Usable Security. Keine IT-Sicherheit ohne Benutzerfreundlichkeit. Digitale Transformation erfordert adäquaten Schutz

Transkript

1 Usable Security Keine IT-Sicherheit ohne Benutzerfreundlichkeit Software, Apps und vernetzte Technikprodukte müssen mit Sicherheitsfunktionen ausgestattet sein, die auch für Laien und Gelegenheitsnutzer verständlich und benutzbar sind. Ansonsten können sich diese Produkte im Umgang mit sensiblen Daten als Risiko entpuppen, wenn Sicherheitsmechanismen aufgrund mangelnder Usability von den Nutzern falsch oder überhaupt nicht bedient werden. Das Bundesministerium für Wirtschaft und Energie (BMWi) fördert das Forschungsprojekt USecureD Usable Security by Design, in dem erforscht wird, wie benutzerfreundliche Informationssicherheit erfolgreich umgesetzt werden kann. Von Hartmut Schmitt, Luigi Lo Iacono und Peter Leo Gorski Von der Logistik über die Produktion bis hin zur Dienstleistung die Digitalisierung aller Wirtschaftsbereiche schreitet stetig voran. Viele Unternehmen möchten von den Chancen der Wertschöpfung und den neuen Geschäftsmodellen profitieren, die durch die digitale Transformation und stärkere Vernetzung der Unternehmen möglich sind. Mit Trends wie Industrie 4.0, Internet der Dinge und Smart Factory geht auch eine Erzeugung riesiger Datenmengen einher, die großenteils online abgelegt und verarbeitet werden. Um die damit verbundenen Risiken zu minimieren, sind geeignete Sicherheitskonzepte auf Grundlage digitaler Schutzmechanismen erforderlich. Die Folge: Zum enormen Funktionsangebot von Software, technischen Produkten, Apps und Onlineservices gesellt sich eine ebenso große Anzahl von Sicherheitsfunktionen. Dadurch sehen sich Anwenderunternehmen konfrontiert mit Themen wie Passwortmanagement, Virenscannern, Malwareschutz, Firewalls, Kommunikations- und Datenverschlüsselung. Digitale Transformation erfordert adäquaten Schutz Damit der Schutz von Unternehmen effektiv funktioniert, müssen adäquate Sicherheitskonzepte entwickelt und in geeigneter Weise in Software, Endgeräten und Onlineservices umgesetzt werden. Die digitalen Schutzmechanismen müssen insbesondere so ausgestaltet sein, wie der Nutzer dies allgemein von gebrauchstauglichen interaktiven Systemen erwartet (und wie dies auch die ISO fordert), also so, dass der Nutzer seine Ziele in einem bestimmten Anwendungskontext effektiv, effizient und zufriedenstellend erreichen kann. 1 Das Problem hierbei ist: Bei der Nutzung von Software und interaktiven Produkten zählen Datenschutz und 1 Gorski, Peter Leo; Lo Iacono, Luigi; Schmitt, Hartmut (2015): Usable Security und Privacy by Design Teil 1: Benutzerzentrierte Entwicklung von Sicherheitsfunktionen. In: Entwickler Magazin 2015(6), S

