So sicher wie nur irgend möglich – oder – einem Bären kannst Du nicht entkommen

Garry Kasparov 6 Dez 2017

Die Balance zwischen Benutzerfreundlichkeit und Sicherheit von Verbraucherprodukten durchleuchten

Im September brachte Apple seine jüngste iPhones-Serie heraus: das iPhone 8 und iPhone 8 Plus, wobei das iPhone X im November im Rahmen eines mittlerweile vertrauten Spektakels ausgeliefert wird. Jede Neueinführung gestaltet sich in vielerlei Hinsicht als Momentaufnahme der technologischen Entwicklungen, die in letzter Zeit die Aufmerksamkeit auf sich gezogen haben. Nicht unbedingt neuartig, aber dennoch Technologie, die sich schlagartig ausbreitet und das ursprüngliche Ziel ihres Urhebers bei Weitem übertreffen wird: Vergleichbar mit einer im Labor gezüchteten Kreatur, die in die freie Wildbahn entlassen wird. In dieser Funktion bieten diese Entwicklungsstadien Einblick in die Chancen und Herausforderungen, die derartige Fortschritte für die Gesellschaft als Ganzes mit sich bringen, nicht nur für den einzelnen Verbraucher.

Das sollte zwar nicht der Fall sein und dennoch wirkt der Widerspruch zwischen Benutzerfreundlichkeit und Sicherheit allzu häufig wie ein Nullsummenspiel. Bringen wir es auf den einfachsten gemeinsamen Nenner: der Sperrbildschirm. Es ist nervig, bei jedem Entsperren des Telefons eine PIN eingeben zu müssen - bisweilen hundertfach am Tag. Wie vertrackt sich diese Unvereinbarkeit gestaltet, wird durch die Tatsache demonstriert, dass 28% der Smartphone-Nutzer gänzlich auf einen Sperrbildschirm verzichten und sich dadurch bei Verlust oder Diebstahl ihres Telefons erheblichen Risiken aussetzen. Hersteller haben versucht, diesen Aspekt simpler zu gestalten, ohne die Sicherheit zu beeinträchtigen, um dabei jedoch nur durchwachsene Ergebnisse zu erzielen, bei denen eher die Benutzerfreundlichkeit im Vordergrund steht und weniger der Sicherheitsaspekt. Beispielsweise ein Wischmuster statt einer PIN. Bei den biometrischen Daten begann es mit dem Fingerabdrucksensor, der weniger sicher ist als eine PIN, allerdings recht praktisch. (Oder bestenfalls „auf eine andere Art sicher“, denn wenn Ihr gezwungen werdet, Eure Fingerabdrücke einzugeben, so könnt Ihr genauso gut zur Aufgabe Eurer Passwörter genötigt werden. Dieses Problem wurde vor längerer Zeit einmal im Comic XKCD aufgegriffen. 

Biometrische Sicherheit steht nun vor dem nächsten großen Schritt in den Markt. Die neue, in das iPhone X integrierte Funktion Face ID ersetzt die Fingerabdruck-Entsperrung auf aktuellen Modellen. Anstatt auf eine Startseite zu drücken, müssen Benutzer jetzt nur noch auf ihr Smartphone blicken, um es nutzen zu können – wahrlich die Krönung der Benutzerfreundlichkeit. Die Option zur Nutzung eines Passwort bleibt bestehen für Benutzer mit Sicherheitsbedenken. Auf viele jedoch wirkt diese neue Funktion zweifellos sehr verlockend. 

Die Folgen für Benutzer, die sich für Face ID entscheiden, sind beträchtlich. Auf der Sicherheitsebene ist ihr Gesicht öffentliche Information, keine private; und die Verwendung öffentlicher Informationen als Passwort ist an sich schon riskant. Zweitens müssen die Sensoren des Telefons stets aktiviert bleiben, um Gesichter erkennen und bei Aufforderung die Entsperrung vornehmen zu können. Folglich werden wir permanent von unseren Telefonen überwacht. Zwielichtige Akteure können sich nun in diese Geräte hacken, um deren Benutzer auszuspionieren, ihre Mimik zu verfolgen, ihre Reaktionen auf die Medien, die sie gerade konsumieren und auch, in wessen Gesellschaft sie sich aufhalten. Die Face ID-Funktion funktioniert auch in Verbindung mit Drittanbieter-Apps, um Benutzern den Zugriff auf jede erdenkliche Art von sensiblen Informationen zu ermöglichen: von ihren Gesundheitsdaten bis hin zu Finanztransaktionen - und alles zugänglich durch einen simplen Blick auf den Smartphonebildschirm. 

