Usable Security und Privacy

Sicherheit darf kein Hindernis sein – Was ist „Usable Security & Privacy“?

In der Cyber Security gilt der Mensch als eine der größten Schwachstellen. Er ist aber gleichzeitig auch das höchste Gut, wenn es um Cybercrime-Prävention geht. IT-Sicherheit und Nutzerfreundlichkeit dürfen deshalb keine Gegensätze sein, sondern gehören zusammen. Der Begriff „Usable Security & Privacy“ etabliert sich dafür immer mehr und bezeichnet den Ansatz, bei der IT- und Informationssicherheit konsequent den Anwender ins Zentrum zu stellen.



Der Faktor Mensch in der IT- und Informationssicherheit

In der IT-Sicherheit herrscht gemeinhin der Tenor: Der Mensch ist das schwächste Glied in der Sicherheitskette. Damit ist gemeint, dass technische Systeme, wenn sie den Sicherheitsanforderungen entsprechen, nicht oder nur selten überwunden werden können. Menschen hingegen machen Fehler und ein falscher Klick oder die Wahl eines schwachen Passworts können ausreichen, um Cyberkriminellen Tür und Tor zu öffnen – seien die technischen Sicherheitsvorkehrungen noch so stark. Der aktuelle „Data Breach Investigations Report“ von Verizon ergab, dass rund 85 Prozent der erfolgreichen Cyberangriffe auf menschliche Fehler zurückzuführen sind.

Denn die Anwender sind eben meist keine IT- oder Sicherheitsexperten und vorhandene Sicherheitsfunktionen werden falsch oder gar nicht angewendet – meistens aus Unwissenheit. Cyberkriminelle machen sich das zunutze und unsichere Passwörter zählen nach wie vor zu den Top-Sicherheitslücken. Darüber hinaus werden perfide Methoden wie das Social Engineering angewendet, um menschliche Verhaltensweisen ganz gezielt zu manipulieren und auszunutzen. Um sensible Daten zu schützen, darf die IT- und Informationssicherheit für den Anwender kein Hindernis darstellen, sondern muss gebrauchstauglich in den Alltag und die Arbeitsabläufe integriert werden.



Was versteht man unter Usable Security & Privacy?

Usable Security & Privacy ist ein Begriff, der sich in den letzten Jahren landesweit immer mehr etabliert hat und sich genau diesem Problem widmet. Für eine ganzheitliche Sicherheit müssen Security-Lösungen anwenderfreundlich sein. Das bedeutet, dass Sicherheitsmaßnahmen sich so intuitiv in die Bedienung einfügen, dass sie vom Nutzer kaum noch wahrnehmbar sind. Das Ziel ist die Erhöhung der Sicherheit ohne eine Verschlechterung der Usability.

Im Grunde wird diese Zielsetzung mit zwei Lösungsansätzen verfolgt:

  1. Eine Verbesserung und Vereinfachung der Anwendung von sicherheitskritischen Systemen
  2. Die Automatisierung von Sicherheitsprozessen ohne Eingriff durch den Endnutzer

Es geht sozusagen um eine verbesserte Security mit und ohne den „Faktor Mensch“. Wenn der Mensch mit eingeplant wird, geht es primär um eine Verbesserung der Nutzeroberfläche für eine intuitive Anwendung, als auch um die Schulung der Nutzer für den richtigen Umgang damit. Um das zu erreichen, wird bei Usable Security & Privacy konsequent der Anwender ins Zentrum gestellt.



Der Mensch von Anfang an im Fokus

Der Ansatz von Usable Security & Privacy beruht darauf, dass diese „intuitiv anwendbare“ Sicherheit von Anfang an intelligent mit in die Anwendungen und Tools integriert wird – Das beinhaltet die Arbeit von Entwicklern und Designern ebenso wie von Usability und UX Professionals. Damit hat Usable Security & Privacy Berührungspunkte mit Fachbereichen wie „Security by Design“, wo es darum geht, Sicherheitsanforderungen an Soft- und Hardware direkt während der Entwicklung mit zu berücksichtigen.

„Security by Design“ nähert sich dem Thema allerdings eher von der technischen Seite, während es bei Usable Security & Privacy darum geht, den Menschen und seine Verhaltensweisen konsequent in den Fokus zu stellen. Die IT- und Informationssicherheit soll für Endnutzer, Entwickler und Administratoren so intuitiv wie nur möglich in den alltäglichen Gebrauch integriert werden. Sicherheit darf kein Hindernis sein, sondern als „natürlicher“ Bestandteil der Systeme funktionieren.



Usable Security & Privacy als interdisziplinärer Forschungsbereich

Rund um die Thematik der Usable Security & Privacy haben sich in den letzten Jahren zahlreiche Arbeitskreise und Forschungsgruppen gebildet und auch ein eigener Berufsverband der Deutschen Usability und User Experience Professionals (German UPA) wurde gegründet. An der Ruhr-Universität Bochum gibt es am Horst-Görtz-Institut für IT-Sicherheit einen eigenen Lehrstuhl für Human-Centered Security.

Somit ist die Thematik auch in unserem Master-Fernstudiengang „Applied IT Security“ (M.Sc.) vertreten, den wir gemeinsam mit der Ruhr-Universität Bochum anbieten. Der Kurs „Menschliches Verhalten in der IT-Sicherheit“ bildet einen Teilbereich der IT Security in Praxis und kann semesterweise auch einzeln als Online-Kurs gebucht werden (Start ist jeweils am 15.10. zum Wintersemester oder am 15.04. zum Sommersemester).

Bei dem Thema Usable Security & Privacy ist es wichtig, dass Forschung und berufliche Praxis zusammenkommen. Somit ist es ein interdisziplinärer Forschungsbereich, der mit anderen Bereichen wie dem bereits erwähnten Security by Design, oder auch mit Experten zum Social Engineering zusammenarbeitet, um Prinzipien und Guidelines für die praktische Anwendung zu erarbeiten.



Der Mensch als das höchste Gut für die Sicherheit

Die Aktualität und Relevanz des Themas ist nicht genug zu betonen. Für Unternehmen bedeutet das, dass sie für eine ganzheitliche IT Sicherheit ebenfalls den Menschen, also die Mitarbeiter in den Fokus rücken sollten. So kann die „Schwachstelle Mensch“ zum höchsten Gut für die IT- und Informationssicherheit des Unternehmens werden.

Neben dem Einsatz von den nach dem Usable Security & Privacy Ansatz entwickelten Anwendungen liegt der wichtigste Part für Unternehmen somit in der Weiterbildung und dem Wissenstransfer ihrer Mitarbeiter. Regelmäßige Schulungen bilden die wesentliche Grundlage dafür. Dabei gibt es zwei Ansätze:

  1. Konkrete Schulungen zu bestimmten relevanten Themenbereichen wie zum Beispiel „Social Engineering“, das wir als Inhouse Seminar auf Anfrage oder als Web-Seminar anbieten.
  2. Grundlegende, regelmäßige Awareness Schulungen, um Mitarbeiter, Abteilungen oder auch die ganze Belegschaft über die Thematik aufzuklären und zu sensibilisieren. Wir bieten beispielsweise ein Seminar zur Weiterbildung als „Cybersecurity Awareness Beauftragter“ an – vor Ort in Bochum, als Inhouse-Seminar oder als ortsunabhängiges Web-Seminar.




geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security