Usable Security und Privacy by Design
()
About this ebook
Related to Usable Security und Privacy by Design
Titles in the series (100)
Einstieg in Google Go Rating: 0 out of 5 stars0 ratingsQualitätssicherung mit JavaScript und PHP Rating: 0 out of 5 stars0 ratingsHTML5 für Mobile Web Rating: 0 out of 5 stars0 ratingsHTML5 Security Rating: 0 out of 5 stars0 ratingsÜberzeugende Präsentationen: Konzeption, Technik und Design Rating: 0 out of 5 stars0 ratingsGeolocation mit PHP: Foursquare-API, Google Places & Qype Rating: 0 out of 5 stars0 ratingsSkalierbare Softwaresysteme: Design, Betrieb und Optimierungspotenziale Rating: 0 out of 5 stars0 ratingsJavaScript für Eclipse-Entwickler: Orion, RAP und GWT Rating: 0 out of 5 stars0 ratingsUX Design für Tablet-Websites: Ein Überblick Rating: 0 out of 5 stars0 ratingsJava 7: Fork-Join-Framework und Phaser Rating: 0 out of 5 stars0 ratingsErfolgreiche Spieleentwicklung: OpenCL Rating: 0 out of 5 stars0 ratingsAlgorithmen: Grundlagen und Implementierung Rating: 0 out of 5 stars0 ratingsIT Wissensmanagement: Theorie und Praxis Rating: 0 out of 5 stars0 ratingsServiceorientierte Architektur: Anforderungen, Konzeption und Praxiserfahrungen Rating: 0 out of 5 stars0 ratingsBig Data: Technologiegrundlagen Rating: 0 out of 5 stars0 ratingsQualität in IT-Architekturen: Strategie und Planung Rating: 0 out of 5 stars0 ratingsSharePoint-Entwicklung für Einsteiger Rating: 0 out of 5 stars0 ratingsErfolgreiche Spieleentwicklung: OpenGL, OpenAL und KI Rating: 0 out of 5 stars0 ratingsJava EE Security Rating: 0 out of 5 stars0 ratingsAmazon Web Services für .NET Entwickler Rating: 0 out of 5 stars0 ratingsNutzeraspekte in Suchmaschinen: Komponenten für eine gelungene Usability-Gestaltung Rating: 0 out of 5 stars0 ratingsJavaScript auf dem Server Rating: 0 out of 5 stars0 ratingsNFC: Near Field Communication für Android-Entwickler Rating: 5 out of 5 stars5/5Zend Framework 2: Für Einsteiger und Umsteiger Rating: 0 out of 5 stars0 ratingsNintex Workflow: Konzepte und Strategien für leistungsfähige SharePoint-Workflows Rating: 0 out of 5 stars0 ratingsTFS 2012 Versionskontrolle: Grundlagen, Check-In Policies und Branch-Modelle Rating: 0 out of 5 stars0 ratingsBig Data: Executive Briefing Rating: 0 out of 5 stars0 ratingsF#: Ein praktischer Einstieg Rating: 0 out of 5 stars0 ratingsTFS 2012 Anforderungsmanagement: Work Items und Prozessvorlagen Rating: 0 out of 5 stars0 ratingsTFS 2012 TFS 2012 Team Build - Architektur und Installation: Architektur und Installation Rating: 0 out of 5 stars0 ratings
Related ebooks
Die Effizienz von Security Monitoring und Log Management: IT-Systeme und -Dienste unter Beschuss Rating: 0 out of 5 stars0 ratingssichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme Rating: 0 out of 5 stars0 ratingsInformation Security: Smarte Lösungen zu neuartigen Bedrohungen und erweiterter Regulatorik Rating: 0 out of 5 stars0 ratingsKosten der IT-Sicherheit: Ein Ausgangspunkt für weitergehende Untersuchungen Rating: 0 out of 5 stars0 ratingsData Loss Prevention und Incident Response: Schutz vor Hackerangriffen