Was die Nutzer brauchen: Gestaltung menschengerechter IT-Sicherheit - Zinaida Benenson - DFN-CERT

Die Seite wird erstellt Ilka Bader
 
WEITER LESEN
Was die Nutzer brauchen: Gestaltung menschengerechter IT-Sicherheit - Zinaida Benenson - DFN-CERT
Was die Nutzer brauchen: Gestaltung
 menschengerechter IT-Sicherheit

               Zinaida Benenson
              zinaida.benenson@fau.de
 Friedrich-Alexander-Universität Erlangen-Nürnberg

                  February 27, 2018
Was die Nutzer brauchen: Gestaltung menschengerechter IT-Sicherheit - Zinaida Benenson - DFN-CERT
Menschengerechte IT-Sicherheit?

             Nutzer – “the weakest link”?

 – Kann man die Nutzer zur IT-Sicherheit
    • überreden? zwingen?
 – Sind sie unbekümmert und unwissend? Passwörter
    • Erkenntnisse aus 20 Jahren weltweiten Forschung
 – Warum klicken sie auf alles? Phishing
      • Eigene Forschung

27.02.2018    Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   2
Was die Nutzer brauchen: Gestaltung menschengerechter IT-Sicherheit - Zinaida Benenson - DFN-CERT
Treat Your Password
                Like Your Toothbrush

                • Choose a good one
                • Change it regularly
                • Never share it

      Wie ist es zu diesen Ratschlägen gekommen?

                     Sind sie evidenzbasiert?

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   3
Was die Nutzer brauchen: Gestaltung menschengerechter IT-Sicherheit - Zinaida Benenson - DFN-CERT
William Burr et. al: NIST Special Publication 800-63
 „Electronic Authentication Guideline”, 2003
27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   4
Was die Nutzer brauchen: Gestaltung menschengerechter IT-Sicherheit - Zinaida Benenson - DFN-CERT
27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   5
Was die Nutzer brauchen: Gestaltung menschengerechter IT-Sicherheit - Zinaida Benenson - DFN-CERT
27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   6
Was die Nutzer brauchen: Gestaltung menschengerechter IT-Sicherheit - Zinaida Benenson - DFN-CERT
27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   7
Was die Nutzer brauchen: Gestaltung menschengerechter IT-Sicherheit - Zinaida Benenson - DFN-CERT
Neue NIST Passwortrichtlinien
• Nutzer
  – Mindestens 8 Zeichen
  – Das war‘s
• Administratoren
  – Abgleichen neuer Passwörter mit Wörterbüchern und
    „schwarzen Listen“
  – Sichere Speicherung (slow hashing & salting)
  – Begrenzung der Anzahl der falschen Passworteingaben
    (throttling)
  – Wechseln nur bei begründeten Verdacht auf erfolgreiche
    Angriffe

 27.02.2018     Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   8
Was die Nutzer brauchen: Gestaltung menschengerechter IT-Sicherheit - Zinaida Benenson - DFN-CERT
Neue NIST Passwortrichtlinien
• Nutzer
  – Mindestens 8 Zeichen
  – Das war‘s
• Administratoren
  – Abgleichen neuer Passwörter mit Wörterbüchern und
    „schwarzen Listen“
  – Sichere Speicherung (slow hashing & salting)
  – Begrenzung der Anzahl der falschen Passworteingaben
    (throttling)
  – Wechseln nur bei begründeten Verdacht auf erfolgreiche
    Angriffe

 27.02.2018     Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   9
Wie ist es zu den neuen Richtlinien
                  gekommen?

             Sind sie evidenzbasiert?

