Microsoft und Uni München: Kampftraining gegen Gefahren aus dem Netz

Microsoft Deutschland hat gemeinsam mit der Ludwigs-Maximilians-Universität München (LMU) für die Simulationsplattform Internet Risk Behaviour Index (IRBI) eine Reihe von Trainings-Szenarien für IT-Sicherheit entwickelt. Nutzer werden nach dem Prinzip "Learning by Doing" mit realistischen Situationen aus dem Internetalltag konfrontiert und müssen spontan Entscheidungen treffen. Dabei geht es um ein breites Gefahrenspektrum von Hacker-Angriffen, der Absicherung des WLANs bis hin zu Phishing-Attacken oder Sicherheit von Passwörtern.

Der Test ist kostenlos und beliebig wiederholbar. Dabei handelt es sich nicht um einen Multiple-Choice-Fragebogen, sondern um eine anwendungsnahe Verhaltenssimulation. So zeigt IRBI eine Serie leicht veränderter Screenshots von bekannten Anwendungen und Internetseiten. Für die Registrierung auf einer Social-Network-Plattform etwa klickt sich der Nutzer durch verschiedene typische Seiten und muss schließlich entscheiden, welche Art von Passwort er zum Schutz seiner persönlicher Daten eingibt. IRBI klärt ihn dann darüber auf, wie sicher sein gewähltes Passwort war. Ein anderes Szenario konfrontiert den Nutzer mit der Konfiguration seines WLANs. Er muss für die WLAN-Verschlüsselung zwischen den Einstellungen WEP, WPA, WPA2 oder DISABLE entscheiden. Den Klick auf WPA2 wertet IRBI als beste Entscheidung.

Zwar erfordert IRBI für die Registrierung die E-Mail des Nutzers, doch Werner Degenhardt, Psychologe an der Fakultät für Psychologie und Pädagogik der LMU München versichert, dass die E-Mail-Adresse nicht mit den Testergebnissen in Verbindung gebracht wird. Der Nutzer könne daher unerkannt agieren. Ziel von IRBI sei es, dass Nutzer für Gefahrensituationen trainieren, in denen sie dann spontan richtig entscheiden. Degenhardt: "Ein gut trainierter Inhaber des Europäischen Computerführerscheins macht immer wieder das Kreuz an der richtigen Stelle und kriegt eine 1. Das hat aber fast gar nichts damit zu tun, wie er sich am Computer verhält in einer Situation, die er nicht trainiert hat. Das ist totes Wissen." Dass es keine direkte Verbindung zwischen IT-Wissen und IT-Verhalten gibt, ist bereits durch eine Reihe von Umfragen und Studien belegt. Dies erkläre außerdem, so Degenhardt, "warum die üblichen Awareness-Programme, die vor allem Wissen vermitteln und Einstellungen ändern sollen, keinen oder zumindest keinen nachhaltigen Erfolg bei der Verbesserung des Sicherheitsverhaltens haben".

IRBI basiert daher auf der in der Psychologie entwickelten "Critical Incident Technique", die das Verhalten in kritischen Situationen klassifiziert. Eingesetzt wurde sie zunächst in der zivilen Luftfahrt nach dem 2. Weltkrieg, um den Trainingsbedarf für Piloten festzustellen. Als Methode, Qualifikationsanforderungen zu identifizieren, Empfehlungen für effiziente Verhaltenspraxis zu entwickeln und wichtige Kompetenzen für Experten in vielen Disziplinen festzustellen, ist sie inzwischen weit verbreitet.

Derzeit enthält IRBI fünfzehn Situationen. Ziel von Microsoft Deutschland und der LMU München ist es, der Plattform möglichst bald einen Open-Source-Status zu verleihen, da nur eine große Nutzergemeinde möglichst viele und aktuelle Fallbeispiele sammeln kann. Die zurzeit in IRBI enthaltenen Fälle wurden über Fokus-Gruppen und Fragebögen erhoben. Die so erhobenen Fallbeispiele wurden dann an rund 50 Personen getestet. "Die bisherigen Ergebnisse zeigen, dass Anwender ihr Kontrollvermögen regelmäßig überschätzen. Selbstwahrnehmung und Praxis klaffen auseinander", sagt Tom Köhler, Director Information Security Strategy & Communications bei Microsoft. Wichtig findet er IRBI vor allem für viele kleine und mittlere Unternehmen, die das Werkzeug nun für die Sicherheitsschulung ihrer Mitarbeiter verwenden können. Ideal sei IRBI jedoch für "die vielen Heimanwender, die mit IRBI nun eigene Vorstellungen davon entwickeln können, wie sie ihre IT sicher gebrauchen sollten".

Ursprünglich sollte IRBI als neuer Index für den Stand der IT-Sicherheit im Bereich der Heimnutzer die Ergebnisse der üblichen Fragebogenstudien ergänzen und ersetzen. Deren Ergebnisse seien nicht sehr zuverlässig und hätten von Untersuchung zu Untersuchung zu stark variiert, sagt Degenhardt. Bei der Arbeit an IRBI hätte man sehr schnell festgestellt, dass man hier eine Art Performanzmessung für die Ermittlung eines Internet-Intelligenzquotienten entwickeln könnte. Die Zielrichtung heute sei es, dem Nutzer über eine adaptive Lernumgebung eine Handreichung zu geben, die ihm zeige, was er an seinem Verhalten im Internet konkret verbessern könne, um sich sicherer im Netz zu bewegen. Die Testresultate werden in einer "Test History"-Datenbank gespeichert, so dass IRBI einen Entwicklungsindex des Sicherheitsstatus über einen gewissen Zeitraum hinweg liefern kann. Diese Indizes können sowohl für verschiedene Bereiche der IT-Sicherheit als auch für verschiedene Nutzergruppen erstellt werden. Auf diese Weise erhalten sowohl Herstellerfirmen wie Microsoft, als auch Unternehmen für ihre Mitarbeiterschulung ein Feedback. (Christiane Schulzki-Haddouti) (je)