E-mail senden E-Mail Adresse kopieren

2023-10-06
Felix Koltermann

CISPA-Forscher im Selbstversuch: Über die Schwierigkeiten beim Durchführen von Authentifizierungs-zeremonien

Messengerdienste bieten durch standardmäßige Ende-zu-Ende-Verschlüsselung eine relativ große Sicherheit. Aber immer nur so lange am anderen Ende tatsächlich die richtige Person chattet. Nur wenige Menschen wissen, dass eine Authentifizierung der Chat-Partner:innen entscheidend ist, um Angriffe auf den Chatverlauf zu verhindern. Der Frage, warum dieser Akt nur selten stattfindet, ist Matthias Fassl aus der Forschungsgruppe von CISPA-Faculty Dr. Katharina Krombholz in einem Selbstversuch nachgegangen. Die Ergebnisse wurden nun als Paper bei der Conference on Human Factors in Computing Systems veröffentlicht.

Schon seit vielen Jahren sind Messengerdienste wie Signal, Threema oder WhatsApp eine der beliebtesten und am weitesten verbreiteten Formen des digitalen Austauschs zwischen Personen. Getauscht werden nicht nur Textnachrichten, sondern auch Bilder, Dokumente und Sprachnachrichten sowohl privater als auch dienstlicher Natur. Umso wichtiger ist die Frage, wie sicher die Nutzung dieser Dienste ist. Heute ist bei vielen Messengerdiensten eine Ende-zu-Ende Verschlüsselung der Normalfall. Dies bedeutet, dass die Nachrichten, „sobald sie ein Gerät verlassen, so verschlüsselt werden, dass nur das Empfängergerät sie entschlüsseln kann“, erklärt CISPA-Forscher Matthias Fassl. „Die große Unsicherheit ist die Frage, ob am Ende auch wirklich der richtige Mensch sitzt,“ so Fassl weiter. „Eine der möglichen Sicherheitslücken ist ein Man-In-The-Middle Angriff, wo jemand vorgibt, zum Beispiel dein Freund Paul zu sein. Um einen solchen Angriff abzuwehren, müssen Nutzende kontrollieren, dass der Schlüssel, mit dem sich der Text entschlüsseln lässt, auch zum richtigen Empfänger gehört. Das passiert mit Hilfe von Authentifizierungszeremonien“. Konkret bedeutet dies, dass sich zwei User:innen treffen und sich über auf ihren Smartphones angezeigte QR-Codes gegenseitig authentifizieren.

Methodisches Neuland zur Deckung einer Forschungslücke

Die Herausforderung besteht darin, dass Nutzer:innen nur selten Authentifizierungszeremonien durchführen. Dies hat nach Ansicht von Fassl zum einen damit zu tun, dass hinter der Ende-zu-Ende Verschlüsselung das Konzept „trust-on-first-use“ steckt. Dabei wird davon ausgegangen wird, dass User:innen denjenigen Kontakten, die sie zu einem Messenger hinzufügen, vertrauen und dies durch die Kontaktaufnahme über den Messenger bestätigen. Die tatsächliche Verschlüsselung der Chats findet dann im Hintergrund statt. Aus diesem Grund wissen viele gar nicht, dass erst die tatsächliche Authentifizierung der Chat-Partner:innen größtmögliche Sicherheit bietet. Zahlen und Studien dazu, wie oft User:innen Authentifizierungszeremonien durchführen, gibt es nach Aussage des CISPA-Forschers kaum. Genau hier setzt Fassls Interesse an: Er will wissen, was die Umsetzung der Zeremonie so schwer macht. „Im Laufe der Zeit bin ich darauf gekommen, dass vielleicht auch Faktoren eine Rolle spielen können, die nicht das User-Interface betreffen, sondern wie wir miteinander interagieren“, erzählt er.

Für seine Studie hat sich Fassl für die Methode der Autoethnographie entschieden. „Ethnographische Ansätze sind relativ praktisch, um soziale und kulturelle Faktoren zwischen mehreren Menschen zu untersuchen, die sozial interagieren“, erzählt er. „Eine Autoethnographie ist dasselbe, nur mit der eigenen Person. Das ist ein Sonderfall und nicht so gerne gesehen, weil die Untersuchungsperson und die untersuchende Person dieselbe sind.“ Gleichwohl gebe es auch Vorteile eines autoethnographischen Vorgehens, da man „nicht immer alles punktgenau erfassen muss, weil sich Dinge auch nachträglich aus der Erinnerung ergänzen lassen“. Herausfordernd aufgrund der Methodenwahl war hingegen die Publikation der Ergebnisse. „Dadurch, dass die Methode nicht so gern gesehen ist, war es etwas schwer, das zu publizieren. Es war im Cybersecuritybereich auch erst die zweite Autoethnographie, die ich gefunden habe.“