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   10
Users are not the enemy
              (A. Adams & A. Sasse, Communications of the ACM 1999)

• Users do not comply with password policies. Why?
• Data collection: 2 companies, surveys, interviews

 27.02.2018        Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   11
Users are not the enemy
              (A. Adams & A. Sasse, Communications of the ACM 1999)

• Users do not comply with password policies. Why?
• Data collection: 2 companies, surveys, interviews
• Users are not being wicked or stupid
   – Password mechanisms lack user-centered design
     • Not aligned with human capabilities

 27.02.2018        Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   12
Passwords & Human Capabilities
                  Angela Sasse, Course “People and Security” @UCL

• Limited capacity of working memory
• Items stored in memory decay over time
• Unaided recall is harder than cued recall
• Non-meaningful items are harder to recall than meaningful ones
• Similar items compete and are easily confused
• Items linger in memory – humans cannot “forget on demand”
• Typing errors
• Lock-out after 3 attempts too low
    – Increasing to 10 trials can decrease reset requests by ~45%
    – Brostoff & Sasse: “Ten strikes and you're out”: Increasing the number
      of login attempts can improve password usability. CHI Workshop 2003.

 27.02.2018    Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   13
Users are not the enemy
              (A. Adams & A. Sasse, Communications of the ACM 1999)

• Users do not comply with password policies. Why?
• Data collection: 2 companies, surveys, interviews
• Users are not being wicked or stupid
   – Password mechanisms lack user-centered design
     • Not aligned with human memory capabilities
     • Not aligned with the workflows (working together,
        delegating)
• This makes people violate the policies
   – Choose weak (guessable) passwords
   – Reuse
   – Share

 27.02.2018        Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   14
The true cost of unusable password
     policies: password use in the wild
                 (P. Inglesant & A. Sasse, CHI 2010)

• Data collection: 2 companies, password diaries (3-5 days)
  and interviews
• Conclusion: very similar to “Users are not the enemy” in 1999
• No positive changes after 10 years…

 27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   15
Choose a good one

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   16
D. Goodin. How crackers ransack passwords like
                  “qeadzcwrsfxv1331”
https://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords

• 16000 passwords converted into hashes using the MD5, no salting
   – MD5 is NOT a “good” hash function (can be computed too fast)
• Cracked very fast
   – p@$$word       123456789j           letmein1!                        LETMEin3
• Cracked in 20 hours on a single computer
   – :LOL1313le     momof3g8kids        1368555av
   – n3xtb1gth1ng       qeadzcwrsfxv1331      m27bufford
   – J21.redskin    Garrett1993*        Oscar+emmy2
• LinkedIn hack (2012) > 6mln passwords
    – Hashed with SHA-1& not salted
    – 90% cracked in 6 days

  27.02.2018       Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson      17
Attacks vs. “Strong” Passwords
                              D. Florêncio, C. Herley, P. C. Van Oorschot.
          "An administrator’s guide to internet password research." Proc. USENIX LISA. 2014.

• Attacks
   – Local attacks: shoulder surfing, Post-its, insider guessing
   – Phishing and keylogging
   – Password re-use across sites
   – Network-based attacks (eavesdropping, man-in-the-middle)
   – Online brute force / dictionary
   – Offline brute force / dictionary
• Against which attacks do “strong passwords” help?
   – “Strong” passwords protect against offline attacks
      • ~ 1012 – 1014 “guesses” (cracking attempts)
   – Much less “strength” is needed to withstand online attacks
      • 104 – 106 guesses
  27.02.2018        Gestaltung menschengerechter IT-Sicherheit           Zinaida Benenson      18
Choose a good one (?!?!)

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   19
A large-scale study of web password habits
                     (D. Florencio, C. Herley, WWW 2007)

 • 544960 web clients, 3 months in 2007
 • Number of accounts per user: 25
 • Users have 6-7 passwords on average
 • Each password shared across 4 different sites on average

 27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   20
Password reuse seems to be a bad idea…

https://arstechnica.com/security/2016/07/password-reuse-tool-makes-it-easy-
to-id-vulnerable-accounts-on-other-sites

   27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   21
Is password reuse REALLY a bad idea?