2 Datensicherheit in der Regel nicht zu den primären Zielen des Nutzers. Wenn die implementierten Schutzmechanismen und Sicherheitsfunktionen jedoch zusätzliche Prozessschritte erfordern, wenn sie vom Nutzer als leistungsverringernd oder als Barriere empfunden werden, die beim Erledigen der eigentlichen Aufgabe im Wege steht, so besteht die Gefahr, dass diese Mechanismen bewusst oder unbewusst umgangen werden. Die Nichtbeachtung oder Umgehung eines Schutzmechanismus durch einen Einzelnen kann dann unter Umständen dafür verantwortlich sein, dass das gesamte Sicherheitskonzept eines Unternehmens zu Fall gebracht wird. Vor welch große Probleme die Verwendung von Sicherheitskomponenten viele Verbraucher stellt, macht der IT-Grundschutz-Katalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) deutlich: er unterscheidet allein zwischen 124 menschlichen Fehlhandlungen. 2 Viele dieser Fehlhandlungen rühren daher, dass die festgelegten Sicherheitsvorschriften und Sicherheitsmechanismen den Anwender kognitiv überfordern. Die Anwender eines Systems wurden daher lange Zeit zu Unrecht als schwächstes Glied in der Sicherheitskette betrachtet. Sie wurden nicht in die Konzeption und Entwicklung von Sicherheitskonzepten einbezogen, sondern eher als Sicherheitsrisiko behandelt, das kontrolliert werden muss. Das Ergebnis dieser traditionellen Sichtweise sind Sicherheitssysteme, deren Anforderungen von durchschnittlichen Nutzern nur schwer gänzlich erfüllt werden können. USecureD Usable Security by Design Projektpartner: HK Business Solutions GmbH, Sulzbach (Gesamtprojektleitung) Technische Hochschule Köln, Gruppe für Daten- und Anwendungssicherheit Ein oft angeführtes Beispiel und bis heute ungelöstes Problem ist die vertrauliche -Kommunikation: Bereits 1999 wurde in Usability-Tests festgestellt, dass die Mehrheit der Anwender nicht in der Lage ist, erfolgreich verschlüsselte s zu versenden. 3 In einer Studie, die jüngst vom USecureD- Projekt (siehe Kasten) durchgeführt wurde, wurde dies von den 118 teilnehmenden Unternehmen bestätigt: 70 % der Unternehmen sehen im Bereich Assoziierte Partner: TU Berlin, Quality and Usability Lab am Institut für Softwaretechnik und Theoretische Informatik Fraunhofer-Institut für Experimentelles Software Engineering IESE Bundesamt für Sicherheit in der Informationstechnik (BSI) saar.is saarland.innovation&standort e.v. Ha-Ra Umwelt- und Reinigungstechnik GmbH Bruno Zimmer e.k. Laufzeit: Mai 2015 April 2017 Mehr Informationen: Whitten, Alma; Tygar, J.D. (1999): Why Johnny Can t Encrypt. In: Proceedings of the 8th USENIX Security Symposium, S

3 -Sicherheit akuten Handlungsbedarf für Usable Security. 4 An diesem Beispiel kann nachvollzogen werden, wie sehr aus der Forschung noch verwertbare Erkenntnisse benötigt werden, wie groß aber auch der Bedarf ist, dass diese in praxistaugliche Lösungen umgesetzt werden. Nutzerzentriertes Security Engineering Digitale Schutzmechanismen können nur dann einen effektiven Schutz bieten, wenn sie von allen relevanten Nutzergruppen verstanden und dementsprechend benutzt werden. Bei der Entwicklung von Sicherheitslösungen bleiben der Anwendungskontext und die menschlichen Eigenschaften beziehungsweise Fähigkeiten der Nutzer jedoch oft unberücksichtigt. Dies liegt nicht zuletzt daran, dass Sicherheit und Usability oft als Qualitätseigenschaften betrachtet werden, die miteinander im Widerspruch stehen und nicht unter einen Hut zu bekommen sind. In der Tat bestehen teilweise Zielkonflikte zwischen den Qualitätseigenschaften Usability und Sicherheit: auf der einen Seite sollen Software und interaktive Produkte für den Nutzer möglichst einfach und intuitiv benutzbar sein, damit dieser seine Aufgabe effektiv und effizient bearbeiten kann; auf der anderen Seite sollen die erzeugten oder bearbeiteten Informationen und Daten möglichst sicher sein. Die Herausforderung in solchen Fällen muss darin bestehen, im betreffenden Anwendungskontext eine möglichst günstige Balance zwischen Benutzerfreundlichkeit und Sicherheit herzustellen, also den gewünschten Grad an Sicherheit zu erreichen, ohne dass die User Experience, das Nutzererlebnis, hierdurch beeinträchtigt wird. Um die Basis für eine systematische Entwicklung sicherer und benutzbarer interaktiver Produkte zu schaffen, müssen daher die Konzepte, Methoden und Werkzeuge verschiedener Software-Engineering-Disziplinen, insbesondere des Security Engineerings und des Usability Engineerings miteinander integriert werden. Modelle aus der Psychologie sind dabei ebenso zu berücksichtigen wie Ergebnisse aus den Forschungsbereichen der Mensch-Computer-Interaktion und des Designs. Der inter- und transdisziplinäre Ansatz, sicherheitsfördernde Verfahren für Software und interaktive Produkte so zu gestalten, dass Benutzer bei ihren sicherheitsrelevanten Zielen und Vorhaben bestmöglich unterstützt werden, wird seit einigen Jahren unter dem Schlagwort Usable Security diskutiert. Durch diesen Ansatz sollen auch Laien und technikferne Anwender in die Lage versetzt werden, Sicherheitselemente und deren Notwendigkeit zumindest grundlegend zu verstehen und diese in der dafür vorgesehenen Weise zu verwenden. Eine natürliche Grenze stellen in diesem Kontext die kognitiven Fähigkeiten des Nutzers dar. Ein bekanntes Beispiel aus der Usable-Security-Forschung macht dies deutlich: Zur Authentifizierung der Nutzer werden meist Passwörter eingesetzt, deren steigende Anzahl und Komplexität die kognitiven Fähigkeiten der Nutzer allerdings überfordern. Die Nichtberücksichtigung der kognitiven Fähigkeiten bzw. ihrer Grenzen hat jedoch einen negativen Effekt auf die 4 Lo Iacono, Luigi; Nguyen, Hoai Viet; Schmitt, Hartmut (2016): Usable Security Results from a Field Study. In: i-com Journal of Interactive Media 15(2), S

