03. November 2021

Warum Benutzer das Richtige wollen und das Falsche tun

Blog-bild-36-37

User Experience // Geht es um sicherheitskritische Systeme, ist der Benutzer ohne Frage ein Teil des Problems. Bei der Lösung wird er aber kaum berücksichtigt. Ist er ein unkalkulierbares Risiko?

Sicherheit und User Experience werden häufig als Gegensatz wahrgenommen. Ist die User Experience hoch, ist die Sicherheit schwach – und umgekehrt. Grund dafür ist, so die weit verbreitete Meinung, der Benutzer. Er hält sich nicht an die Anweisungen, benutzt keine sicheren Passwörter und missachtet Sicherheitshinweise.

«Kreative» Benutzer
Selbst die durch Verwendung bestimmter Zeichen «erzwungene» Wahl eines sicheren Passworts garantiert nicht den bestimmungsgemässen Gebrauch, wie folgendes Beispiel zeigt. Anstatt sich das sichere, aber komplizierte Passwort zu merken, gibt es Benutzer, die beim Login jedes Mal den «Passwort zurücksetzen»-Prozess verwenden. Mit der jeweiligen E-Mail und einem neuen Passwort, das sie gar nicht vorhaben, sich zu merken, kommen sie den Passwortanforderungen zwar nach, aber auf die falsche Weise. Die Liste der Verstösse ist lang und reicht von Passwörtern wie «forgot» über Screenshots sensibler Daten bis zum Abkleben von Distanzsensoren bei mobilen Terminals in Krankenhäusern, um das Ausloggen zu verhindern. Wenn Benutzer «kreativ» werden und wider besseren Wissens handeln, tun sie dies nicht aus Missachtung der Sicherheit, sondern um den Zugang zur Anwendung aus ihrer Sicht möglichst «gebrauchstauglich» zu machen. Selbst das beliebteste Passwort «123456» ist immer noch ein Passwort. Und solange nichts passiert, scheint es auch nicht falsch zu sein. Benutzer treffen keine rationalen Entscheidungen, indem sie logisch abwägen und dann die sicherste Methode wählen. Sie bevorzugen einfache, praktikable Lösungen, die ihren kognitiven Fähigkeiten entsprechen. Komplizierte, zwölfstellige Passwörter gehören nicht dazu.

Eine Frage der Perspektive
Developers und Benutzer verhalten sich zueinander wie Innen- und Aussenperspektive. Der Eine versucht, das System von innen zu schützen, so dass es keiner ohne weiteres durchdringen kann; der Andere wünscht sich genau das: einen einfachen und schnellen Zugang. Dieser Gegensatz äussert sich oft schon in der Wortwahl. So wird der Benutzer auf einer Website unter der Überschrift «Anmelden mit SSO-2FA» zum Login aufgefordert und erhält über die Authenticator App auf dem Handy die Meldung «Jemand versucht sich mittels Push Notification einzuloggen». Mit «Bestätigen» muss er diesem fast feindseligen Eindringen zustimmen. Was fehlt, ist die Sicht des Benutzers. Dazu reichen manchmal schon Worte, beim genannten Login zum Beispiel diese: «Willkommen zu deinem sicheren Workspace! Öffne bitte deinen persönlichen Zugang.» Und die App meldet: «Hallo Christoph, bitte bestätige die Öffnung.» Was ich tue mit «Ok, alles klar.» Das hört sich nicht nur freundlicher an, es gibt dem Benutzer auch ein Gefühl für Sicherheit, die er kontrollieren und damit mitverantworten kann. Gerade in der Kommunikation von Sicherheitshinweisen wird der Benutzer häufig übergangen. Es macht eben einen Unterschied, ob im Browser steht «Die aufgerufene Domaininstanz hat kein gültiges oder ein abgelaufenes SSL-Zertifikat» oder «Die aufgerufene Website ist nicht sicher». Solange der Benutzer nicht in die Lage versetzt wird, eine sichere Entscheidung zu treffen, kann auch nicht erwartet werden, dass er sich sicher verhält.

«Willkommen zu deinem sicheren Workspace! Öffne bitte deinen persönlichen Zugang.»

Sicher ist, was praktikabel ist Sicherheit und User Experience gehören untrennbar zusammen. Oder wie es Angela Sasse, Professorin für Human-Centred Security, formuliert: «Wenn es nicht bedienbar ist, ist es auch nicht sicher.» Gerade weil der Benutzer Teil der Lösung ist, muss die Balance zwischen Sicherheit und User Experience zu seinen Gunsten ausfallen. Ein Sicherheitskonzept lässt sich daher immer an der Frage messen: Wo ist der Benutzer bereit, die Sicherheit zugunsten seiner Produktivität zu reduzieren? Genau um diese Frage dreht sich der neu etablierte Forschungsbereich «Usable Security and Privacy». Die Forschung konzentriert sich auf das Verständnis des Benutzerverhaltens in sicherheitskritischen Kontexten und das Design von Sicherheitslösungen auf eben dieser Grundlage. Unterschieden werden Lösungsansätze mit und ohne Benutzer: Die ersteren setzen auf eine verbesserte Interaktion, die anderen verzichten bewusst darauf und forschen an der Authentifizierung durch Erkenntnisse der Verhaltensbiometrie.

Sicherheit muss Spass machen
Um die Interaktion in der Praxis zu verbessern, hilft es, Sicherheit nicht nur als technisches Konzept, sondern zusätzlich als integrales Feature einer Anwendung zu verstehen. Dadurch werden automatisch die richtigen Fragen gestellt: Versteht der Benutzer das Feature? Kann er es einfach bedienen? Hindert ihn etwas bei der Ausführung? Die Antworten liefert die User Experience, indem sie Sicherheit wie jedes andere gute Feature entwickelt: benutzerzentriert und iterativ. Getestet wird nicht nur die Produktqualität, sondern explizit die Nutzungsqualität. Die Sicherheitsmechanismen müssen folgende Kriterien erfüllen: Kontextabdeckung, Zufriedenheit, Kommunikation des Risikos, Effizienz und Effektivität. Das Ziel beim Thema Sicherheit muss zukünftig sein: Nicht der Mensch ist das Risiko, sondern schlecht gemachte Software. Das wird langfristig dazu führen, dass Benutzer danach verlangen; nicht weil es sicher ist, sondern weil es ihnen gefällt. Der eingangs vermutete Gegensatz ist in Wahrheit eine unausweichliche Abhängigkeit: Ist die User Experience hoch, ist die Sicherheit stark. Bleibt noch die Frage offen, woran ich beim Thema Sicherheit eine hohe User Experience erkenne? – Wenn ich nach dem Einloggen den Wunsch verspüre, mich wieder auszuloggen, um den Vorgang zu wiederholen.


Christoph Dubs
Christoph Dubs

Christoph Dubs analysiert und designt seit über zehn Jahren digitale Benutzererlebnisse. Zu seinen Schwerpunkten zählen Informa- tionsarchitektur, UX Writing und Strategie.

Daniel Graf
Daniel Graf

Basierend auf Studiengängen in MAS Human Computer Interaction Design, eMBA und einem Bahelor in Elektrotechnik und mit 30 Jahren Erfahrung in User Centered Design, Business und Informatik erarbeitet Daniel Graf heute Applikationen mit Fokus auf den Benutzer und seiner Sichtweise. Er leitet derzeit das Designer-Team von ti&m.