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   22
Password Portfolios and the Finite-Effort User: Sustainably
             Managing Large Numbers of Accounts
                 Florencio, Herley, van Oorschot. USENIX Security 2014

•  Remember which password belongs to which account
  – Without remembering passwords for N unique and
     “random” passwords
  – N! possible mappings between passwords and accounts
  – log2(N!) bits to remember: log2(25!) > 80
  – Remembering 80 bits
    • 17 uniformly randomly chosen low-case letters:
        vtjwahcxkwdpxrzfb     wqonawqyqotrilkap
• “Unique password for every account” is NOT optimal
  – Optimally, people should reuse passwords
    • If they don’t use password managers
  – Group by account value and probability of compromise

    27.02.2018     Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   23
Change it regularly

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   24
Password Change
 Y. Zhang et al. The security of modern password expiration: an algorithmic framework and
                             empirical analysis. ACM CCS 2010.

• Access to expired passwords at a university
   – ~ 8000 expired accounts
   – Policy
     • Change every 3 month, policy strength: 8 ULNS
• Guessing algorithm for passwords of the same user
   – Assuming knowledge of at least one password
• Guessed
   – 17% of passwords in 5 tries or fewer (online attack)
   – 41% in under 3 seconds of offline attacking (in 2010)

27.02.2018       Gestaltung menschengerechter IT-Sicherheit     Zinaida Benenson       25
New Password Guidelines

• UK Government’s “Password Guidance: Simplifying Your
  Approach” (2016)
https://www.ncsc.gov.uk/guidance/password-guidance-simplifying-your-approach
• NIST guidelines
   – https://pages.nist.gov/800-63-3
• D. Florêncio, C. Herley, P. C. Van Oorschot.
  "An administrator’s guide to internet password research."
  USENIX LISA. 2014.

   27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   26
To click or not to click?
      Strategien der Nutzer im Umgang mit
           gezielten Phishing-Angriffen
• Benenson, Z., Gassmann, F., Landwirth, R. (2017) Unpacking Spear
  Phishing Susceptibility. In Proc. of the Targeted Attacks Workshop (TA’17)
  at Financial Cryptography and Data Security. Springer.
• Benenson, Z., Girard, A. Hintz, N., Luder, A. (2014) Susceptibility to URL-
  based Internet Attacks: Facebook vs. Email. In Proc. of the 6th International
  Workshop on SEcurity and SOCial Networking (SESOC). IEEE.

   27.02.2018    Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   27
Spear Phishing

• Gezieltes Phishing
   – Enthält Namen, manchmal Adressen der Empfänger
   – Gefälschte bekannte oder plausible Sender
   – Plausibler oder interessanter Inhalt
   – Anhang oder Link mit Malware
• Anfang vieler Angriffe
   – APT (Advanced Persistent Threats)
   – Ransomware

 27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   28
Forschungsfragen

• Gründe fürs Klicken bzw. für den Schutz?
• E-Mail versus Facebook: Unterschiede im
  Klickverhalten?

 27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   29
2 Studien

• E-Mails oder Facebook-Nachrichten an Studierende
• Von nichtexistierenden Absendern
     – Top 10 deutscher Vor- und Nachnamen
     – Vornamen aus der Generation 20-25
• Inhalt: Link zu Bildern einer Party

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   30
Studie 1                                           Studie 2
Hi 
                                               Hey wie gehts?
ich hab die bilder von letzer
woche wie gewünscht                            Silvester war ja echt der hammer!
hochgeladen. Aber bitte gebe sie               Ich hab die bilder mal hier
nicht an leute weiter, die nicht               hochgeladen:
dabei waren ;-)
Hier der link:
                                                                           access
  http:///photocloud/                                 denied
Freu mich schon auf nächstes                   Hoffe wir sehen uns bald mal
mal!                                           wieder!

