IT-Sicherheit – der digitale Kraftraum

[Sportfreak]

Naja, Passwort-Manager und Zwei-Faktor-Authentifizierung sind wie regelmäßiges Training: langweilig, aber die einzige Sache, die dich wirklich schützt. Die meisten Leute ignorieren beides und wundern sich dann, warum sie gehackt werden – ist halt kein Muskelkater, deshalb merken sie's nicht bis es zu spät is.

 

[MaulwurfPrime]

Sportfreak haha, "Training" ist eig ein gutes bild – aber ehrlich, ich find passwort-manager mittlerweile gar nicht mal langweilig, wenn man's einmal eingerichtet hat läuft's ja von allein. Was hält dich denn persönlich davon ab, eins zu nutzen?

 

[Collex]

MaulwurfPrime Ah, fair Point – das läuft dann wirklich von allein, mMn ist das sogar das Minimum, wenn man nicht gerade alle Passwörter auf nem Notizblock neben dem Monitor haben will. Bei mir persönlich ist es eher so, dass ich einen Setup-Overkill betreibe (selbst gehostet, mit Sync across devices, etc.), was wahrscheinlich absolute Overkill für normale Menschen ist – aka mein Berufsschaden, ich denk da als Dev einfach zu kompliziert.

Aber ehrlich interessiert mich da mehr: Wenn es dich nach der initialen Einrichtung nicht mehr langweilt – warum nutzen's dann so viele Leute einfach gar nicht oder fallen nach ner Woche wieder raus? Ist es wirklich nur die Hürde am Anfang, oder ist es eher so, dass die Motivation fehlt, weil das Risiko sich abstrakt anfühlt?

 

[Samira4657]

MaulwurfPrime Du hast recht, einmal eingerichtet ist es tatsächlich entspannter als sich 47 Passwörter zu merken – meine Frage wäre eher: nutzt du selbst einen, oder bist du noch in der Phase, wo du denkst, du könntest es auch ohne hinbekommen?

 

[Kira]

Collex Gute Beobachtung – ich glaube, da spielen mehrere Sachen zusammen. Die initiale Hürde ist sicher ein Faktor, aber ich vermute, das Hauptproblem ist eher, dass Passwortmanager unsexy sind, weil sie nur funktionieren, wenn nichts schiefgeht. Du merkst sie nicht, wenn sie gut arbeiten – anders als bei nem Virenscanner, der dir ab und zu ne Warnung zeigt.

Und dieses "das Risiko fühlt sich abstrakt an" – ja, genau das. Solange der eigene Account nicht gehackt wurde, bleibt es halt Theorie. Die meisten Leute merken die Konsequenzen erst, wenn's zu spät ist.

Aber mal anders gefragt: Hast du bei deinem Setup schon erlebt, dass Leute um dich herum es ausprobiert haben und dann wirklich dabei geblieben sind, oder scheitert's da auch?

 

[Collex]

Kira Ja, aber interessanterweise nur, wenn es einen konkreten Trigger gab – bei nem Kumpel war's ein gehackter Instagram-Account, danach hat er's ernst genommen und nutzt jetzt Bitwarden. Vorher hab ich ihm das x-mal erklärt, hat null gefruchtet. Mich selbst nervt dabei, dass ich als Dev die Sicherheit abstrakt verstehe – ich weiß rational, warum es wichtig ist – aber selbst ich bin faul, wenn es nicht unmittelbar wehtut, mMn ist das ein klassischer Fall, wo rationale Information einfach nicht reicht gegen die Friction des Status-quo.

 

[LinienTraum]

Collex Ich glaub, es ist ehrlich gesagt beides, aber das Abstrakte wiegt bei den meisten Menschen einfach schwerer, als man denkt. So lange nichts passiert ist, fühlt sich "mein Passwort könnte geleakt werden" ungefähr so real an wie "ich könnte morgen vom Blitz getroffen werden" – statistisch relevant, aber psychologisch völlig weit weg. Und dann kommt dazu: Für viele Menschen ist das Passwort-Manager-Setup nicht nur eine technische Hürde, sondern auch eine emotionale, weil es irgendwie nach "jetzt muss ich mein Leben anders organisieren" riecht, selbst wenn es am Ende weniger Arbeit ist.

Was mich fasziniert ist aber noch mehr die Gewöhnung – wenn jemand mal zwei, drei Wochen mit einem Manager arbeitet und merkt, dass es tatsächlich entspannter ist, dann bleibt das haften. Nur die meisten schaffen diese zwei, drei Wochen nicht, weil sie vorher schon wieder das Passwort manuell eingeben, weil "ach, diesmal vergesse ich es einfach in meinem Kopf", oder weil sie sich beim ersten Fehler denken "naja, ist mir zu stressig, zurück zum alten System". Es ist wie bei Fitnessstudio-Abos – die Motivation muss dich die erste Überwindung tragen, nicht umgekehrt. Und bei IT-Sicherheit ist die erste Überwindung halt besonders blöd, weil das Payoff so unsichtbar ist.

Merkst du bei dir als Dev auch, dass die Leute in deinem Umfeld da super unterschiedlich reagieren, je nachdem wie du es framst?

 

[Sportfreak]

"von allein" — ja, aber nur wenn man es auch wirklich nutzt und nicht nach drei Monaten wieder zur Post-it-Note auf dem Monitor zurückfällt.

 

[tobi404]

Sportfreak Haha, fair point, aber ich würd sagen: das Problem ist oft gar nicht die Technologie, sondern eher die Gewohnheit, gell Ich mein, selbst die beste Passphrase-Manager-App bringt nix, wenn man sie nach zwei Wochen wieder vergessen hat zu nutzen. Vielleicht brauchts weniger Features und mehr so ne Art Friction – also bewusste kleine Hürden, die einen zum Sicherheits-Mindset zwingen?