Sind leicht zu bedienende Computer ein Sicherheitsrisiko? Beim Vergleich der Sicherheitsoptionen grafischer E-Mail-Programme zeigt KMail, dass sich Sicherheit und gute Benutzbarkeit nicht ausschließen.

Anfang März verkündete der Bundesgerichtshof [8] ein erstaunliches Urteil: Ein 16-jähriger Computernutzer hatte versehentlich ein Dialer-Programm installiert, das sich über eine teure 0190-Nummer mit dem Internet verband und dadurch Kosten in Höhe von 9000 Euro verursachte. Das Gericht bescheinigte dem Anwender, dass er nicht für die unbemerkte Installation und die anfallenden Verbindungskosten verantwortlich sei. Überspitzt bedeutet dieses Urteil: Von einem normalen Nutzer kann nicht verlangt werden, dass er seinen Computer soweit beherrscht, dass sich ein Missbrauch ausschließen lässt.

Je benutzerfreundlicher, desto unsicherer?

Dass Computer zum Massengut wurden, war nur deshalb möglich, weil immer bessere grafische Oberflächen kaum Wissen mehr darüber erfordern, was “unter der Haube passiert”. Umgekehrt hat ein System, das hohe Anforderungen an Verständnis und Kompetenz stellt, zwangsläufig deutlich weniger Nutzer.

Wenn durch einfache Benutzeroberflächen das Wissen des Nutzers über den Computer so gering werden kann, dass er ihn nicht mehr beherrscht – ist die leichte Benutzbarkeit dann die Ursache für die Bedrohung? Ist Usability ein Janus-Kopf, der auf der einen Seite die Nutzung von Computern für viele ermöglicht, auf der anderen aber die Beherrschung dieser Technik nur vorspiegelt?

Die meisten Nutzer wollen sich nicht genauer damit auseinandersetzen, wie sie ihr System sicher konfigurieren, sofern dies das Installieren und Updaten eines Virenscanners übersteigt. Lästige Warnhinweise (“Das Applet könnte böswilligen Code enthalten”) klicken sie ungelesen weg, öffnen E-Mail-Attachments ohne Zögern (wenn sie nur einen netten Screensaver versprechen) und halten Sicherheitseinstellungen so niedrig wie möglich, damit sie ungestört surfen können. Mit Windows haben sie ein Betriebssystem, das genau das bietet. Tatsächlich verteidigte und verteidigt Microsoft Automatismen und niedrige Sicherheitsvoreinstellungen gerne als Nutzungserleichterung und -komfort.

Folgt man dieser Argumentation, so widersprechen sich Usability und Sicherheit, wobei sich die meisten Anwender zugunsten der Benutzerfreundlichkeit entscheiden. Die Folge davon: das inzwischen alltägliche Szenario von Würmern, Viren, Dialern und Windows-Update-Orgien. Damit stellt sich die Frage, wie sich Computer und Netzwerke überhaupt noch sichern lassen.

Hier setzen radikale Forderungen nach einem Computer-Führerschein an: Nur jene dürfen Computer nutzen oder sich am Internet beteiligen, die vorher ihre Qualifikation nachweisen können. Was im Autoverkehr völlig normal ist, lässt sich bei Rechnern schon deswegen nicht durchsetzen, weil man Millionen Computer-Nutzern nicht einfach ihre selbstgekauften Geräte entziehen kann.

Entwickelt man die Führerschein-Idee weiter, führt dies zum Ruf nach Nutzerschulungen, auf dass die Anwender ihr System kontrollieren können und sich über das Risikopotenzial klar werden. Auch dies bleibt wohl eher ein frommer Wunsch: Schulungen kosten Geld und Zeit, würden wiederum viele Menschen ausschließen oder überfordern und von der eigentlichen Computer-Nutzung, die schließlich Sinn und Zweck ist, ablenken.

Microsoft und andere [1] bringen eine dritte Lösung ins Spiel: Trusted Computing, also die eingebaute Kontrolle, dass auf dem Computer nur das passieren kann, was ein Kontrolleur (der Software- oder Hardwarehersteller!) erlaubt [2]. Vergleichen lässt sich das damit, dass jeder, der nicht Auto fahren kann, einen Chauffeur braucht, der zudem manchmal entscheidet, wohin man fahren darf und wohin nicht.