Tobias                                         Sabrina

27.02.2018   Gestaltung menschengerechter IT-Sicherheit     Zinaida Benenson   31
27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   32
Ethische Grundsätze
• Abwägung: Schaden versus Nutzen
   – Ist der Schaden größer als im realen Leben?
   – Ist der Nutzen größer als der Schaden?
   – Wie können wir den Schaden minimieren?
   – Wer soll informiert werden? (z.B. Rechenzentrum, Helpdesk)
• Zustimmung der Teilnehmer einholen
   – Nicht: „Wir schicken Ihnen am Tag X eine Phishing-E-Mail“
   – Rekrutieren für eine Umfrage „zum Online-Verhalten“
• Nachbesprechung
   – Wahrer Hintergrund der Studie
   – Warum kann ein Link gefährlich sein
   – Zusammenfassung der Ergebnisse
 27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   33
Verhalten: Email vs. Facebook
    Persönliche Anrede: Wichtig in E-Mails, aber nicht auf Facebook?
    Zu beachten: Studie 1 ≠ Studie 2!!! (unterschiedliche Nachrichten)
   100%

                  56%
    50%                                                                      42.5%
                                      38%
                 89/158
                                     90/240
                                                              20%             119/280
                                                         194/975
      0%
             Studie 1: E-Mail
                          Studie 1:                  Studie 2: E-Mail      Studie 2:
              Studie 1: Studie  1:
                          Facebook
                                                      Studie 2:          Studie  2:
                                                                           Facebook
               Email    Facebook                       Email             Facebook

27.02.2018       Gestaltung menschengerechter IT-Sicherheit         Zinaida Benenson    34
Wie erklären die Nutzer ihr Verhalten?
                     zusätzlich in Studie 2

                       geklickt: 1 Tag warten                   Umfrage
Nachricht mit                                                 verschicken:
    Link             nicht geklickt: 7 Tage warten               Warum
verschicken                                                  geklickt / nicht

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson      35
Wörtliche Zitate
• Ich wollte mir die Fotos ansehen, aus reiner Neugier. Obwohl ich
  mir dachte, es könnte ein Virus sein - ich habe das Konto daraufhin
  blockiert.
• Wollte sehen, was passiert...
• Ich dachte das ist eine Mail von einem Freund und war gespannt
  auf die Bilder.
• Weil ich an den Fotos interessiert war, und die Nachricht durchaus
  von Leuten stammen hätte können, mit denen ich Silvester
  verbracht habe.
• Weil ich anhand möglicher Bilder erkennen wollte, ob ich die Person
  eventuell kenne. Da ich privat gefeiert habe und nur wenige mir
  unbekannte Freunde meiner Freunde da waren, habe ich die
  Gefahr nicht hoch eingestuft. Ebenso wenig Gefahr empfand ich, da
  ich die Webmail der Uni bisher für sicher empfand. Zudem
  Interesse für eventuell lustige Silvesterbilder mir fremder Personen.
  27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   36
Gründe fürs Klicken
          (117 Antworten, einige Nutzer nannten mehrere Gründe)

•    Neugier / Interesse: 34%
•    Inhalt plausibel, wie erwartet: 27%
      – Passt zur eigenen Silvesterfeier
•    Nachforschungen: 17%
      – Was ist passiert? Kann ich helfen?
•    Dachten, dass sie den Sender kennen: 16%
•    Vertrauen in Technologie / Organisation: 11%
•    Angst: 7%
•    Automatisch: 3%

    27.02.2018     Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   37
Gründe fürs Nichtklicken
   (502 Antworten, einige Nutzer nannten mehrere Gründe)

• Unbekannter Absender: 51%
• Betrugsvermutung 44%
• Inhalt nicht plausibel 36%
• Form der Nachricht 12 %
• Schutz der Privatsphäre 6%

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   38
Anforderungen an Nutzer

• Sei misstrauisch!
   – Selbst wenn du den Absender kennst
   – Selbst wenn die Nachricht plausibel erscheint
   – Selbst wenn die Nachricht deinen Erwartungen entspricht
• Sei IMMER misstrauisch!

