Die Schuldigen waren schnell gefunden, als zuletzt wieder Computer gehackt wurden. Dieses Mal hieß die Aktion "Collection #1", durch sie gelangten Mitte Januar die Zugangsdaten von rund einer Milliarde Menschen ins Netz. Und verantwortlich waren mal wieder die dummen Nutzer, die sich viel zu schlechte Passwörter ausgedacht haben sollen.

Doch langsam, so einfach ist es nicht. Denn eigentlich sind wir in der Debatte schon weiter. Seit mehr als 20 Jahren gibt es zwei wichtige Forschungsgebiete, die sich mit Computersicherheit beschäftigen. Das eine nennt sich usable security, also nutzbare Sicherheit, das andere privacy by design, in etwa: eingebaute Privatsphäre. In beiden Disziplinen werden Methoden entwickelt, mit denen Schutzmaßnahmen so in die Technik integriert werden können, dass der Mensch und seine Natur dabei nicht vergessen werden. Sicherheit und Privatsphäre sollen bereits in der Entwicklung von Computersystemen und nicht erst in der Anwendung berücksichtigt werden.

Damit wird ein altbekanntes Problem angegangen: Wir Menschen sind nicht dafür gemacht, uns lange und komplizierte Passwörter zu merken. Dennoch fordern jetzt Politiker und Kommentatoren aller Couleur, die Nutzer sollten gefälligst sicherheitsbewusster werden. Nur: Das geht mit den aktuellen Systemen nur bedingt.

Auch die dieser Tage viel diskutierte Zwei-Faktor-Authentifizierung muss erst einmal angeboten werden. Und sie ist nur der erste Schritt zu mehr Sicherheit. Forscher haben viele andere Konzepte entwickelt, die der menschlichen Natur näher sind – angefangen mit einer Anmeldung mittels Bildern, die Menschen sehr viel eingänglicher sind, bis hin zu komplexen biometrischen Verfahren, bei denen Systeme die rechtmäßigen Nutzer erkennen. Einige dieser Entwicklungen könnten durchaus die schwachen Systeme, die wir heute nutzen, ersetzen.

In der Informatik sind sich die Forscher seit mehr als zehn Jahren weitgehend einig, dass das Einloggen via Nutzername und Passwort unsicher ist. Nur: Wieso hat sich hieran in den vergangenen Jahren nichts geändert? Dieser Frage sind die Wiener Philosophin und Wirtschaftsinformatikerin Sarah Spiekermann und der Informatiker Marc Langheinrich von der Universität Lugano nachgegangen. Ihre Publikation in Proceedings of the IEEE, einer der führenden Fachzeitschriften in der Computertechnik, kommt gerade rechtzeitig, denn sie zeigt, was die Computer so angreifbar macht.

Die kurze Antwort lautet: Sicherheit wird nicht in die Systeme implementiert, weil sich viele Entwickler nicht dafür verantwortlich fühlen. Von den mehr als 124 Entwicklern aller Karrierestufen, die von den Forschern ausführlich befragt wurden (ein Viertel davon in leitender Position; ein Drittel davon aus deutschen Unternehmen), fanden zwar 90 Prozent Sicherheit wichtig, doch lediglich 63 Prozent fühlten sich auch dafür verantwortlich, Sicherheit in ihre Programme einzubauen. "Fast 40 Prozent fühlen sich nicht verantwortlich! Dabei gehört es unbestritten zu deren Aufgaben", sagt Sarah Spiekermann.

Die Forscher fragten auch, welche Faktoren in der Vergangenheit dazu beigetragen hätten, dass die Entwickler Sicherheit in Systeme implementierten. Weil sie es wichtig fänden? Weil es ihnen Spaß mache? Weil sie von ihrem Chef gezwungen worden seien? "Der mit Abstand wichtigste Grund, dass Entwickler Sicherheit berücksichtigen, ist, dass sie sich verantwortlich fühlen", erklärt Spiekermann das Ergebnis. Doch 47 Prozent sagten auch, dass sie nicht genug Zeit und Autonomie dafür hätten. Sprich: Es gab andere Vorgaben vom Chef. "Das deutet auf einen Konflikt in den Organisationen hin", sagt Spiekermann. Während die deutschen Entwickler das noch großteils mit sich selbst ausmachen, haben sich ihre US-Kollegen vor zwei Jahren öffentlich und in großem Stil darüber beschwert, dass sie dazu gezwungen würden, unethische oder gar illegale Dinge zu tun.

Das zeigt: Entwickler haben ein hohes Berufsethos. Sie wollen gute Arbeit leisten, die der Gesellschaft nützt – doch offenbar werden sie daran gehindert. Die Auftraggeber müssen den Technikern also "klar kommunizieren, dass sie verantwortlich sind", fordert Spiekermann. Die Frage ist nur, ob die Unternehmen das überhaupt wollen. Sicherheit kostet Geld und Zeit, doch Software soll immer billiger und schneller auf den Markt kommen. Das muss sich ändern, wenn wir wollen, dass unsere Computer künftig nicht so leicht gehackt werden können.

Korrekturhinweis: In der Printversion dieses Artikels stand "Compilation #1". Richtig ist "Collection #1". Wir haben das online korrigiert.