USecureD

Usable Security by Design

Rolle der HKBSProjektpartner, Gesamtprojektleitung
ProjektpartnerTechnische Hochschule Köln
ProjektträgerDLR-Projektträger
Programm / MaßnahmeEinfach intuitiv – Usability für den Mittelstand
Förderkennzeichen01MU14002A
Laufzeit5/2015 – 4/2017

Motivation

Bei der Anschaffung betrieblicher Software ist deren Sicherheit eines der zentralen Auswahlkriterien. Dennoch entpuppt sich vermeintlich sichere Software im alltäglichen Gebrauch oft als Risiko, wenn Sicherheitselemente aufgrund mangelnder Gebrauchstauglichkeit von den Nutzern falsch bedient werden. IT-Systeme müssen daher mit Sicherheitsfunktionen und Sicherheitsmechanismen ausgestattet werden, die nicht nur für Experten und geübte Nutzer, sondern auch für Laien und Gelegenheitsnutzer verständlich sind.
Eine stärkere Verzahnung des Usability-Engineerings mit dem Security-Engineering stellt eine wesentliche Voraussetzung für die effektive Sicherheit von IT-Systemen dar. Die Wahrnehmung der Nutzer über ihr Mitwirken an der Sicherheit des Systems ist hierbei ein wichtiger Aspekt. Dies gilt in besonderem Maße für betriebliche Anwendungen, denn oft sind hier die Sicherheitsmechanismen nur unzureichend auf die primären Aufgaben der Anwender ausgerichtet oder es wird in Bezug auf die Endbenutzer schlicht von falschen Annahmen ausgegangen.

Projektidee / Lösungsweg

Bei der Entwicklung betrieblicher Software mit dem Qualitätsmerkmal Usable Security ist es besonders erfolgversprechend, einen konstruktiven Software-Engineering-Ansatz zu wählen. Ein Hersteller muss seine Produkte dann nicht erst vollständig entwickeln, anschließend evaluieren und zuletzt nachbessern. Vielmehr kann er – nach dem Motto „Vorbeugen ist besser als heilen“ – in seinem Software-Engineering-Prozess direkt auf validierte, praxistaugliche Lösungen zurückgreifen.
Um dies zu erreichen, verknüpft USecureD erfolgreiche Ansätze des Usability-Engineerings, des User-Experience-Engineerings und des Security-Engineerings. Der Softwareentwickler kann auf benutzerfreundliche, leicht verständliche und intuitiv bedienbare Sicherheits-mechanismen und -funktionen zurückgreifen, die in Form sogenannter Design- und Interaktionspatterns dokumentiert sind.

Projektergebnis / Innovation

Hauptzielgruppe des Projektes sind mittelständische Anwenderunternehmen, die zum Einsatz von IT-Produkten mit dem Qualitätsmerkmal Usable Security motiviert und bei einer gezielten Produktauswahl unterstützt werden sollen, z. B. mit einem im Projekt entwickelten Demonstrator und Entscheidungshilfen für die Produktauswahl.
Auf Herstellerseite stehen Projektergebnisse im Vordergrund, die Softwareunternehmen dazu befähigen werden, betriebswirtschaftliche Anwendungssysteme zu entwickeln, die gleichermaßen gebrauchstauglich und sicher sind: ein Qualitätsmodell, eine Use-Case-Sammlung, Entwicklungsrichtlinien, eine Pattern-Sammlung, geeignete Metriken und ein Evaluationswerkzeug. Durch das Projekt wurde das Thema Usable Security & Privacy beim Berufsverband German UPA verankert und es wurde eine wissenschaftliche Workshopreihe bei der jährlichen Konferenz „Mensch und Computer“ etabliert.

Ergebnisse (Auswahl)

Veröffentlichungen (Auswahl)

Peter Leo Gorski, Luigi Lo Iacono, Hartmut Schmitt, Peter Nehren, Hoai Viet Nguyen: Usable Security by Design: Unterstützung für kleine und mittlere Softwarehersteller in frühen Phasen der Produktentwicklung. In: Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Digitale Gesellschaft zwischen Risikobereitschaft und Sicherheitsbedürfnis: Tagungsband zum 15. Deutschen IT-Sicherheitskongress, S. 433–450. 2017. SecuMedia, Ingelheim

Luigi Lo Iacono, Hoai Viet Nguyen, Hartmut Schmitt: Usable Security – Results from a Field Study. In: Jürgen Ziegler (Hrsg.): i-com – Journal of Interactive Media 15(2), S. 203–209. 2016. De Gruyter, Berlin.

Peter Nehren, Hartmut Schmitt, Luigi Lo Iacono: Usable Security – Werkzeuge für Entwickler. In: Begleitforschung Mittelstand-Digital (Hrsg.): Wissenschaft trifft Praxis (6): Usability und User Experience in der Arbeitswelt von morgen, S. 14–20. 2017. WIK-Consult GmbH, Bad Honnef

Hartmut Schmitt, Peter Leo Gorski, Luigi Lo Iacono: Usable Security – Benutzerfreundliche Sicherheitsfunktionen für Software und interaktive Produkte. In: Begleitforschung Mittelstand-Digital (Hrsg.): Wissenschaft trifft Praxis (6): Usability und User Experience in der Arbeitswelt von morgen, S. 5–13. 2017. WIK-Consult GmbH, Bad Honnef.

Hartmut Schmitt, Luigi Lo Iacono: Usable Security – Mit Benutzerfreundlichkeit zu mehr IT-Sicherheit. In: Mathias Hartmann (Hrsg.): IT-Sicherheit für Handwerk und Mittelstand: Empfehlungen zur Digitalisierung, S. 101–108. 2017. Berliner Wissenschafts-Verlag, Berlin

Hartmut Schmitt, Peter Nehren, Luigi Lo Iacono, Peter Leo Gorski: Usable Security und Privacy by Design, fünfteilige Artikelserie. Entwickler Magazin. Software & Support Media, Frankfurt am Main. Erhältlich als kostenloses E-Book (2017. entwickler.press shortcuts): Usable Security und Privacy by Design (PDF)

Sie haben allgemeine Fragen zu diesem Projekt oder Rückfragen zu einzelnen Projektergebnissen? Oder Sie sind interessiert an einer Kooperation? Kontaktieren Sie uns!