Wahrnehmung der Sicherheit

Einhergehend mangelnder Aufklärung und Schulung, ist vielen Benutzern nicht bewusst, dass Passwörter mittels Wörterbuchatacken erraten werden können und zeigen sich verwundert darüber, wie eine fremde Person auf den Namen des Haustieres oder das Geburtsdatum eines Verwandten kommen soll. Ebenso sehen viele Anwender, ohne speziell vermittelten Kentnissen, den Benutzernamen als eine andere Form des Passwortes, da dieses häufig als kryptischer String vergeben wird oder User-IDs verwendet werden.

Die Wahrnehmung der User über den Einsatz und ihr Mitwirken an der Sicherheit des Systems ist damit ein weiterer wichtiger und zu untersuchender Aspekt im Umfeld der Systemsicherheit. Viele Anwender fühlen sich von der Problematik nicht betroffen, da sie keine direkten Erfahrungen mit Bedrohungen und Schwachstellen in der Sicherheit des Systems gemacht haben. Ohne das Feedback der Systemverwaltung über eingetretene Vorfälle und der Auswirkung von Schwachstellen auf das System, bezeifeln viele Nutzer die Wichtigkeit der Ma▀nahmen und erstellen ihr eigenes Bild im Umgang mit Sicherheit. Der Gund liegt in der Tatsache, dass die Benutzer in der Regel nicht über versuchte oder sogar erfolgte Angriffe informiert werden und keine Kenntnisse über sicherheitsrelevante Vorgänge erhalten. Ohne eine solche klare Rückmeldungen und Mitteilungen gehen Nutzer von der bestehenden Sicherheit des Systems aus und fühlen sich nicht motiviert, ihr Verhalten zu ändern und halten die Verwendung unsicherer Passwörter weiterhin für ausreichend. Die Information über das Stattfinden von Angriffen und die Bedrohung durch bestehende Schwachstellen wirkt sich damit direkt auf das Verhalten der Benutzer aus.

Ebenso spielt die Bedeutung des zu schützenden Systems sowie die Wichtigkeit und Vertrauenswürdigkeit der Daten eine entscheidende Rolle in der Verhaltensweise der Anwender. So messen einige Benutzer dem System mindere Wichtigkeit zu und stufen die ergriffenen Sicherheitsanforderungen als übertriebene Ma▀nahme ein. Die zu schützenden Daten werden als unbedeutend betrachtet oder sind es den Benutzern oftmals nicht wert, die mit der Steigerung der Sicherheit verbundenen Bemühungen und Einschränkungen im täglichen Arbeiitsablauf dafür einzugehen [1] (Information sensitivity). Da sie die vom System verarbeiteten Informationen als unwichtig ansehen, verstehen sie nicht den Aufwand und die Sorge um die Absicherung dieser Daten.

Verstärkt wird dieses Verhalten wenn das zu grundeliegende Datenverarbeitungssystem nur über einen geringeren Sicherheitsgrad verfügt. Strauss und Corbin fanden in Studien 1990 heraus, dass Nutzer im geringen Sicherheitsstand des Systems geringe Vertrauenswürdigkeit der Daten interpretieren und sich daher nicht veranlasst sehen, ihr persönliches Passwort geheim zu halten. Das Verhalten der Administratoren kann dafür ebenso massgeblich sein, indem Benutzer bei der Hilfestellung durch Systemtechniker nach Passwörtern gefragt werden oder diese sogar nur mit deren Kenntnis erstellt und geändert werden können. Dadurch entsteht der Eindruck, vertrauenswürdigen oder verantwortungstragenden Mitarbeiter dass Passwort mitteilen zu dürfen und trägt zu einem unbedachteren Umgang mit Passwörtern bei. Teilweise betrachten die Anwender ihr Verhalten selbst als unsicher und folgern somit auf die Unsicherheit des gesamten Systems, was sie widerum demotiviert, ihr Passwort sicher zu gestalten [1].

Sind die Sicherheitsstandards in der subjektiven Perspektive der Anwender widerum zu hoch, führt dies ebenfalls zu fahrlässigem Umgang mit Sicherheitsmechanismen. Angesichts strikter Vorkehrungen halten die Nutzer den unbedachten Umgang mit Passwörtern zu Gunsten komfortablerer und effizienterer Arbeiten am System für vertretbar, da die greifenden Sicherheitsanstrengungen wohl schon für die Absicherung des Systems sorgten. Sasse, Brostoff & Weirich erforschten weiterhin [13], dass manche Benutzergruppen sich zu wichtig für die Verwendung von Passwörtern oder anderer Formen kontextloser Authentifizierungsmechanismen halten. Geschäftsführende Personen oder leitende Angestellte verlangen häufig von Systemtechniker die automatische Abwicklung dieses Prozesses, delegieren diese Verfahren an ihr Sekretariat oder verzichten vollständig auf die Benutzung dieser als unwichtig betrachteten, zeitintensiven Vorgänge.