Eine Ursache für die ungebrochen hohe Zahl sicherheitsrelevanter Vorkommnisse lässt sich verstärkt in der unabsichtlichen oder auch vorsätzlichen Fehlbedienung von Sicherheitsmechanismen durch Benutzer erkennen (vgl. www.bsi.bund.de/ContentBSI/grundschutz/kataloge/g/g03/g03.html). Die Gründe hierfür sind vielschichtig und reichen vom Nichtwissen über das Vorhandensein von Sicherheitsmechanismen und ihrer Bedienung bis hin zur bewussten Umgehung, um die eigentlich verfolgten Aufgaben oder Ziele leichter zu erreichen.
Bewusstseinsbildende Maßnahmen alleine reichen hier nicht aus. Darüber hinaus muss die Gebrauchstauglichkeit der Sicherheitsfunktionen selbst gegeben sein, um effektive Sicherheitssysteme auch praktisch umsetzen zu können. Durch die Allgegenwärtigkeit internetbasierter Dienste und deren vermehrte Nutzung durch technisch naive Benutzer aller Altersklassen gewinnt gebrauchstaugliche Informationssicherheit zunehmend weiter an Bedeutung. Die Wirksamkeit technischer Umsetzungen von Sicherheits- und Datenschutzkonzepten steht und fällt folglich mit einer benutzerzentrierten Entwicklung, die weit über ausschließlich funktionale, technische, ökonomische und regulatorische Betrachtungen hinaus geht.
Unter dem Dualismus "Security and Privacy" versteht man in der Informations- und Kommunikationstechnik (IKT) Verfahren oder Mechanismen, die es gestatten, eine beherrschbare und verlässliche IKT aus Sicht der Benutzer zu betreiben, ohne dabei deren Privatsphäre auszuhöhlen [1].
"Usability" meint den Umfang, in welchem bestimmte Benutzer ein Produkt in einem bestimmten Nutzungskontext anwenden können, um bestimmte Ziele effektiv, effizient und zufriedenstellend zu erreichen (vgl. ISO 9241-11 "Ergonomic requirements for office work with visual display terminals (VDTs) – Part 11, Guidance on usability"). Das primäre Ziel eines Benutzers bei der Verwendung von IKT ist aber in der Regel nicht Sicherheit (s. a. [2]); somit scheint die Usability-Definition nicht ohne Weiteres mit der Informationssicherheit vereinbar zu sein. Umgekehrt folgt hieraus ein wesentlicher Gestaltungsgrundsatz von gebrauchstauglicher Informationssicherheit: nämlich nach Möglichkeit im Hintergrund zu bleiben und nur bei Bedarf zum Vorschein zu kommen.
Für "Usable Privacy" gilt dies in besonderem Maße: Damit der Benutzer gut informiert ist, bevor er beispielsweise einer Datenpreisgabe zustimmt, müssen ihm verschiedene Informationen zur Privacy-Policy oder zur Vertrauenswürdigkeit des Diensteanbieters angezeigt werden, das heißt es kann eben nicht alles im Hintergrund ablaufen. Diese Informationen in benutzerfreundlicher Weise zu präsentieren ist eine nicht zu unterschätzende Herausforderung.
"Usable Security and Privacy" bezeichnet letztlich den interdisziplinären Ansatz, sicherheitsfördernde und die Privatsphäre schützende Verfahren für IKT-Systeme so auszugestalten, dass Benutzer – so vielfältig wie sie sind – bei ihren Zielen und Vorhaben unterstützt und diese nicht – wie es derzeit noch überwiegend der Fall ist – erschwert oder gar vollends verhindert werden.
Auf dem Gebiet "Usable Security and Privacy" sind durchaus zahlreiche Arbeiten erschienen (einen Überblick bieten [3,4,5]), aber diese sind nur wenig bekannt und werden von potenziellen Anwendern in noch geringerem Umfang eingesetzt.
