Naiv, schizophren oder nur verständlicher Frust? Warum wir nichts aus unseren Fehlern in der Cybersecurity lernen

Da soll man es einem recht machen. Über die Hälfte aller im Internet aktiven Nutzer (55%) musste schon Erfahrungen mit Betrugsversuchen sammeln, wie eine Studie des Analysten von FICO ergab. Doch die Konsequenz daraus sind keinesfalls bessere Sicherheitsvorkehrungen und eine gesteigerte Sensibilität. Im Gegenteil, praktisch jeder Anwender ist von den verfügbaren Sicherheitsmaßnahmen wie 2-Faktor-Authentifizierung genervt. In der Studie gaben 81% der 2000 Befragten an, dass sie keinen Sinn in den, ihrer Ansicht nach, unnötigen Maßnahmen sehen. Früher wurde man aus Schaden klug, heute verdreht man nur noch die Augen.

Nun wäre es ein leichtes, Unbedarftheit und geringe Frustrationstoleranz hinter der, doch reichlich erstaunlichen, Reaktion zu sehen. Natürlich ist Sicherheit ein Zusatzaufwand, der nichts mit dem gewünschten Ergebnis zu tun hat und als solches mehr Ärgernis als freudig umgesetzte Lieblingsaufgabe. Von daher ist ein gewisses Maß an Ablehnung verständlich. Doch die extrem hohen Werte kontra Sicherheit, selbst bei Personen, die persönlich von Betrug betroffen waren, machen nachdenklich. Immerhin waren 71% davon überzeugt, dass es zu viele Sicherheitsmaßnahmen gibt. Bei allem was Passwörter betrifft, reichte die Ablehnung noch höher. 78% können sich ihre diversen Passwörter nicht merken, 64% wollen keine komplexen Passwörter mit Zahlen und Sonderzeichen und 71% lehnen Captchas ab.

Sicherheit ist in der Regel ein Add-On, etwas, das mit dem gewünschten Service nichts zu tun hat. Besonders in den letzten Jahren, nach Vorfällen wie dem Sony-Hack, dem Linkedin-Diebstahl oder dem Yahoo-Fiasko, wurden die Sicherheitsmaßnahmen nachträglich hochgefahren. Leider vor allem zum Nachteil der Anwender. Wer nun ein Passwort mit Sonderzeichen, Zahlen sowie Klein- und Großbuchstaben verwenden muss, wird immer das gleiche verwenden. Wird das Passwort einmal erbeutet, sind alle Account kompromittiert. Dabei ist schon längst bekannt, dass lange aber sinnvolle Passphrasen einfacher zu merken und sicherer sind. Ein Satz lässt sich besser im Gedächtnis behalten als eine wirre Zeichenkombi, das leuchtet ein. Leider erlauben die meisten Systeme keine beliebig langen Passwörter und schießen sich damit, oder vielmehr dem Benutzer, ins Bein.

Ja, Benutzername und Passwörter sind ohnehin Technik von vorgestern und sollten längst durch 2-Faktor-Authentifizierung und Mehr-Faktor-Authentifizierung und Biometrie abgelöst sein. Doch der Großteil der Anwender ist weder technisch geschult noch Technik-affin. Das sind Menschen, die sich nicht für den Fingerabdruckscanner im Handy interessieren und sie kaufen auch keinen Yubikey. Auch für die muss es möglich sein, sinnvoll mit Passwörtern und Benutzernamen und den anderen, heute als Standard genutzten Sicherheitsmaßnahmen umzugehen. Wenn die Technik schon nicht benutzerfreundlich ist, muss man eben versuchen, möglichst viel der Frustration durch Kommunikation abzufangen. Wer einsieht, dass Sicherheit einen Nutzen hat, wird sie – zähneknirschend – eher unterstützen. Sieht man sich allerdings die eingangs zitierte FICO-Studie an, kommen selbst daran Zweifel auf.

Doch mit simplen und kostenlosen Tools kann man heute mobile und stationäre Endgeräte vor 99% der üblichen Gefahren schützen. Einen Passwortmanager sollte heute wirklich jeder zwischen acht und achtzig beherrschen und verwenden, ein regelmäßiges Backup ist seit 25 Jahren Pflichtübung und aktuelle Schutzsoftware gegen Viren, Würmer und Trojaner gibt es kostenlos. Die neuesten Patches zu installieren machen Windows, Android und iOS automatisch, VPNs schützen die Kommunikation, falls sensible Inhalte übertragen werden. Die Mittel sind da, und wer sie sich zu Nutze macht, wird mit weniger Frust und höherer Sicherheit belohnt.