IT-Sicherheit: Sind die Deutschen Pharisäer?

riskyUnvorsichtige Bürger

Vor wenigen Tagen konnte man erfahren: nur jeder vierte Internetnutzer verwendet systematische Methoden zur Passwortverwaltung wie Passwortmanager oder Passwortsafe (BITKOM vom 22.10.14). Und in der FAZ konnte man fast zeitgleich lesen, dass knapp 30% der Internetnutzer aus Sicherheitsgründen auf Online Banking verzichtet, Quelle wiederum BITKOM.

Schaut man auf die andere Seite der Kuchen, auf die anderen jeweils 70-75%, dann stellt man fest: Wie immer man die halben und Viertel-Torten übereinander legt, übrig bleiben rund 50%, die am Online Banking teilnehmen und ihre Passwörter nicht mit den o.g. Tools verwalten und schützen.

Nun ist Online-Banking ja kein Kinderfasching, hier kann man nicht nur versehentlich ein paar peinliche Fotos aus der Sauna oder Joint-Bekenntnisse aus frühen Schultagen den falschen Leuten zugänglich machen. Beim Online Finanzmanagement kann man richtig was versemmeln!

Alles Pharisäer?

Haben wir hier also einen weiteren Beleg für die schizophren-hysterischen Deutschen, die zwar abstrakt und theoretisch sehr viel Angst vor allen möglichen Bedrohungen der IT-Welt äußern (BITKOM: 81% haben Angst vor Ausspähung im Web), die aber, wenn es um das eigene umsichtige und sicherheitsbewusste Datenmanagement geht, sehr nachlässig weil vermutlich bequem sind? Sind wir Deutschen IT-Pharisäer?

Die Diskrepanz zwischen grundsätzlichem Sicherheitsanspruch und real praktizierter Sicherheitsdisziplin begegnet uns derzeit in vielen Untersuchungen: 23% wechseln nie ihr Passwort, 34% benutzen überall das gleiche Passwort, 11% aller 4stelligen PINs sind „1234“etc. So etwas gibt natürlich zu denken. Der Aufruf zu mehr Umsicht und Vorsicht ist sicherlich berechtigt.

Aber können sich deshalb die IT-Verantwortlichen (operative wie politische) zurück lehnen und Rufe nach verbesserten Sicherheitsmechanismen, -standards, -kontrollen und –gesetzen lächelnd an sich abgleiten lassen mit dem Argument, der kritische Bürger solle doch erst mal das, was schon da ist, intelligent einsetzen?

Ich meine, so eine Sicht ist völlig unangemessen. Auf der Suche nach den Gründen für Bürgers widersprüchliches Verhalten werden zwar schnell abfällige bis ehrenrührige Motive genannt, Faulheit, Ignoranz, Dummheit, mitunter sogar Sabotage: viel und immer Neues zu fordern, bedeutet ja Kräfte und Mittel auf der anderen Seite zu binden und diese so generell zu schwächen.

Doch eine überhebliche oder gar verschwörungstheoretische Haltung geht am Thema vorbei.

Das Lebensdilemma im 21. Jahrhundert

Um den offensichtlichen Widerspruch zwischen generellen IT-Sicherheitsängsten und persönlicher IT-Sorglosigkeit zu verstehen, muss man sich das aktuelle Lebensdilemma von Otto Normalverbraucher einmal vor Augen führen.
Er lebt zum einen in einer Welt, in der nahezu alles Lebenswichtige zunehmend abhängt von der Nutzung digitaler Medien und Werkzeuge:

  • sein berufliches Fortkommen: wo kann man sich z.B. heute noch ohne IT-Basis-Kenntnisse und Profil in den sozialen Medien aussichtsreich bewerben?
  • seine Kommunikation mit Ämtern und Behörden: langen Anfahrten und Warteschlangen begegnen nahezu alle Verwaltungen mit einem immer breiterem Online-Angebot
  • sein Informationsbedarf: „mehr dazu finden Sie auf tagesschau.de!“
  • sein Unterhaltungsbedarf: Stichwort Spiele und Filme
  • seine soziale Vernetzung: der Facebook-Account ist in vielen Kreisen heute schon ein Quasi-Muss.

Dieser Druck zum Digitalen mag je nach soziodemografischer Zugehörigkeit ein wenig variieren, aber faktisch ist er für jeden spürbar und nimmt fast täglich zu.
Und auf der anderen Seite begegnet er einer Technik, die an Old-School-Maßstäben gemessen ein geradezu skandalöses Qualitätsniveau aufweist.