Gebrauchstaugliche Informationssicherheit ist durch einen hohen Grad an Interdisziplinarität gekennzeichnet, der sich bis dato unter anderem durch eine starke Fragmentierung der relevanten Arbeiten in den verschiedenen Disziplinen zeigt. So findet man einen Großteil relevanter Publikationen auf Konferenzen und in Fachzeitschriften, die im Wesentlichen einen inhaltlichen Bezug zur Mensch-Maschine-Interaktion haben (Human Computer Interaction, HCI – vgl. Kasten).
----------Anfang Textkasten----------
Zu den Konferenzen, die sich der Human-Computer-Interaction (HCI) und dem Thema gebrauchstauglicher Informationssicherheit widmen, zählen unter anderem die ACM CHI ( www.chi2011.org), HCI International ( www.hcii2011.org) und IFIP INTERACT ( www.interact2011.org). In diesen großen Konferenzen ist "Usable Security and Privacy" häufig im Rahmen einzelner Sessions oder Workshops thematisch gruppiert.
Ähnliche Entwicklungen lassen sich vermehrt bei den Flaggschiffkonferenzen der Sicherheitsgemeinde verzeichnen: so etwa auf den breit aufgestellten Konferenzen wie ACM CCS ( www.sigsac.org/ccs/CCS2011/), USENIX Security Symposium ( www.usenix.org/events/byname/security.html) und IFIP SEC ( www.sec2011.org).
Workshops oder Konferenzen, die sich ausschließlich der hier behandelten Thematik annehmen und diese intensiv in allen Facetten untersuchen und diskutieren, gibt es noch wenige. Herausragende Ausnahmen sind das seit 2005 von der Carnegie Mellon University veranstaltete "Symposium On Usable Privacy and Security" (SOUPS, http://cups.cs.cmu.edu/soups/) und die von der IFIP WG 11.2 mitorganisierte Konferenz "Human Aspects of Information Security and Assurance" (HAISA, http://haisa.org). Erste zarte Sprosse lassen sich aktuell auch in Europa ( http://di.ncl.ac.uk/bhci-securityprivacy/, http://stast.uni.lu) und in Deutschland ( http://usasecpriv2011.cased.de) beobachten.
----------Ende Textkasten----------
Im Folgenden werden Kategorien der Informationssicherheit hinsichtlich ihrer Gebrauchstauglichkeit diskutiert, beispielhaft zugehörige repräsentative Arbeiten genannt sowie Forschungsbedarf aufgezeigt.
Zur verständlichen Veranschaulichung komplexer Sachverhalte einer "Usable Security and Privacy" werden in erster Linie bedienbare und aussagekräftige grafische Benutzerschnittstellen entwickelt. Hier stehen Fragen zur intuitiven und informierten Bedienung im Mittelpunkt, getreu dem Usability-Leitspruch "Don't make me think!".
Das Spektrum ist breit und umfasst unter anderem Bedienelemente und -masken zur Konfiguration von Sicherheitseinstellungen, aber auch Statusanzeigen zur Information über den aktuellen Sicherheitszustand. Die Kunst besteht hier darin, das richtige Maß und die richtige Detailtiefe an Information zu finden und diese in einer geeigneten Aufbereitung zu präsentieren, damit der Benutzer diese wahrnimmt, versteht und ihrer auch nicht überdrüssig wird (vgl. [6,7]).
Visualisierung von Sicherheit geht aber über das reine Design einer grafischen Benutzerschnittstelle hinaus: Eine derartige Simplifizierung greift zu kurz und vernachlässigt wichtige Aspekte. Das Thema Visualisierung muss differenzierter betrachtet werden und beispielsweise geeignete Ausdrucksmittel ihrer Darstellung einbeziehen. Die Angemessenheit muss sich zudem auf die jeweilige Kompetenz der Nutzergruppen beziehen.
Zum Beispiel kann eine Benutzerschnittstelle für Softwareentwickler durchaus ein API sein; doch auch beim Entwurf derartiger Schnittstellen müssen Usability-Richtlinien die besonderen Eigenschaften der Sicherheitsdomäne reflektieren. Ein Negativbeispiel findet man etwa im Krypto-API von Java, in dem die Methode checkValidity() der Klasse X509Certificate nicht etwa die Gültigkeit des Schlüsselzertifikats vollständig prüft, sondern nur, ob das Zertifikat abgelaufen ist.
