Usable Security by Design

Zertifikat und Computer

Usable Security and Privacy by Design: Teil 4 unserer Artikelserie im Entwickler Magazin

Usable Security and Privacy by Design
Teil 4: Metriken, Evaluationswerkzeuge und Testplattform
erschienen in Entwickler Magazin Mai/Juni 3.2017 – Security Engineering
von Hartmut Schmitt

Auf welche Weise kann man überprüfen, ob bei einer Anwendungssoftware das Qualitätsmerkmal Usable Security erfolgreich umgesetzt wurde, sprich: ob die Sicherheitsfunktionen dieser Software benutzerfreundlich gestaltet sind? Dieser Fragestellung geht der vierte Teil unserer Artikelserie nach. Er schlägt ein Set von Metriken und einfachen Werkzeugen vor, mit denen auch kleinere Hersteller die Qualität ihrer Produkte evaluieren können – ohne tiefere Spezial- und Expertenkenntnisse und in der Regel ohne Laborumgebung.

Mehr Informationen: Entwickler Magazin – Ausgabe Mai/Juni 3.2017

Checklisten für Anwenderunternehmen

Im Rahmen von Arbeitspaket 4 des USecureD-Projekts (USecureD-Entscheidungshilfen) wurden Checklisten entwickelt, die Anwenderunternehmen der IKT-Branche bei einer zielgerichteten Auswahl von Softwareprodukten mit dem Qualitätsmerkmal Usable Security unterstützen. Zugleich ermöglichen die Richtlinien eine Evaluation von Produkten (Prototypen oder lauffähigen Softwaresystemen) hinsichtlich bestimmter Qualitätskriterien. Grundlage für die Erstellung der Checklisten bildeten die im USecureD-Projekt entwickelten Entwicklungsrichtlinien und Patterns.

PDF-Download der USecureD-Checklisten: E 4.1 USecureD-Checklisten

USecureD-Vortrag beim 15. Deutschen IT-Sicherheitskongress

15. Deutscher IT-Sicherheitskongress,  16.–18. Mai 2017, Stadthalle Bonn-Bad Godesberg

Usable Security by Design: Unterstützung für kleine und mittlere Softwarehersteller in frühen Phasen der Produktentwicklung
(Hartmut Schmitt, HK Business Solutions GmbH)
Donnerstag, 18. Mai 2017, Track: Benutzbare sichere IT-Systeme und Sicherheitsmonitoring in kryptographisch geschützten Systemen

Damit IT-gestützte Produkte und Systeme vor unbefugter oder missbräuchlicher Nutzung wirksam geschützt sind, müssen sie mit Sicherheitsfunktionen ausgestattet sein, die benutzerfreundlich sind. Hierfür sind seitens der Entwickler sowohl Security- als auch Usabilitykenntnisse erforderlich. Da insbesondere Entwickler in kleinen und mittleteren Unternehmen (KMU) oft nicht über tiefer gehende Kenntnisse in beiden Bereichen verfügen, bedürfen sie einer Unterstützung, z.B. in Form geeigneter Methoden und Werkzeuge. In diesem Beitrag werden ein Lösungsweg und eine Werkzeugsammlung vorgestellt, die Entwicklern in KMU dabei helfen, auf systematische Weise digitale Produkte und Systeme mit dem Qualitätsmerkmal Usable Security herzustellen.

Mehr Informationen (inkl. Programm und Anmeldung):
15. Deutscher IT-Sicherheitskongress

WISSENSCHAFT TRIFFT PRAXIS (Ausgabe 6) mit drei Artikeln zum Thema Usable Security

IT-Sicherheit ist eines der Schwerpunktthemen in der jüngst erschienenen sechsten Ausgabe des Magazins WISSENSCHAFT TRIFFT PRAXIS. Die Mitarbeiter des USecureD-Projekts haben drei Artikel beigesteuert: eine Einführung in das Thema Usable Security, einen Beitrag über die Entwicklung von Sicherheitsfunktionen auf Grundlage von Musterlösungen (Patterns) und einen Beitrag über die Ausgestaltung von Warnhinweisen.

