In der IT Security Branche gilt der Mensch als unsicherstes Glied. Oftmals gefährliche Handlungen wie das Speichern der Credentials in einer Excel-Liste sind für Administratoren wenig nachvollziehbar. Und die TOP 10 Rangliste der beliebtesten Passwörter löst jedes Jahr regelrechte Empörung unter Sicherheitsexperten aus. Zum World Usability Day stellen wir uns deshalb die Frage, warum und wie Usability und Security unweigerlich miteinander verwoben sind …

In Unternehmen tummeln sich heutzutage nur so die Endgeräte, hinzu kommen immer mehr und zusehends komplexere Technologien und Prozesse zur Lösung von Problemen, denen sich der „0-8-15“-Mitarbeiter oft nicht einmal bewusst ist. Je komplexer die IT-Landschaft wird, desto mehr entfremden sich Kollegen von dieser Thematik und entwickeln einen Widerwillen gegenüber Tools, die sie nicht verstehen und Richtlinien, die sie nicht nachvollziehen können. Aus Perspektive des CISO`s oder IT-Leiters in Unternehmen ist wiederum diese abwehrende Haltung unverständlich, die sich oft in arglos gesicherten Zugängen und nicht beaufsichtigten Kennwörtern äußert. Zwei Seiten, die es zu verbinden gilt – das Zauberwort lautet hierbei „Usability“ …

Usable Security oder „Einfach gleich sicher“

Usable Security – auch als Unterbegriff von „Security by Design“ und „Mensch-Computer-Interaktion“ zu finden – ist das Modewort, unter dem sich neuerdings immer mehr Forschungsgruppen und Verbände ansiedeln. Ziel dabei ist es, den Menschen mit seinen Bedürfnissen und Ansprüchen in den Mittelpunkt der Technologien zu stellen und sich Sicherheitsproblemen nicht von technischer Seite, sondern Anwender-basiert zu betrachten. Um Systeme besser abzusichern haben sich drei Ansätze entwickelt:

1. die User Experience verbessern
2. Benutzer schulen und trainieren, um ein Sicherheitsbewusstsein zu erzeugen
3. Systeme automatisieren, um ein sicherheitskritisches Eingreifen des Nutzers zu verhindern

Forschung-Modelle in der Praxis

Auch Password Safe macht sich den nutzerorientierten Ansatz zunutze, um Sicherheitslücken gar nicht erst aufkommen zu lassen. Je nach Sicherheitsrelevanz interagiert die Software mit dem Nutzer:

1. Der Login ist aus Sicht des Tools sicher und wird automatisch ausgeführt, ohne dass ein Zutun des Anwenders erforderlich ist.
2. Password Safe erkennt eine möglicherweise unsichere Situation und verhindert die Weitergabe der Anmeldeinformationen zum Login: Der Anmeldelink ist nicht bekannt, weshalb die Daten zum Login nicht blockiert werden. Ein Eingreifen des Anwenders ist erforderlich.
3. Password Safe kennt die Anwendung beim Login / der Registrierung nicht und benachrichtigt den User: Dieser kann entscheiden, ob die eingegebenen Login-Daten sicher in Password Safe überführt werden sollen.
4. Password Safe erkennt eine möglicherweise sicherheitskritische Handlung innerhalb der Software und benachrichtigt die notwendigen Stellen: Der entsprechende Mitarbeiter wird via E-Mail / Pop-up darüber informiert, dass etwa ein Passwort aus Password Safe kopiert oder das Aufdecken eines Passworts versucht wurde, damit dieser eine Entscheidung für die weitere Vorgehensweise treffen kann.

Du möchtest noch mehr dazu erfahren, wie Password Safe gekonnt Mensch und Maschine verbindet? Dann schau dir unseren Password Life Cycle genauer an. Auch die Automatisierung in Password Safe erleichtert dir viele Prozesse im Arbeitsalltag.