Die voranschreitende Digitalisierung lässt den Kreis potentieller Nutzer kontinuierlich wachsen. Damit müssen IT-Sicherheitslösungen auch bedienbar sein für Menschen ohne Affinität zur Technik. Hier sind interdisziplinäres Arbeiten und eine nutzerzentrierte Sichtweise auf die Cyber Security gefragt.
IT-Anwender setzen die ihnen zur Verfügung stehende Hard- und Software für die Erfüllung ihrer jeweiligen Aufgaben ein und verfolgen damit unterschiedlichste Ziele. So sind Computer ein Hilfsmittel der Kommunikation, der Interaktion und Koordination, sie dienen der Informationsbeschaffung und bilden die Basis für Geschäftsprozesse.
Aus Sicht eines Anwenders sind die Cyber Security und die damit verbundenen Ziele ¹) wie Vertraulichkeit, Integrität oder Verfügbarkeit kein primäres Ziel ihres Handelns, sondern nachgelagert. Oft fühlen sich die Anwender durch die IT-Sicherheitsziele und die damit verbundenen Maßnahmen bevormundet und bei ihrer täglichen Arbeit behindert. Bereits 1999 haben Adams und Sasse (1) im Kontext von Passwort-Richtlinien gefordert, den Nutzer nicht als „Feind“ zu betrachten, sondern als first line of defense eines Unternehmens.
Mit der weiter zunehmenden Digitalisierung aller Lebensbereiche ist es daher immens wichtig, den IT-Anwender ins Zentrum der Betrachtung zu stellen. Hier setzt das Forschungsfeld der „Benutzbaren Sicherheit“ (engl. usable security) an, das hier kurz vorgestellt werden soll. Im Anschluss wird anhand zweier Beispiele skizziert, wie eine nutzerzentrierte Betrachtung das Vertrauen in und damit die Akzeptanz von IT-Sicherheitsfunktionen stärkt. Mit Handlungsempfehlungen für die zukünftige Digitalisierung schließt dieser Beitrag.
Forschungsfeld „Benutzbare Sicherheit“
Saltzer und Schroeder (2) schreiben: „It is essential that the human interface be designed for ease of use, so that users routinely and automatically apply the protection mechanisms correctly” und haben damit erstmals die Bedeutung einfach benutzbarer IT-Systeme im Kontext von Sicherheitsmechanismen hervorgehoben.
Die Benutzbarkeit von IT-Systemen mit Sicherheitsfunktionen lässt sich verbessern, indem man den Nutzer in das Zentrum der Betrachtungen rückt und insbesondere seine Kenntnisse und Fähigkeiten zu verstehen sucht. Zurko und Simon (3) haben hierfür den Begriff User-Centered Security geprägt und schlagen u.a. vor, Usability-Tests früh bei der Neu- oder Weiterentwicklung von IT-Systemen mit Sicherheitsfunktionen durchzuführen. Nur so können spätere potentielle Bedienfehler, die ein Cyber Security-Risiko bedeuten, frühzeitig durch die angedachten zukünftigen Nutzer erkannt werden.
Neben dem Anwender rücken in letzter Zeit auch Systemadministratoren und Softwareentwickler ins Zentrum des Interesses der Forschung, da z. B. Usability-Probleme bei der Administration von Firewalls (4) oder der unsachgemäße Einsatz von Programmbibliotheken (5) ein Sicherheitsrisiko für IT-Anwendungen und damit letztendlich für Unternehmen darstellen.
Zwei Beispiele: Die eID-Funktion des deutschen Personalausweises und der Umgang mit Passwörtern
Der deutsche Personalausweis bietet mit der eID-Funktion die Möglichkeit für seinen Besitzer, sich gegenüber einem sogenannten Diensteanbieter auszuweisen ²). So ist es bspw. für einen Bürger möglich, online ein Führungszeugnis zu beantragen. Die Technik der eID-Funktion des Personalausweises ist im Vergleich zu anderen Verfahren sehr sicher gestaltet. So muss man einen Personalausweis besitzen und seine sogenannte eID-PIN kennen. Die eID-Funktion stellt also von jeher eine Zwei-Faktor-Authentisierung (bestehend aus Wissen und Besitz) dar. Darüber hinaus dürfen nur berechtigte Diensteanbieter die für den jeweiligen Anwendungsfall notwendigen personenbezogenen Daten aus dem Personalausweis auslesen.
Für die erfolgreiche Nutzung der eID-Funktion müssen jedoch eine Reihe von Voraussetzungen gegeben sein: Die eID-Funktion muss aktiviert sein, der Bürger muss seine eID-PIN gesetzt haben und kennen, auf dem Rechner muss eine spezielle Softwarekomponente (heute die AusweisApp2) eingerichtet sein und der Nutzer benötig einen Kartenleser ³), damit die Daten überhaupt ausgelesen werden können. Es handelt sich somit um ein recht komplexes Setting für den digitalen Identitätsnachweis über das Internet. Herausfordernd kommt hinzu, dass potentiell alle Bürger, also auch Personengruppen ohne tieferes Verständnis von Technik und Cyber Security, die eID-Funktion nutzen möchten.