WISSENSCHAFT TRIFFT PRAXIS Ausgabe 6
„Usability und User Experience in der Arbeitswelt von morgen“
http://www.mittelstand-digital.de/DE/Begleitforschung/veroeffentlichungen,did=800208.html

Mit der Magazinreihe „WISSENSCHAFT TRIFFT PRAXIS“ hat der Förderschwerpunkt „Mittelstand-Digital“ eine Plattform für den Austausch zwischen Wissenschaft und Praxis etabliert. Sowohl Experten aus dem Netzwerk der Initiative, als auch externe Fachleute bringen ihre Expertise zu relevanten Themen für Unternehmen und Multiplikatoren ein.

Rückblick: CAST-Workshop „Usable Security“

Am 09.02.2017 fand am Fraunhofer SIT in Darmstadt der CAST-Workshop „Usable Security“ statt. Die Veranstaltung mit rund vierzig Teilnehmern gab einen Überblick über aktuelle Arbeiten auf dem Gebiet der Usable Security and Privacy aus Wissenschaft und Praxis. Der Workshop-Nachmittag widmete sich dem Softwareentwickler, der in diesem Kontext eine besonders wichtige Rolle einnimmt. Zu diesem Teil steuerten die Partner des USecureD-Projekts gleich zwei Vorträge bei. Außerdem war das Projekt in der begleitenden Ausstellung vertreten:

 

 

USecureD beim 3. Tag der IT-Sicherheit Saar

Am 16.02.2017 findet im Saalbau der IHK Saarland in Saarbrücken der 3. Tag der IT-Sicherheit statt. Vormittags stehen Vorträge zu aktuellen Technologieentwicklungen auf dem Programm, nachmittags geht es in drei parallelen Workshops um die Themen Awareness, Datenschutz/Compliance und Industrial IT-Security. Abschließend werden aktuelle Trends und Entwicklungen in der IT-Sicherheit aus dem Blickwinkel der Forschung präsentiert. In einer Ausstellung präsentieren 21 IT-Unternehmen aus der Region ihre IT-Sicherheitslösungen. Die Teilnahme an der Veranstaltung ist kostenfrei.

Die HK Business Solutions, Konsortialführer des USecureD-Projekts, nimmt als Aussteller an der Veranstaltung teil und präsentiert unter anderem das Projekt USecureD.

Programm und Anmeldung: 3. Tag der IT-Sicherheit

USecureD beim CAST-Workshop „Usable Security“

Am 09.02.2017, 10:00-17:00 Uhr, findet am Fraunhofer SIT in Darmstadt der CAST-Workshop „Usable Security“ statt. Die Partner des  Projekts USecureD werden zwei Beiträge zum Workshop-Programm beisteuern: „Usable Security Principles, Guidelines und Patterns“ (Referenten: Hartmut Schmitt/HK Business Solutions GmbH und Peter Nehren/TH Köln) und „Zur Gebrauchstauglichkeit von Security APIs“ (Peter Leo Gorski/TH Köln).

Der CAST-Workshop gibt einen Überblick über aktuelle Arbeiten auf dem Gebiet Usable Security and Privacy aus Wissenschaft und Praxis. Dabei gliedert sich der Tag grob in zwei Teile: Der Vormittag fokussiert den Endanwender. Hier werden Arbeiten vorgestellt, die Bereiche mit hoher Relevanz adressieren, darunter z.B. die Nutzung von Sicherheitsfunktionen im und mit dem Smartphone sowie Anti-Phishing-Strategien. Der Nachmittag widmet sich dem Softwareentwickler. Die zu diesem Teil gehörenden Vorträge befassen sich mit der Usability von Security-APIs und spezifischen Werkzeugen zur Unterstützung der Entwickler im Umgang mit komplexen Sicherheitsfunktionen. Eine begleitende Ausstellung von Projekten (u. a. USecureD) rundet das Workshop-Programm ab.