Linux – sicher, aber nicht benutzerfreundlich?

Eine solche Bevormundung kann niemand wirklich wollen. Welche Alternativen gibt es also zu diesen Szenarien? Gewiss bieten Linux-Rechner aufgrund des Open-Source-Entwicklungsprozesses und dank bewährter und ausgefeilter Sicherheitsmechanismen deutlich weniger Angriffsfläche. Auch verstecken Linux-Systeme die Komplexität der Software noch nicht durchgehend vor dem Nutzer und verlangen an vielen Stellen eine “Entscheidung”, was viele als “schwer zu bedienen” oder anstrengend empfinden.

Nicht zuletzt, weil sich viele Einstellungen in Konfigurationsdateien verstecken (und man sich vorher informieren muss, was man tut), gehen Linux-User zwangsläufig besser informiert ins Rennen als ihre Windows-Kollegen – ein Umstand, den viele Windows-Administratoren gegen einen Umstieg auf Linux ins Feld führen.

Aber spätestens, wenn Linux-Rechner das Supermarkt-Regal erobern, wird es nur eine Frage der Zeit sein, bis auch diese Schutzmechanismen aufweichen – zum vermeintlichen Vorteil des Nutzers. Der Druck auf die Entwickler und Entwicklerinnen ist bereits da: Software für jeden und jede benutzbar zu gestalten – ob Administrator oder “einfacher” User – und trotzdem das vorhandene Sicherheitsniveau nicht zu gefährden.

Sicherheit durch Benutzerfreundlichkeit

Aber stimmt die These vom Widerspruch zwischen Sicherheit und Usability überhaupt? Man kann auch ganz anders argumentieren: Je einfacher eine Software zu benutzen ist, desto leichter wird die Anwenderin sicherheitskritische Einstellungen entdecken, ihre Bedeutung verstehen und das Programm sinnvoll konfigurieren und einsetzen. Gerade interaktive Oberflächen können den Nutzer über Misskonfigurationen aufklären, Alternativen vorschlagen, Risiken aufzeigen.

Usability muss nicht heißen: Man nehme dem Nutzer alles aus der Hand und automatisiere so viel wie möglich. Vielmehr geht es darum, Benutzerschnittstellen so zu gestalten, dass der Anwender weiß, was er im Augenblick tut, warum er es tut und wohin es ihn führt – alles Eigenschaften, die die Computer-Nutzung sicherer machen.

Am besten lässt sich das am Beispiel zeigen: Tragen die Oberflächen der vier E-Mail-Programme Evolution [3], KMail [4], Mozilla Mail [5] und Outlook Express für Windows [6] zur sicheren Nutzung bei oder erschweren sie diese? Evolution (getestete Version: 1.4.4), das Mail- und Personal-Information-Management-Programm des Gnome-Desktops, führt den Nutzer beim ersten Start mit einem “Einrichtungsassistenten” (Wizard) durch die Einstellungen: Name und E-Mail-Adresse, Servertyp etc.

Sowohl für den Server für eingehende Mail als auch für den SMTP-Server fragt dieser, ob der E-Mail-Transport dorthin durch Verschlüsselung per SSL gesichert werden soll. Zusätzlich kann die Art der Legitimation beim Server eingestellt werden. Schön gelöst ist hier, dass Evolution bei Bedarf selbst prüft, welche Optionen der Server unterstützt (Abbildung 1).

Hat der Nutzer ein Zugangskonto eingerichtet, kann er dessen Konfiguration später über die Menüpunkte Bearbeiten und Email-Einstellungen ändern oder um zusätzliche Optionen erweitern. Bearbeiten bietet eine Karteikarte Sicherheit mit den PGP-Verschlüsselungsoptionen.

Einen weiteren Beitrag zur Sicherheit leistet Email-Einstellungen, in dem es die Behandlung von HTML in Nachrichten festlegt. Solange man nur einfachen Text in E-Mails akzeptiert, ist man vor fast allen Angriffen gut geschützt. Kein Skript kann eingeschleust werden, keine Bilder über externe Referenzen angezeigt werden (sogenannte Web-Bugs) und keine Attachments ausgeführt werden. Evolution beschränkt sich hier leider auf die Option, aus Mails heraus verlinkte Bilder aus dem Netz zu laden oder eben nicht.

