Logo-Mythbuster Viele Mythen zur Anwendung von IT-Sicherheitsmaßnahmen werden regelmäßig öffentlich wiedergegeben. Passwörter sollen auf keinen Fall aufgeschrieben und regelmäßig geändert werden, auf jedem Computer soll Virenschutzsoftware installiert sein und Zwei-Faktor-Authentisierung grundsätzlich verwendet werden. Das Problem: obwohl diese Aussagen auf den ersten Blick völlig plausibel klingen, sind sie in dieser Pauschalität schlicht nicht richtig.  Bei genauerer Betrachtung zeigt sich, dass ob und in welchem Maße IT-Sicherheitsmaßnahmen tatsächlich zu einer Verbesserung der IT-Sicherheit beitragen, ausgesprochen schwer zu beantworten ist und vorrangig vom konkreten Anwendungsfall abhängt. Unter bestimmten Voraussetzungen können eigentlich gut gemeinte Ratschläge sogar zu einer Reduzierung der Gesamtsicherheit führen. Beispielsweise kann das regelmäßige Erzwingen von Passwortänderungen Nutzer zur Wahl von schwächeren Passwörtern motivieren. Die folgenden drei Faktoren scheinen die Wirksamkeit der IT-Sicherheitsmaßnahmen ganz wesentlich zu beeinflussen:

  1. Das Angreifermodell
  2. Das Verhalten des Anwenders
  3. Das konkrete Einsatzszenario

In diesem Projekt sollen die bisherigen Ergebnisse dieser drei Forschungsfelder neu interpretiert, bestehende Lücken geschlossen und gewonnene Erkenntnisse miteinander vereint werden. Ziel ist, eine methodische Vorgehensweise auf Basis eines formalen Modells zu entwickeln, welche es für ein konkretes Sicherheitsszenario erlaubt, wissenschaftlich fundierte Aussagen über die Wirksamkeit von verwendeten IT-Sicherheitsmaßnahmen zu treffen und dabei sowohl in der Praxis relevante Angriffe, als auch den Einfluss der Nutzerinteraktion zu berücksichtigen. Um die Ergebnisse dieses Projekts für eine breite Anzahl von Nutzern verwertbar zu machen, wird ein leicht zu benutzendes Software-Werkzeug entwickelt, mit dem eigenständig die Wirksamkeit von eingesetzten IT-Sicherheitsmaßnahmen beurteilt werden kann.