Simulationstraining für Gefahren aus dem Netz
Gemeinsam mit Forschern der Uni München hat Microsoft Deutschland die Simulationsplattform Internet Risk Behaviour Index (IRBI) entwickelt. Sie konfrontiert Internet-Nutzer in einer sicheren Trainingsumgebung mit realistischen Situationen aus dem Alltag im Netz und will sie so gegen Angriffe auf ihre Privatsphäre immunisieren.
IRBI testet etwa, ob Nutzer ein sicheres Passwort auswählen können und ob sie dazu neigen, spontan personenbezogene Daten in Sozialen Netzwerken weiterzugeben oder versehentlich unerwünschte Aboverträge im Netz abzuschließen. "Unser Ziel ist es, praktische Hilfestellungen für aktuelle Online-Bedrohungen aufzugreifen und Benutzern eine Übungsplattform zu bieten", sagte Tom Köhler, Director Information Security Strategy & Communications bei Microsoft Deutschland. Die neueste Version der Plattform ist am Mittwoch ans Netz gegangen.
IRBI zeigt eine Reihe von Screenshots gängiger Anwendungen und Websites und testet Alltagssituationen. Auf einer Social-Network-Plattform etwa muss sich ein Nutzer entscheiden, ob er die E-Mail-Adressen von Freunden und Bekannten eingeben soll, um diese zur Teilnahme zu bewegen. Tut er das, ohne diese vorher telefonisch gefragt zu haben, klärt ihn IRBI darüber auf, dass er personenbezogene Daten an Dritte weitergegeben und damit gegen den Datenschutz verstoßen hat.
Ein anderes Szenario konfrontiert den Nutzer mit einer Website für kostenlose Probeartikel - und viel Kleingedrucktem. Klickt sich der Nutzer hier zügig durch, hat er ganz flott seine Daten für einen Abovertrag übermittelt, der nach 30 Tagen in Kraft tritt. Die Nutzer können die Szenarien kostenlos testen und beliebig oft wiederholen.
Lernen und trainieren
Ziel von IRBI sei es, Nutzer für Gefahrensituationen so zu trainieren, dass sie spontan richtig entscheiden. Werner Degenhardt, Psychologe an der Fakultät für Psychologie und Pädagogik der Ludwig-Maximilians-Universität München (LMU), war an der Entwicklung maßgeblich beteiligt. Ausgangspunkt war Degenhardts Beobachtung, dass "ein gut trainierter Inhaber des Europäischen Computerführerscheins immer wieder das Kreuz an der richtigen Stelle macht und dafür eine Eins bekommt." Das habe aber fast gar nichts damit zu tun, wie sich ein Nutzer am Computer in einer Situation verhalte, die er nicht trainiert habe, so Degenhardt. "Das ist totes Wissen."
Ein Student konnte in seiner Abschlussarbeit bereits zeigen, dass das Sicherheitsverhalten mit dem IRBI "erheblich verbessert" werden kann, da die Plattform wie eine Lernumgebung funktioniert, die "träges Wissen verhindert". IRBI basiert auf der "Critical Incident Technique", die erstmals in der zivilen Luftfahrt nach dem Zweiten Weltkrieg eingesetzt wurde, um Piloten auszubilden. Inzwischen ist die Methode weit verbreitet, um Qualifikationsanforderungen zu identifizieren und Empfehlungen für effiziente Verhaltenspraxis zu entwickeln.
"Wunderbar einfache Verhaltensregeln"
Derzeit sind rund 10.000 IRBI-User registriert. Köhler hofft, dass nun Unternehmen die Plattform für Trainingszwecke nutzen. "Man kann den Nutzern wunderbar einfache Verhaltensregeln in einer Folge von Szenarien beibringen", meint Degenhardt. "Etwa damit sie in der kommenden Urlaubszeit nicht vergessen, auf ihrem Rechner die Urlaubsregeln in der richtigen Weise einzustellen."
Die neue IRBI-Version enthält 30 Situationen. Anders als die erste Version steht sie nicht nur in einer Silverlight-Version, sondern auch in einer ohne weiteren Installationsaufwand nutzbaren HTML-Fassung zur Verfügung. "Mit dieser Version haben wir das gesamte konstruktive Spektrum an Feedback zur ersten Version umgesetzt", so Köhler. Die IRBI-Plattform stehe in einer Download-Version auch Unternehmen offen, die damit ihre eigenen Szenarien entwickeln können.
Probleme mit dem Urheberrecht
Die LMU München ist an dem Projekt nicht mehr beteiligt. Für die erste Version hatten die Wissenschaftler die Fälle noch über Fokusgruppen und Fragebögen erhoben. Szenarien, die Anwendungen von Unternehmen wie etwa Google zeigen, sind allerdings rechtlich anfechtbar. Daher wurden auf Anraten der Rechtsabteilung von Microsoft und zum Leidwesen der Wissenschaftler im weiteren Verlauf nur noch verfremdete Szenarien verwendet, die keinen Rückschluss auf konkrete Anwendungen mehr zuließen.
Unternehmen können jedoch den IRBI mit eigenen "echten" Szenarien für den internen Gebrauch unbedenklich nutzen. Die Münchner Psychologen werden die aktuelle Version im kommenden Jahr daher verwenden, um die Nutzer eines großen Wissenschaftsnetzwerks mit dem IRBI zu testen - und diese Ergebnisse für eine neue Studie auszuwerten.
(Christiane Schulzki-Haddouti)