Das GI-Radar ist der 14-tägig erscheinende Newsletter der Gesellschaft für Informatik e.V. (GI). Mitglieder der GI erhalten es automatisch per E-Mail. Bei Interesse kann das Radar testweise abonniert werden.
In der aktuellen Ausgabe „GI-Radar 273: Usable Safety & Security“ ist ein Beitrag unter PEASEC-Beteiligung erschienen:
Benutzbare Sicherheit und sichere Nutzbarkeit. Sicherheit und Gebrauchstauglichkeit computerbasierter Lösungen werden in Zeiten allgegenwärtiger Mensch-Computer-Interaktion (GI) zu entscheidenden Faktoren für individuelle Teilhabe und gesamtgesellschaftliche Prozesse. Ihr Verhältnis wird dabei oftmals als Spannungsfeld oder gar als Widerspruch beschrieben (Guardian).
Dabei kann zunächst einmal zwischen Betriebssicherheit im Sinne des Schutzes der Nutzenden und anderer betroffener Personen vor unbeabsichtigten Fehlhandlungen von vom Schutz der technischen Komponenten vor Angriffen unterschieden werden. Diese im englischen Sprachraum mit Safety und Security bezeichneten Sicherheitsperspektiven wurden traditionell von verschiedenen Communities fokussiert. Dies hat einerseits zur Folge, dass viele sicherheitskritische Benutzungsschnittstellen und Sicherheitsmechanismen zwar aus rein funktionaler Sicht geeignet sind, aber in der Praxis falsch bzw. unzureichend genutzt werden, da sie an den Bedürfnissen und Fähigkeiten der jeweiligen Zielgruppen vorbei entwickelt wurden. Andererseits kümmern sich Nutzende oftmals nicht genügend um Sicherheitsaspekte im Zusammenhang mit interaktiven Systemen.
Veranschaulichen lässt sich die grundsätzliche Problematik am Beispiel von Passwörtern. Fragen nach dem wohin mit „stapelweisen[n] Passwörtern[n]“ (golem) sowie regelmäßige, ernüchternde Veröffentlichungen zu den beliebtesten Varianten (Spiegel) verdeutlichen gleichermaßen mangelndes Sicherheitsbewusstsein der Nutzenden als auch unzureichende technische Lösungen. Dies gilt, nebenbei gesagt, nicht nur für die breite Öffentlichkeit, sondern auch für Angestellte in sicherheitskritischen Kontexten wie beispielsweise der unbefugte Zugriff auf Dokumente des US-Militärs verdeutlicht (NordVPN).
Datenschutz und Privatsphäre sind weitere Themenkomplexe, an denen sich die Zusammenhänge von Sicherheit, sowohl im Sinne von Safety als auch Security, sowie Gebrauchstauglichkeit verdeutlichen lassen. Ob im Zusammenhang mit zunehmender Heimarbeit und virtueller Lehre notwendige Kompromissen hinsichtlich dieser Punkte bei Videokonferenzsystemen bedauert (Guardian) oder elektronische Patientenakten im Gesundheitswesen kontrovers diskutiert werden (t3n , DAZ); es wird deutlich, dass Akzeptanz und Gebrauchstauglichkeit sowie Safety und Security zwei Seiten einer Medaille sind.
Unter Bezeichnungen wie „Usable Safety & Security“ wird Sicherheit im Zusammenhang mit computerbasierten Lösungen zunehmend unter umfassender Berücksichtigung von Mensch, Technik und Organisation betrachtet. Übergeordnetes Ziel ist aufzuzeigen, dass Sicherheit, im Sinne von Safety und Security, und Gebrauchstauglichkeit keine Widersprüche darstellen, sondern sich vielmehr (positiv) bedingen. Dies gilt beispielsweise für die Gestaltung von Alarmmeldungen im Zusammenhang mit ungewöhnlichen Kontoaktivitäten (Google).
Im Fokus des Schwerpunkts Usable Security stehen die Nutzbarkeit der Sicherheitskonzepte selbst sowie Konzepte zur Steigerung des Sicherheitsbewusstseins der Nutzenden (Technische Hochschule Köln). Das Themenfeld Usable Safety adressiert die Mensch-Computer-Interaktion in sicherheitskritischen Kontexten, wie in Leitwarten, der Medizin (FDA), im Katastrophenschutz oder im Automobil, sowohl unter Berücksichtigung möglicher Bedrohungsszenarien als auch im Sinne der funktionalen Sicherheit.
Dieser Artikel wurde von Tilo Mentler, Christian Reuter und Simon Nestler verfasst. Sie bilden das Leitungsgremium der Fachgruppe „Usable Safety & Security“ im Fachbereich Mensch-Computer-Interaktion der Gesellschaft für Informatik. Für den weiteren Austausch zu Themen von Gebrauchstauglichkeit und Sicherheit stehen wir gerne zur Verfügung (Kontakt zum Sprecher der Fachgruppe: mentler@hochschule-trier.de).