Datensicherheit (Security) und Gebrauchstauglichkeit (Usability) müssen keinen Widerspruch darstellen. Ganz im Gegenteil: Sicherheits- und Privatsphäremechanismen können nur dann einen effektiven Schutz bieten, wenn die Nutzer sowohl motiviert als auch fähig sind, diese zu nutzen. Am Fraunhofer IESE beschäftigen wir uns mit dem Forschungsfeld »Usable Security und Privacy«, welches die Themenfelder »Datensicherheit« und »Gebrauchstauglichkeit« in Einklang bringt.
Der Umgang mit unseren Daten hat sich durch die fortschreitende Entwicklung von Informations- und Kommunikationstechnologien verändert. Sensible und personenbezogene Daten werden stetig erhoben und verarbeitet. Kaum ein Produkt, eine Dienstleistung oder eine private wie berufliche Aktivität ist von der Verarbeitung solcher Daten ausgenommen. Dadurch enstehen neue Herausforderungen hinsichtlich dem adäquaten Schutz unserer Daten und Privatsphäre.
Eine Herausforderung ist, dass digitale Mechanismen zum Schutz sensibler Daten nur dann effektiv sind, wenn sie von den Anwendern möglichst intuitiv verstanden und mit geringem Aufwand richtig eingesetzt werden können. Ein klassisches Negativbeispiel ist die auch im Jahr 2019 noch fehlende Möglichkeit einer einfach zu verwendenden Ende-zu-Ende-E-Mail-Kommunikation für Privatanwender. Entsprechend findet diese quasi keine Verwendung. Auch viele Lösungen zum Schutz der Privatsphäre erreichen geltende Usability-Standards nicht. Zum Beispiel erfordern Sprachassistenten, wie Amazons Alexa, den Wechsel zu einem anderen Interface (nämlich zur App oder Webseite), um Privatsphäreeinstellungen vornehmen zu können. Somit wird Nutzern mit geringem technischen Verständnis oder eingeschränktem Sehvermögen der Zugang dazu erschwert.
Die Usability von sicherheits- bzw. privatheitsfördernden Verfahren ist somit eine Schlüsseleigenschaft, die die individuellen Anforderungen aller beteiligter Benutzergruppen sowohl in Entwicklungsprozessen als auch im produktiven Einsatz berücksichtigen müssen. »Usable Security« bezeichnet den inter- und transdisziplinären Ansatz, sicherheitsfördernde Verfahren für digitale Produkte und Dienstleistungen so auszugestalten, dass Benutzer bei ihren sicherheitsrelevanten Zielen und Vorhaben bestmöglich unterstützt werden. Hierdurch werden beispielsweise auch Laien und technikferne Anwender in die Lage versetzt, Sicherheitsmechanismen zu verwenden und deren Notwendigkeit zumindest grundlegend zu verstehen. »Usable Privacy« verfolgt äquivalente Ziele, fokussiert dabei auf Technologien zur Förderung der Privatheit in digitalen Systemen und Plattformen. Mehr Informationen und Lösungsansätze zum Thema finden Sie beim Arbeitskreis »Usable Security und Privacy« der German UPA in deren kostenlosen Fachschrift und Literaturempfehlungen.
Usable Security und Privacy ist für uns als Fraunhofer IESE ein wichtiges Forschungsthema. Zum einen entwickeln wir selbst Sicherheitslösungen, wie beispielsweise die MYDATA Control Technologies (kurz MYDATA). Verschiedene Anwendergruppen müssen bei MYDATA berücksichtigt werden – vom Entwickler, welcher MYDATA integriert, über den Administrator welcher die Sicherheitsrichtlinien mit MYDATA verwaltet, bis hin zum Endanwender, welcher von den Sicherheitsrichtlinien betroffen ist. Damit MYDATA Daten effektiv schützten kann, muss es für all diese Stakeholder benutzerfreundlich sein. Zum anderen forschen wir im Rahmen von »IND²UCE« in diversen Projekten rund um das Thema Usable Security und Privacy. Beispielsweise beschäftigen wir uns aktuell im BMBF-geförderten Projekt »TrUSD« damit, wie die Privatsphäre von Arbeitnehmern geschützt und die Selbstbestimmung über ihre Daten mittels eines Privacy-Dashboards gefördert werden kann. Das in den Forschungsprojekten gewonnene Wissen tragen wir in die Wirtschaft und teilen es mit der Community.
Wenn Sie Interesse an einem Austausch oder einer Zusammenarbeit zu dem Thema Usable Security und Privacy haben, freuen wir uns über ein direktes Gespräch, aber auch über Ihre Beteiligung am Workshop oder dem oben genannten Arbeitskreis.