Ergonomische Prinzipien sicherer Technologien in einer digitalen Gesellschaft (R.Go.Sec)

Projektbeschreibung

Eine der größten Herausforderungen für Hersteller, Betreiber oder Nutzer von Computernetzwerken, Systemen, Einzelgeräten, Speichermedien, Chips und Software, die auf diesen zur Anwendung kommt, ist die Gewährleistung ihrer Sicherheit. Diese umfasst den Schutz gegen den Verlust, die Beschädigung oder Zerstörung, sowie das Abfangen oder den unautorisierten Zugriff auf sensitive Daten und Informationen (inklusive des Designs eines Chips selbst). Neben derartigen kriminellen Angriffen, die das Ziel haben, Individuen oder (konkurrierenden) Unternehmen direkt zu schaden, oder schlicht sich zu bereichern, gibt es auch noch eine weitere Form, die für die Zivilgesellschaft wesentlich eine größere Bedeutung hat: Angriffe auf digitale Technologien durch Geheimdienste und Regierungen, etwa zur Überwachung der eigenen Bevölkerung oder die anderer Länder, aber auch zur politischen Einflussnahme gegen Einzelpersonen (bspw. Kandidaten für politische Ämter), demokratische Institutionen (Parteien oder Behörden), oder unmittelbar an Wahlcomputern.

Eine Erhöhung der Sicherheit digitaler Technologien ist deswegen nicht nur von ökonomischen Interesse. Sichere digitale Technologien stärken aber auch vor allem individuelle Bürgerrechte: Ein effektiver Schutz gegen flächendeckende Überwachung von Kommunikationsverhalten ist eine notwendige Voraussetzung zur Ausübung demokratischer Errungenschaften wie dem Recht auf Privatsphäre, dem Recht auf Anonymität, dem Recht auf informationelle Selbstbestimmung. Er gewährleistet zudem die freie Meinungsäußerung ohne die Befürchtung von Repressalien durch staatliche Seite, und die Möglichkeit einer freien, politischen Partizipation (insb. wenn der Erhalt oder die Zunahme demokratischer Prinzipien durch Regierungen und andere Akteure bedroht ist).

Forschung zur Stärkung der Sicherheit digitaler Technologien findet vor allem in der Informationstechnik und den Ingenieurswissenschaften statt. Zwar gibt es im interdisziplinären Forschungsbereich Usable Security auch psychologische Ansätze, die sich allerdings größtenteils mit Software, Anwendungen und Interfaces befassen.

Potenzielle Angriffspunkte in einem System bestehen jedoch auch auf anderen Ebenen, etwa der Hardware (Chips oder andere Bauteile). Nutzer haben zwar mit dieser i.d.R. keine direkte Interaktion, ihr Verhalten kann aber dennoch sicherheitsrelevant sein oder Angriffe erst ermöglichen. Das technische Vorgehen bei Angriffen auf Hardware (Reverse-Engineering) ist in der Literatur dokumentiert – wenig ist jedoch bekannt zu psychologischen Problemlöseprozessen während einzelner Arbeitsschritten und welche Eigenschaften von Hardware für Angreifer möglicherweise besonders schwer zu entschlüsseln sind. Hersteller digitaler Technologien verlassen sich hier häufig auf Heuristiken und (begründeten) Annahmen, aber weniger auf wissenschaftliche Evidenz effektive Sicherheitsmaßnahmen. Welche dieser Techniken wirksam Angriffe verhindern (z.B. in dem sie automatisierte oder stark regelhafte Angriffsprozeduren unmöglich machen), und welche möglicherweise nur einen schwachen Schutz bieten, ist eine noch weitgehend unbeantwortete Frage.

Zu diesem Zweck soll in R.Go.Sec in drei Arbeitspaketen interdisziplinäre empirische Forschung in drei Bereichen durchgeführt werden: a) sicherheitsrelevantem Verhalten von Nutzern und ihren Kenntnissen über Risiken im Umgang mit digitalen Technologien, b) Strategien und Problemlöseprozesse von Angreifern beim Reverse-Engineering digitaler Technologien, c) Heuristiken und psychologisch informierte Techniken zur Sicherung von Hardware von Herstellern. Ziel ist das Generieren eines psychologischen Modells, das Nutzerverhalten, Angriffstechniken und Sicherheitsstrategien von Herstellern berücksichtigt.