Rating: 0 out of 5 stars0 ratingsResilience: Wie Netflix sein System schützt Rating: 0 out of 5 stars0 ratingsPrivacy Impact Assessment: Datenschutz-Folgenabschätzung nach ISO/IEC 29134 und ihre Anwendung im Rahmen der EU-DSGVO Rating: 0 out of 5 stars0 ratingsWebsecurity: Jahresrückblick Rating: 0 out of 5 stars0 ratingsIT Management: Erfahrungen und Trends Rating: 0 out of 5 stars0 ratingsOAuth 2.0: Client & Server Rating: 0 out of 5 stars0 ratingsRequirement Management Systeme: Suche und Bewertung geeigneter Tools in der Software-Entwicklung Rating: 0 out of 5 stars0 ratingsEinführung von Salesforce CRM im gemeinnützigen Umfeld: Planung, Architektur und Migration der vorhandenen Daten Rating: 0 out of 5 stars0 ratingsZahlungsverkehr und elektronisches Banking Rating: 0 out of 5 stars0 ratingsGrundlagen und Anwendung von Information Security Awareness: Mitarbeiter zielgerichtet für Informationssicherheit sensibilisieren Rating: 0 out of 5 stars0 ratingsBasiswissen Sichere Software: Aus- und Weiterbildung zum ISSECO Certified Professionell for Secure Software Engineering Rating: 0 out of 5 stars0 ratingsEmbedded Software Timing: Methodik, Analyse und Praxistipps am Beispiel Automotive Rating: 0 out of 5 stars0 ratingsMensch-Computer-Interaktion: Basiswissen für Entwickler und Gestalter Rating: 3 out of 5 stars3/5SharePoint Kompendium - Bd. 20 Rating: 0 out of 5 stars0 ratingsSicherheit in vernetzten Systemen: 23. DFN-Konferenz Rating: 0 out of 5 stars0 ratingsMobile Security: Schwachstellen verstehen und Angriffsszenarien nachvollziehen Rating: 0 out of 5 stars0 ratingsManipulationssichere Cloud-Infrastrukturen: Nachhaltige Digitalisierung durch Sealed Cloud Security Rating: 0 out of 5 stars0 ratingsLockout-Tagout: Verriegelung von Stellgliedern zur umfassenden Wartungssicherung von Maschinen Rating: 0 out of 5 stars0 ratingsLeitfaden Automotive Cybersecurity Engineering: Absicherung vernetzter Fahrzeuge auf dem Weg zum autonomen Fahren Rating: 0 out of 5 stars0 ratingsSicherheit in vernetzten Systemen: 24. DFN-Konferenz Rating: 0 out of 5 stars0 ratingsModerne Realzeitsysteme kompakt: Eine Einführung mit Embedded Linux Rating: 0 out of 5 stars0 ratingsCloud Security: Praxisorientierte Methoden und Lösungen für sicheres Cloud Computing Rating: 0 out of 5 stars0 ratingsBasiswissen Sicherheitstests: Aus- und Weiterbildung zum ISTQB® Advanced Level Specialist – Certified Security Tester Rating: 0 out of 5 stars0 ratingsHacking mit Metasploit: Das umfassende Handbuch zu Penetration Testing und Metasploit Rating: 0 out of 5 stars0 ratings
Security For You
Überwachungswahn: ...wie umgehen ?? Rating: 0 out of 5 stars0 ratingsDie Burg IT-Sicherheit: IT-Sicherheit Stein auf Stein Rating: 0 out of 5 stars0 ratingsVersteckte Botschaften (TELEPOLIS): Die faszinierende Geschichte der Steganografie Rating: 5 out of 5 stars5/5Einführung ins Darknet: Darknet ABC Rating: 0 out of 5 stars0 ratingsHeim-Netzwerke: Netzwerktechnik • High-Speed-Internet • Arbeiten im Heimnetz Rating: 0 out of 5 stars0 ratingsCybercrime: Wie Sie Gefahren im Internet erkennen und sich schützen Rating: 