Wenn die Anwender nicht so träge wären, müssten wir viel weniger über die Bedrohungen der Sicherheit reden. Das Problem ist, dass viele dieser Themen heute noch nicht ausreichend wahr genommen werden – allen Bedrohungen durch Phishing und andere Angriffe zum Trotz. Die Vorteile von Sicherheitstechnologien wie Tokens oder Smartcard-Lesegeräten müssen die Benutzer aber zunächst wissen und verstehen. Und sie dürfen nicht gleich an Hürden scheitern.
Die Technologie für sicheres Online-Banking und deutlich mehr Sicherheit bei eCommerce-Transaktionen ist verfügbar - und Karten für eine stärkere Authentifizierung gibt es auch heute schon. Dennoch wird oft ein Argument dagegen ins Feld geführt: Benutzer sind nicht bereit, ein Lesegerät oder ein Token oder andere Komponenten mitzuführen, wenn sie mobil unterwegs sind. In der Tat wird das oft ins Feld geführt, auch von mir.
Das Gegenargument finde ich aber sehr überzeugend: Alle sind bereit, ihre UMTS-Karte (und natürlich noch andere Dinge wie Headsets, Webcams, Mäuse, USB-Sticks und vieles mehr) mitzunehmen. Warum sollte man dann nicht auch ein schlankes Device oder ein kleines Token in die Tasche packen können, das einiges für die Sicherheit bringen kann?
Dahinter stehen aber eigentlich drei andere Aspekte. Der eine ist die Bequemlichkeit und Gewohnheit, der zweite die Bewertung des Themas Sicherheit durch die Anwender und der dritte die Frage danach, wer den Preis für mehr Sicherheit zu zahlen hat.
Die Herausforderung, die Bequemlichkeit zu überwinden und das Mitführen solcher Devices zur Gewohnheit zu machen, lässt sich nur überwinden, wenn dem ein Nutzen gegenüber steht. Notebooks werden mitgenommen, weil man unterwegs arbeiten möchte (oder muss). UMTS-Karten werden mitgeführt, weil die ständige Fähigkeit zur Kommunikation das Ziel ist - über Wohl oder Wehe lässt sich hier geflissentlich streiten. Wenn in den Köpfen ist, dass man die Sicherheit vieler elektronischer Transaktionen (es geht ja nicht nur um das E-Banking) mit externen Kartenlesern erhöhen kann, wird die Akzeptanz wachsen.
Während man unterwegs vielleicht auf das Online-Banking verzichten kann (oder die trügerische Sicherheit von TAN und PIN akzeptiert), können solche Geräte ja noch viel mehr. Die sichere Authentifizierung auf Basis von einem zukünftigen elektronischen Personalausweis (ePA) oder einer Geldkarte, die Altersverifikation über genau diese (wie heute schon bei Zigarettenautomaten) oder eben die Sicherheit von elektronischen Transaktionen sind hier zu nennen.
Das Problem ist, dass viele dieser Themen heute noch nicht ausreichend wahr genommen werden - allen Bedrohungen durch Phishing und andere Angriffe zum Trotz. Die Kombination von Tokens und externen Lesegeräten mit eigener numerischer Tastatur, um einen Ansatz zu nennen, bringt hier sehr viel. Nur: Die Benutzer müssen das wissen und verstehen. Und dürfen nicht gleich an Hürden scheitern - und wer die Umstellung auf HBCI mal versucht hat, kennt oft solche Hürden, angefangen bei dem mangelnden Wissen der Bankmitarbeiter darüber.
Schließlich gibt es noch das Thema der Kosten. Während inzwischen sehr viele bereit sind, für Virenscanner, Lösungen für die Festplattenverschlüsselung und andere Maßnahmen zu zahlen, fehlt in anderen Bereichen der Sicherheit noch die Akzeptanz. Das hängt aber eng mit dem ersten Punkt zusammen. Sobald Benutzer das Gefühl eines Nutzens zu haben, wächst die Bereitschaft, Geld auszugeben - vor allem, wenn der Nutzen sich nicht nur auf ein isoliertes Themenfeld beschränkt. Und das ist beispielsweise bei externen Chipkartenlesern der Fall.
Chipkartenleser sind aber nur ein Beispiel. Das Thema findet sich in allen Bereichen. Immerhin besteht hier die Hoffnung, dass mit der Kombination aus weiter wachsenden Bedrohungen, der Frage nach der sicheren Authentifizierung bei verwalteten Information Cards, der Anforderung nach sicheren Geschäftsprozessen und der Altersverifikation und neuen Karten wie dem ePA oder vielleicht sogar der Gesundheitskarte einiges vorangehen wird. Aber wahrscheinlich erst, wenn der Druck durch Sicherheitsprobleme so groß geworden ist, dass es keinen Ausweg mehr gibt, dieses kleine Maß an Umstellung, Unbequemlichkeit und Investitionen zu vermeiden.