IT-Sicherheit, die sich dem Menschen anpasst

Useable Security: Einfach sicher

IT-Schutz funktioniert nur, wenn er sich am Menschen orientiert. Denn meist hat dieser weder Lust noch Zeit, sich durch die unverständlichen Informationen zu wühlen – und vertraut darauf, dass schon nichts passieren wird. Prof. Matthew Smith arbeitet mit seinem Team am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE daran, IT-Sicherheit benutzbarer zu machen.

Prof. Matthew Smith vom Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE © Fraunhofer FKIE

Prof. Matthew Smith vom Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE © Fraunhofer FKIE

van Ackeren: Prof. Smith, wie wollen Sie IT-Sicherheit einfacher gestalten?

Prof. Smith: Sicherheitstechnologien werden in der Praxis häufig fehlerhaft bedient oder gleich ganz umgangen. Ein Großteil der Sicherheitsforschung beschränkt sich auf die technologische Seite – wenn der Mensch Fehler bei der Anwendung macht, dann war der Mensch nicht gut genug. Wir verfolgen mit »Usable Security« den entgegengesetzten Ansatz: Macht der Mensch Fehler, war die Technologie nicht gut genug. Bei uns steht also der Mensch im Mittelpunkt.

van Ackeren: Wie gehen Sie dabei konkret vor?

Prof. Smith: Im ersten Schritt wollen wir herausfinden, wo die Probleme liegen. Dazu holen wir Menschen in unser Labor und beobachten sie dabei, wie sie die Technik bedienen. Welche Probleme haben die Nutzer damit? Diese Stolperfallen beheben wir und nehmen der Technologie ihre Komplexität. Auch Wünsche der Nutzer setzen wir um. In einem letzten Schritt testen wir unsere Entwicklung in einer weiteren Studie.

van Ackeren: Wie profitiert der Nutzer davon?

Prof. Smith: Nehmen wir zum Beispiel Apps auf dem Smartphone. Sie können zum Teil auf Adressbuch und Bilder zugreifen, den Aufenthaltsort des Geräts bestimmen und ähnliches. Üblicherweise haben die Nutzer nicht im Blick, welche Daten für die App freigeschaltet werden. Und wollen sie es doch herausfinden, sind die Informationen so komplex, dass sie schnell wieder aufgeben. Wir haben für Android ein System entwickelt, das den Nutzern konkrete Hinweise gibt – etwa »Diese App kann auf deine Bilder zugreifen und sie löschen«. Eine Studie zeigte: Nutzer, die unsere Technologie verwenden, installieren deutlich häufiger sichere Apps als eine Vergleichsgruppe, der diese Möglichkeit nicht zur Verfügung stand. Sprich: Die Anwender entwickeln ein besseres Gefühl dafür, welche Apps auf welche Daten zugreifen und können entsprechend reagieren. Zudem sinken die Risiken für eine Fehlbedienung.

van Ackeren: Woran forschen sie momentan?

Prof. Smith: Während die klassische »Usable Security«-Forschung den Anwender im Blick hat, konzentrieren wir uns seit einiger Zeit auf die Experten. Schließlich sind sie ja auch Menschen – und ihre Fehler sind deutlich gravierender als die der Nutzer. Dieser Ansatz trägt viele Früchte. Ein Beispiel: Entwickler schützen die Kommunikation ihrer Apps durch Verschlüsselung gegen Angriffe. Eine unser Studien hat gezeigt, dass dieser Schutz fast bei jeder fünften App fehlerhaft war: So könnte ein Angreifer Kreditkartennummern oder Bankdaten der Nutzer abgreifen. In einer Studie mit den IT-Spezialisten haben wir die Hintergründe der Fehlerquellen sowie Wünsche erfragt und eine entsprechende Lösung erarbeitet: Sie vereinfacht den Entwicklungsprozess deutlich, die gängigen Fehler treten nicht mehr auf. Google hat unseren Ansatz jetzt in Android-N integriert. Auch Studien mit Experten, die sich auf Schadsoftware konzentrieren, beweisen: Die Nutzbarkeit – sowohl für User als auch für Experten – ist ein unglaublich wichtiges Thema. »Usable Security« kann Vieles leisten, weil sie den Menschen als gleichwertigen Partner betrachtet.

Mehr zum Thema IT-Sicherheitsforschung und Cyber Security auf www.fraunhofer.de

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.