BSI fordert nutzerfreundlichere Cybersicherheit
Das Bundesamt für Sicherheit in der Informationstechnik will Sicherheitsmechanismen stärker an den Bedürfnissen der Verbraucher ausrichten. Ein neues Whitepaper definiert vier zentrale Handlungsfelder für eine menschzentrierte Cybersicherheit.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein umfassendes Whitepaper mit dem Titel „Usable Security – Handlungsfelder menschzentrierter Cybersicherheit“ vorgelegt. Die Publikation zeigt auf, wie sich Sicherheitsmechanismen in digitalen Produkten besser an die Bedürfnisse der Nutzer anpassen lassen. Das übergeordnete Ziel besteht darin, das IT-Schutzniveau durch eine nutzerorientierte Gestaltung zu erhöhen.
Die Behörde argumentiert, dass Sicherheitslösungen dann effektiver werden, wenn sie sich nahtlos in den digitalen Alltag der Verbraucher einfügen. Cybersicherheitsmaßnahmen, die nicht nutzbar oder nicht verständlich sind, werden nicht akzeptiert und umgangen. Die Folgen sind Nichtnutzung, Falschnutzung oder die Nutzung unsicherer Alternativen und damit eine deutliche Schwächung des Sicherheitsniveaus.
Aktuelle Zahlen unterstreichen die Problematik: 96 Prozent der deutschen Bevölkerung nutzen laut Statistischem Bundesamt das Internet, gleichzeitig waren in den letzten zwölf Monaten 61 Prozent aller Internetnutzenden von Cyberkriminalität betroffen. 30 Prozent dieser Vorfälle gehen auf Phishing-Angriffe zurück. Ein wesentlicher Grund für die hohe Erfolgsquote solcher Angriffe ist die fehlende Transparenz in digitalen Anwendungen und eine unzureichend nutzungsfreundliche Gestaltung.
Vier Handlungsfelder mit konkreten Gestaltungsprinzipien
Die Cybersicherheitsexperten identifizieren vier zentrale Bereiche, in denen Verbesserungen nötig sind: Gebrauchstauglichkeit, Zugänglichkeit, Transparenz und Akzeptanz. Sicherheitsmechanismen sollen praktisch und einfach nutzbar, für alle leicht zugänglich und in ihrer Wirkungsweise transparent sein, damit sie von Nutzer akzeptiert und sicher angewendet werden.
Im Bereich Gebrauchstauglichkeit definiert das Whitepaper folgende konkrete Prinzipien: Wirksamkeit und Effektivität, Effizienz, Robustheit gegenüber Fehlern sowie Erlernbarkeit. Als Beispiel führen die Autoren an, dass Anwender durch Authentisierung am System nicht vom eigentlichen Aufgabenziel abgebracht werden sollen, sondern nach erfolgreicher Anmeldung direkt zu den vorher angestoßenen Aktionen zurückgeführt werden. So sollen die im Warenkorb eines Online-Shops abgelegten Produkte auch nach Anmeldung dort weiterhin gelistet sein.
Für die Zugänglichkeit nennen die Experten die Prinzipien Einfachheit, Wahrnehmbarkeit, Anpassbarkeit und Vermeidung von Stressoren. Statt komplexer Passwortregeln mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen empfehlen sie eine Passphrase oder die Methode „Three-Random-Words“ als Vorgabe für sichere Passwörter. Warnmeldungen sollen multimedial ausgegeben werden – mit Warnton, Warnsymbol, Warnfarbe und Warntext.
Das Handlungsfeld Transparenz umfasst drei Prinzipien: Informationspräsentation, Selbstbeschreibungsfähigkeit sowie Konsistenz und Erwartungskonformität. Moderne Messenger und Browser zeigen beispielsweise an, wenn verschlüsselt kommuniziert wird und warnen, wenn die Kommunikation unverschlüsselt ist. Der Status laufender Hintergrundprozesse wie Updates oder Backups soll vom System angezeigt werden.
Akzeptanz als entscheidender Erfolgsfaktor
Die Akzeptanz bezeichnen die Verfasser als wesentlichen Erfolgsfaktor für Sicherheitsmaßnahmen. Projekte scheiterten viel zu häufig daran, dass Sicherheitsmaßnahmen von Nutzern nicht eingesetzt oder adäquat umgesetzt werden, selbst wenn sie noch so gut gestaltet sind und eine hohe Wirksamkeit entfalten. Umgekehrt könnten Verbraucherinnen und Verbraucher manchmal auch weniger wirksame Sicherheitsmechanismen nutzen, weil sie diesen vertrauen, Freude bei der Nutzung empfinden oder mit diesen ihre Ziele schneller erreichen können.
