Anbieterverantwortung für die Security Awareness bei Privatusern?

Der eine bevorzugt die Zeitung zum Frühstückskaffee, der nächste liest sein Journal in den öffentlichen Verkehrsmitteln, auf dem Weg zur Arbeit. Andere wiederum abonnieren elektronische News–Ticker oder lesen die Neuigkeiten des Tages in den elektronischen Portalen des WWW. Gleichgültig, welches Medium man wählt, in letzter Zeit findet man immer öfter Berichte über Cyberkriminalität, Datenmissbrauch und Schadsoftware. Es sind nicht nur die großen Themen wie Stuxnet [i] – der Virus der Industriecomputer angreift – oder die Datenschutzrichtlinien bei Sozialen Netzwerken, die regelmäßig die Datenschutzbeauftragten auf die Barrikaden treiben. Es sind oft kleine Vorfälle, die wesentlich besorgniserregender sind.

Business as usual

Das Web - der wilde Westen?

Denn die kleinen Vorfälle geschehen tausendmal an jedem Tag. Man kauft online ein, ohne das Kleingedruckte zu lesen und ärgert sich im Nachhinein, wenn der problemlose Umtausch nicht klappt. Beim Surfen im Web gelangt man nicht auf die Zielseite – stattdessen startet ein Web-Virenscanner, der mehrfach Computerviren auf dem heimischen PC entdeckt. Oder man hat endlich einen neuen Treiber für den Fotoscanner gefunden und muss sich nach dem Download urplötzlich mit einem Bot herumschlagen, der munter Spam–E-Mails vom eigenen PC versendet. Aber das ist immer noch nicht so ärgerlich, wie das Schreiben eines Inkasso–Unternehmens, welches für ein Abonnement, das man nicht wissentlich eingegangen ist, die Jahresgebühr von 49,95 € fordert.

Alles nichts unübliches, alles ganz normal im WorldWideWeb. Denn das Web lockt auch Personen an, die eine andere Nutzung im Auge haben, als die Mehrzahl der Anwender. Das Stichwort dazu ist Cyberkriminalität [ii]. Ein Business, welches zunehmend Fahrt aufnimmt und sich immer mehr ausbreitet. Vorbei sind die Zeiten, da Computerfreaks einen Trojaner geschrieben haben, um sich einen Namen zu machen. Heutzutage programmiert man Schadsoftware, um Geld zu verdienen. Und die Kreativität und die Beharrlichkeit dieser Personengruppe sind beeindruckend!

IT Security Awareness

Hinter diesem englischsprachigen Fachbegriff verbirgt sich im Wesentlichen eine Sensibilisierung des Anwenders für die Gefahren beim Umgang mit dem PC. Der Anwender muss sich dessen bewusst sein, das auch in der Computerwelt Bedrohungen existieren, die ein enormes Risikopotential haben. Wichtige Daten sind schnell gelöscht, private Fotos einfach weltweit verteilt, virulente Software mit einem Mausklick auf den eigenen Rechner installiert und ein Gerücht im Web ausgesetzt, verbreitet sich in der Virtuellen Welt schneller als man denkt.

Unternehmen und Behörden haben längst erkannt, dass sich mit technischen Mitteln allein (Firewall, Virenscanner, Intrusion-Prevention etc.) die Zunahme der Bedrohungen nicht dauerhaft bewältigen lässt. Es ist der Mitarbeiter, der die Strategie sinnvoll ergänzt und beispielsweise die E-Mail, die den Spam-Filter und andere Mechanismen passiert hat, dauerhaft eliminiert – indem er sie löscht. Denn eine Geldanlage mit 10.000 €die eine jährliche Rendite von 30% verspricht, das gibt es einfach nicht! Aber das kann nur der Mensch erkennen und keine Computerlogik. Der Weg bei den Unternehmen geht also von der Sensibilisierung hin zur Befähigung der Mitarbeiter (Awareness –> Empowerment), besser auf Bedrohungen zu reagieren und im Sinne des Unternehmens zu handeln.

Zuständigkeit

Awareness...

In Unternehmen ab einer bestimmten Größe gibt es Verantwortliche, die sich um Informationssicherheit kümmern. Diese Personen sind es auch, die Security-Awareness-Aktionen starten und die Angestellten zu Bedrohungen und Risiken schulen. Die Zuständigkeit bei Unternehmen und Behörden ist geklärt – aber wer kümmert sich um die Ausbildung und die Wissensvermittlung beim Privatanwender?

Einen PC kauft man heute schnell und mit ausdauernden rumklicken (Click-and-Try) bekommt man meistens auch das gewünschte Ergebnis. Wenn es mal nicht klappt, kontaktiert man eben einen Bekannten oder den Familien-Guru, der ja beruflich mit PCs arbeitet und daher allwissend ist.

Informationen über die Bedrohungen bleiben dabei meistens auf der Strecke. Sicherlich sieht man in Computerzeitschriften und auf Webseiten hier und da Artikel zum Thema, aber lieber liest man doch den neuesten Testbericht oder die Shoppingempfehlungen. Oft ist das Verhalten der Anwender, wenn es um Computersicherheit geht, gleichzusetzen mit der Fürsorge für die eigene Gesundheit. Man kümmert sich erst darum, wenn etwas weh tut!