0 out of 5 stars0 ratingsWeg ins Darknet und Im Darknet Rating: 0 out of 5 stars0 ratingsHeimnetzwerke XL-Edition: DSL/WLAN/PC/Handy/Drucker & Co. Rating: 0 out of 5 stars0 ratingsSECURITY AWARENESS: Leitfaden zur IT-Sicherheit für Anwender Rating: 0 out of 5 stars0 ratingsHacken mit Kali-Linux: Schnelleinstieg für Anfänger Rating: 0 out of 5 stars0 ratingsKochbuch ISMS: Informationssicherheits-Management nach ISO 27001 Rating: 0 out of 5 stars0 ratingsAndroid Security: Von Fake-Apps, Trojanern und Spy Phones Rating: 0 out of 5 stars0 ratingsNeun Schritte zum Erfolg: Ein Überblick zur Implementierung der Norm ISO 27001:2013 Rating: 0 out of 5 stars0 ratingsWebseiten hacken: Schnelleinstieg inkl. Entwicklung eigener Angriffsscripte Rating: 0 out of 5 stars0 ratingsHacken mit Python und Kali-Linux: Entwicklung eigener Hackingtools mit Python unter Kali-Linux Rating: 0 out of 5 stars0 ratingsResilience: Wie Netflix sein System schützt Rating: 0 out of 5 stars0 ratingsFRITZ!Box: Konfigurieren - Tunen - Absichern Rating: 0 out of 5 stars0 ratingsIch Hacker – Du Script-Kiddy: Hacking und Cracking Rating: 0 out of 5 stars0 ratingsWebsecurity: Angriffe mit SSRF, CSRF und XML Rating: 0 out of 5 stars0 ratingsBug Bounty Hunting mit Kali-Linux oder Parrot Security OS: Hacking als Hautberuf oder Nebenjob Rating: 3 out of 5 stars3/5JavaScript Security: Sicherheit im Webbrowser Rating: 0 out of 5 stars0 ratingsISO27001/ISO27002: Ein Taschenführer Rating: 0 out of 5 stars0 ratingsHeim-Netzwerke Tipps & Tools: Netzwerkverbindungen • Zentraler Datenspeicher • Mediastreaming Rating: 0 out of 5 stars0 ratingsNichts ist sicher: Tricks und Techniken von Cyberkriminellen verstehen und sich schützen Rating: 5 out of 5 stars5/5IT-Sicherheit ist sexy!: Argumente für Investitionen in IT-Sicherheit Rating: 0 out of 5 stars0 ratings
Reviews for Usable Security und Privacy by Design
0 ratings0 reviews
Book preview
Usable Security und Privacy by Design - Hartmut Schmitt
GmbH
1 Benutzerzentrierte Entwicklung von Sicherheitsfunktionen
Der Begriff „Usable Security and Privacy by Design" bezeichnet Methoden und Verfahrensweisen in der Entwicklung von Software und technischen Produkten, bei denen der Benutzer im Mittelpunkt der Entwicklung von Sicherheits- bzw. Datenschutzkomponenten steht.
„Benutzer meint in diesem Zusammenhang nicht nur den Anwender der Software, sondern auch deren Entwickler. Letzterem kommt dabei eine besondere Bedeutung zu. Denn die komplexen Sicherheits- und Datenschutzsachverhalte müssen in verständlicher Art und Weise in Methoden, Werkzeugen, APIs, Bibliotheken und Frameworks integriert sein, damit nicht funktionale Anforderungen wie Sicherheit korrekt umgesetzt werden können – korrekt im Sinne der effektiven Implementierung der Sicherheitsmechanismen, aber auch der Benutzbarkeit durch den Zielanwender. Das erste Kapitel des shortcuts zum Thema „Usable Security
dient als Einführung in die Thematik. Es soll insbesondere für Softwareentwickler einen Überblick bieten und für die Probleme bei der Entwicklung gebrauchstauglicher Sicherheitsfunktionen sensibilisieren.