Gravierende IT-Mängel

Unser widersprüchlicher Bürger ist gezwungen, Techniken, Systeme, Geräte und Medien zu benutzen, die eine Unzahl offensichtlicher Mängel aufweisen:

  • Selbst für anerkannteste, seriöseste Anbieter ist es selbstverständlich, in die Release-Planung eines neuen Produktes auch gleich den ersten Patch, die erste Fehlerkorrektur einige Woche später aufzunehmen. Neue Produkte werden wissentlich unvollständig auf den Markt gebracht. Das ist seit Jahren etablierte Praxis – und eigentlich doch ein Ding der Unmöglichkeit. In welcher Branche gibt es so etwas denn sonst noch?
  • Immer wieder stößt man auf offensichtliche Systemfehler, die nicht klar zu diagnostizieren sind (ein Virus lokal? Angriff auf den Server? Fehlprogrammierung? Netzausfall?) und schwer durchschaubare Folgemaßnahmen erforderlich machen.
  • Unverständliche Vernetzungs-Anforderungen zu Hause: wer kann das Zusammenspiel von Rechnern, Routern, Druckern, mobilen Geräten wirklich sicher handeln?
  • Laufend neue Nachrichten über die Unsicherheit und Anfälligkeit von Geräten, Netzen und Anwendungen, die eben noch als sicher galten. Auf was kann man sich noch verlassen? Laufend alles zu ändern ist praktisch einfach nicht darstellbar.
  • Unkoordinierte System-updates, die zum einen einfach stören und irritieren und dabei auch immer wieder versuchen, schnell noch ein bisschen mehr zu installieren. Wie schaltet man diese ungebetenen Quälgeister wieder ab?
  • Inkompatible Module, die die Verwendung mancher Anwendung blockieren
  • Generell ergonomische Lieblosigkeit von Anwendungen (auch großen), uneinheitliche Benutzeroberflächen und nicht zu Ende gedachte bis korrupte Funktionalitäten.

Hacker icons setÜberforderte Bürger

Der private Anwender ist mehrheitlich ja nicht IT-Kenner und will für seine privaten Themen nicht immer den Spezi aus Familie oder Freundeskreis bemühen. (Und ob dieser „Spezi“ nach Feierabend dann alles richtig macht, ist auch ungewiss.)

Unser Durchschnittsbürger steht darum dem ganzen IT-Spuk mit größter Unsicherheit gegenüber und hat Angst, irgendeinen Bestandteil substantiell zu ändern, weil er die Folgen gar nicht bändigen könnte und seine Korrespondenz, die Steuererklärung und die Urlaubsfotos womöglich danach futsch sind.

Wer mit IT beruflich umgeht, weiß zudem genau: alle Reparaturen, Patches, Updates etc. etc. kosten viel Zeit, meist mehr als eingeplant und für Laien dann nochmal deutlich länger.

In diesem Umfeld, unter diesen Bedingungen unseren fast hilflosen Bürger mit seinem widersprüchlichen Verhalten noch anzuprangern, ihn als Hauptproblem der allgemeinen IT-Unsicherheit zu beschuldigen und alle Appelle in seine Richtung zu drehen, ist frech und verkehrt die Tatsachen.

Wie im Wilden Westen

In Wirklichkeit ist das Hauptproblem eine Branche, die nicht wirklich Qualitätsmanagement im Sinne des Kunden gelernt hat oder gar praktiziert, sondern sich primär mit Gier auf den Umsatzkuchen stürzt und dabei nur zur Beruhigung der Umstehenden gelegentlich von verstärkter Sicherheit und Kundenorientierung murmelt.

Es stimmt schon: die Verhältnisse ließen kaum etwas Anderes zu in diesem an den wilden Westen erinnernden Laissez-faire-Markt. Natürlich sind der massive Wettbewerb und sowie die Innovationsdynamik die Hauptursachen. Doch das hat eben dazu geführt, dass im IT-Bereich auf die Kräfte des Marktes nur sehr eingeschränkt vertraut werden darf. Wurde Microsoft für seine Riesenmengen an Bugs in all seinen Betriebssystemen wie Anwendungen je abgestraft? Google für seine ergonomischen Irrwege? Facebook für seine laufende trial-and-error-Methode am lebenden Objekt? Adobe für seine nervtötenden und verwirrenden Flash-Updates? Alle zusammen für ihre kundenfeindliche und ignorante „wir machen unser eigenes Ding“-Haltung?

Und das ist nur die Spitze, es wird nach unten eher schlimmer, erratischer.

Die Wahrheit ist: Die Mehrheit der privaten IT-Anwender sind nicht ignorante Sicherheitstrottel. Es sind vielmehr Bürger, die versuchen

  • mit der sich permanent verstärkenden, technischen wie kommunikativen Dynamik und Komplexität Schritt zu halten,
  • die notorischen System-Unzulänglichkeiten und zunehmenden -Bedrohungen zu bewältigen und
  • dabei noch ihren anderen Aufgaben und Interessen weiter engagiert nachzugehen.