Mehr Informationen und Anmeldung zum Workshop:
https://www.cast-forum.de/workshops/infos/234

Usable Security and Privacy by Design: Teil 3 unserer Artikelserie im Entwickler Magazin

Usable Security and Privacy by Design
Teil 3: Entwicklungsrichtlinien für Produkte mit dem Qualitätsmerkmal „Usable Security“
erschienen in Entwickler Magazin November/Dezember 6.2016 – Security Engineering
von Hartmut Schmitt und Peter Nehren

Wie kann man auf möglichst strukturierte Weise Anwendungssoftware mit dem Qualitätsmerkmal Usable Security entwickeln? Und welche Werkzeuge sind hierfür geeignet? Diesen Fragen geht der dritte Teil unserer Artikelserie nach und schlägt Prinzipien und Richtlinien als adäquate Gestaltungswerkzeuge vor. Durch die Verwendung dieser Werkzeuge ist es auch Entwicklern in kleineren Softwareunternehmen möglich, bereits in frühen Entwicklungsphasen eines Produkts die Weichen gezielt in Richtung Usable Security and Privacy zu stellen.

Mehr Informationen: Entwickler Magazin – November/Dezember 6.2016

Usable Security: Keine IT-Sicherheit ohne Benutzerfreundlichkeit

usable-securityVon Hartmut Schmitt, Luigi Lo Iacono und Peter Leo Gorski

Software, Apps und vernetzte Technikprodukte müssen mit Sicherheitsfunktionen aus-gestattet sein, die auch für Laien und Gelegenheitsnutzer verständlich und benutzbar sind. Ansonsten können sich diese Produkte im Umgang mit sensiblen Daten als Risiko entpuppen, wenn Sicherheitsmechanismen aufgrund mangelnder Usability von den Nutzern falsch oder überhaupt nicht bedient werden. Das Bundesministerium für Wirt-schaft und Energie (BMWi) fördert das Forschungsprojekt „USecureD – Usable Security by Design“, in dem erforscht wird, wie benutzerfreundliche Informationssicherheit er-folgreich umgesetzt werden kann.

Zum Artikel (PDF-Download): Usable Security

USecureD auf der Mensch und Computer 2016 – Rückblick

Wie letztes Jahr war das Projekt USecureD auch 2016 wieder während der gesamten Mensch und Computer präsent. Ausgerichtet wurde die wichtigste deutschsprachige Konferenz zum Thema Mensch-Maschine-Interaktion diesmal an der RWTH in Aachen. An allen vier Konferenztagen standen wir am Gemeinschaftsstand des Förderschwerpunkts Mittelstand-Digital den 700 Teilnehmern für ihre Fragen rund um Thema benutzerfreundliche Informationssicherheit zur Verfügung.

Mehr als zwanzig Vertreter aus Wissenschaft und Praxis besuchten am Sonntag, 4.9. unseren Ganztagesworkshop, für den wir Arne Padmos (Rotterdam University of Applied Sciences) als Keynote-Speaker gewinnen konnten. Neben den vier Autorenbeiträgen, die einen guten Einblick in die unterschiedlichen Themenbereiche von Usable Security & Privacy gaben, stieß insbesondere der interaktive Workshopteil auf Anklang, in dem die Besucher eigene aktuelle Projekte vorstellen konnten.

Am Montag, 5.9. fand der Workshop des German-UPA-Arbeitskreises „Usable Security & Privacy“ statt. Ko-organisiert von Luigi Lo Iacono (TH Köln) und Hartmut Schmitt (HK Business Solutions) wurden hier die Themen, Ziele und aktuellen Arbeiten des Arbeitskreises vorgestellt. Zudem wurden mit den rund 15 Teilnehmern Fragestellungen zur Relevanz und zu wichtigen Handlungsfeldern im Bereich Usable Security & Privacy diskutiert.

Der Workshop „Mittelstand-Digital“ rundete am Dienstag, 6.9. unser pralles Konferenzprogramm ab. Hier konnten die Besucher die Projekte „Design4Xperience“, „USecureD“ und „3D-GUIde“ näher kennenlernen und insbesondere herausfinden, wie sie die Ergebnisse der verschiedenen Projekte der Förderlinie nutzen können.