4 Motivation der Nutzer, wodurch es gerade bei der Verwendung von Passwörtern oft zu Fehlverhalten kommt: es werden zu einfache Passwörter gewählt, Passwörter werden mehrfach vergeben oder für andere sichtbar notiert. Zwar existieren vielversprechende Lösungsansätze, bei denen die Nutzer keine Passwörter eingeben müssen und bei denen der Authentifizierungsvorgang durch biometrische Merkmale oder anhand von Nutzungsprofilen erfolgt. Trotzdem werden nach wie vor meist Passwörter als Authentifizierungsverfahren verwendet, selbst bei Geräten mit Touchscreens, bei denen das Eintippen von Sonderzeichen dreimal länger dauert als bei Tastaturen. Ob und wie erfolgreich ein Nutzer Sicherheitsfunktionen von Software anwendet, ist neben den kognitiven Fähigkeiten von einer Vielzahl weiterer Faktoren abhängig. Entscheidend dafür, wie der Nutzer eine Sicherheitsfunktion und die mit ihr verbundenen Interaktionsprozesse wahrnimmt, sind z. B. das Vorwissen und die Erfahrungen des Nutzers, aber auch seine Motivation, die Sicherheitsfunktion zu nutzen. Diese Motivation ist oft bereits dadurch beeinträchtigt, dass der Nutzer für die Interaktion mit einer Sicherheitskomponente aus seiner Primäraufgabe herausgerissen wird. Neue Methoden und Werkzeuge für Usable Security Eine wichtige Grundlage für die Entwicklung benutzerfreundlicher und gleichzeitig sicherer IT- Systeme kann ein ganzheitliches Qualitätsverständnis bilden, in dem die Merkmale Usability und Security nicht mehr primär als konkurrierende oder gar unvereinbare Qualitätsmerkmale wahrgenommen werden. Einen Beitrag hierzu will das Qualitätsmodell (vgl. Abbildung) leisten, Abbildung 1: Qualitätsmodell des USecureD-Projekts

5 das im USecureD-Projekt entwickelt wurde. Dieses Qualitätsmodell umfasst drei Teilbereiche Gebrauchstauglichkeit, Sicherheit und Nutzungsqualität, die auf der ISO-Norm 25010, dem aktuell umfangreichsten Softwarequalitätsmodell, basieren. Diese Teilbereiche wurden um einzelne Teilmerkmale erweitert, die aus anderen Normen oder aus der Literatur übernommen wurden. Ziel bei der Entwicklung dieses Qualitätsmodells war es, sowohl Softwareentwicklern als auch Nutzern eine möglichst einfache, nachvollziehbare und vergleichbare Bewertung der Softwarequalität im Umfeld benutzerfreundlicher IT-Sicherheit zu ermöglichen. Es bedarf allerdings noch vieler weiterer Arbeitshilfen für Softwareentwickler, die dabei helfen, ein gutes Verständnis für gebrauchstaugliche IT-Sicherheit aufzubauen, und effiziente Unterstützung bei der Umsetzung bieten. Dies gilt umso mehr, da Usability und Sicherheit als nichtfunktionale Anforderungen in der Regel nicht im Fokus eines Entwicklungsprozesses stehen und oft erst am Ende des Prozesses Berücksichtigung finden. Fehler, die dann bereits gemacht wurden, führen unter Umständen dazu, dass die Nutzer überhaupt nicht mehr in der Lage sind, Sicherheitsfunktionen korrekt anzuwenden. Eine Unterstützung für Entwickler kommt daher idealerweise bereits in frühen Systementwicklungsphasen zum Tragen. Genau an dieser Stelle setzt das USecureD-Projekt an und stellt Methoden und Werkzeuge zur Verfügung, die bei der Konzeption von IT-Systemen, beim Treffen grundlegender Architekturentscheidungen und bei der Anfertigung erster Oberflächenentwürfe eingesetzt werden können. Zu derartigen Entwurfswerkzeugen in der Softwareentwicklung zählen u. a. Prinzipien, Richtlinien und Musterlösungen. Durch den Einsatz dieser Werkzeuge soll erreicht werden, dass viele Usabilityprobleme gar nicht erst zustande kommen, weil sowohl das Softwareprodukt als auch der zugrundeliegende Entwicklungsprozess von vornherein bestimmte Eigenschaften und Qualitätsattribute besitzen. Eine umfassende Analyse des aktuellen Stands der Technik hat gezeigt, dass es erhebliche Mängel in der bedarfsgerechten Ausgestaltung dieser Werkzeuge im Usable-Security-Kontext gibt. Daher wurde die Notwendigkeit festgestellt, eine umfassende, konsolidierte und deutschsprachige Quelle für Usable-Security-Prinzipien, -Richtlinien und -Patterns zu entwickeln und bereitzustellen, um diese in Herstellerunternehmen zur Anwendung bringen und etablieren zu können. Die USecureD-Werkzeuge sind so konzipiert worden, dass sie als Arbeitsgrundlage für Softwarearchitekten und -entwickler und zugleich auch als Kommunikationsbasis in Entwicklungsteams dienen können. Sie stehen heute in Form einer konsolidierten, frei zugänglichen Sammlung auf einer Online-Plattform zur Verfügung. Hierdurch haben interessierte Entwickler und Unternehmen die Möglichkeit, je nach Qualitätszielen oder technischen Aspekten, die bei ihnen im Vordergrund stehen, eine Auswahl aus den angebotenen Werkzeugen zu treffen und diese bei Bedarf individuell anzupassen. Wichtig aus Sicht des USecureD-Projekts ist zudem die Entwicklung und Bekanntmachung von Software mit Vorbildcharakter, damit sich auch auf Seiten der Nutzer ein gewisser Anspruch an Software mit dem Qualitätsmerkmal Usable Security etablieren kann.