KMail aus KDE 3.2 fehlt zunächst ein “Wizard”, der die Nutzerin bei der Grundkonfiguration ihres Mail-Accounts unterstützt. Beim ersten Programmstart wird sie jedoch darauf hingewiesen, dass Anpassungen unter EinstellungenKMail einrichten vorgenommen werden können.

Der Verzicht auf einen Wizard hat hier jedoch auch einen entscheidenden Vorteil: Anders als bei Evolution entsteht kein Durcheinander von Sicherheitsoptionen an verschiedenen Orten – alles zum Thema “Sicherheit” befindet sich in KMail einrichten unter dem gleichnamigen Menüpunkt.

Sicherheitskritische Einstellungen sind standardmäßig deaktiviert, und es gibt – vorbildlich gelöst – zu jedem Thema eine “Warnung” in Kurzfassung; ein Klick führt zu weitergehenden Informationen (Abbildung 2).

KMail erlaubt es, HTML-Mails komplett als einfachen Text anzeigen zu lassen; davon unabhängig lässt sich das Laden externer Referenzen (Web-Bugs) ein- oder abschalten.

Mozilla Mail (Version 1.6), die Mail-Komponente des Webbrowsers Mozilla, richtet ein neues Konto über einen Assistenten ein, der die Standard-Informationen abfragt. Sicherheitsrelevante Optionen (Empfangsbestätigungen, Verschlüsselung und Kryptographie) findet man danach verteilt über die allgemeinen und die Account-Einstellungen.

Die Anzeige von externen Grafiken und Javascript in Mails lässt sich (in weiteren Untermenüs) deaktivieren (Abbildung 3). Über den Menüpunkt Ansicht (versteckt außerhalb der Einstellungen) wird es möglich, HTML-Mails als einfachen Text anzeigen zu lassen.

Auch bei Outlook Express (Version 6.0) übernimmt ein Assistent die Erstkonfiguration (Abbildung 4). Die Option Kennwort speichern ist dabei standardmäßig aktiviert – nicht das Ideal unter Sicherheitsgesichtspunkten.

Nach der Ersteinrichtung finden sich weitere Sicherheitsoptionen unter Eigenschaften (Zertifikate und Verschlüsselung) und unter Einstellungen. Die Konto-Einstellungen zur verschlüsselten Übertragung per SSL befinden sich auf der Karteikarte Erweitert – nicht wie erwartet unter Server oder im Einrichtungsassistenten. Leider bietet Outlook bezüglich SSL nur die Auswahl, SSL immer oder nie zu verwenden – ein unlösbares Problem für Nutzer, die keine Informationen über die Fähigkeiten des Mailservers haben. Die drei für Linux erhältlichen Programme offerieren alle zusätzlich eine Option wie falls möglich oder Fähigkeiten des Servers testen.

Unter Einstellungen verstreut Outlook Express Sicherheitsoptionen allgemeinerer Natur über die Karteikarten Lesen, Bestätigungen und (!) Sicherheit. Der Sicherheit dienende Optionen deaktiviert Microsoft fast durchgehend; das schönste Beispiel: Speichern oder Öffnen von Anlagen, die möglicherweise Viren enthalten, nicht zulassen ist standardmäßig abgeschaltet.

Sicherheit wird damit als unzweckmäßig und als Einschränkung dargestellt: Der Nutzer hat die Wahl zwischen der Internetzone (zweckmäßiger, aber weniger sicher) und der Zone für eingeschränkte Sites (Abbildung 5).

Sicherheit und Usability – mit dem richtigen Programm kein Widerspruch

Während Outlook Express Sicherheit als lästige Einschränkung des Nutzers verkauft, Mozilla zwar Sicherheitsoptionen anbietet, sie aber versteckt und standardmäßig deaktiviert, schneiden die Mail-Programme von Gnome und KDE gut ab.

In puncto Usability liegt KMail an der Spitze, sieht man davon ab, dass ein gut strukturierter Einrichtungsassistent Anfängern gute Dienste leisten würde. Die Zusammenfassung aller sicherheitsrelevanten Optionen an einem Ort sowie die ausführliche Erklärung von Risiken und Nebenwirkungen einer Konfiguration sorgen hier für den entscheidenden Pluspunkt.