Foto: Ross Anderson
Über die Verlässlichkeit komplexer Systeme mit riesigen Nutzerzahlen wie zum Beispiel Facebook sprach der Informatiker Ross Anderson von der britischen Universität Cambridge auf der Tagung ETAPS (European Joint Conferences on Theory and Practice of Software) in Saarbrücken. Die laut Veranstalter größte europäische Konferenz für Software-Forschung drehte sich dieses Jahr um Sicherheit und Zuverlässigkeit von Software. CIO wollte von Anderson wissen, was seine Erkenntnisse für Unternehmen bedeuten, die soziale Netzwerke intern nutzen. Der Informatiker beantwortete die Frage indirekt - durch Einblicke in grundsätzliche Themen seiner Arbeit.
CIO.de: Eine Herausforderung beim Aufbau komplexer Systeme ist, wie Sie sagen, die große Zahl von Nutzern, die darin unkoordiniert handeln. Was heißt das für ein Unternehmen, das sein eigenes soziales Netzwerk für die Kommunikation der Mitarbeiter aufbaut?
Ross Anderson: Man muss da unterscheiden zwischen externen Systemen wie dem Internet oder einem Netzwerk, das auf den internen Gebrauch beschränkt ist. Die Leute in einem Unternehmen haben ein gemeinsames Ziel. Deshalb ist es innerhalb einer Firma nicht so schwierig, ein solches System aufzusetzen. Es sollte allerdings einen konkreten Grund dafür geben, warum man so ein System aufbaut. Erfolgreich sind solche Systeme meiner Vermutung nach dann, wenn auch die Management-Ebene mit ihnen arbeitet.
Regeln für Umgang mit verlorenen Bezahl-Handys
CIO.de: Sie sagen, in Systemen mit riesigen Nutzerzahlen muss man klare Regeln setzen. Wer im Zusammenhang mit firmeninterner Kommunikation über soziale Netzwerke mit Regeln daherkommt, macht sich keine Freunde. Wie löst man dieses Problem?
Anderson: Mein Appell für Regeln bezieht sich nicht konkret auf soziale Netzwerke. Ich habe ein anderes Szenario untersucht, ich nenne es das "Mobile Wallet Problem". Die nächste Generation von Mobiltelefonen wird NFC-Chips enthalten (Near Field Communication, ermöglicht berührungsloses Bezahlen, Anm. d. Red.). Im Jahr 2015 haben Sie dann Ihre drei Kreditkarten auf dem Telefon, Ihren Personalausweis, und vielleicht auch den Führerschein. Das ist praktisch, weil Sie dann nicht mehr Telefon, Geldbeutel und Ausweis getrennt mitnehmen. Aber wenn Ihr Mobiltelefon gestohlen wird?
Sie müssen ja alle Ihre Banken und so weiter benachrichtigen. Schon heute hat die Kommunikation wegen solcher Vorfälle riesige Ausmaße. In Großbritannien arbeiten 3,5 Prozent der Berufstätigen in Call Centern, mehr als eine Million Menschen. Telefongesellschaften sagen, jeder Anruf eines Kunden im Call Center koste etwa 20 US-Dollar. Statt dass Sie nach einem Verlust zehn Anrufe machen, sollte künftig also besser nur noch einer nötig sein. Dafür müssten aber die Banken zusammenarbeiten.
Psychologie liefert Erklärungsansätze für Cyber-Attacken
CIO.de: Banken, die eigentlich Wettbewerber sind. Wie kriegt man das hin?
Anderson: Das zu organisieren, ist sehr schwierig. Man muss Anreize schaffen, damit sie zusammenarbeiten. Letztlich soll es so sein, dass Sie nur eine Bank anrufen. Die gibt die Nachricht über den Diebstahl weiter, so dass auch die anderen Konten gesperrt werden.
CIO.de: Wie schafft man so einen Anreiz?
Anderson: Beim Bezahlen kleinerer Beträge, zum Beispiel an der Parkuhr, wollen Sie ja nicht jedes Mal wählen, welches Konto genutzt werden soll. Deshalb werden Sie künftig auf dem Mobiltelefon eine Standard-Kreditkarte einstellen, die Sie hauptsächlich nutzen. Die Bank, von der Sie diese Karte haben, hätte beim Diebstahl vermutlich am meisten zu verlieren - das wäre der Anreiz. Die Bank würde es akzeptieren, wenn die Regeln in diesem System vorsehen, dass sie dafür zuständig ist, die Sperrungen zu übernehmen.
CIO.de: Zu einem anderen Thema. Sie sagen, in die Betrachtung der Kommunikation zwischen Mensch und Computer sollte man psychologische Erkenntnisse einbeziehen. Warum?
Anderson: In den letzten 30 bis 40 Jahren hat die psychologische Forschung uns viele neue Einblicke verschafft in Dinge, die die Evolution uns Menschen mitgegeben hat. Solche Erkenntnisse helfen zum Beispiel, zu erklären, wie Betrugsfälle im Internet funktionieren. Ich denke da zum Beispiel an das bekannte Nigeria-419-Schema: Mails aus Nigeria, die einen auffordern, einen Geldtransfer abzuwickeln. Zuerst muss man dabei ja immer selbst eine Summe überweisen (Der Geldtransfer ins Ausland widerspricht Paragraph 419 des nigerianischen Strafgesetzes, daher die Bezeichnung für die Betrugsmasche, Anm. d. Red.). Dass Leute darauf hereinfallen, liegt in unserer Natur begründet. Solche Mechanismen zu kennen ist wichtig, um zu verstehen, wie Menschen sich auch im Umgang mit Computersystemen verhalten.
CIO.de: Vielen Dank für das Gespräch.