6 USecureD Usable Security by Design Im Projekt USecureD Usable Security by Design werden Methoden und Werkzeuge entwickelt, die Softwarearchitekten und -programmierer bei der Entwicklung von betrieblichen Anwendungen mit dem Qualitätsmerkmal Usable Security unterstützen. Das Projekt stellt zudem Werkzeuge bereit, die es Anwendern ermöglichen, bei der Auswahl betrieblicher Software verstärkt auf das Qualitätsmerkmal Usable Security zu achten. Die Ergebnisse stehen auf der Projektwebsite kostenlos als Downloads beziehungsweise zur Anwendung zur Verfügung. Das Projekt USecureD (Förderkennzeichen: 01MU14002) ist Teil der Förderinitiative Einfach intuitiv Usability für den Mittelstand, die im Rahmen des Förderschwerpunkts Mittelstand- Digital Strategien zur digitalen Transformation der Unternehmensprozesse vom Bundesministerium für Wirtschaft und Energie (BMWi) gefördert wird. Der Förderschwerpunkt unterstützt gezielt kleine und mittlere Unternehmen (KMU) sowie das Handwerk bei digitalen Transformation sowie der Entwicklung und Nutzung moderner Informations- und Kommunikationstechnologien (IKT). Mittelstand-Digital setzt sich zusammen aus den Förderinitiativen Mittelstand 4.0 Digitale Produktions- und Arbeitsprozesse, estandards: Geschäftsprozesse standardisieren, Erfolg sichern und Einfach intuitiv Usability für den Mittelstand. Autoren Hartmut Schmitt arbeitet als Forschungskoordinator bei der HK Business Solutions GmbH. Er ist seit 2006 in Verbundvorhaben auf den Gebieten Mensch-Computer-Interaktion, Usability/User Experience und Software-Engineering tätig, u. a. als Projektkoordinator in mehreren BMBFgeförderten Verbundvorhaben. Aktuell leitet er das Projekt USecureD Usable Security by Design. Hartmut Schmitt ist Mitglied der Gesellschaft für Informatik und der German UPA, bei der er den Arbeitskreis Usable Security & Privacy leitet. Prof. Dr.-Ing. Luigi Lo Iacono (Technische Hochschule Köln) leitet die Gruppe für Datenund Anwendungssicherheit und forscht an den Themen Web-, Cloud- und Usable Security. Peter Leo Gorski ist wissenschaftlicher Mitarbeiter in der Gruppe für Datenund Anwendungssicherheit an der Technischen Hochschule Köln. Dort arbeitet er an wissenschaftlichen Problemstellungen der Bereiche Service Security und Usable Security. Sein Forschungsinteresse liegt insbesondere auf der gebrauchstauglichen Sicherheit im Kontext der Softwareentwicklung.