7 Ansätze für mehr Usability, IT-Security und Privacy

/ apliki

Usability, IT-Security und PrivacyEine Einführung in den Brennpunkt von Usability, IT-Security und Privacy.

Die rasante Ausbreitung des Internets und das mit ihr einhergehende Datenwachstum rücken die Fragen zur IT-Security und Privacy in ein völlig neues Licht. Nicht umsonst versuchen Initiativen wie #wastun für die Folgen der wachsenden Datenflut zu sensibilisieren.

IT-Security und Privacy sind interdisziplinäre Themen, die auch mit der Usability zusammenhängen und sich auf die User Experience auswirken.

Was bedeutet Security?

Der gängigen Definition von Security entspricht ein Computer System, das

  • unautorisierten Zugang zu digitalen Informationen verhindert (Vertraulichkeit),
  • die Veränderung von Informationen im System ohne Autorisierung verhindert (Integrität) und
  • für den autorisierten Gebrauch verfügbar ist (Verfügbarkeit).

Was bedeutet Privacy?

Privacy meint im Kern den limitierten Zugang zu persönlichen Daten und die verfügbare Kontrolle darüber, wohin diese gehen.

Kurz gesagt, ist Security dringende Voraussetzung für Privacy. Im Umfeld der IT geht das natürlich nicht ohne Usability. Security muss gebrauchstauglich sein, damit jeder von uns seine digitale Privatsphäre schützen kann.

Ohne Frage ist der gemeinsame Themenbereich von Privacy, Security und Usability sehr komplex. Zufriedenstellende Lösungen existieren nur vereinzelt. Was sich jedoch abzeichnet, sind allgemeine Anforderungen an Usability, IT-Security und Privacy.

Diese Anforderungen möchte ich hier gern anhand der nachfolgenden Liste mit Ihnen diskutieren.

Sicherheitsfeatures müssen aufklären und nutzen

Wie Umfragen immer wieder zeigen, ist das mangelnde Bewusstsein für das Thema Privacy in der breiten Öffentlichkeit eine der größten Herausforderungen. Viele User wissen nicht, was ihre digitale Privacy Wert ist. Solange das so ist, werden sie auch nicht nach Sicherheitsfeatures fragen.

Den meisten von uns fällt es schwer sich vorzustellen, wozu die Technik bereits heute in der Lage ist. Aus diesem Grund versuchen User sogar Sicherheitsfeatures zu umgehen, um eigenständig den Bedienkomfort zu erhöhen. Krypto Handys, die „von deutschen Politikern offenbar kaum eingesetzt“ werden, sind ein prominentes Beispiel dafür.

Ein anderes Beispiel für das Umgehen von Sicherheitsfeatures ist die Lesebestätigung und Zustimmung zur AGB. Diese Zustimmungen bezeichnet tosdr.org als größte Lüge im Internet. Den unübersichtlichen AGB samt ihrer schwer verständlicher Juristensprache mangelt es an Usability. Die meisten AGB sind so gestaltet, als wären alle Regeln zur Gebrauchstauglichkeit ins Gegenteil verkehrt worden: Kleine Fondgrößen, unübersichtliche Gliederung, verklausulierte Sprache etc. Wer hierzu mehr erfahren möchte, dem empfehle ich, sich den Dokumentarfilm „Terms and Conditions May Apply“ anzugucken.

Ausgehend von dieser Situation fordern Kenner des Privacy, Security und Usability Bereiches, dass die Sicherheitsfeatures selbst zur Aufklärung beitragen. Sie müssen den Usern ihren Nutzen verdeutlichen.

Zu benutzerfreundlicher IT-Security und Privacy motivieren

Doch was haben Facebook und Co. davon? Schließlich leben viele Unternehmen von den Daten ihrer User. Wie Global Privacy Enforcement Network (GPEN) anhand von 1.211 Apps zeigte, greifen 31% der untersuchten Anwendungen auf Daten zu, die über ihre Funktionen hinaus gehen und damit nicht nötig sind.

Erstaunlicherweise bietet Apple iOS die Möglichkeit derartige Rechte nachträglich zu entziehen und Android nicht. Wenn Android wüsste, welchen Vorteil das für Apple mit sich bringt, würde sich das wohl ändern. Vermutlich aus einer solchen Logik heraus fordern Experten Anreize für Unternehmen zu schaffen, damit diese mehr in die Privacy ihrer Kunden und User investieren.

Doch auch die User müssen zur Privacy motiviert werden. Hier gibt es Vorschläge wie einen Mindest-Sicherheitsstandard, der nur den Geräten Internetzugang verschafft, die diesen einhalten.

Scheinbar muss unsere Gesellschaft noch motiviert werden, auf die Privacy zu achten. Beiträge wie das Video „Überwachungsstaat – Was ist das?“ versuchen für das Thema zu sensibilisieren.

Privacy ueberwachung

Gesetzte, die jeden User zum Alleinherrscher über seine Daten macht

Erst wenn die Gesellschaft ausreichend sensibilisiert ist, haben Forderungen nach entsprechenden Gesetzen eine Chance. So wäre es wünschenswert, dass jeder User

  • selbst bestimmen kann, welche eigenen Daten auch von anderen oder gar Dritten genutzt werden dürfen
  • einst freigegebene Daten einfach wieder privatisieren kann.