Für das Handlungsfeld Akzeptanz definiert die Publikation die Prinzipien: Vertrauen, Freude bei der Nutzung sowie wahrgenommene Nützlichkeit und Minimierung von Störungen. Als vertrauensbildende Maßnahme führen die Autoren das IT-Sicherheitskennzeichen des BSI an, das Konsumenten auf einen Blick zeigt, dass ein digitales Produkt bestimmte Sicherheitsanforderungen erfüllt.
Das Smartphone gibt zum Beispiel bei Authentisierung mittels Fingerabdruck dynamische und visuell ansprechend gestaltete Rückmeldungen. Diese vermitteln nicht nur besser die Funktionsweise biometrischer Authentisierung, sondern wirken auch spielerisch. Eine umständliche Re-Authentisierung von häufig verwendeten Systemen mit subjektiv begrenztem Nutzen wird hingegen als störend empfunden.
Passkeys als Paradebeispiel für gelungene Umsetzung
Als Paradebeispiel für gelungene benutzerfreundliche Security führt das Whitepaper das Authentisierungsverfahren „Passkeys“ an. Diese Technologie macht herkömmliche Passwörter überflüssig und ermöglicht gleichzeitig eine einfache sowie schnelle Anmeldung. Dadurch wird das Sicherheitsniveau erhöht, während die Nutzerfreundlichkeit steigt. Passkeys als neues passwortloses Anmeldeverfahren brechen jedoch mit den Erfahrungen der Nutzenden und deren Erwartungen an „sichere“ Authentisierung, weshalb dessen Einführung erhöhte Anstrengungen auf Seiten der Anbieter erfordert.
Weitere erfolgreiche Beispiele seien Browser-Warnungen vor unsicheren Webseiten oder Verbindungen, die heute für Nutzer deutlich verständlicher und im Default sicherer gestaltet sind. Nutzer moderner Messenger können heute – anders als bei E-Mail – ohne besonderes Zutun per Grundeinstellung Ende-zu-Ende-verschlüsselt kommunizieren.
Die Verfasser betonen, dass Cybersicherheit und Usability in eine Richtung wirken – wenn man etwas dafür tut. Cybersicherheitsmaßnahmen, die menschzentriert gestaltet wurden, sind nicht nur einfacher zu nutzen, sondern heben zugleich das Sicherheitsniveau in der Praxis deutlich an.
Regulierung soll menschzentrierte Gestaltung fördern
Die Experten fordern, dass menschzentrierte Gestaltung eine Standardanforderung der Regulierung zur Cybersicherheit werden muss. Cybersicherheit sollte Anforderungen an die Anwendbarkeit im Alltag immer enthalten. Regulierungen wie der Cyber Resilience Act müssten stärker nutzerzentrierte Anforderungen integrieren.
Der Cyber Resilience Act wird in naher Zukunft Märkte für vernetzte Produkte beziehungsweise Produkte mit digitalen Elementen regulieren. Im Text der Regulierung wird das menschzentrierte Design jedoch nur an wenigen Stellen – zumeist lediglich in Bezug auf die Transparenz – genannt. Hier ist eine Lücke entstanden, die durch die Gestaltung der horizontalen und vertikalen Normung geschlossen werden kann.
Die Bundesbehörde eruiert derzeit die Möglichkeiten der Standardisierung der Anforderungen an Usable Security – nach Möglichkeit erstellt im Konsensverfahren und zeitnah verfügbar für einen internationalen Anwenderkreis. Die öffentliche Hand müsse als Vorbild vorangehen und menschzentrierte Erfolgskriterien von Beginn an berücksichtigen.
Ein weiterer Weg, um langfristig nutzungsfreundliche Märkte zu gestalten, ist es laut Whitepaper, die Aspekte und Kriterien der Usable Security in Beschaffungs- und Vergabeprozessen zu berücksichtigen. Menschzentriertes Design sollte bei allen Designprozessen zu einem wesentlichen Bestandteil werden.
Die Publikation richtet sich an verschiedene Akteure aus Politik, Wirtschaft, Wissenschaft und Zivilgesellschaft sowie an die Fachöffentlichkeit. Besonders angesprochen werden Personen, die sich mit regulatorischen Aspekten des digitalen Verbraucherschutzes befassen, sowie Praktiker, die IT-Sicherheit umsetzen müssen. Alle Akteure sind eingeladen, sich im Dialog zur Weiterentwicklung dieses Themenfeldes zu beteiligen.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
