Von Sebastian Wittor

Cybersecurity und Usability werden oft als gegensätzliche Kräfte wahrgenommen. Um die Sicherheit zu erhöhen, werden komplexe Passwörter, mehrstufige Authentifizierungsprozesse, strenge Zugriffskontrollen und Anforderungen an das Anwenderverhalten umgesetzt. Doch schaut man sich das Verhalten des durchschnittlichen Anwendenden an, dann sind zwei Eigenschaften schnell zu identifizieren:

  • Die durchschnittliche Technikaffinität ist bei ihnen deutlich geringer als bei den Entwickler:innen der Systeme.
  • Strenge Anforderungen an das Anwenderverhalten sorgen für Frust und Verwirrung bei Anwendenden, die als Trotzreaktion möglicherweise nachlässig mit ihren Sicherheitspraktiken umgehen oder sich gegenüber den Sicherheitsmaßnahmen gleichgültig verhalten.

Das Ergebnis ist aus Sicht der Cybersecurity katastrophal. Sicherheitsfunktionen, wie Sperrbildschirme oder Login-Funktionen, sind bewusst deaktiviert. Anwendende nutzen einfach merkbare Passwörter über Accounts hinweg, oder schreiben diese gar auf einen Post-It und platzieren ihn neben dem System. Und somit sorgt Cybersecurity für weniger statt für mehr Sicherheit.

Der Ansatz: Cybersecurity by Usability

Der Ansatz einer effektiven Cybersecurity by Usability beginnt mit der Integration von Sicherheitsmaßnahmen in den Alltag der Anwendenden. Dies könnte die Implementierung von biometrischen Authentifizierungsmethoden, wie Fingerabdruck- oder Gesichtserkennung, oder die Nutzung von userfreundlichen Passwortmanagern umfassen. Der Fokus liegt darauf, dass Sicherheit nicht als störendes Element empfunden wird, sondern als natürlicher Bestandteil der digitalen Interaktion.

Der Idealzustand ist erreicht, wenn Anwendende Sicherheitsaspekte bewusst verwenden, da eine Nutzung mit weniger Aufwand und mehr Komfort verbunden ist als der bewusste Verzicht auf jene.

Benutzerfreundliches Design für mehr Cybersecurity

Das benutzerfreundliche Design spielt eine Schlüsselrolle bei der Umsetzung von Cybersecurity by Usability. Anwendende sollten von Anfang an in den Designprozess einbezogen werden, um sicherzustellen, dass Sicherheitsaspekte nicht als nachträgliche Ergänzung betrachtet werden. Schon einige, wenige Punkten steigern hier die Qualität der Sicherheitsaspekte des Produkts:

  • Trennung von Identifizierung und Authentifizierung

    Ein Passwort ist zur Authentifizierung notwendig, jedoch nicht zur Identifizierung. Bei der Identifizierung sollte die Device gelten: Leicht zu merken, schwer zu knacken. So ist als Beispiel ein 5-stelliger Pin mit einer begrenzen Anzahl an Versuchen und einen sich immer weiter erhöhenden Fenster bis zur nächsten Eingabe, als deutlich sicherer zu bewerten als eine Vielzahl von Passwörtern.

  • Reduktion von benötigtem sicherheitsrelevantem Anwenderwissen

    Ein Geheimnis, das Anwendende nicht kennen, können sie nicht leaken oder verlieren. Somit ist es wichtig, im Kontext der jeweiligen Anwendung zu analysieren, ob und wie die Anwendende in sicherheitsrelevante Abläufe mit einbezogen werden müssen.

  • Anwenderfeedback während der Datenverarbeitung

    Ein großes Sicherheitsrisiko ist irrationales Anwenderverhalten. Die sich durch Aggressivität unlogisch verhaltenden Anwendende können zur falschen Nutzung des Produkts durch versehentlich oder mehrfach ausgeführte Funktionen des Produkts oder gar Datenmanipulation oder -verlust führen.

  • Klare Fehlermeldung

    Software ist nicht fehlerfrei. Aber im Fehlerfall sollten Anwendende nicht allein gelassen werden. Klare Informationen zur Ursache und Auswirkung verhindern das bereits beschriebene irrationale Anwenderverhalten.

  • Visuelle Identifikation von Anwendenden und Admin sowie Test- und Live-Umgebung

    Parallel offene Anwendungen sorgen schnell für Verwirrung, vor allem wenn Nutzende im Zeitstress Einstellungen tätigen. Kritisch wird es, wenn sie beispielsweise unbewusst Konfigurationen und Operationen auf einer Live- anstatt einer Test-Umgebung anpassen.

Schlussfolgerung

Die Verbindung von Cybersecurity und Usability ist unerlässlich, um ein wirklich sicheres Produkt zu schaffen. Entwickler:innen sollten verstehen, dass Benutzerfreundlichkeit und Sicherheit keine Kompromisse darstellen. Stattdessen sollten sie als untrennbare Elemente betrachtet werden, die Hand in Hand gehen, um eine effektive Sicherheit für Anwendende zu gewährleisten.

Indem wir die Sicherheit nahtlos in die Nutzbarkeit des Produkts integrieren und benutzerzentriertes Design anwenden, können wir Produkte schaffen, die sicher und gleichzeitig einfach zu nutzen sind.

Sebastian Wittor
Cybersecurity Expert

Sebastian Wittor ist Cybersecurity Experte bei BAYOOMED und unterstützt seit über drei Jahren unsere Kund:innen als Project Manager Medical Engineering bei der sicheren Entwicklung ihrer Medizinprodukte.