Technologiedesigner beginnen damit, ein Produkt zu entwickeln und es an Benutzern zu testen. Das Produkt steht an erster Stelle; Benutzereingaben werden verwendet, um die Machbarkeit zu bestätigen und zu verbessern. Der Ansatz macht Sinn. McDonald’s und Starbucks machen dasselbe. Menschen können sich neue Produkte nicht vorstellen, genauso wenig wie sie sich Rezepte vorstellen können, ohne sie zu erleben.
Aber das Paradigma wurde auch auf die Gestaltung von Sicherheitstechnologien ausgeweitet, bei der wir Programme zum Benutzerschutz erstellen und die Benutzer dann auffordern, diese anzuwenden. Und das ergibt keinen Sinn.
Sicherheit ist keine konzeptionelle Idee. Menschen nutzen bereits E-Mails, surfen bereits im Internet, nutzen soziale Medien und teilen Dateien und Bilder. Sicherheit ist eine Verbesserung, die über etwas hinausgeht, was Benutzer bereits tun, wenn sie E-Mails senden, surfen und online teilen. Es ähnelt der Aufforderung an die Leute, den Sicherheitsgurt anzulegen.
Es ist Zeit, Sicherheit anders zu betrachten
Unser Sicherheitsansatz ist jedoch so, als würden wir die Sicherheit des Fahrers lehren und dabei ignorieren, wie die Leute fahren. Dadurch wird so gut wie sichergestellt, dass Benutzer entweder blind etwas übernehmen, weil sie glauben, dass es besser ist, oder sich, wenn sie dazu gezwungen werden, einfach daran halten. In jedem Fall sind die Ergebnisse suboptimal.
Nehmen Sie den Fall der VPN-Software. Diese werden stark gefördert für Benutzer als unverzichtbares Sicherheits- und Datenschutztool, aber die meisten haben es getan begrenzt bis keine Gültigkeit. Sie setzen Benutzer, die an ihren Schutz glauben, einem größeren Risiko aus, ganz zu schweigen davon, dass Benutzer mehr Risiken eingehen, wenn sie an solchen Schutz glauben. Denken Sie auch an die Schulung zum Sicherheitsbewusstsein, die mittlerweile von vielen Organisationen vorgeschrieben wird. Diejenigen, die der Meinung sind, dass die Schulung für ihre spezifischen Anwendungsfälle irrelevant ist, finden Workarounds, die oft zu unzähligen Sicherheitsrisiken führen.
Das alles hat einen Grund. Die meisten Sicherheitsprozesse werden von Ingenieuren mit Erfahrung in der Entwicklung von Technologieprodukten entworfen. Sie betrachten Sicherheit als technische Herausforderung. Benutzer sind nur eine weitere Aktion im System, nicht anders als Software und Hardware, die so programmiert werden kann, dass sie vorhersehbare Funktionen ausführt. Das Ziel besteht darin, Aktionen basierend auf einer vordefinierten Vorlage geeigneter Eingaben zu enthalten, sodass die Ergebnisse vorhersehbar werden. Nichts davon basiert auf den Bedürfnissen des Benutzers, sondern spiegelt eine im Voraus festgelegte Programmagenda wider.
Beispiele hierfür finden sich in den Sicherheitsfunktionen, die in viele heutige Softwareprogramme integriert sind. Nehmen Sie E-Mail-Apps, von denen einige es Benutzern ermöglichen, den Quellheader einer eingehenden E-Mail zu überprüfen, eine wichtige Informationsebene, die die Identität eines Absenders preisgeben kann, während andere dies nicht tun. Oder nehmen Sie mobile Browser, bei denen wiederum einige es Benutzern ermöglichen, die Qualität des SSL-Zertifikats zu überprüfen, während andere dies nicht tun, obwohl Benutzer bei allen Browsern die gleichen Anforderungen haben. Es ist nicht so, dass jemand SSL oder den Quellheader nur dann überprüfen muss, wenn er sich in einer bestimmten App befindet. Was diese Unterschiede widerspiegeln, ist die unterschiedliche Sichtweise jeder Programmiergruppe darauf, wie ihr Produkt vom Benutzer verwendet werden sollte – eine Produkt-First-Mentalität.
Benutzer kaufen, installieren oder erfüllen Sicherheitsanforderungen in dem Glauben, dass die Entwickler verschiedener Sicherheitstechnologien halten, was sie versprechen – weshalb einige Benutzer bei ihren Online-Aktionen bei der Verwendung solcher Technologien noch unbekümmerter sind.
