Usable Security & Privacy

Usable Security & Privacy bezeichnet inter- und transdisziplinäre Methoden, um sicherheits- und privatheitsfördernde Maßnahmen so auszugestalten, dass deren Benutzer und Entwickler bei ihren sicherheits- bzw. datenschutzrelevanten Zielen und Vorhaben bestmöglich unterstützt werden.^[1]^[2]

Bedeutung Bearbeiten

„Wenn es nicht bedienbar ist, ist es auch nicht sicher.“

– Angela Sasse

Die Entwicklung gebrauchstauglicher Systeme wird im Rahmen des Usability-Engineering geleistet, so auch für bedienbare Sicherheit und Privacy. Dazu werden etablierte Methoden aus der Mensch-Computer-Interaktion adaptiert, um die Benutzbarkeit von Sicherheitstechnologien und Methoden zum Schutz der Privatsphäre zu evaluieren. Durch den Fokus auf den Menschen, sind empirische Ansätze ein großer Bestandteil der Forschung. Dies zielt gleichermaßen auf die Verbesserung existierender Systeme wie auf die Entwicklung neuer Konzepte.

Kernthematik der Usable Security & Privacy ist der bedienende Mensch im Kontext der Bedienung, Integration und Wartung von IT-Sicherheitssystemen. Dazu müssen wissenschaftliche Erkenntnisse aus der Informatik, Psychologie, Kognitionswissenschaft, Ergonomie, Soziologie, Design und dem Recht berücksichtigt werden.

Neben anderen Stakeholdergruppen ist Usable Security & Privacy insbesondere relevant für Nutzer von digitalen Produkten und Dienstleistungen sowie für deren Designer und Entwickler. Die Usable Security & Privacy orientiert sich dabei an gegebenen technischen Möglichkeiten und der Einhaltung definierter bzw. empirisch entstandener Standards und Styleguides. Die Usable Security & Privacy ist ein Teilgebiet der IT-Sicherheit, der Mensch-Computer-Interaktion sowie des Datenschutzes und ihr Ergebnis ist die Gebrauchstauglichkeit von IT-Sicherheitssystemen und Privatsphäremechanismen.

Konkurrierende Qualitätsbeziehungen Bearbeiten

Sicherheitsmaßnahmen haben häufig direkte und teils negative Auswirkungen auf die Bereiche Produktqualität, Nutzungsqualität, Prozessqualität und Strukturqualität. So verbessern regelmäßige Backups beispielsweise die Integrität und Verfügbarkeit von Daten – gleichzeitig stehen sie im Widerspruch zum Prinzip der Datenminimierung und erschweren die Umsetzung von Auskunfts-, Korrektur- und Löschrechten. Diese Beziehungen sind inhärent, wodurch es zu einem Spannungsfeld kommt, welches nicht vollständig aufgelöst werden kann. Eine domänen- und fallabhängige Abwägung aller Interessen ist daher notwendig. Patterns und Richtlinien zur Gestaltung helfen dabei, Sicherheitsmaßnahmen von Anfang an so zu gestalten, dass sie am Ende möglichst benutzerfreundlich sind.

Anwendungsbereiche Bearbeiten

Der Fokus Mensch bedeutet bei Usable Security & Privacy den Endnutzer, Entwickler und Administrator von Sicherheitslösungen und Konzepten. Die Bereiche von Usable Security & Privacy reichen dabei von Anwendungen über Mobile bis Cloud Computing.

Konferenzen Bearbeiten

Die wichtigste internationale Konferenzserie ist die Association for Computing Machinery (ACM) Konferenz Human Factors in Computing Systems (CHI). Daneben gibt eine Vielzahl von internationalen Konferenzen zur Mensch-Computer-Interaktion (MCI), welche häufig mit einem Bereich zu Usable Security & Privacy aufwarten sowie eigene Symposien wie das Symposium on Usable Privacy and Security (SOUPS) der USENIX Association.

Zudem bieten fast alle Konferenzen, welche ihren Schwerpunkt bei Themen der IT-Sicherheit und/oder auch der Informationssicherheit setzen, auch einen Teilbereich zur Usability von Security & Privacy.

Die nationale Tagung zum Thema Mensch-Computer-Interaktion Mensch & Computer wird von der Gesellschaft für Informatik (GI) sowie der German UPA jährlich organisiert und bietet im Rahmen dessen, Workshops sowie Vorträge zur Thematik Usable Security & Privacy an.

