Prof. Dr. Matthew Smith vom Institut für Informatik der Universität Bonn gilt als ein Vorreiter in der IT-Security. Seine Perspektive fokussiert den Menschen zum einen als Entwickler von Computersystemen, aber auch als Nutzer. „Entwickler und Nutzer machen wie alle selbstverständlich Fehler“, sagt Smith. „Die IT-Systeme sollten auf eine Art und Weise aufgebaut werden, dass sich die Fehler bereits bei der Entwicklung möglichst minimieren.“ Es geht ihm um eine grundsätzliche Umkehrung der Sichtweise: Nicht Milliarden Nutzer sollten dazu gezwungen werden, Sicherheitsvorschriften zu beachten. Vielmehr sollten die Systeme so angepasst sein, dass der Mensch ohne ausgiebige Schulung weniger Fehler bei der Entwicklung und Nutzung von IT-Systemen macht. „Das ist mein Credo“, sagt Smith. „Vorneweg: Es gibt bislang noch keine fertigen Lösungen. Wir haben aber angefangen, diesen Weg zu beschreiten.“
Eine „Mission impossible“?
Endnutzer müssen viel Aufwand betreiben, wenn sie sicher sein wollen. Beispielsweise sollten sie gute Passwörter wählen und nicht auf gefährliche E-Mail-Anhänge klicken. Wie Endnutzer dabei unterstützt werden können, beschäftigt Forscher schon seit fast 20 Jahren. Einen neuen Weg beschreiten dabei die Informatiker der Universität Bonn. „Alle Last auf den Endnutzer abzuwälzen, ist ein Unding“, sagt Smith. In der idealen Welt sollten Nutzer auch eine Schad-E-Mail öffnen können, ohne dass dadurch der Angreifer Schaden anrichten kann. „Davon sind wir aber noch weit entfernt – selbst die besten Programmieren können noch keine 100-prozentig sicheren Systeme bauen.“
Ein gutes Beispiel hierfür ist ein Datendiebstahl im Jahr 2013 wo nach Medienberichten Milliarden Nutzerkonten eines Internetkonzerns betroffen waren: E-Mail-Adressen und unkenntlich gemachte Passwörter wurden demnach geklaut. Allerdings waren die Passwörter nicht gut genug geschützt. Somit hat ein Fehler von einem Entwicklerteam auf einen Schlag die Passwörter von Milliarden Benutzern gefährdet.
Wie der Mensch im Umgang mit Computersystemen tickt, erforscht Smith anhand von Probanden. So ließ er in einem Experiment 40 Informatikstudenten eine Webseite programmieren, wo die Benutzer über einen Benutzernamen und ein Passwort registriert werden. „Damit wollten wir überprüfen, inwieweit die Entwickler von allein darauf kommen, dass es sich dabei um eine sicherheitsrelevante Angelegenheit handelt, und sie entsprechend Vorsorge treffen“, erläutert Smith. Die Hälfte der Gruppe durfte einfach drauflos programmieren, die andere Hälfte bekam den Hinweis „Achtet bitte dabei auf Sicherheit!“. Das Ergebnis: Von der Gruppe ohne Anweisung hatte überhaupt kein Teilnehmer sicherheitsrelevante Fragestellungen beachtet. Aus der Schar mit dem Sicherheitshinweis vorab hatten immerhin zwölf eine sichere Vorgehensweise gewählt.
In einem zweiten Schritt wiederholten die Wissenschaftler das Experiment mit 40 professionellen Entwicklern, die sich als Selbstständige auf dem freien Markt behaupten müssen. Smith: „Das Ergebnis war insgesamt wieder ganz ähnlich: Auch von den Profis wurden Sicherheitsaspekte nur wenig berücksichtigt.“ Die Essenz: Wenn man nicht explizit darum bittet, wird Sicherheit kaum berücksichtigt. „Es ist an dieser Stelle wichtig zu unterstreichen, dass wir dem Entwickler hier nicht die Schuld geben!“, sagt Smith. „Vielmehr beschäftigt sich unsere Forschung nun mit der Frage, wie man Entwickler entlasten kann, damit sie sich auf die Funktionalität konzentrieren können und die Sicherheit einfach funktioniert.“
100.000 US-Dollar für die Forschung
Für seine Forschungsarbeiten wurde Smith kürzlich mit dem 100.000 US-Dollar dotierten Google Security and Privacy Research Award ausgezeichnet. „Ich freue mich sehr, weil der Preis eine große Flexibilität und Freiheit ermöglicht“, sagt Smith. „Ich kann das Geld in der Forschung einsetzen, wann und wofür ich will.“ Andere Förderinstrumente seien deutlich bürokratischer. Der Wissenschaftler der Universität Bonn arbeitet schon länger mit dem Google-Security-Team zusammen, das auch entscheidet, an wen der Preis verliehen wird.
Mehr zum Google-Preis:
https://security.googleblog.com/2018/11/announcing-google-security-and-privacy.html
Kontakt für die Medien:
Prof. Dr. Matthew Smith
Universität Bonn
Institut für Informatik
Tel. 0228/7360745
E-Mail: smith@cs.uni-bonn.de