Vor diesem Hintergrund und bekannter Usability-Schwächen der ersten AusweisApp hat das Bundesministerium des Innern (BMI) die Neuentwicklung der AusweisApp in Auftrag gegeben. In diesem Zuge sollte insbesondere die Benutzbarkeit verbessert werden. Es hat sich gezeigt (Details siehe (6)), dass es zuträglich ist, frühzeitig den Anwender zu betrachten und entwicklungsbegleitend Usability-Tests durchzuführen. So fiel auf, dass Nutzer des macOS-Betriebssystems i. d. R. nicht damit vertraut sind, Gerätetreiber für Kartenleser eigenhändig zu installieren und bereits Probleme hatten, den Kartenleser in Betrieb zu nehmen, während Nutzer des Windows-Betriebssystems dies nicht als Herausforderung wahrnahmen. Weiter wurden in Anlehnung an die von Patrick et al. (7) formulierten Richtlinien zur Steigerung des Vertrauens des Nutzers in ein technisches System nicht nur die AusweisApp2 selbst, sondern auch alle weiteren offiziellen Informationsquellen und Kanäle betrachtet und verbessert. So werden heute bspw. anhand von mehreren Erklärvideos dem Bürger die eID-Funktion nähergebracht und es wird auf einheitliche Sprache und einheitliches Design zwischen Webauftritt und AusweisApp2 geachtet.
Erwähnenswert ist an dieser Stelle aber auch, dass eine sicherheitstechnische Spezifikation sich unter Umständen auf die Gestaltung der Nutzerschnittstelle auswirken kann. So kennt die eID-Funktion eine fünfstellige Transport-PIN und eine sechsstellige eID-PIN. Diese unterschiedliche Länge der PINs macht es für den User-Interface Entwickler herausfordernd, den Nutzer auf Fehleingaben hinzuweisen. Dies zeigt, wie wichtig es ist, UI-Entwickler so frühzeitig wie möglich in Softwareentwicklungsprozesse einzubinden.
Als zweites Beispiel sei in Kürze der oft durch IT-Systeme erzwungene periodische Wechsel von Passwörtern genannt, obwohl dieser i.d.R. nicht zur Wahl von stärkeren Passwörtern führt. Dieser Ansatz wurde verfolgt, ohne zu wissen, wie Anwender mit ihren Passwörtern umgehen und führte häufig dazu, dass Anwender ihre Passwörter nur leicht variieren. Diese Empfehlung seitens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wurde kürzlich aufgegeben (8) und sollte auch in Unternehmen abgeschafft werden. Vielmehr sollten die Anwender darin geschult werden, was ein sicheres Passwort ist und wie dieses leicht erzeugt werden kann.
Zusammenfassung
Mit der weiter voranschreitenden Digitalisierung wird auch der Kreis der potentiellen Nutzer zunehmen (z.B. ältere Menschen, Kinder) und es wird sich auch der Anwendungskontext erweitern (mobile Nutzer, limitierte Ein- und Ausgabemöglichkeiten, kleine Displays, Interaktion mittels Sprache, …). Für die korrekte Bedienung sicherheitskritischer Funktionen ist es daher wichtig, den Nutzer mit seinen Bedürfnissen, Kenntnissen und Fähigkeiten zu verstehen und dies im Gestaltungs- und Entwicklungsprozess zu berücksichtigen. Dies erfordert interdisziplinäre Teams (u.a. Usability-Experten, Designer, Cyber Security-Experten, Entwickler, Domänenexperten) und eine frühe Einbindung zukünftiger Nutzer.
Darüber hinaus sollten IT-Entscheider und Manager bei der Weiterentwicklung ihrer IT-Landschaft die zukünftigen Systeme nicht nur hinsichtlich der Erfüllung von Cyber Security-Anforderungen nach Stand der Technik, sondern auch hinsichtlich der Benutzbarkeit durch die Anwender auswählen. Eine gute Usability sollte ein wesentliches Qualitätsmerkmal von Sicherheitssoftware sein.
¹) Die Cyber Security spricht hier genauer von Schutzzielen.
²) Eine Übersicht der Diensteanbieter findet sich unter https://www.ausweisapp.bund.de/online-ausweisen/anbieter/ (abgerufen am 16.03.2020)
³) Mittlerweile ist es auch möglich, ein geeignetes Smartphone als Kartenleser zu verwenden.
(1) A. Adams und M. A. Sasse, „Users Are Not the Enemy“, Commun. ACM, Bd. 42, Nr. 12, S. 40–46, Dez. 1999, doi: 10.1145/322796.322806.
(2) J. H. Saltzer und M. D. Schroeder, „The protection of information in computer systems“, Proceedings of the IEEE, Bd. 63, Nr. 9, S. 1278–1308, Sep. 1975, doi: 10.1109/PROC.1975.9939.
(3) M. E. Zurko und R. T. Simon, „User-centered Security“, in Proceedings of the 1996 Workshop on New Security Paradigms, New York, NY, USA, 1996, S. 27–33, doi: 10.1145/304851.304859.
(4) A. Voronkov, L. A. Martucci, und S. Lindskog, „System Administrators Prefer Command Line Interfaces, Don’t They? An Exploratory Study of Firewall Interfaces“, in SOUPS @ USENIX Security Symposium, 2019.
(5) Y. Acar u. a., „Comparing the Usability of Cryptographic APIs“, in 2017 IEEE Symposium on Security and Privacy (SP), 2017, S. 154–171, doi: 10.1109/SP.2017.52.
(6) J. Willomitzer, A. Heinemann, und M. Margraf, „Zur Benutzbarkeit der AusweisApp2“, in Mensch und Computer 2016 – Workshopband, Aachen, Germany, September 4-7, 2016, 2016, doi: 10.18420/muc2016-ws03-0002.
(7) A. S. Patrick, P. Briggs, und S. Marsh, „Designing systems that people will trust“, Security and Usability, Bd. 1, Nr. 1, S. 75–99, 2005.
(8) https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html (abgerufen am 16.03.2020)
Prof. Dr. Andreas Heinemann ist Professor für Computernetzwerke und IT-Sicherheit am Fachbereich Informatik der Hochschule Darmstadt. Internet: fbi.h-da.de/personen/andreas-heinemann, Telefon: 06151 163 84 82