Always-on-Video wird nur das jüngste Element eines Problems, das sich bereits zu einem Allgemeinplatz entwickelt hat. Amazon Echo ist einer der zahlreichen „Heim-Assistenten“, die ihren Besitzer permanent überwachen und ein ähnliches Phänomen darstellen. Wie auch beim iPhone X können Benutzer individuell entscheiden, wie sie mit dem Gerät interagieren wollen, indem sie entweder Face ID auf dem iPhone deaktivieren oder indem sie die Aufnahmen von Alexa auf dem Echo kontinuierlich löschen. Aber wenn sie das tun, dann verzichten sie auf einen verlockenden Grad an Bequemlichkeit – ein sehr praktischer kurzfristiger Vorteil – um sich vor einer diffusen Bedrohung ihrer Privatsphäre zu schützen. Von der Mehrzahl der Menschen zu erwarten, dass sie sich all der potenziellen Folgeerscheinungen jener Produkte bewusst sind, die sie täglich nutzen oder gar ihr Verhalten dahingehend ändern würden, ist schlicht unrealistisch. Touch ID und verwandte Verfahren haben die größten Fingerabdruckdatenbanken außerhalb des FBI entstehen lassen. Die Menschen aber, die intuitiv davor zurückschrecken würden, ihre Fingerabdrücke bei der Bank oder am Flughafen zu hinterlegen, geben diese Daten bedenkenlos an Apple weiter. 

Die Unternehmen, die diese Produkte auf den Markt bringen, müssen eine Rolle bei der Strukturierung des Kompromisses zwischen Komfort und Sicherheit spielen und das Spielfeld definieren, das dann die Wahlmöglichkeiten des Einzelnen einschränkt. Wenn das umfassende Mitschnittarchiv Alexa zu einem immer effizienteren Sprachassistenten macht, dann ist es unwahrscheinlich, dass der Benutzer diese Aufnahmen regelmäßig löscht, selbst wenn dies ein Mehr an Sicherheit bedeutet. Wenn sie sich schon dafür entscheiden, dann wollen sie vermutlich auch, dass alle Funktionen wie beworben funktionieren. Und was ist mit denen, die diese Produkte gar nicht benutzen und dennoch in ihre Überwachungsnetze geraten? Wenn Ihr eine Wohnung mit einem installierten Amazon Echo betretet, ist es dann Aufgabe des Eigentümers, Euch darüber zu informieren, dass Eure Kommunikation überwacht wird, oder liegt es an Euch als Gast, Eure eigene Privatsphäre zu schützen? 

Unternehmen sollten ihre Einfluss nutzen und das Standardverhalten ihrer Kunden dahingehend zu beeinflussen, dass diese sich besser vor den gravierendsten Datenschutz- und Sicherheitsbedrohungen schützen können, insbesondere vor Verstößen, die nicht nur den Einzelnen betreffen. Anderenfalls sollten sie den Menschen die Freiheit lassen, ihre eigenen Entscheidungen bewusst zu treffen - solange sie damit nicht andere gefährden. 

Es mag hoffnungslos erscheinen, eine Generation dazu zu bringen, jeden Tag Dutzende von Selfies zu teilen, um sich um die Privatsphäre zu sorgen, aber diese Probleme werden nicht verschwinden. Der nächste große Firmenhack, der nächste Virus oder Exploit wird das Thema Sicherheit nur für ein paar Tage auf die Titelseiten bringen. Dies sind jedoch keine gelegentlichen Ausrutscher oder Unfälle. So leben wir heute in einer Welt, in der alles geteilt und gespeichert wird und miteinander vernetzt ist. Es wird immer Kriminelle geben, die sich Zugang zu Datenbanken verschaffen, so wie es immer Gauner geben wird, die in Autos und Häuser einbrechen. Das bedeutet aber nicht, dass wir das tolerieren sollten, sondern nur, dass wir realistisch und, wie ich hoffe, vorsichtiger sein sollten, wenn es um die langfristigen Auswirkungen freimütigen Teilens von Daten geht. 

Einige meiner letzten Gespräche mit Avast-Sicherheitsexperten zum Thema Verbraucherverhalten ließen mich an den alten Witz über die beiden Camper denken, die beim Schwimmen von einem hungrigen Bären überrascht wurden. Der eine fängt sofort an zu laufen, während der andere innehält, um sich die Schuhe anzuziehen. "Warum ziehst du dir die Schuhe an?", fragt der Erste. „Auch damit kannst Du einem Bären doch nicht entkommen.“ „Das muss ich gar nicht,“ meinte der Andere. „Ich muss nur schneller laufen können als du.“ Dein Computer, Dein Telefon und Deine Daten werden nie zu 100% sicher sein, aber sie sind viel sicherer, wenn sie sicherer sind als die aller anderen, also haltet ruhig einen Moment inne, um Deine Schuhe anzuziehen.

--> -->