Schritt-für-Schritt-Prozess zur Authentifizierung von Konversationen in Messengern

Unterschätzter Aufwand zur Durchführung der Zeremonien

Umso interessanter – auch in den Augen der Reviewer – waren die Ergebnisse, die Fassl über die mehrmonatige Selbstbeobachtung zusammentragen konnte. So konnte er nachweisen, dass die größte Herausforderung der Authentifizierungszeremonien der Planungs- und Organisationsaufwand ist. „Ich muss mich nicht nur mit Leuten treffen, sondern auch überlegen, wie ich die Zeremonie ins Gespräch einbaue“, erklärt der CISPA-Forscher. „Ich persönlich bin für die Studie alle meine Kontakte in den Messengern durchgegangen und habe geschaut, wo es schon einen grünen Haken gibt und wen ich noch authentifizieren muss. Ich habe dann versucht, das relativ systematisch abzuarbeiten.“ In diesem Prozess gibt es laut seiner Beobachtungen auch noch vor der eigentlichen Zeremonie verschiedene Stellen, wo es zu Brüchen kommen kann. „Das sind Momente, wo die Leute aussteigen, weil sie die Zeremonie vergessen oder während der sozialen Interaktion spannendere Unterhaltungsthemen aufkommen.“

Oft musste er seinen Gesprächspartner:innen auch erst einmal erklären, was es mit Authentifizierungszeremonie auf sich hat. Hier zeigte sich, dass persönliche Faktoren eine entscheidende Rolle spielen, die individuell sehr unterschiedlich sein können. „Bei mir hat am stärksten Einfluss gehabt, dass meine Kontakte wissen, dass ich in der Wissenschaft im Bereich Cybersicherheit arbeite“, erzählt er. „Das heißt wenn ich vorschlage, einen Sicherheitsmechanismus auszuprobieren, kommt da sehr viel Autorität mit. Widerspruch mir gegenüber würde da mangelnde Wertschätzung ausdrücken.“ Hier zeigt sich, wie wichtig bei solch einem autoethnographischen Vorgehen die Einordnung der eigenen Erfahrung ist, wie er weiter fortführt: „Was ich in der Studie beschrieben habe, war aufgrund meiner persönlichen Faktoren vermutlich noch ein relativ positiver Ausblick. Andere Leute hätten es vermutlich noch viel schwerer gehabt, diese Zeremonien durchzuführen.“

Konsequenzen und mögliche Änderungen am Design

Ganz grundsätzlich ist Fassl extrem wichtig, die enge Verzahnung von Sicherheitsthemen mit menschlichen Faktoren herauszustellen. „Ich glaube, dass hinter jeder technischen Sicherheit eigentlich immer ein menschlicher Faktor steht, der etwas beschützen oder etwas vermeiden will.“ Gerade bei den Authentifizierungszeremonien sei dies besonders wichtig, so der Forscher weiter: „Der Unterschied von normalen Sicherheitsmechanismen zu Authentifizierungszeremonien ist, dass wir erste oft nur für uns umsetzen. Letztere sind insofern ein Sonderfall, da wir zusammenarbeiten müssen, um unsere gemeinsame Sicherheit zu gewährleisten“. Die Technik ist dabei immer nur ein Teil der Lösung, was der Begriff des "social-technical gap" zu umschreiben versucht. Der social-technical gap beschreibt den Unterschied zwischen dem, was die Technik erlaubt und dem, was User:innen auch umsetzen können und wollen. "In diesem Fall heißt das, dass die Authentifizierungszeremonie ja auch irgendwie in den Alltag und in Gespräche eingebaut werden muss“ erklärt Fassl.

„Meine Überlegungen gehen in die Richtung, den User:innen Organisationsaufwand abzunehmen“, so der CISPA-Forscher weiter. „Technische Unterstützung könnte dabei helfen, den social-technical gap zu überbrücken. Das wäre unter anderem mit automatisierten Benachrichtigungen auf dem Smartphone zu passenden Zeitpunkten möglich. Die Personen könnten natürlich sagen, kein Bedarf. Aber es wäre eine praktische Erinnerung.“ Ideen, neue Lösungen selbst auszuprobieren, gibt es viele auf Seiten von Fassl und seinen Kolleg:innen. Und auch wenn aktuell kein konkretes Forschungsprojekt damit verknüpft ist, ist sich Fassl sicher: „Ich glaube das Thema ist noch nicht tot“.