Ein weiteres Aufgabenfeld ist die Entwicklung verständlicher Metaphern, die vom Benutzer intuitiv, ohne fremdsprachliche Hürden und ohne großen Erklärungsbedarf verwendet werden können. Piktogramm-Sammlungen zum Ausdruck von Datenverwendungsregeln haben beispielsweise das EU-Projekt PrimeLife ( www.primelife.eu) oder die Privicons Initiative ( http://privicons.org) entwickelt. Für Sicherheitsentitäten, für die es eine direkte Entsprechung in der realen Welt gibt (z. B. Schlüssel) ist dies relativ einfach – komplexere Sicherheitsentitäten wie öffentliche Schlüssel, Zertifikate oder anonyme Ausweise stellen hingegen noch weitgehend ungelöste Herausforderungen dar. Entsprechende Entwicklungen sind sicherlich auch in anderen Zusammenhängen hilfreich, wenn es etwa um das verständliche Kommunizieren von Richtlinien geht, etwa Nutzungshinweise oder Datenschutzerklärungen.
Eine besondere Herausforderung an Visualisierungstechniken stellt die Bewältigung großer Datenmengen zur effektiven Analyse sicherheitsrelevanter Regelwerke oder Protokolldateien dar. Auch im privaten Umfeld werden künftig Lösungen zur Verwaltung von Zugriffsregeln zunehmend gefragt sein – insbesondere in sozialen Netzen, wenn es darum geht, Zugriffe auf Ressourcen festzulegen und zu kontrollieren. Als aktuelles Beispiel bedient sich etwa Google+ der "Freundeskreis"-Metapher, um seinen Benutzern ein verständliches Vehikel zur Verwaltung von Netzwerkkontakten und den mit ihnen gemeinsam genutzten Inhalten an die Hand zu geben (vgl. Abb. 1).
Abbildung 1: Google+ Freundeskreis-Metapher zur Verwaltung von Netzwerkkontakten und gemeinsam genutzten Inhalten
Im Unternehmensumfeld müssen Sicherheitsadministratoren heute eine Vielzahl von Datenquellen auf Unregelmäßigkeiten hin untersuchen, die auf Einbruch oder andere Sicherheitsvorfälle schließen lassen, was durch gängige Methoden kaum mehr zu leisten ist (vgl. [8]). Hier sind Ansätze nötig, die es ermöglichen, in einer geeigneten Übersichtsdarstellung nach Anomalien zu fahnden und bei Auffälligkeiten in diese einzutauchen und sie mit weiteren Informationsquellen adaptiv und ad-hoc zu korrelieren, um schließlich eine Entscheidung über Alarm oder Fehlalarm treffen zu können. Anzustrebendes Ziel sollte dabei eine integrierte Analyseumgebung sein, die das Zusammenführen und Auswerten verschiedener Datenquellen ohne tiefgehende technische Kenntnisse ermöglicht.
Die Verwaltung von Regelwerken stellt angesichts der Komplexität heutiger IT-Landschaften und -Dienste zunehmend neue Anforderungen in Bezug auf die Verständlichkeit der Einstellungsmöglichkeiten und die Transparenz der Entscheidungen (s. a. [9,10]). So sollte etwa die schon vor etlichen Jahren vom W3C standardisierte technische Plattform P3P (Platform for Privacy Preferences Project, www.w3.org/P3P/) zum Austausch von Datenschutzinformationen Benutzer im Internet unterstützen, auf automatisierter Basis Informationen darüber zu erhalten, was mit ihren personenbezogenen Daten geschieht, die beim Besuch einer Website anfallen oder erfasst werden. Aufgrund seiner hohen Komplexität wird der Standard jedoch bis heute kaum verwendet (vgl. etwa www.ftc.gov/os/comments/privacyreportframework/00453-58003.pdf).