Services für den Privatanwender

Es gibt Anbieter und Services im WWW, die sich für IT Sicherheit einsetzen und auch um Security Awareness bemühen. Aber kennt der Durchschnittsanwender Services, wie beispielsweise das BSI [iii], DsiN [iv], Botfrei [v] oder das Bürger–CERT [vi]?

Wohl eher nicht – denn IT Sicherheit ist für den Anwender oft gleichbedeutend mit dem alleinigen Einsatz eines Virenscanner oder einer Security–Suite, auf dem eigenen PC. Das beherzigen von Experten–Ratschlägen bzgl. Sicherheit, die Installation von zusätzlichen Schutzkomponenten oder die Aktualisierung der genutzten Software durch Security–Updates kommt meistens viel zu kurz.

Aber wer will es dem Anwender verdenken – sieht man doch immer nur fröhliche Gesichter, die einen PC, ein Tablett oder ein anderes Gadget präsentieren. Opfer von Hackern, Geschädigte eines Internetbetruges oder Betroffene, deren Diplomarbeit oder Fotos im Datennirwana verschwunden sind, sieht man nie.

Verantwortung der Anbieter

IT-Security braucht mehr Präsenz

Weshalb ist IT Security nicht stärker präsent im Umfeld der Anwender? Was läuft falsch mit der Security? Eine eindeutige Antwort auf diese Frage wird es nicht geben. Unbestreitbar ist aber, dass es Versäumnisse und viele “Mitschuldige” gibt.

Wer beispielsweise eine Kreissäge erwirbt, findet in einem Beiblatt jede Menge Hinweise, wie man sicher mit diesem Werkzeug umgeht. Wer eine Webseite besucht findet dort i.d.R. keine Sicherheitshinweise (Abgesehen von den rechtlichen Infos im Impressum). Aber auf welcher Webseite gibt es z.B. Hinweise die den Anwender informieren, was der Webseitenbetreiber für die Sicherheit unternimmt:

  • Wir prüfen periodisch unser Webseiten auf Virenbefall
  • Wir verwenden keine Kurz–URLs
  • Wir verzichten auf IFrame–Anweisungen
  • Wir arbeiten nur mit zertifizierten Werbeanbietern zusammen
  • Unser Shop-System nutzt SSL
  • Wir nutzen die neuesten, sicheren Software-Versionen für unser System

Oder welche Webseite informiert und sensibilisiert (Awareness) den Anwender hinsichtlich Sicherheit. Wo gibt es eine Webseite, die den Anwender quasi nebenbei mit Security versorgt und beispielsweise einen Informationstext einblendet?

  • Achtung, ihr Browser ist veraltet – eine sichere Version erhalten Sie beim Hersteller
  • Sie können jeden verlinkte Webseite vor einem Besuch auf Schadsoftware überprüfen, wenn Sie in Ihrem Firefox das Plugin VTzilla [vii] installieren
  • Der Kurz-URL-Dienst von McAfee [viii] überprüft die Zieladresse mit seiner Reputations–Datenbank
  • Wie sicher ihr Passwort ist, können Sie bei howsecureismypassord [ix] checken
  • Gute Virenscanner gibt es auch Gratis – eine Liste finden Sie bei der Zeitschrift c’t [x]

Ein solcher Informationstext (oder andere) lässt sich auf jeder Webseite unterbringen und er trägt dazu bei, den Anwender ein wenig zu sensibilisieren. Denn was für die Profis oft täglich Brot ist, dass kann für manchen Anwender der Tipp sein, der ihm maßgeblich hilft. Dem Einfallsreichtum der Webseiten-Eigentümer ist hier keine Grenze gesetzt. Oft genügt schon ein weiterführender Link, um beispielsweise den Anwender auf verschiedene Bedrohungen hinzuweisen oder ihm Tools zu nennen, die ihn schützen.

Diskussion

Nutzer müssen für Security interessiert werden

Offen ist jedoch, ob dies in die Zuständigkeit der Anbieter bzw. Betreiber einer Webseite fällt? Ein “Nein” ist durchaus verständlich. Aber ein “Ja” ebenso, denn auch wenn es nicht zu den Aufgaben und Pflichten gehört, wäre Security Awareness unter dem Gesichtspunkt “Kundenservice” durchaus nachvollziehbar.

Viele Services werden durch die Webseiten–Betreiber erbracht. Neben den eigentlichen Content der Webseite stehen oft zusätzliche Angebote für den Anwender/Webseitenbesucher bereit. Dazu zählen u.a.:

  • Newsletter zum Thema/Produkt
  • Empfehlungen zu thematisch verwandten Webseiten
  • Bereitstellung eines Forums zum Informationsaustausch bzw. Beratung
  • Offerte von zusätzlichen Dienstleistungen (Gratis oder geben Bezahlung)
  • Entertainment (weiter Information, Gerüchte, Spekulationen zum Thema)

Diese additiven Angebote runden das Spektrum einer Webseite ab und bieten dem Besucher einen Mehrwert. Je größer der Nutzen bzw. Mehrwert einer Webseite ist, umso besser für den Besucher bzw. die Webseite. Es stellt sich daher die Frage, ob “Security Awareness” auch einen Mehrwert für den Anwender und die Webseite bietet.

