Sie müssen kein Jurist oder Kryptograph sein, um im Sicherheitsbereich zu arbeiten

Im November 2020 gab es eine weitere Kooperation zwischen dem Kompetenzzentrum Usability und moinworld. Wir haben uns wieder getroffen, um über Informationssicherheit zu sprechen.  Diesmal haben wir uns auf einen wichtigen Aspekt bei der Gestaltung sicherer Systeme konzentriert: die User Experience.

Das Remote-Format der Veranstaltung ermöglichte es uns, internationale Keynote-Speaker - Ame Elliot und Eleanor Saitta - beide langjährige Sicherheitsexperten - als Gäste zu gewinnen. In ihrem Eröffnungsvortrag des Abends sprach Ame über den Aufbau von Vertrauen mit UX-Design. Im Anschluss an ihren Vortrag hatten wir eine Panelsdiskussion darüber, welchen Wert Design für die Sicherheit haben kann und wie es helfen kann, Produkte zu entwickeln, denen Menschen vertrauen können. Der Moderator dieser Podiumsdiskussion war Timo Jakobi*.

Die Teilnehmer diskutierten Fragen wie z.B. warum sollten sich Unternehmen um nutzbare Sicherheit kümmern? Rechtliche Herausforderungen bei der Einführung der GDPR und wie man sie sinnvoll umsetzen kann. Was wäre die Antwort von Usable Privacy - wie kann man kommunizieren, dass man ein vertrauenswürdiges Unternehmen ist? Was können die kleinen Unternehmen tun? Die Nutzung in der realen Welt unterscheidet sich von dem, was wir denken, dass die Nutzer mit unseren Produkten machen. Was können wir als Unternehmen tun? Welche Art von Expertise brauchen wir in einem Team, das für den Aufbau von Systemen verantwortlich ist?

Zusammenfassend lässt sich sagen: "Du bist nicht dein Nutzer" - das ist die Essenz der Nutzerfreundlichkeit, aber auch des Designs für brauchbare Sicherheit und Privatsphäre. Es mag Dinge geben, die Menschen als privat betrachten, auch wenn andere meinen, dass sie nicht privat sein müssen. Unternehmen sollten einen Blick darauf werfen, wer ihre Nutzer in der Praxis sind, aber oft kann es auch sinnvoll sein, sich mit Nutzergruppen zu beschäftigen, die besonders gefährdet sein können. Denken Sie auch daran, dass sich die Datenschutzbedürfnisse der Nutzer ändern. Die Bedrohungsmodelle ändern sich im Laufe eines Lebens ständig. Aktuelle Lösungen tragen dem meist nicht wirklich Rechnung. Sicherheitsteams sollten aus einer guten Mischung von Privilegien bestehen. Es ist schwierig, dafür zu rekrutieren. Menschen mit unterschiedlichem Hintergrund und Menschen, die auf unterschiedliche Weise ausgegrenzt werden, bringen unterschiedliche Perspektiven ein.

Es ist sehr schwierig, die aufbauende und die bremsende Denkweise gleichzeitig zu haben. Es ist nützlich, jemanden im Team zu haben, der darüber nachdenkt, wie Systeme missbraucht werden könnten. Man muss dafür sorgen, dass innerhalb der Lieferfristen die Sicherheit nicht vergessen wird.

Wenn Sie interessiert sind und mehr über das Thema erfahren wollen, finden Sie hier einige Ressourcen, in die Sie eintauchen können:

Ressourcen, die während des Abends erwähnt wurden:

• https://simplysecure.org/knowledge-base/
• https://simplysecure.org/what-we-do/slack/
• https://usableprivacy.org/
• https://www.usenix.org/conference/soups2019
• Nutzbare und Datenschutz-Forschung im Allgemeinen: Sprechen Sie mit Forschern, die Sie interessieren
• Podcast: https://darknetdiaries.com/

Bücher:

• Badass, making your users awesome https://www.goodreads.com/book/show/24737268-badass : Es beginnt mit einer einzigen Frage: Wenn konkurrierende Produkte mit gleichem Preis, gleicher Werbung und gleicher wahrgenommener Qualität angeboten werden, warum verkauft das eine das andere besser?
• Algorithms of opression https://en.wikipedia.org/wiki/Algorithms_of_Oppression: Ein aufschlussreicher Blick darauf, wie negative Vorurteile gegenüber farbigen Frauen in den Ergebnissen und Algorithmen von Suchmaschinen eingebettet sind

*Timo Jakobi: hat Human Computer Interaction studiert und ist wissenschaftlicher Mitarbeiter an der Universität Siegen. Er forscht im Bereich der gebrauchstauglichen Gestaltung von Datenschutz im Internet of Things und damit an der Schnittstelle von Nutzerzentriertem Interface Design, Rechtswissenschaften und IT-Sicherheit. Er verfügt darüber hinaus über mehrjährige Forschungserfahrung im UX Design für Smart Home und Connected Car sowie der Eco-Feedbackforschung. 

Außerdem ist Timo Forschungsassistent für Usable Privacy for Legal Design am Einstein Center Digital Future, wo er an der Schnittstelle zwischen Recht und nutzerzentriertem Design für den Datenschutz nach brauchbaren und praktikablen Lösungen forscht.