Antworten auf die Herausforderungen der Regelwerkverwaltung gehen weit über reine grafische Darstellungsmöglichkeiten hinaus. Ein gebrauchstaugliches Sicherheitssystem zur Transparenzsteigerung von Regelfestlegungen könnte beispielsweise eine Vorschau ("was wäre, wenn diese Regel aktiviert wird") mit einem zugrunde gelegten Autorisierungskonzept, entsprechenden Metaphern und angepassten Visualisierungen kombinieren.
Auch das weit verbreitete Rollenkonzept (RBAC) lässt sich mit bekannten Metaphern anschaulich bedienbar machen; ob die darin bereitgestellte Granularität und Ausdrucksstärke für zukünftige Systeme ausreichend ist, bleibt indes abzuwarten. Tendenzen zeigen, dass dies in einigen Bereichen bereits zu kurz greift und dort erweiterte Modelle entwickelt werden [11]. Weitzner et al. haben bereits 2006 den Begriff des "Policy-Aware Web" eingeführt und damit auf die Aufgabe hingewiesen, Mechanismen zu einem regelbasierten Umgang mit dem so genannten "Semantic Web" zu entwickeln und zur breiten Nutzung zur Verfügung zu stellen [12].
Das Urgestein und seit jeher dominante Authentifizierungsverfahren für Personen in IKT-Systemen ist das Wissen um ein Passwort – einfache Passwörter sind aber unsicher, sichere Passwörter hingegen schwer zu merken. Wegen der dominanten Stellung der Passwörter und ihrer massiven Usability-Probleme waren sie sogar lange Zeit einziger Untersuchungsgegenstand auf dem Gebiet gebrauchstauglicher Informationssicherheit.
Da der Mensch Visuelles besser verarbeiten und insbesondere memorieren kann als (stetig länger werdende) Ketten aus Einzelzeichen (siehe z. B. http://de.wikipedia.org/wiki/Ged%C3%A4chtnisspanne), sind immer wieder grafische Alternativen zum Standard-Passwort vorgeschlagen worden [13,14]. Ein Beispiel hierfür stellt die in Android-basierten Smartphones enthaltene Gerätesperre dar: Zur Entsperrung kann der Benutzer anstelle einer Zeichenfolge auch ein grafisches Linienmuster angeben, das er durch das Streichen mit dem Finger über Punkte einer 3x3-Matrix erzeugt (vgl. Abb. 2) – allerdings kann die dabei hinterlassene Fettspur verräterisch sein (vgl. www.usenix.org/event/woot10/tech/full_papers/Aviv.pdf).
Abbildung 2: Ursprung (links, aus [13]) des grafischen Entsperrungsmusters in Android-Systemen (rechts)
Auch alternative biometrische Verfahren wie Iris-, Fingerabdruck-, Gesichts-, Handform- und Gangerkennung oder die kontinuierliche Verifikation mittels Tastaturanschlägen oder Maus-Interaktionsmustern wurden entwickelt – allerdings sind solche Verfahren (nicht zuletzt auch aufgrund der Verfügbarkeit der hierfür teils notwendigen Sensoren) bislang noch nicht konkurrenzfähig.
Andere Ansätze versuchen die Zahl der benötigten Passwörter zu reduzieren: Im Identity-Management ist hierfür die Metapher der Identity-Card entwickelt worden, die das Konzept der vielen unterschiedlichen Ausweiskarten im Portemonnaie aufgreift. Dies lässt sich technisch so weit treiben, bis es sich um anonyme Ausweise handelt, für die eine begreifbare bildhafte Übertragung noch fehlt – das Ausschwärzen von Ausweisfeldern reicht hierfür jedenfalls nicht [15].
Beim Schutz der Kommunikation in Datennetzen ist die breite Nutzung verfügbarer Lösungen immer noch (vgl. schon [2] aus 1999) mehr die Ausnahme als die Regel: Man führe sich als Beispiele Internettelefonie, Instant Messaging und E-Mail vor Augen. Ob der ePost-Brief oder auch die De-Mail in diesem Zusammenhang eine Wende herbeiführen, bleibt abzuwarten.