Zeit für einen benutzerorientierten Sicherheitsansatz
Es ist zwingend erforderlich, dass wir das Sicherheitsparadigma umkehren – die Benutzer an die erste Stelle setzen und dann die Verteidigung um sie herum aufbauen. Das liegt nicht nur daran, dass wir die Menschen schützen müssen, sondern auch daran, dass wir durch die Förderung eines falschen Schutzgefühls Risiken schüren und sie verletzlicher machen. Organisationen benötigen dies auch zur Kostenkontrolle. Auch wenn die Volkswirtschaften der Welt aufgrund von Pandemien und Kriegen ins Wanken geraten, sind die Ausgaben für organisatorische Sicherheit im letzten Jahrzehnt geometrisch gestiegen.
Benutzerorientierte Sicherheit muss mit einem Verständnis dafür beginnen, wie Menschen Computertechnologie nutzen. Wir müssen uns fragen: Was macht Benutzer anfällig für Hackerangriffe per E-Mail, Messaging, soziale Medien, Surfen und Dateifreigabe?
Wir müssen die Grundlage des Risikos entwirren und seine verhaltensbezogenen, geistigen und technischen Wurzeln ausfindig machen. Dies sind die Informationen, die Entwickler bei der Entwicklung ihrer Sicherheitsprodukte lange ignoriert haben, weshalb selbst die sicherheitsbewusstesten Unternehmen immer noch Opfer von Sicherheitsverletzungen werden.
Achten Sie auf Online-Verhalten
Viele dieser Fragen wurden bereits beantwortet. Die Sicherheitswissenschaft hat erklärt, was Benutzer für Social Engineering anfällig macht. Da Social Engineering auf eine Vielzahl von Online-Aktionen abzielt, kann das Wissen zur Erklärung einer Vielzahl von Verhaltensweisen eingesetzt werden.
Zu den identifizierten Faktoren gehören Überzeugungen über Cyberrisiken – Ideen, die Benutzer über das Risiko von Online-Aktionen im Kopf haben, und kognitive Verarbeitungsstrategien – Wie Benutzer Informationen kognitiv ansprechen, was bestimmt, wie viel Aufmerksamkeit Benutzer den Informationen im Internet widmen. Eine weitere Reihe von Faktoren sind Mediengewohnheiten und Rituale die teils durch die Art der Geräte und teils durch organisatorische Normen beeinflusst werden. Gemeinsam beeinflussen Überzeugungen, Verarbeitungsstile und Gewohnheiten, ob eine Online-Kommunikation – E-Mail, Nachricht, Webseite, Text – ausgelöst wird Verdacht.
Trainieren, messen und verfolgen Sie Benutzerverdächtigungen
Misstrauen ist das Unbehagen, wenn man auf etwas trifft, das Gefühl, dass etwas nicht stimmt. Es führt fast immer zur Suche nach Informationen und, wenn eine Person über das richtige Wissen oder die richtige Erfahrung verfügt, zur Aufdeckung und Korrektur von Täuschungen. Durch die Messung des Verdachts zusammen mit den kognitiven und Verhaltensfaktoren, die zur Phishing-Anfälligkeit führen, Organisationen können diagnostizieren, was Benutzer angreifbar gemacht hat. Diese Informationen können quantifiziert und in einen Risikoindex umgewandelt werden, mit dem sie die am stärksten gefährdeten Personen identifizieren können – die schwächsten Glieder – und sie besser schützen.
Durch die Erfassung dieser Faktoren können wir verfolgen, wie Benutzer durch verschiedene Angriffe kooptiert werden, und verstehen, warum sie getäuscht werden. und Lösungen entwickeln, um es zu mildern. Wir können Lösungen rund um das von Endbenutzern erlebte Problem entwickeln. Wir können Sicherheitsvorgaben abschaffen und durch Lösungen ersetzen, die für den Benutzer relevant sind.
Nachdem wir Milliarden ausgegeben haben, um den Benutzern Sicherheitstechnologie zur Verfügung zu stellen, sind wir weiterhin genauso anfällig für Cyberangriffe entstand in den 1990er Jahren im AOL-Netzwerk. Es ist an der Zeit, dass wir das ändern – und die Sicherheit rund um die Benutzer aufbauen.