Hier kann man ruhigen Gewissens mit “JA” antworten, denn Sicherheit ist definitiv ein Mehrwert. Der Anwender, der seinen PC neu aufsetzen muss, weil er Opfer eines Trojaners wurde, ist u.U. für zwei bis drei Wochen nicht in der Lage seien PC wie üblich zu nutzen. Während dieser Zeit fällt er aus und reduziert auch Page Impression bzw. Visits einer Webseite.

Security Awareness erfährt aber auch um mehrere Ecken herum ihren Nutzen. Denn z.B. die Empfehlung, Kurz-URLs nur mit aktiviertem Preview-Modus zu nutzen, kann den Anwender vor Schaden bewahren. Die favorisierte Webseite ist somit nicht nur Anlaufpunkt für das jeweilige Themengebiet, sondern aktiv bemüht um die Sicherheit des Anwenders.

Google hat vor einiger Zeit das Thema Ladezeiten [xi] als Ranging-Faktor ins Spiel gebracht und mehr gewichtet. Vielleicht ist Security einer der nächsten Punkte auf der “To Do”–Liste? Der Menüpunkt [Diagnose / Malware] bei Googles Webmaster-Tools lässt jedenfalls erkennen, dass Sicherheit bei Google eine entsprechende Rolle spielt!

Die Hoffnung

Es wäre toll, wenn man sich verstärkt um die Privatanwender kümmern würde, welche die Mehrheit der PC– und Internet–Nutzer stellen. Wenn dies auch von unerwarteter Seite geschieht, wie z.B. durch die Anbieter und Betreiber von Webseiten, umso besser. Denn dies zeigt, dass man nicht nur den Kunden sieht, sondern auch den Menschen hinter dem PC, der für sinnvolle und nützliche Empfehlungen dankbar ist.
Letztendlich dient aber jede Aktion, welche die IT Sicherheit voranbringt wieder allen. Denn jeder sichere PC und jeder sensibilisierte Anwender tragen dazu bei, die Cybercrime–Aktivitäten zu minimieren.
Wer also die Chance nutzt, sich um “seine Anwender” zu kümmern, kann nur gewinnen. Denn dieser Service kommt allen zu Gute – und vielleicht ist es ja ein solcher Service, der die erfolgreichen Webseiten ausmacht!

Empfehlungen

Was bietet sich konkret an, um die Webseiten–Besucher für IT Security zu sensibilisieren? Hier sind verschiedene Optionen möglich, die in Abhängigkeit der Webseite genutzt werden können. Denkbar sind z.B.:

Alles, was dazu beiträgt den Anwender bzw. Webseiten–Besucher zu sensibilisieren ist willkommen. Denn jeder Beitrag zählt!

Wann starten Sie Ihrem Beitrag zum Schutz Ihrer Kunden?

Der Autor: © Ralph Dombach ist IT-Spezialist, Sie finden seine Website auf secuteach.de, er twittert als @secuteach.

[Fußnoten:]

[i] www.cert.at/static/downloads/specials/stuxnet–report_public.pdf
[ii]www.spiegel.de/netzwelt/web/0,1518,692888,00.html
[iii] Bundesamt für Sicherheit in der Informationstechnik, www.bsi.bund.de/cln_156/DE/Home/home_node.html
[iv] Deutschland sicher im Netz, www.sicher–im–netz.de
[v] Anti–Botnet Beratungszentrum, www.botfrei.de
[vi] Bürger–CERT, www.buerger–cert.de
[vii] www.virustotal.com/advanced.html#browser–addons
[viii] www.mcaf.ee/
[ix] howsecureismypassword.net/
[x] www.heise.de/ct/artikel/Kostenlos–virenlos–1003507.html
[xi] blog.tim–bormann.de/google–cdn–wordpress–geschwindigkeit.html
[xii] www.microsoft.com/downloads/details.aspx?FamilyID=02be8aee–a3b6–4d94–b1c9–4b1989e0900c&displayLang=de
[xiii] www.f–secure.com/de_DE/security/security–lab/tools–and–services/online–scanner/
[xiv] www.bfdi.bund.de/bfdi_wiki/index.php/Hauptseite
[xv] www.themenportal.de/video/cyberkriminalitaet–symantec–sicherheitsexperte–dave–cole–im–interview
[xvi] www.youtube.com/watch?v=9IrCgCKrv8U
[xviiim.studio–mittelstand.de/deDE/BroadcastB–43–Es_ist_nicht_jeder_Bot_net_t–DATSEC_Data_Security_eK.html

(…Bilder gemacht mit photofunia.com)

Ralph Dombach

IT Sicherheit ist wichtig für Behörden, Unternehmen & private Nutzer! Ich will Computer-Security unterstützen & etablieren (Impressum: http://bit.ly/12dRpXU )

Das könnte Dich auch interessieren...