Ein weiteres Beispiel, das stärker auf die Kontrolldaten als auf die Nutzdaten der Kommunikationspakete abstellt, ist das anonyme Web-Browsing auf Grundlage der so genannten Mix-Verfahren: Eine in Reihe geschaltete Serie von Servern nimmt dabei Datenpakete an, verschlüsselt sie und durchmischt die Reihenfolge, um den Ursprung der Pakete zu verbergen. Ansätze wie JAP ( http://anon.inf.tu-dresden.de) oder auch TOR (https:// www.torproject.org) sind jedoch nur effektiv, wenn die Anzahl der Server eine bestimmte Größe übersteigt. Hierdurch leiden Mix-Netze unter deutlich spürbaren Performanceeinbußen, die für viele Benutzer inakzeptabel sind.
Die Entwicklungsprozesse und Vorgehensmodelle des Security-Engineerings [16] sind noch weitestgehend von denen des Usability-Engineerings [17,18] entkoppelt. Beide Disziplinen haben Ähnliches durchgemacht: Sie mussten zunächst darum kämpfen, vollständig in den Systementwicklungsprozess integriert zu werden – von den frühen Aktivitäten in der Analysephase bis zu den Phasen Implementierung, Test, Inbetriebnahme und Wartung. Beide Disziplinen bringen einen eigenen Methodenkoffer mit, der in den verschiedenen Entwicklungsphasen zum Einsatz kommt – Beispiele aus dem Usability-Bereich umfassen Benutzerbefragungen sowie Experten- oder Nutzerevaluierungen, aus dem Security-Umfeld werden Dinge wie Angriffsbäume und Risikoanalysen eingesetzt.
Erst eine nahtlose Verbindung von Methoden und Werkzeugen zu einem integrierten Entwicklungsprozess liefert jedoch letztlich die Grundlage zur strukturierten und fundierten Entwicklung von IKT-Systemen, die gebrauchstauglich und sicher zu verwenden sind. Um dies zu erreichen, sind unter anderem Arbeiten im Bereich der Modellierung, der Muster und der Dokumentation erforderlich – immer mit dem besonderen Blickwinkel auf die Zusammenführung der Disziplinen. Außerdem sind entsprechende Kompetenzen sowohl in grundlegenden als auch spezialisierten Studiengängen zu vermitteln.
Eine nicht zu unterschätzende Herausforderung bei der Entwicklung effektiver Mechanismen zum Schutz sensitiver und persönlicher Daten liegt in der bedientauglichen Ausgestaltung der sie verarbeitenden Systeme – ob und wie sie benutzt werden, entscheidet nicht selten einzig und allein der Benutzer. Neben der Bereitstellung effektiver Sicherheitsverfahren und ihrer robusten Implementierung spielt somit besonders auch die Schnittstelle zum Benutzer eine eminente Rolle bei der Realisierung von Sicherheitsfunktionen für IKT-Systeme, denn diese müssen vom Benutzer angenommen und ordnungsgemäß verwendet werden.
Die Verschmelzung des Usability-Engineerings mit dem Security-Engineering ist daher eine fundamentale Voraussetzung zur effektiven Sicherheit von IKT-Systemen. Ein Grundsatz, den Auguste Kerckhoff bereits 1883 in "La cryptographie militaire" aufgestellt hat (siehe etwa www.petitcolas.net/fabien/kerckhoffs/), hat heute mehr denn je Bestand: "Finally, regarding the circumstances in which such system is applied, it must be easy to use and must neither require stress of mind nor the knowledge of a long series of rules."
Simone Fischer-Hübner ist Professorin an der Karlstad University, Rüdiger Grimm ist Professor an der Universität Koblenz-Landau, Luigi Lo Iacono ist Professor an der Fachhochschule Köln, Sebastian Möller ist Professor im Quality and Usability Lab der Deutsche Telekom Laboratories, Günter Müller ist Professor an der Universität Freiburg, Melanie Volkamer ist Post-Doktorandin an der Technischen Universität Darmstadt.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2011#4, Seite 14
tag:kes.info,2007:lp:2011-4-A