Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Usable Security by Design
Security by Design genau wie Privacy by Design bedeutet, dass Sicherheit bzw. Privatsphärenschutz im Softwareentwicklungsprozess berücksichtigt werden. Dazu zählt, dass Sicherheitsanforderungen und Sicherheitsmodelle explizite Anforderungen sind und von Beginn an mitbetrachtet werden sowie erste Konzepte bis hin zum fertigen System evaluiert werden. Der frühere Ansatz, sich nur auf die Funktionalität zu konzentrieren und dann zu hoffen, dass Sicherheitsexperten am Ende „mal eben die notwendige Sicherheit integrieren“, hat mit zunehmender Komplexität der Systeme zu einer rasant steigenden Zahl an technischen Schwachstellen geführt.
Entsprechend sind sich Experten einig, dass Security by Design unabdingbar ist. Aber reicht das, um Systeme zu entwickeln, die auch in der Praxis einen effektiven Schutz bieten?
Was ist, wenn das primäre Interesse bei der Softwareentwicklung rein auf der Sicherheit liegt, d.h. die technische Abwehr von Angriffen und Aspekte der Bedienbarkeit und Verständlichkeit nur zweitrangig oder gar nicht beachtet werden? … Naja, die entsprechenden Lösungen bieten zwar einen theoretischen Schutz, allerdings dienen sie nicht dazu, dass Benutzer sich gegen Angriffe effektiv schützen können, da beispielsweise Warnungen weggeklickt werden – ohne diese gelesen bzw. falls gelesen, ohne die Konsequenzen verstanden zu haben.
Genau wie die nachträgliche Integration von Sicherheitsmechanismen schwierig ist, so ist es für Experten nicht möglich, am Ende des Entwicklungsprozesses, „mal eben das Interface benutzbar zu machen“ ohne die darunterliegenden Konzepte zu verändern. Dies gilt insbesondere, weil Sicherheit so gut wie nie das primäre Ziel des Endanwenders ist, sondern immer die Nutzung der Funktionalität des Systems. Daher ist es wichtig, einen Usable Security by Design – oder auch Human Centered Security by Design genannten – Ansatz zu verfolgen.
Was bedeutet dies für den Softwareentwicklungsprozess?
Vereinfacht gesagt: Neben den technischen Sicherheitsanforderungen und Sicherheitsmodellen werden in diesem Paradigma zusätzliche Anforderungen auf Basis der mentalen Modelle der Endanwender im Kontext von Sicherheit und den relevanten Fähigkeiten der Nutzer identifiziert. Das zu entwickelnde System wird nicht nur permanent Sicherheitsanalysen unterzogen, sondern auch Benutzbarkeitsuntersuchungen. Außerdem sind einige Design Prinzipien zu beachten: So soll die Anzahl der Interaktionen, bei denen der Endanwender sicherheitsbezogene Entscheidungen trifft, minimiert werden und bei den verbleibenden Interaktionen sollen diese auf die Mentalen Modelle der Endanwender abgestimmt werden.
In dem vom Bundesministerium der Justiz und für Verbraucherschutz geförderten Forschungsprojekt InUse haben die Projektbeteiligten diesen Usable Security by Design Ansatz angewendet, um Anwender beim Surfen im Internet zu unterstützen, nicht vertrauenswürdige Dienste zu erkennen. In dem Projekt sind eine Reihe von Konzepten und ein Firefox Add-On entstanden, welches beim Surfen im Internet hilft, sensible Daten wie Passwörter und Zahlungsdaten sowie die eigene Privatsphäre einfach zu schützen. Hierzu werden u.a. Eingabefelder auf unsicheren oder nicht optimal geschützten Webseiten markiert und verständlich auf mögliche Konsequenzen hingewiesen. Das Add-On sowie weitere Informationen werden auf der Webseite https://www.secuso.org/passsec bereitgestellt.
Bildquelle: © tashka2000 /Fotolia.com
Prof. Dr. Melanie Volkamer, TU Darmstadt

Prof. Melanie Volkamer ist Juniorprofessorin in der Informatik an der Technischen Universität Darmstadt. Sie leitet seit 2011 das Fachgebiet Security-Usability&Society (SecUSo) sowie das Usable Security Lab des Centers for Advanced Security Research (CASED). Sie hat an der Universität Koblenz promoviert und hat das InUse Projekt geleitet in dessen Kontext das PassSec+ Firefox Add-On entstanden ist. Sie wird im Juli gemeinsam mit Prof. Andreas Heinemann von der Hochschule Darmstadt einen CAST Workshop zu dem Thema organisieren: Usable Security Day.

Neueste Kommentare