Evaluationsmethoden für benutzerzentrierte IT-Sicherheit
Kroll-Peters, Olaf
Die Sicherheit von IT-Systemen stellt eine der großen Herausforderungen in der Zukunft dar. Die steigende Verbreitung von IT-Systemen und deren Vordringen in nahezu alle Bereiche des täglichen Lebens macht es unerlässlich, dass Anstrengungen unternommen werden um die Systeme „sicher“ zu betreiben und zu benutzen. Dies bedeutet weiterhin, dass die Bedrohungen, denen die Systeme ausgesetzt sind, möglichst minimiert werden. Neben vielen anderen Bedrohungen, wie z.B. Datenmissbrauch oder Schadsoftware, ist dabei eine potentielle Fehlbedienung oder Nichtbenutzung von Sicherheitsmechanismen durch Benutzer eine der Bedrohungen. Die vorliegende Arbeit konzentriert sich daher vor allem auf die Bedrohung der IT-Sicherheit von Systemen durch Fehlbedienung oder Nichtbenutzung durch den Menschen. Es wird gezeigt, dass heutige Überprüfungsregularien wie z.B. eine Zertifizierung nach den Common Criteria diese Problemstellung nur ungenügend behandeln. Zunächst wird in der Arbeit daher gezeigt, welche reale Bedrohungslage durch Benutzer vorhanden ist. Um das gezeigte Problem zu lösen sind umfangreiche Maßnahmen notwendig. Einen möglichen ersten Schritt stellt die Bereitstellung von Systemen f ur Benutzergruppen dar. Aufbauend auf dem gezeigten Problem werden dann Konzepte vorgestellt und prototypisch implementiert, die Ansätze zur Umsetzung benutzerzentrierter IT- Sicherheit, durch Benutzergruppierung mit Fokus auf IT-Sicherheit, zeigen. Abschließend werden Lösungen aufgezeigt und diskutiert, die das Bedrohungspotential durch die Benutzung von Benutzern minimieren.
The security of IT systems is one of the major challenges of the future. The continuing ubiquity of IT systems and their use in almost all areas of everyday life makes it necessary to spend considerable effort in making the operation and use of those systems secure and safe. This entails that the threats that the systems are exposed to are minimized as well as possible. Apart of many other threats such as misuse of data or malicious software, one such threat is the potential of mistakes by the user, or non-usage of security mechanisms. This work focuses on the threats for IT security by miss-use or non-usage of security mechanisms by the user. We show that today's verification regulations such as certifications following the common criteria do not deal with these aspects adequately. Therefore, this work starts by pointing out the real threats that are posed by users. To solve the identified problems, comprehensive measures are necessary. One possible first step towards solving is the provision of systems based on user-groups. Based on the identified problems different concepts are presented and implemented that show an approach to user-centric IT security by using security focused user groups. Finally, solutions that minimize the threat potential of software usage by users are presented and discussed.
