Von präventiven Maßnahmen gegen Social Engineering hält Bruce Schneier nicht viel – und der Markt für Sicherheitsprodukte ähnelt aus seiner Sicht einem zweifelhaften Gebrauchtwagenmarkt. Über diese und andere Themen diskutierte der scharfzüngige Security-Guru am 22. Januar 2008 mit Wissenschaftlern und Studenten der Münchner Hochschulen.

Zur Abwehr von Social Engineering hat Bruce Schneier eine Meinung, die den Architekten vieler
gängiger Awareness-Kampagnen nicht gefallen wird: „Was könnte ich denn zur Abwehr empfehlen? Am
Telefon keine Auskunft zu geben, jedem Fremden zu misstrauen und besser nicht hilfsbereit zu sein?“
In einer Welt, in der solche Regeln gelten würden, wolle doch niemand leben, meinte Schneier.
Social Engineering funktioniere nur deshalb so gut, weil es das Gute im Menschen nutze, und das
dürfe man nicht unterdrücken. Gegen Social Engineering könne man deshalb nur vorgehen, indem man
den Opfern Hilfen für ein schnelles „Recovery“ nach einer Attacke an die Hand gebe und indem man
sich ansonsten darauf konzentriere, die Zahl der potenziellen Täter einzugrenzen.

In dieser Hinsicht war sich Schneier mit den Wissenschaftlern der Ludwig-Maximilians-Universität
München einig: Ein Training gegen Social Engineering darf, wenn überhaupt, nur mit großer Vorsicht
erfolgen, damit im betroffenen Unternehmen als Nebenwirkung keine von ängstlicher Vorsicht
geleitete Kommunikationskultur nach dem Muster totalitärer Staaten entsteht. LANline-Redakteur Dr.
Johannes Wiele und Dr. Werner Degenhardt, Akademischer Direktor an der Fakultät für Psychologie und
Pädagogik, veranstalten dort schon seit einigen Semestern Seminare zur Psychologie der
Informationssicherheit. Sie hatten Schneier als den Chef von BT Counterpane, dessen Services via BT
seit kurzem auch in Deutschland gebucht werden können, für den Dialog mit Psychologen und
IT-Sicherheitsspezialisten an der Ludwig-Maximilians-Universität in München gewinnen können.

Auch die übrigen Themen der Diskussion führten immer wieder auf Aspekte der Beeinflussung von
Menschen zurück. Der Markt für IT-Sicherheit ist nach amerikanischem Verständnis ein „Lemon-Markt“,
meint Schneier, wobei „Lemon“ einen Gebrauchtwagen schwer abzuschätzender Qualität bezeichnet. In
solchen Umgebungen hätten die Käufer gegenüber den Anbietern das Nachsehen. Interessenten würden
deshalb nach Signalen suchen, die ihnen anstelle einer direkten Qualitätsprüfung eine Einschätzung
des Angebots möglich machen. Dazu zählen der Ruf des Anbieters, die Art, wie er sich präsentiert,
Garantien für das Produkt und – im Fall der IT – Tests in Fachzeitschriften. Sicher sei aber auch
dieses Orientierungsverfahren nicht, da das Marketing der Hersteller gezielt die entsprechenden
Signale zu manipulieren suche. Eine kritische und sorgfältige Presse sei ein wichtiges Element, das
der Beeinflussung der Käufer Grenzen setzen könne, ergänzte Schneier, der sich generell eine eher
positive Sicht der Presse zu Eigen macht.

Er forderte außerdem, die Hersteller müssten deutlich mehr für die Benutzbarkeit der
Sicherheitssysteme tun. „Metaphern“, Anklänge aus der Lebenswelt, seien dabei extrem wichtig –
müssten aber auch treffend ausgewählt werden. Die gelte selbst für harmlos wirkende Elemente der
Benutzeroberflächen: Ein „Recycling-Tonne“ etwa, der berühmte „Recycle Bin“, sei durchaus etwas
anderes als eine „Mülltonne“, der „Trash Can“. Beide könnten bereits unterschiedliche Vorstellungen
über das Löschen von Dateien hervorrufen.

Insgesamt vermittelte das Gespräch ungewohnt drastisch formulierte Einsichten in die gering
ausgeprägten Fähigkeiten des Menschen, gerade IT-Risiken richtig einzuschätzen. Es machte deutlich,
dass sich die Informationssicherheit vielmehr mit der Psychologie menschlichen Verhaltens und mit
ethischen Fragen auseinandersetzen muss als bisher. Schneier, ursprünglich primär ein Designer
komplexer Verschlüsselungsalgorithmen, verfolgt diesen Weg nun schon seit geraumer Zeit.

556886.jpg