„Safe Computing“ wie vor 30 Jahren

ZDNet: Ist IT-Sicherheit eine Glaubensfrage?

Brunnstein: Soweit würde ich nicht gehen. Bankmitarbeiter haben keine Ahnung von der Software-Herstellung; sie passen sich den Produkten in ihrem Verhalten auch nicht an. In diesem Sinne könnte man vermuten, dass sie glauben, mit sicherer Software zu hantieren. Darum werden diese Mitarbeiter auch Opfer von „Social Engineering Attacken“, also dem Abfragen von Passwörtern per Telefon. Eine sehr effektive Sicherheitslücke im übrigen …

ZDNet: Und die Anbieter passen sich den Anwendern nicht an?

Brunnstein: Genau. Die technische Denkweise der Informatiker ist darauf ausgerichtet, wie man solche Systeme herstellt, aber keineswegs darauf, wie man mit ihnen arbeiten kann oder besser wie mit ihnen gearbeitet wird. Das soziale Umfeld, die Einbettung in die Firmenkultur oder in die Organisationskultur ist da noch nicht mit „hineinprogrammiert“.

ZDNet: So auch das Laisser-faire beim Internet-Surfen.

Brunnstein: Exakt. Nehmen Sie nur das Internet-Banking. Die Anwender werden über das Marketing von Internet-Dienstleistungen so indoktriniert, dass sie übersehen, welche gigantischen Risiken sie überhaupt eingehen. Aber diese Indoktrination führt auch dazu, dass dieses beworbene Tool trotzdem verwendet wird, obwohl es in der Regel nicht das ist, was der Anwender ursprünglich haben wollte. Es ist zwar scheinbar eine vernünftige Dienstleistung, aber die Möglichkeiten, wie sie angegriffen werden können, analysiert von denen keiner. Vor allem die Anbieterseite und die Banken werden sich hüten, den Leuten zu erzählen, welche großen Möglichkeiten es gibt, den Anwender über HTML und HTTP zu infizieren oder auszuspionieren.

ZDNet: Angenommen, es gäbe eine IT-Fee, die ihnen drei Wünsche erfüllen würde. Welche wären das?

Brunnstein: Wer glaubt schon an Märchen in der realen Welt?