Aussagekräftige Security-Evaluierung
Usability-Tests beim Anwender
Sicherheitstechnik muss leicht benutzbar sein, um ihren Zweck zu erfüllen. Der Beitrag zeigt, wie sich auch im Rahmen einer kurzen Teststellung beim Kunden einigermaßen sicher ermitteln lässt, wie gut es um die Benutzbarkeit eines Produkts bestellt ist.
IT-Sicherheit ist keine bloße Frage der Technik. Nicht erst seit einschlägigen SAP-Sicherheitskampagnen ("Passwords are like underwear", LANline 7/2005, Seite 56,
www.lanline.de/kn30475366) rückt der Mensch als Sicherheitsfaktor – häufig allerdings zum bloßen Risikofaktor degradiert (LANline 2/2008, S. 16,
www.lan line.de/kn31393726) – in den Fokus der Debatte um IT-Sicherheit. Während die Technologie selbst, einen Nutzer mit entsprechender Expertise vorausgesetzt, einen immer effektiveren Schutz vor Malware, Spyware und Trojanern gewährleistet, wird der unerfahrene Nutzer mit der Bedienung von immer komplexeren und alltagsferneren Programmen alleingelassen. Fehlermeldungen erscheinen nummerisch verklausuliert, Hilfestellungen und Entscheidungsfolgen sind intransparent.
Nicht nachdenken müssen
"Don?t make me think!", "Zwing mich nicht dazu, nachdenken zu müssen!", lautet der Titel von Steve Krugs Werk zum Thema Usability des Webdesigns und wird zugleich zu seiner Maxime der Benutzbarkeit. Die menschliche Aufnahmekapazität und Aufmerksamkeitsleistung sind insbesondere dann nicht auf sicherheitsrelevante Kontexte fokussiert, wenn Netzwerksicherheit selbst nicht der eigentliche Zweck der Arbeit am PC ist, was jenseits der IT-Abteilung durchweg der Fall sein sollte.
Dennoch ist die Datensicherheit eine conditio sine qua non für effektive Unternehmensökonomie. Zur Abwehr von Angriffen auf firmeninterne Informationen (Kundendaten, interne Berichte, Kommunikationsdaten und so weiter), die von innerhalb und außerhalb des Unternehmensnetzes ausgehen können, bietet der Markt zahlreiche Produkte. Alle versprechen eine Minimierung des Sicherheitsrisikos: Die Firewall, der Intranet-Login, gesicherte Verbindungen sowie Datenverschlüsselungsmethoden und -anwendungen zielen technisch optimiert auf die Risikovermeidung im sensiblen Datenbereich. Die Frage nach der Zugänglichkeit für den Endbenutzer allerdings ist nicht immer einfach zu beantworten.
Test im kleinen Rahmen
In den letzten Jahren hat sich der Begriff der "Usability" als Maß eines benutzerfreundlichen Produkts durchgesetzt. "Usability" gibt es in vielen Varianten. So ist eine Tasse mit drei Henkeln nicht besonders "usable" – ein Bankautomat mit großen Tasten und entspiegeltem Display dagegen schon. Usability wurde anfangs vor allem im Bereich der Internetauftritte (Web-Usability) betont, aber auch im Bereich der Softwareentwicklung stellte sich die Benutzbarkeitsfrage. Ein Sicherheitsprogramm mit unzähligen Optionen mag funktional hochwertig und eventuell auch sehr sicher sein, doch ohne die entsprechende Benutzungsmöglichkeit verliert die technische Funktionalität ihren Nutzen. Gerade für kleine Unternehmen ist es aber nicht immer ganz einfach, auch diesen Aspekt eines Produkts vor der Investition fundiert zu bewerten. Während finanzkräftige Firmen über die entsprechenden Mittel und zeitlich-räumlichen Kapazitäten verfügen, um externe Spezialisten mit der Evaluation der Programmbenutzbarkeit zu beauftragen, fehlt diese Möglichkeit einem Großteil der Firmen, für die Datensicherheit jedoch nicht minder relevant ist. Was bleibt, ist nur ein gewisses Urvertrauen in die Mitarbeiter und die Interface-Designer.
Von Interesse ist deshalb, ob auch mit minimalen unternehmensinternen Mitteln eine valide Überprüfung der Benutzbarkeit von Sicherheitsanwendungen möglich ist. Wichtig wäre dies zum Beispiel für mittelständische Unternehmen, die nur begrenzte Ressourcen für solche Evaluierungen zur verfügung haben. Die Vorzüge eines internen Tests sind die Unmittelbarkeit der Ergebnisse, ein relativ geringer Zeitaufwand und ein vergleichsweise preiswerter Einsatz einfacher Hilfsmittel.
