Sie befinden sich aktuell in den Wilhelm Greiners Communitainment-Blog Blog-Archiven für den folgenden Tag 12.8.2009.
- Basics (16)
- Buch (7)
- Cartoon (6)
- Cloud Computing (1)
- Comics (6)
- Community-Building (32)
- Community-Management (38)
- Consumerization (11)
- Green IT (19)
- Interface Design (4)
- IT-Management (14)
- ITSM (8)
- Kudos (31)
- Präsentation (10)
- Security Awareness (39)
- Serious Games (2)
- Social Networks (36)
- Social Software (29)
- Video (18)
- Virtual Desktops (12)
- Website (5)
- Worst Case (6)
- 19.7.2010: Old Spice Guy: in Badeschlappen auf den Social-Media-Olymp
- 6.7.2010: Java 4-Ever: ein Windows-Shrek geht nach Hollywood
- 23.6.2010: Comics transportieren IT-Informationen: Die Rückkehr der Superhelden
- 16.6.2010: Cloud Computing: Plädoyer für einen wolkigen Begriff
- 8.6.2010: Social Media für die Personalsuche nutzen
- 30.5.2010: Möwenschwarzer Twitter-Humor zur BP-Ölkatastrohphe
- 24.5.2010: Facebook nutzen trotz Datenschutz-Bedenken
- 13.5.2010: 5 Datenschutz-Strategien für das Social-Media-Zeitalter
- 30.4.2010: Wolkiger Arbeitsplatz: Desktop as a Service
- 20.4.2010: Vulkanausbruch spielt der IT-Industrie in die Hände
Archive für 12.8.2009
Sicherheit: Wettkampf der Motivierten
12.8.2009 von Wilhelm Greiner.
“Security-Probleme sind Incentive-Probleme. Technologie kommt an zweiter Stelle”, postuliert Prof. Jeffrey K. MacKie-Mason von der School of Information der University of Michigan in seinem Aufsatz “Humans Are Smart Devices, But Not Programmable: Incentive-Centered Design for Security” vom 27. Mai 2009. MacKie-Mason nennt ein allegorisches Beispiel: “Der Betrag, den wir Bob bezahlen, um die Mauer höher (das Tor dicker, den Burgraben tiefer) zu bauen, sollte davon abhängen, wie motiviert Eve ist, hinein zu gelangen”. Anders formuliert: “Ist das wirklich Hannibal ante portas?”
Es geht bei der Sicherheit - und damit auch bei der IT-Sicherheit - also um die Ökonomie des Aushandelns gegensätzlicher Motivationen. Security-Guru Bruce Schneier spricht hier in seinem sehr aufschlussreichen und anschaulichen Werk Beyond Fear von “Trade-offs”, also Kompromissen zwischen Sicherheitsanforderungen und den übrigen Rahmenbedingungen, seien es private Motive oder finanzielle Möglichkeiten: Wie setze ich meine begrenzten finanziellen Mittel am effektivsten ein, um ein möglichst hohes Sicherheitsniveau zu erzielen? Und was habe ich davon?
Welch zentrale Rolle die Motivation der Beteiligten dabei spielt, hat MacKie-Mason bereits 2007 in einem Aufsatz beschrieben, den er und sein Student Rick Wash verfasst haben. In “Security When People Matter: Structuring Incentives for User Behavior” heißt es: “Menschen sind ‘intelligente Komponenten’ in einem System, aber sie können nicht direkt für bestimmte Handlungen programmiert werden; vielmehr muss man ihre Autonomie als Design-Beschränkung respektieren und Anreize schaffen, um das gewünschte Verhalten hervorzurufen”.
Das Motivationsprinzip greift bei den “Guten” ebenso wie bei den “Bösen”: “Schurken sind motivierte Menschen; Leute, die Tore bauen und Tore bewachen, sind das aber auch. Und Anwender ebenfalls”, so MacKie-Mason in “Humans Are Smart Devices”. Deshalb gelte es, den Bösewichten Übergriffe möglichst zu verleiden, aber auch, den Mitarbeitern die Nutzung von Sicherheitsmechanismen möglichst einfach und damit schmackhaft zu machen.
MacKie-Mason plädiert deshalb für “Incentive-Centered Design” (ICD), einen Ansatz der Systementwicklung, der die Motivation der Benutzer als Ausgangpunkt nimmt und sich dazu auf ökonomische Analysen von Handlungsmotivation ebenso stützt wie auf empirische Beobachtungen aus der Soziologie.
Als Beispiel für ICD nennt er das Erkennungsverfahren CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart, auf Deutsch also “vollautomatischer öffentlicher Turing-Test, um Computer und Menschen zu unterscheiden”): Der Anwender muss eine kleine, im Browser-Fenster gestellte Aufgabe lösen, um sich als Mensch aus Fleisch und Blut zu legitimieren, zum Beispiel krakelige, unsinnige Buchstabenfolgen vor unregelmäßigem Hintergrund erkennen und in ein Feld eintippen.
Die Idee dahinter: Die Aufgabe ist für Spam-Bots und Co. nicht lösbar, für einen normalen Anwender aber in wenigen Sekunden erledigt. Das Funktionieren von Captchas hängt also davon ab, dass seitens tatsächlicher Benutzer ein Fähigkeitsvorsprung besteht, kombiniert mit einer Motivation, die groß genug ist, um sich zumindest “mal eben auf die Schnelle” mit einem Rätsel herumzuschlagen.
MacKie-Mason weist aber auf einen wirkungsvollen Angriff auf CAPTCHAs hin, der ebenfalls wiederum motivationsbasiert funktioniert: “Statt die Texterkennungstechnik so weit zu verfeinern, dass Bots die Rätsel beinahe so leicht lösen können wie Menschen, engagieren manche Bots einfach richtige Menschen, die dann die Arbeit für sie erledigen”; als Incentive diene der Zugang zu pornografischem Material, sobald der Bot Zugang zum Zielsystem erlangt hat.
Laut MacKie-Masons Forschung geht es bei Sicherheit immer darum, die Guten zu motivieren und die Bösen zu demotivieren. Er fordert deshalb, Incentive-Lösungen beim Design von technischen Lösungen stärker zu berücksichtigen.
Denn motivierte Mitarbeiter können einem Unternehmen im ständigen Motivationswettlauf zwischen Angreifern und Verteidigern den entscheidenden Vorsprung verschaffen. Das sollten CIOs beherzigen.
Artikel merken bei: 
