© Heike Fischer / TH Köln

Vom 16. bis 18. Mai 2017 fand in Bonn-Bad Godesberg der 15. Deutsche IT-Sicherheitskongress statt. Im Fokus stand die Frage, welche Rolle Informationssicherheit in einer zunehmend digitalisierten Gesellschaft einnehmen sollte. Hartmut Schmitt (HK Business Solutions) und Prof. Dr. Luigi Lo Iacono (TH Köln) legten den Kongressbesuchern dar, welche Antworten das Mittelstand-Digital-Projekt „USecureD – Usable Security by Design“ auf diese Herausforderung bietet.

Der 15. Deutsche IT-Sicherheitskongress stand unter dem Motto „Digitale Gesellschaft zwischen Risikobereitschaft und Sicherheitsbedürfnis". Welchen Beitrag leistet USecureD für die Herstellung nutzerfreundlicher IT-Sicherheitsfunktionen?

Schmitt: In USecureD haben wir erstmals das Wissen der Forschungscommunity zum Thema gebrauchstaugliche Informationssicherheit zusammengeführt und auf einer deutschsprachigen Plattform veröffentlicht. Entwickler finden auf unserer Plattform verschiedene Arten von Werkzeugen, die schon in frühen Phasen der Systementwicklung eingesetzt werden können. Usabilitymängel der Sicherheitsfeatures können so bestenfalls von Anfang an vermieden werden, „by Design“ sozusagen.

Lo Iacono: Wichtig war uns dabei, einen leichtgewichtigen Ansatz zu finden, der insbesondere von KMU in vielfältiger Art und Weise und ohne große Hürden angewendet werden kann.

Warum sind die Entwicklungen und Lösungen von USecureD, die Sie in Ihrem Vortrag am 18. Mai zeigten, gerade für kleine und mittlere Betriebe relevant?

Schmitt: Sicherheitsfunktionen mit schlechter Usability werden von den Anwendern oft falsch bedient, umgangen oder ignoriert. Hierdurch wird unter Umständen das gesamte Sicherheitskonzept zu Fall gebracht. Insbesondere kleinere Betriebe sind sich meist nicht bewusst, welche Probleme dadurch entstehen können, und verlassen sich stattdessen darauf, dass ihre Software sicher ist.

Nach den Eindrücken, die Sie beim 15. Deutschen IT-Sicherheitskongress sammeln konnten: Wie weit sind Forschung und Entwicklung, als auch die Wirtschaft in Deutschland Ihrer Meinung nach im Bereich zuverlässiger nutzerfreundlicher Sicherheitsfunktionen? Wie schätzen Sie den Status quo ein?

Lo Iacono: Wir stehen hier gerade erst am Anfang. Dies kann gut an den USecureD-Tools abgelesen werden. Die von uns aufgebauten Datenbanken eignen sich nämlich nicht nur zur Unterstützung von Unternehmen, sondern dienen auch der Forschung. Es stehen entsprechende programmatische Zugänge bereit, mit denen man die enthaltenen Artefakte z.B. nach Dopplungen, Widersprüchen, Reifegrad, aber auch Vollständigkeit hin analysieren kann. Dies tun wir gerade, und wissen daher, wo es noch weiße Flecken gibt. Das sind einige. Viele davon ergeben sich aus der Tatsache, dass bisher in der Forschung meist Endanwender betrachtet wurden und Nutzer wie Entwickler, Administratoren und Systemintegratoren weniger im Fokus standen.

Schmitt: Bei der Softwareindustrie sind unsere Ergebnisse auf großes Interesse gestoßen. Viele Hersteller sehen hier noch Handlungsbedarf und auch die Möglichkeit, sich mit dem Qualitätsmerkmal Usable Security von den Produkten der Mitbewerber abzuheben.

Welche zentralen Erkenntnisse nehmen Sie von dem 15. Deutschen Sicherheitskongress mit?

Schmitt: Viele kleinere Unternehmen sind sich der Gefahren schlechter IT-Sicherheit bewusst, aber vertrauen nach dem Sankt-Florians-Prinzip darauf, dass es eher größere Firmen treffen wird, die für Angreifer vermeintlich interessanter sind. Diese Unternehmen, die sich im Zuge der Digitalisierung immer stärker vernetzen, müssen noch stärker aufgeklärt werden und sie müssen in die Lage versetzt werden, sich adäquat zu schützen.

Lo Iacono: Wir müssen noch stärker darauf hinarbeiten, dass Nutzer nicht zum schwächsten Glied eines Sicherheitssystems gemacht werden. Awareness alleine reicht hierfür bei weitem nicht aus. Die Sicherheitsmechanismen müssen nutzerzentriert ausgestaltet sein, erst dann werden die Sicherheitsmechanismen so effektiv sein, wie wir es dringend brauchen.