Sichere Produkte dienen spezialisierten Zwecken

Natürlich ist auch immer die Frage, wobei User Privacy wünschen. Menschen wollen weder alles privat halten noch alles öffentlich machen. Vielmehr ist zwischen

  • privaten Anwendungsfälle (z.B. Banküberweisungen),
  • Aktionen, bei denen es um Aufmerksamkeit in der Öffentlichkeit geht (z.B. Content teilen per Twitter) und
  • dem Graubereich dazwischen zu unterscheiden.

Im Graubereich gibt es Informationen, welche

  • von den Einen privat gehalten, aber von den Anderen geteilt werden. z.B. Familienbilder auf der eigenen Webseite
  • von den Einen unter dem eigenen Namen und von Anderen anonym geteilt werden. z.B. Meinungen und Informationen im Social Media Bereich

Diese Differenzierung der Vorlieben spielt dem Grundgedanken des Usability Engineerings in die Hände. Hohe Usability ist – auch im Umfeld der IT-Security – am einfachsten für eine Software oder ein Gerät mit einem bestimmten Verwendungszweck zu erreichen. Für alles andere muss das System schwer oder besser gar nicht nutzbar sein.

Sichere Produkte dienen autorisierten Usern

In diesem Zusammenhang ist der Vollständigkeit wegen noch eine der ältesten Anforderungen zur Privacy zu nennen: Sichere Systeme für bestimmte Anwendungszwecke dürfen nur autorisierten Usern zur Verfügung stehen.

Wie die Autorisierung erfolgt, ist abhängig von der angestrebten Sicherheitsstufe. Im einfachsten Fall reicht eine Anmeldung evtl. mit Prüfung der E-Mail Adresse. Im sichersten Fall ist eine Prüfung der User-Identität und eine Freigabe durch eine legitimierte Person nötig. Ein Beispiel für den letzten Fall ist das Postident Verfahren.

Social Security

Autorisierung der User (Empfänger) ist jedoch nur die eine Seite der Medaille. Auf der anderen Seite stehen die Kommunikationspartner (Sender). Das kann ein Service wie ein Online-Shop aber auch ein anderer User wie bei E-Mails sein.

Ohne das Vertrauen der Empfänger bleiben die Sender einsam. Allein der Empfänger entscheidet, wem er vertraut, welche Daten er weiter gibt und wer für sie verantwortlich ist. Das bringt Butler Lampson mit „All trust is local“ sehr schön auf den Punkt.

Aus dieser Sicht folgert er, dass ein Ökosystem nötig ist, in dem die Sender einfach haftbar gemacht werden können und Empfänger dies auch fordern können. Diese Anforderung ist mit Haustüren vergleichbar.

Die meisten Haustüren sind nicht wirklich dafür gedacht, Einbrechern den Zugang zu versperren. Doch wer eine abgeschlossene Tür ohne legitimierten Auftrag aufbricht, begeht eine Straftat und haftet in der Regel dafür.

Metriken zur Bewertung der Sicherheit und Usability

In den vorhergehenden Anforderungen schwingt mit, dass Privacy Zeit kostet. Sei es das Lesen einer AGB, die Einstellung der Privatsphäre oder gar die Installation zusätzlicher Security-Tools. IT-Security ist im Sinne der Usability hingegen als Nebenaufgabe zu verstehen. Sie verhindert den Zugriff durch Fremde auf persönliche Daten, aber ist für die Erledigung der Hauptaufgabe nicht nötig.

Sicherheit muss die Usability jedoch nicht verschlechtern. Tweet: Sicherheit muss die Usability nicht verschlechtern Die Fragen sind lediglich,

  • wie stark der Aufwand für die User durch mehr Sicherheit steigt,
  • welchen zusätzlichen Aufwand User für mehr Sicherheit akzeptieren und
  • was User die Missachtung der Sicherheitsfeatures kosten kann.

Das Schloss einer herkömmlichen Tür ist beispielsweise allgemein als Sicherheitsfeature akzeptiert. Jeder von uns nimmt sich die Zeit ein Schloss zu benutzen, um schützenswerte Inhalte sicher zu verwahren. Unser Sicherheitsbedürfnis richtet unsere Aufmerksamkeit nicht nur auf die Aufgabe, sondern auch auf etwaige Folgen.

Was wir also besser verstehen müssen ist die Frage, welche Sicherheit die User zu welchem Preis erwarten oder akzeptieren. Die Antwort auf diese Frage liefert anwendernahe Forschung.

Erfüllen Sie die Anforderungen an Usability, Security und Privacy

Viele der hier genannten Anforderungen haben Sie oder Ihre Kollegen selbst in der Hand zu realisieren. Sie müssen nicht erst auf die Gesellschaft warten, um unsere Welt zu einem besseren Ort zu machen. Gestalten Sie die Welt für Social Good einfach mit!

 

Welche Anforderungen fehlen Ihnen zur Usability, Security und Privacy? Wir freuen uns auf Ihre Kommentare!

 

Quellen

Amber Case. Designing for Privacy in Mobile and Web. http://caseorganic.com/articles/2014/02/12/1/designing-for-privacy-in-mobile-and-web-apps-at-interaction-14-in-amsterdam Stand: 22.10.2014

Ergebnisse der Privacy Umfrage http://social-media-for-ir.tumblr.com/post/40004537720/paranoia-oder-gerechtfertigte-bedenken-ergebnisse-der Stand 22.10.2014

Toward Better Usability, Security, and Privacy of Informati on Technology: Report of a Workshop http://www.nap.edu/catalog.php?record_id=12998 Stand: 21.10.2014

Bitte verfassen Sie einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

Gravatar
WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Abbrechen

Verbinde mit %s