Die Digitalisierung schreitet stetig voran und hält in allen Bereichen des Lebens Einzug – ob im vernetzten Zuhause (Smart Home), in unzähligen Gegenständen (Internet of Things) oder im großen Rahmen in der Industrie (Industrie 4.0). Die Vernetzung durch Cloud Computing und neue Technologien zur Verarbeitung und Analyse von Big Data können einen entscheidenden Beitrag dazu leisten, die alltäglichen Dinge des digital vernetzten Zeitalters einfacher zu gestalten. Hierbei werden jedoch online riesige Datenmengen abgelegt und bearbeitet, darunter zunehmend sensible Daten von Unternehmen, Organisationen und Privatpersonen. Um die damit einhergehenden Risiken zu minimieren, fordern Benutzer verstärkt geeignete Sicherheitskomponenten. Die Folge: Zu dem enormen Angebot an Endgeräten, Software und Onlineservices gesellt sich eine ebenso große Anzahl von (häufig optionalen) Sicherheitswerkzeugen. Die Anwender sehen sich mit Passwörtern und Passwortmanagement, Virenscannern, Malwareschutz, Firewalls, Kommunikations- und Datenverschlüsselung konfrontiert, ebenso mit den damit verbundenen Updates, Einstellungen und Warnungen. Für Entwickler bringt das die zusätzliche Herausforderung mit sich, die essenziellen Sicherheitsmechanismen in einer Weise auszugestalten, wie es allgemein von gebrauchstauglichen Systemen erwartet wird [1], das heißt, so, dass sie von den Zielanwendern effektiv, effizient und zufriedenstellend verwendet werden können.
Usability vs. Security?
Die eigene Erfahrung lässt erahnen, dass bei der Nutzung von Sicherheitssoftware bzw. von Systemkomponenten, die Sicherheitsfunktionen bereitstellen, die Usabilitykriterien „effektiv, „effizient
und „zufriedenstellend" oft nicht erfüllt werden. Einschlägige wissenschaftliche Studien belegen diesen Eindruck [2], [3], [4]. Sicherheit und Usability werden häufig sogar als widersprüchliche Komponenten eingeschätzt, die nicht unter einen Hut zu bekommen sind. Wenn Sicherheitslösungen ohne Berücksichtigung der menschlichen Eigenschaften und Fähigkeiten sowie des Anwendungskontexts entwickelt werden, stellen sie eine Barriere dar, die beim Erledigen der eigentlichen primären Aufgaben im Weg steht [4]. Das kann dazu führen, dass Sicherheitssysteme oder Sicherheitsvorgaben umgangen werden, wodurch Sicherheitskonzepte zu Fall gebracht werden können. Das folgende Beispiel aus der Praxis [3] verdeutlicht das: Mobile fahrbare Terminals sind in Krankenhäusern ein verbreitetes Mittel zur Unterstützung der Visite. Zur Authentifizierung des Benutzers kommen hier häufig Verfahren zum Einsatz, die einer Interaktion des Arztes bedürfen (z. B. Passwort eingeben oder Krankenhaus-Smartcard einlesen). Das Abmelden erfolgt entweder explizit oder automatisch nach Verstreichen einer festgelegten Zeitspanne. Insbesondere Letzteres erweist sich für den Arzt im Nutzungskontext als ineffizient, da z. B. bei längeren Gesprächen mit dem Patienten während der Visite ein wiederholtes Anmelden am System erforderlich ist. Das Erweitern der impliziten Abmeldung durch ein Gerät zur Entfernungsmessung sollte hier eine Verbesserung bewirken. Außer Reichweite geraten, wird der angemeldete Anwender automatisch abgemeldet. Dieser Ansatz erwies sich in der Praxis allerdings als absolut untauglich. Abhilfe wurde von den frustrierten Anwendern mittels