 27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   39
• Two ways of decision making
                                 – System 1 (≈ intuition, effortless)
                                 – System 2 (≈ rational reasoning)
                            • System 1
                                 – good mood, intuition, creativity,
                                   gullibility (…) form a cluster
                                   gullibility = Leichtgläubigkeit
                            • System 2
                                 – sadness, vigilance, suspicion, an
                                   analytic approach, and increased
                                   effort also go together
                            (literal citations, page 69)

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   40
27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   41
Can Users Be Aware of Targeted Attacks?
Should they go into the James Bond mode every time they read a message?

                                                                public relations
                                              sales
        accounting

                       human resources                      customer support

   • Add this to job descriptions
   • Make sure to pay them adequately

  27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   42
Könnte das auch einem Experten
                  passieren?
• Sicherheitsexperten werden selten angegriffen
     – Angriffe auf andere Nutzer haben mehr Chancen
• Auf die Strategie kommt es an
     – Passende Gelegenheit, passende Nachricht

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   43
Beispiel 1:
                       Ist das ein Angriff?
                          (anonymisiert)

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   44
From: john.smith@turner.com
To: zinaida.benenson@fau.de
Subject: CNN request -- about your upcoming Black Hat talk
Zinaida,
John at CNN here. I’m the news network’s cybersecurity reporter.
Here’s a link to my work, in case you’re not familiar with it.
I saw the description of your upcoming Black Hat talk. Your topic
looks fantastic!
Can we get an exclusive look at your research and write the first
news story about it?
Cheers,
John Smith
john.smith@CNN.com

  27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   45
From: john.smith@turner.com
To: zinaida.benenson@fau.de
Subject: CNN request -- about your upcoming Black Hat talk
Zinaida,
John at CNN here. I’m the news network’s cybersecurity reporter.
Here’s a link to my work, in case you’re not familiar with it.
I saw the description of your upcoming Black Hat talk. Your topic
looks fantastic!
Can we get an exclusive look at your research and write the first
news story about it?
                         Zum Glück war diese Nachricht echt, es hätte
Cheers,                  aber Spear Phishing sein können.
John Smith               Alle Informationen für den Angriff waren
                         online zugänglich!
john.smith@CNN.com

  27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   46
„false negatives“ und „false positives“
• „false negatives“
    – Gefährliche Nachrichten werden nicht entdeckt
    – Sicherheitsexperten konzentrieren sich darauf
• „false positives“ sind aber auch problematisch!
    – Gutartige Nachrichten werden als gefährlich eingestuft
       • Gelöscht, nicht ernst genommen
    – Verpasste Chancen
    – Geschäftliche oder persönliche Konflikte

 27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   47
Beispiel 2:
                       Ist das ein Angriff?
                          (anonymisiert)

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   48
From: setup@company-I’m-dealing-with.com
To: zinaida.benenson@fau.de

Subject:
Message ID:23519-0297:FRT-92362. Workitem Number:
CMPVDM24062016157789020297

Attachment:
attach/15072016/29375.docx

 27.02.2018    Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   49
Hi, Please see request details below. Please
provide the required information by replying to
this email.
Query Reason: Banking details

Workitem Number: CMPVDM24062016157789020297

Created Date: 15-Jul-2016

Name: Zinaida Benenson

Comments: Dear Sir/Madam In order for us to complete the set up of your account
within our system,we need your bank account details                               to
which settlement of your invoices should be made. Please complete the attached form
in full and return to us, ensuring it has been signed by an authorized signatory.

 27.02.2018      Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   50
Hi, Please see request details below. Please
provide the required information by replying to
this email.
Query Reason: Banking details

                                         Auch diese Nachricht war
Workitem Number: CMPVDM24062016157789020297
                                                          echt, zum Glück habe ich
Created Date: 15-Jul-2016                                 das rechtzeitig gemerkt.
Name: Zinaida Benenson

Comments: Dear Sir/Madam In order for us to complete the set up of your account
within our system,we need your bank account details                               to
which settlement of your invoices should be made. Please complete the attached form
in full and return to us, ensuring it has been signed by an authorized signatory.