Arbeitsgruppen, Institute und Verbände Bearbeiten

Berufsverband der Deutschen Usability und User Experience Professionals (German UPA), Arbeitskreis Usable Security und Privacy^[3]
CyLab Usable Privacy and Security Laboratory (CUPS) der Carnegie Mellon University
Fraunhofer-Institut für Experimentelles Software-Engineering (IESE), Forschungsabteilung Security Engineering
Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE), Forschungsabteilung Usable Security & Privacy^[4]
Hochschule Bonn-Rhein-Sieg, Data and Application Security Group (DAS)^[5]
Karlsruher Institut für Technologie (KIT), Forschungsgruppe Security, Usability, Society (SECUSO)^[6]
Ruhr-Universität Bochum, Horst-Görtz-Institut für IT-Sicherheit, Lehrstuhl für Human-Centred Security^[7]
Ruhr-Universität Bochum, Horst-Görtz-Institut für IT-Sicherheit, Lehrstuhl für Developer Centered Security^[8]
TU Berlin, Usable Security & Privacy Gruppe^[9]
Universität Bonn, Arbeitsgruppe Usable Security and Privacy^[10]
Universität der Bundeswehr München, Forschungsgruppe Usable Security and Privacy^[11]
Universität Siegen, Lehrstuhl Wirtschaftsinformatik, insb. IT-Sicherheit und Datenschutz^[12]

Weblinks Bearbeiten

Einführungsvortrag von Angela Sasse zum Thema Usable Security and Privacy
Fachschrift des Arbeitskreises Usable Security & Privacy der German UPA [1]
Internationale Fachkonferenz Symposium on Usable Privacy and Security der USENIX Association

Einzelnachweise Bearbeiten

↑ Lipford, Heather Richter,: Usable security : history, themes, and challenges. San Rafael, California, ISBN 978-1-62705-530-7.
↑ M. A. Sasse, M. Smith, C. Herley, H. Lipford, K. Vaniea: Debunking Security-Usability Tradeoff Myths. In: IEEE Security Privacy. Band 14, Nr. 5, September 2016, ISSN 1558-4046, S. 33–39, doi:10.1109/MSP.2016.110 (ieee.org [abgerufen am 18. Januar 2021]).
↑ Arbeitskreis Usable Security & Privacy | German UPA. Abgerufen am 18. Januar 2021.
↑ USP | Usable Security and Privacy - Fraunhofer FKIE. Abgerufen am 18. Januar 2021.
↑ Data and Application Security Group: DAS - Data and Application Security Group. Abgerufen am 18. Januar 2021 (englisch).
↑ Autor: KIT - SECUSO Startseite. 12. Februar 2020, abgerufen am 18. Januar 2021 (deutsch).
↑ Human-Centred Security – Fakultät für Informatik – Ruhr-Universität Bochum. Abgerufen am 18. Januar 2021.
↑ Developer Centered Security – Fakultät für Informatik – Ruhr-Universität Bochum. Abgerufen am 4. November 2022 (deutsch).
↑ Institut für Softwaretechnik und Theoretische Informatik: Usable security and privacy. Abgerufen am 18. Januar 2021.
↑ Informatik 4: Usable Security And Privacy (deutsche Version). Abgerufen am 18. Januar 2021.
↑ Usable Security and Privacy. Abgerufen am 18. Januar 2021.
↑ Universität Siegen, Lehrstuhl Wirtschaftsinformatik, insb. IT-Sicherheit und Datenschutz. Abgerufen am 5. März 2021 (englisch).

[1] Lipford, Heather Richter,: Usable security : history, themes, and challenges. San Rafael, California, ISBN 978-1-62705-530-7.

[2] M. A. Sasse, M. Smith, C. Herley, H. Lipford, K. Vaniea: Debunking Security-Usability Tradeoff Myths. In: IEEE Security Privacy. Band 14, Nr. 5, September 2016, ISSN 1558-4046, S. 33–39, doi:10.1109/MSP.2016.110 (ieee.org [abgerufen am 18. Januar 2021]).

[3] Arbeitskreis Usable Security & Privacy | German UPA. Abgerufen am 18. Januar 2021.

[4] USP | Usable Security and Privacy - Fraunhofer FKIE. Abgerufen am 18. Januar 2021.

[5] Data and Application Security Group: DAS - Data and Application Security Group. Abgerufen am 18. Januar 2021 (englisch).

[6] Autor: KIT - SECUSO Startseite. 12. Februar 2020, abgerufen am 18. Januar 2021 (deutsch).

[7] Human-Centred Security – Fakultät für Informatik – Ruhr-Universität Bochum. Abgerufen am 18. Januar 2021.

[8] Developer Centered Security – Fakultät für Informatik – Ruhr-Universität Bochum. Abgerufen am 4. November 2022 (deutsch).

[9] Institut für Softwaretechnik und Theoretische Informatik: Usable security and privacy. Abgerufen am 18. Januar 2021.

[10] Informatik 4: Usable Security And Privacy (deutsche Version). Abgerufen am 18. Januar 2021.

[11] Usable Security and Privacy. Abgerufen am 18. Januar 2021.

[12] Universität Siegen, Lehrstuhl Wirtschaftsinformatik, insb. IT-Sicherheit und Datenschutz. Abgerufen am 5. März 2021 (englisch).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]