Browser-Hersteller versuchen die Nutzer zu schützen, doch unsere Gehirne sind so veranlagt, dass wir die meisten Warnmeldungen schlicht ignorieren. Wir verlassen uns zwar immer stärker auf unsere Computer, wenn diese uns jedoch auf Online-Sicherheitsbedrohungen hinweisen, verschließen wir die Augen. Google musste gerade die Warnhinweise des Chrome-Browsers überarbeiten, da die meisten Nutzer diese schlicht ignorieren. Besonders beunruhigend ist daran allerdings, dass unsere Gehirne veranlagt zu sein scheinen, dies zu tun. Aber reicht es, die Warnungen zu überarbeiten, oder sollte der Nutzer gar völlig aus dem Entscheidungsprozess ausgeklammert werden?

Wie einfach ist zu einfach?

Gerade hat man etwas bei einem neuentdeckten Online Shop gekauft und will schnell per PayPal bezahlen. Bei der Weiterleitung erscheint ein Warnhinweis, dass die Seite nicht sicher ist. Aber es ist doch PayPal, wieso sollte die Seite nicht echt sein? Wenn Chrome und alle anderen Browser eine Website besuchen, überprüfen sie deren Identitätsnachweis, das sogenannte SSL-Zertifikat. Diese Zertifikate werden von Certificate-Authorities ausgestellt, die einen Hintergrund-Check der entsprechenden Website durchführt, bevor das Zertifikat ausgestellt wird. Die Zertifikate dienen dem Browser dazu offizielle Seiten von gefälschten zu unterscheiden – also ob man auf der richtigen PayPal-Seite, oder auf einer gefälschten Seite von Betrügern gelandet ist. Stimmt etwas mit dem Zertifikat nicht, zeigt der Browser eine Warnung an. Leider befolgen weniger als ein Viertel aller Chrome-Nutzer die Warnhinweise, wie das Entwicklerteam von Google kürzlich herausgefunden hat.

Warum ist es so schwer für den Nutzer, sich an die simplen Sicherheits- und Privatsphäre-Meldungen zu halten? Vielleicht, weil diese gar nicht so simpel sind, wie sie für Fachleute erscheinen. Denn in den meisten Fällen beschreiben die Warnmeldungen, was das Problem ist, nicht aber, was die daraus möglicherweise entstehenden Konsequenzen sein können. Wahrscheinlich wissen die wenigsten Nutzer was es bedeutet, wenn der Browser einem mit teilt, dass das SSL-Zertifikat für die angesteuerte Website abgelaufen ist. Die wenigsten wissen sogar, was ein SSL-Zertifikat ist. Effektivere Warnmeldungen würden also darauf hinweisen, dass die Bankdaten des Nutzers gestohlen werden können, wenn er auf der gewünschten Seite weitersurft. Lujo Bauer vom Cylab Security Research Centre an der Carnegie Mellon University hat aus diesem Grund Richtlinien für die Erstellung von Warnhinweisen erstellt, die demnach das Risiko umfassend beschreiben und präzise sein sollen, und zudem ausführlich auf die Optionen eingehen sollen, wie man weiter fortfahren kann. Das Google-Team ist zu ähnlichen Ergebnissen gekommen und hat zunächst die technischen Begriffe gestrichen und den Text stark vereinfacht, auch wenn dies zu Lasten der Details geht. Außerdem hat das Team Illustrationen eingefügt und verschiedene Hintergrundfarben zur Verdeutlichung der verschiedenen Risikostufen eingesetzt.

Nutzern die Wahl lassen?

Das wohl wichtigste, vom Google-Team eingeführte Element ist das sogenannte „Opinionated Design“. Im Klartext wird der Nutzer nicht neutral über die Auswahlmöglichkeiten aufgeklärt, sondern sehr stark in die Richtung der sicheren Entscheidung gedrängt, indem z.B. der entsprechende Button größer gestaltet wird, oder die unsichere Alternative hinter mehreren Bildschirmen versteckt wird. Dies ist besonders wichtig, denn der Nutzer erstellt im Falle einer Warnmeldung umgehend eine Kosten-Nutzen-Rechnung. Die Kosten für die Beachtung der Warnung sind hoch, da sie uns vom Ziel abhält – vielleicht eine Rechnung zu bezahlen, oder ein Status-Update zu posten. Der unmittelbare Nutzen ist gering und sehr abstrakt, weshalb der Nutzer den unmittelbaren Nutzen bevorzugt, wenn die Konsequenzen nicht unmittelbar abzusehen sind. Diese Meinungssteuerung hat zwar in Tests des Chrome-Teams eine deutliche Verbesserung gebracht, allerdings haben sich immer noch 40 Prozent gegen die Warnung entschieden und der Grund dafür scheint tief in uns verankert.

In Tests an der Utah Brigham Young University hat Anthony Vance herausgefunden, dass der Teil des menschlichen Gehirns, der visuelle Reize verarbeitet, schlicht aufhört Warnungen zu analysieren, nachdem sie mehr als einmal gesehen wurden – nachdem der Warnung das erste Mal Aufmerksamkeit gewidmet wird, verlässt sich das Gehirn danach auf die Erinnerung und reagiert entsprechend deutlich weniger. Aus diesem Grund empfiehlt Vance genau das Gegenteil der Design-Richtlinien von Bauer, die Warnmeldungen nämlich nicht extrem zu vereinfachen, sondern sie möglichst inkonsistent zu gestalten. Wechselnde Farben, zufällig hinzugefügte Bilder und Animationen sollen das Gehirn vor dem Gewöhnungseffekt schützen. Andere Fachleute empfehlen sogar den Nutzer komplett aus dem Entscheidungsprozess auszuklammern und ihn automatisierter Software zu überlassen. Allerdings ist dies nicht umsetzbar, da immer wieder Entscheidungen vom Nutzer getroffen werden müssen. Außerdem sollten die Browser-Hersteller hier vorsichtig sein, denn es besteht immer auch die Möglichkeit, dass ein Experte aus gutem Grund die Warnung ignorieren will. Erlaubt ein Browser ihm dies nicht, wechselt er ganz einfach zu der Konkurrenz. Doch das Problem geht weit über den Browser hinaus, und betrifft letztendlich nahezu jede Warnmeldung, die der Computer dem Nutzer präsentiert – Anti-Viren-Programme, und Update-Meldungen des Betriebssystems sind davon genauso betroffen. Außerdem kommen noch Mobile-Devices wie Smartphones und Tablets hinzu. Hier werden die Entscheidungen zunehmend komplexer (wer achtet noch darauf, welche Berechtigungen eine App bei der Installation fordert und versteht die Forderungen auch noch?) und zudem machen die kleineren Bildschirme die Auseinandersetzung mit einer Warnung zunehmend schwerer. Es wird also Zeit, dass wir unser Gehirn zur Aufmerksamkeit zwingen.

---

Image (adapted) „Sicherheit“ by Pixelcreatures (CC0 Public Domain)

Artikel per E-Mail verschicken
Schlagwörter: Browser, Datenschutz, Hinweise, Nutzerverhalten, SSL-Zertifikat, warnung, Zertifikate