 27.02.2018      Gestaltung menschengerechter IT-Sicherheit     Zinaida Benenson   51
Phishing im Organisationskontext
• 12.12.2015, 13:30, E-Mail an 2 Dienststellen der Berliner Polizei
   – Deponieren dienstliche und private Passwörter im „sicheren
     Passwortspeicher der Polizei Berlin“ + Link zum „neuen Service“
   – Corporate Design
   – Unterschrift: Zentrale Service Einheit (ZSE), Adresse mit Fehlern
   – Von nichtexistierender Person
• Versand an 466 Beamten
   – 252 haben geklickt, 35 haben Nutzerdaten eingegeben
• Nachricht wurde von einer beauftragten Pentesting-Firma verschickt
   – Von außerhalb der Organisation

  27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   52
„Pentesting“ the Humans

• Vorstandsmitglied der Gewerkschaft der Polizei
  – Jeden Tag „eine Flut von dienstlichen Mail -- da schaut man nicht
    mehr so genau hin“
  – „Die Polizei ist nur ein Spiegelbild unserer Gesellschaft.“
• Was können wir daraus lernen?
  – Polizisten sind Menschen ;-)
• Was wäre eigentlich das „richtige“ Verhalten?
    – Jede interne E-Mail überprüfen?!
    – Internen E-Mails misstrauen?!
    – Abfällige Kommentare sind hier nicht wirklich angebracht

  27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   53
Warum ist Security Awareness schwierig?
• Aufrechterhalten des Sicherheitsverhaltens ist schwierig
   – Ständige Wachsamkeit ermüdet
   – Emotionen und Automatismen springen an
• Sicherheitsverhalten kollidiert mit
   – Reputation, Vertrauen, sozialverträglichem Verhalten,
     Lebens- und Arbeitspraktiken
        • Was würde passieren wenn ich … [Sicherheitsverhalten
          einfügen]
            – Freunde / Verwandte / Kollegen / Vorgesetzte frage,
              ob sie wirklich diese E-Mail verschickt haben?

  27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   54
Was ist machbar?
• Angriffe melden?
   – Es werden viele harmlose Vorkommnisse gemeldet!
   – Antworten müssen schnell kommen
• Verlässliche Indikatoren? (keine „false positives“)
   – Externe E-Mails kennzeichnen?
   – Digitale Signaturen? (unbenutzbar?)
   – Keine „komische“ E-Mails senden
      • Und Nutzer darüber informieren
• Fehler erwarten und darauf vorbereitet sein

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   55
Nutzer
                                  Sicherheits- und
                                   Datenschutz-
                                  Entscheidungen

                           Ressourcen & Fähigkeiten
                          Kosten-Nutzen-Abschätzung
                             Risikowahrnehmung

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   56
Menschengerechte IT-Sicherheit?

• Wie können wir die Nutzer zum Sicherheitsverhalten X
  überreden / zwingen?

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   57
Menschengerechte IT-Sicherheit?

• Wie können wir die Nutzer zum Sicherheitsverhalten X
  überreden / zwingen?

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   58
Menschengerechte IT-Sicherheit

• Nutzer sind nicht „das Hauptproblem“
    – Was sollen die Nutzer konkret tun? Können sie das tun?
• Sind die Nutzer in der Lage, Sicherheitsverhalten X
  auszuführen?
• Stört X wichtige Lebens- oder Arbeitsabläufe?
   • Auswirkungen auf Produktivität, Geschäftsfälle,
     Verhaltensnormen, Vertrauen, soziale Beziehungen?
• Erhöht X wirklich die Sicherheit?

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   59
Sicherheitsexperten
                           Nutzerzentrierte
                    Sicherheits- und Datenschutz-
                            Maßnahmen

             Ressourcen und Fähigkeiten der Nutzer
             Sicherheitsziele + Angreifermodellierung

    Daten auswerten
   Nutzer kennenlernen

27.02.2018   Gestaltung menschengerechter IT-Sicherheit   Zinaida Benenson   60
Sie können auch lesen