiert hat, wird die Schuld möglichst delegiert und hektische Problemlösung betrieben.

    Das Ganze kann nur dann grundsätzlich besser werden, wenn das Führungspersonal sich seiner Verpflichtung nach Risikominimierung stellt und insbesondere IT-Risiken auch endlich als ernsthafte Business-Risiken anerkennt. Aber wie ich unsere in Vertragsverlängerungszyklen denkenden Vorstände so einschätze, wird es erst diverse verlorene Schadensersatzprozesse brauchen, bei denen Manager für Ihre Nachlässigkeiten persönlich zur Kasse gebeten werden, um hier ein Umdenken in Gang zu bringen.

    Um die Überschrift nochmal geändert zu wiederholen: Nur durch Schaden wird man (immer öfter) klug.

    Gerd Schelbert

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

3 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

3 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

5 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

6 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

1 Woche ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

1 Woche ago