Wenn Sie schon einmal von den Computersicherheitsanweisungen an Ihrem Arbeitsplatz verwirrt waren, sind Sie nicht allein. Eine aktuelle Studie hebt ein grundlegendes Problem bei der Entwicklung dieser Richtlinien hervor und schlägt sofortige Schritte zu deren Verbesserung vor – möglicherweise zur Verbesserung der Computersicherheit.

Es bestehen Bedenken hinsichtlich der Computersicherheitsprotokolle, die Unternehmen und Regierungsbehörden ihren Mitarbeitern gleichermaßen zur Verfügung stellen und die den Mitarbeitern dabei helfen sollen, persönliche und organisatorische Daten vor Gefahren wie Malware und Phishing-Angriffen zu schützen.

„Als Computersicherheitsforscher ist mir aufgefallen, dass einige der Ratschläge zur Computersicherheit, die ich online lese, verwirrend, irreführend oder einfach falsch sind“, sagte Brad Reaves, korrespondierender Autor der neuen Studie und Assistenzprofessor für Informatik an der Harvard University. „Manchmal weiß ich nicht, woher die Empfehlungen kommen oder worauf sie basieren. Das war der Anstoß für diese Studie. Wer schreibt diese Leitlinien? Worauf basieren ihre Empfehlungen? Wie ist ihr Prozess? Gibt es etwas, das wir besser machen können?“

Für die Studie führten die Forscher 21 ausführliche Interviews mit Fachleuten, die für die Erstellung von Leitfäden zur Computersicherheit für Organisationen wie große Unternehmen, Universitäten und Regierungsbehörden verantwortlich sind.

„Die wichtigste Erkenntnis hier ist, dass die Leute, die diese Richtlinien schreiben, versuchen, so viele Informationen wie möglich bereitzustellen“, sagte Reaves. „Theoretisch ist das großartig. Aber die Autoren priorisieren nicht die wichtigsten Empfehlungen. Oder genauer gesagt, sie räumen den weniger wichtigen Punkten nicht den Vorrang ein. Bei so vielen Sicherheitsempfehlungen können die Richtlinien überwältigend werden und die wichtigsten Punkte gehen in der Verwirrung unter.“

Forscher haben herausgefunden, dass Sicherheitsrichtlinien einer der Gründe dafür, dass sie so überwältigend sind, darin liegt, dass Richtlinienautoren dazu neigen, alle möglichen Punkte aus einer Vielzahl maßgeblicher Quellen einzubeziehen.

„Mit anderen Worten: Richtlinienautoren stellen Sicherheitsinformationen zusammen, anstatt Sicherheitsinformationen für die Leser zu kuratieren“, sagte Reeves.

Basierend auf den Erkenntnissen aus den Interviews gaben die Forscher zwei Empfehlungen zur Verbesserung zukünftiger Sicherheitsrichtlinien ab.

Erstens benötigen Richtlinienautoren klare Best Practices für die Verwaltung von Informationen, damit Sicherheitsleitfäden den Benutzern sagen, was sie wissen müssen und wie sie diese Informationen priorisieren können. Zweitens benötigen Autoren und die gesamte Computersicherheitsgemeinschaft wichtige Informationen, die für Zielgruppen mit unterschiedlichen technischen Fähigkeiten von Bedeutung sind.

„Sehen Sie, Computersicherheit ist kompliziert“, sagte Reeves. „Aber Medizin ist komplexer. Doch während der Pandemie konnten Experten des öffentlichen Gesundheitswesens der Öffentlichkeit recht einfache und prägnante Anleitungen geben, wie sie das Risiko einer Ansteckung mit COVID-19 verringern können. Wir müssen in der Lage sein, dasselbe für die Computersicherheit zu tun.“

Letztendlich stellten die Forscher fest, dass Verfasser von Sicherheitsratschlägen Hilfe benötigten.

„Wir brauchen Forschung, Anleitung und eine Praxisgemeinschaft, die diese Autoren unterstützen kann, denn sie spielen eine entscheidende Rolle bei der Umsetzung von Computersicherheitsergebnissen in praktische Empfehlungen für reale Anwendungen“, sagte Reeves. „Ich möchte auch betonen, dass wir bei einem Computersicherheitsvorfall nicht den Mitarbeitern die Schuld geben sollten, weil sie eine der tausend Sicherheitsregeln, die wir von ihnen erwarten, nicht befolgt haben. Wir müssen bessere Richtlinien entwickeln, die leicht zu verstehen und umzusetzen sind.“