Anbieter Seite ist in der Pflicht

Wir werden das Sicherheits-Dilemma der privaten Nutzer (und viele klein- wie mittelständische Unternehmen sind ebenfalls betroffen) nicht in den Griff kriegen, wenn sich nicht auf der Anbieter-Seite etwas ändert. Erforderlich ist ein deutlich gestiegenes Qualitätsbewusstsein auf der Seite der „Lieferanten“. Mit den Bananenprodukten (reift beim Benutzer) muss Schluss sein.

Wird der Markt das selber richten? Man darf zweifeln. Aus anderen Branchen sind wir gewohnt, Produkte mit einem 0-Fehler-Anspruch zu erhalten. Autos, Waschmaschinen, Fernseher, Kameras, Schrankwände, Rasenmäher – wenn etwas in den ersten 2 Jahren nach Kauf nicht funktioniert, wie versprochen, dann sind wir reich an Rechten und nutzen diese auch.

Im IT-Bereich gibt es im Prinzip zwar die gleichen Rechte, doch hier arbeitet das einzelne Produkt als Modul im Verbund mit anderen Modulen – von ganz anderen Herstellern. Und in diesem Feld der gegenseitigen Abhängigkeiten, Interferenzen und potentiellen Störungen wird der Einzelne auf der Suche nach der Mängelursache leicht zum Hasen, Hersteller können darauf vertrauen. Die Folge: statt auf 0-Fehler-Produkte, wie in allen anderen Branchen üblich, treffen wir im IT-Bereich systematisch auf Multifehler-Produkte.

Confusing Direction DecisionZwei Entwicklungswege

Wie kann dieses immer brisanter werdende Sicherheitsdilemma durchbrochen werden?
Zwei Entwicklungsrichtungen sind hier denkbar:

  1. Sichere, normierte Referenz-Architekturen. Vorstellbar sind Qualitätsstandards die eine Robustheitsgarantie implizieren: Wenn nur entsprechend geprüfte Bauteile, Anwendungen, Medien, Netze etc. eingesetzt werden, wenn nur Module, die eine definierte Qualitätsnorm „X“ erfüllen (inkl. einiger Pflichtmodule für Virenschutz & Co) mit einander verbunden werden, liegt eine sichere und belastbare Infrastruktur für den Privatanwender vor.
    Das klingt nach massivem öffentlichem Eingriff und erheblichem Aufwand. Welche semi-staatliche Stelle sich diesen Atlas auf die Schultern legen mag, ist schwer erkennbar. Und ob der Weg wirklich realistisch, ob das Ziel erreichbar ist, ist ebenfalls nicht sicher. Immerhin könnte, wenn der Plan denn gelingt, so neues Vertrauen und mehr Sicherheit für Viele geschaffen werden.
  2. Das private Sorglos-Paket. Ein rein privatwirtschaftlicher Ansatz mit Dienstleistungsfirmen, die (für übersichtliche Beträge) privaten Anwendern Komplettlösungen inkl. Service (Wartung, Backup, Troubleshooting) anbieten. Den Garantieanspruch im Fall des Falles könnte man dann gegenüber diesen Partner geltend machen.

Eine Zeitlang wird es allerdings erst mal wohl einfach so weiter gehen, wie bisher. Doch die Situation eskaliert. Denn die drei großen Treiber des Widerspruchs, um den es hier geht, sind

  • der Druck auf den Einzelnen, am digitalen Leben intensiv teilzunehmen
  • die kriminelle Bedrohung seiner digitalen Identität und Integrität
  • die Komplexität und „Sperrigkeit“ der Informationstechnik inkl. all ihrer Module.

Bei allen drei Treibern stehen die Zeichen eindeutig auf Wachstum. Der aktuell erkannte Widerspruch, das Dilemma wird also weiter anwachsen. Gut möglich, dass sich in diesem immer weiter aufladenden Spannungsfeld interessante Geschäftsmodelle für Alternative 2 ergeben. Möglich aber auch, dass irgendwann so viel Geld widerrechtlich den Besitzer wechselt, dass von öffentlicher Seite Weg 1 ins Auge gefasst wird / werden muss.

Oder wird am Ende der zu Unrecht gescholtene Bürger sein „Pharisäertum“ aufgeben und vermehrt Zeitbudgets in die Sicherung seiner digitalen Identität investieren? Was wird er bereit sein, dafür aufzugeben? Sehr wahrscheinlich erscheint diese Entwicklung nicht.

Auch der Wilde Westen wurde mit der Zeit befriedet. Die wirtschaftlichen Potentiale und Interessen wuchsen dramatisch und Sheriffs und Marshals monopolisierten zunehmend die Gewalt. Gut möglich, dass wir in unserem IT-Tombstone auch ein Art Wyatt Earp brauchen.

Stimmen Sie dieser Analyse zu?

Wie bewerten Sie die beiden Lösungsskizzen?

Welche Entwicklungen und Optionen sollten hier noch berücksichtigt werden?

Ich bin neugierig auf Ihr Feedback!

Schreibe einen Kommentar