German UPA | Beitrag vom 15.02.2017 –
Usable Security & Privacy: Problemfelder und Herausforderungen
Interaktive Systeme und Technikprodukte müssen sowohl im privaten wie im geschäftlichen Umfeld mit Sicherheitselementen ausgestattet sein, die für alle Nutzergruppen verständlich und benutzbar sind. Der Arbeitskreis „Usable Security & Privacy“ des Berufsverbands der Deutschen Usability und User Experience Professionals (German UPA e.V.) hat untersucht, welche aktuellen Problemfelder und Herausforderungen es hierbei aus Sicht der Usability und UX Professionals gibt.(1) Wichtig aus Sicht der Usability/UX Professionals sind eine stärkere Sensibilisierung für Usability als Erfolgsfaktor von Security und Privacy, eine zuverlässige Bewertung gängiger Security-Verfahren im Hinblick auf ihre Gebrauchstauglichkeit, leicht anwendbare Entscheidungs- und Gestaltungshilfen sowie hoher anwendungsspezifischer Forschungsbedarf.
Stärkere Sensibilisierung: Sicherheit und Privatsphäre sind schützenswerte Güter. Trotzdem stoßen diese Themen bei vielen Unternehmen und privaten Nutzern auf geringes Interesse („Ich habe nichts zu verbergen“). Es müssen daher geeignete Veranstaltungsformate und Events, aber auch Informationsmechanismen auf Softwareebene gefunden werden, mit denen breitere Bevölkerungsschichten erreicht werden können, um das Thema der Usability von Security und Privacy stärker als Erfolgsfaktor von Schutzmaßnahmen in den Vordergrund zu rücken.
Zuverlässige Bewertung gängiger Security-Verfahren: Um den aktuellen Entwicklungszustand(State of the Art) zu ermitteln, müssen gängige Verfahren zur Gewährleistung von Security und Privacy hinsichtlich ihrer Usability bewertet werden. Dies bietet für Usability/UX Professionals die Möglichkeit, einzelne Lösungen oder Technologien miteinander zu vergleichen und selbst entwickelte Lösungen im Vergleich zu bewerten. Bewertungstemplates und Ratingverfahren können hierfür eine geeignete Grundlage darstellen und sollten wesentliche Bestandteile der Agenda sein.
Anwendbare Entscheidungs- und Gestaltungshilfen: Nutzer im geschäftlichen wie im privaten Umfeld benötigen Unterstützung, um ermitteln zu können, welche Anforderungen angemessen sind, welches Mindestmaß an Sicherheit und Privatsphäre im jeweiligen Kontext benötigt wird und welche Schutzmaßnahmen in einer bestimmten Situation ergriffen werden sollten. Geeignete Hilfestellung können hierbei Guidelines, Musterlösungen sowie weiterführende Informationen bieten, die in passender Form aufbereitet werden.
Anwendungsspezifischer Forschungsbedarf: Usability/UX Professionals benötigen Verfahren und Werkzeuge, mit denen sie ihre Lösungen gezielt unter dem Aspekt der Usable Security & Privacy gestalten und bewerten können. Daraus ergeben sich drei offene Forschungsstränge:
Erstens besteht Forschungsbedarf, inwiefern gängige Usability-Methoden im Bereich Usable Security & Privacy angewendet werden können oder für eine höchstmögliche Effektivität an den besonderen Kontext Security und Privacy angepasst werden sollten.
Zweitens müssen kontextspezifische Besonderheiten der Usability von Security und Privacy weiter erforscht werden. Die Bewertung der Benutzerfreundlichkeit und Sicherheit einer Lösung wird nicht zuletzt durch ihren jeweiligen konkreten Anwendungskontext beeinflusst. Zur Bewertung gehört daher neben usability- und securityspezifischen Design-Guidelines für das Frontend auch die Frage nach angemessener Systemarchitektur, mit der Zielsetzung, die Komplexität von Sicherheitsschnittstellen zu verringern und systeminitiierte Security-Events besser in die primäre Aufgabe des
Nutzers einzubetten.
Schließlich muss sichergestellt werden, dass insbesondere private Endanwender auch im Zeitalter der fortschreitenden Digitalisierung des Lebens bessere Kontrollmöglichkeiten haben und ihre Schutzziele wirkungsvoll durchsetzen können (z. B. beim Festlegen der Berechtigungen von Apps oder beim Umgang mit persönlichen Daten im Netz). Hierbei ist auch die Frage nach möglichen Grenzen der individuellen Regulierungsfähigkeit vor dem Hintergrund der wachsenden Anzahl verteilter Systeme zu berücksichtigen.
Paper zum Downloaden: Positionspapier
Kontakt: ak-usable-security-privacy@germanupa.de
Der Arbeitskreis „Usable Security & Privacy“ der German UPA bietet seit seiner Gründung im Jahr 2015 allen Interessierten aus Praxis und Wissenschaft ein gemeinsames Forum für den Gedankenaustausch und die interdisziplinäre Zusammenarbeit rund um das Thema benutzerfreundliche Informationssicherheit. Der Arbeitskreis beschäftigt sich mit Ansätzen und Konzepten, die sicherheits- und privatheitfördernde Verfahren für Software und interaktive Produkte stärker an den Zielen und Aufgaben der Nutzer ausrichten und die so dafür sorgen, dass Funktionsweisen von Sicherheitselementen auch für Nichtexperten verständlich sind.
(1) Die Untersuchung fand statt im Rahmen eines Workshops auf der Mensch und Computer 2016, der vom Arbeitskreis „Usable Security & Privacy“ der German UPA organisiert und durchgeführt wurde (UP-WS13: AK Usable Security & Privacy – Ziele, Themen, Ausblick am 5. September 2016, RWTH Aachen). DIE EINFACHMACHER AK Usable Security & Privacy 26.01.2017