Im Regelfall bieten Softwarehersteller eine Rückabwicklungsfrist des Kaufvertrags an. Innerhalb dieser Frist sollte von der Möglichkeit Gebrauch gemacht werden, die Software-Ergonomie im Firmenkontext zu überprüfen.
Auch eigene Tests sind aussagekräftig
Usability entfaltet sich erst in der Anwendung des Produkts selbst und hängt maßgeblich von personenspezifischen Voraussetzungen ab, die von Firma zu Firma variieren. Beim Testen von Usability liefert der Selbstversuch ebenso qualifizierte Ergebnisse wie externe Testings. Ein solches Testing könnte die folgenden Schritte enthalten: die Detektion potenzieller Probleme bei der Installation, die quantitative und qualitative Erfassung möglicher Probleme während der Benutzung im alltäglichen Arbeitskontext anhand relevanter Aufgabenstellungen sowie die subjektiven Urteile der Mitarbeiter bezüglich der Handhabbarkeit, Transparenz und Hilfefunktionen des Programms. Das Setting ist denkbar einfach, aber effektiv. Der scheinbar banale Ansatz, ein paar Mitarbeiter des eigenen Unternehmens das Produkt erproben zu lassen, dass sie später vielleicht einmal produktiv einsetzen sollen, führt zu durchaus stichhaltigen und belastbaren Ergebnissen, wenn man nur ein paar wissenschaftlich erprobte Tricks und Verfahrensweisen dabei einhält.
Eine kleine Gruppe von Mitarbeitern liefert bereits valide Ergebnisse. Glaubt man einem der führenden Usability-Spezialisten, Jakob Nielsen, so genügen nur fünf Personen, um 80 Prozent der Schwächen im Interface-Design zu finden. Optimal ist letztlich eine möglichst repräsentative Stichprobe.
Im Test müssen normale Arbeitsschritte, die dem Mitarbeiter im täglichen Arbeiten begegnen, definiert und simuliert werden. Wichtig ist es, den für den Test herangezogenen Mitarbeitern mitzuteilen, dass es ausschließlich um die Evaluation des Produktes und nicht um ihre Kompetenz im Umgang mit Sicherheitssoftware geht. Dies muss tatsächlich eine Prämisse des Tests sein – entsteht auch nur der geringste Verdacht, auch das Verhalten des Anwenders im Test würde für sich bewertet, hat dies Auswirkungen auf sein Vorgehen. Der Test verliert dann an Wert. Datenschutz und die Garantie, die gesammelten Daten nur anonym und rein statistisch auszuwerten, gehören zum Versuchsaufbau. Die generellen Vorteile eines benutzerfreundlichen Programms sowie die Wichtigkeit von IT-Sicherheit im Allgemeinen sollten dem Testenden nahe gebracht werden. Bleibt dies aus, könnten die gewonnenen Ergebnisse ebenfalls ihre Aussagekraft verlieren.
Beim Test sollte der Versuchsleiter natürlich zugegen sein. Auch eine Videoaufzeichnung oder Protokollierung der Arbeitsschritte am PC sind mit der Zustimmung der Betroffenen zur besseren nachträglichen Auswertung denkbar.
Laut beschreiben, was man tut
Anweisungen zur Benutzung sollt man während des Tests nicht geben, und bei Fragen ist nur ein Minimum an Hilfestellung leisten. Ein zweiter wichtiger Punkt bei diesem Test ist, die Mitarbeiter dahingehend zu motivieren, dass sie die Probleme, auf die sie stoßen, laut auszusprechen. Diese Arbeitsweise heißt in der Psychologie "Think aloud protocol". Sie ermöglicht es, die Probleme, die Mitarbeiter mit der Programmbenutzung haben, detailliert in ihrer Entstehung aufzuzeichnen.
Auch die Motivationskomponente rückt als Aspekt der Usability zunehmend in den Vordergrund. Donald Norman, der eng mit Nielsen zusammenarbeitet, geht sogar soweit, einen direkten Zusammenhand zwischen "Beauty, Goodness and Usability" (Schönheit, Güte und Benutzbarkeit) – so der Titel eines seiner Aufsätze – zu konstatieren. Speziell Störungen bei der Bewältigung der eigentlichen Arbeit zählen: Durch ein ständiges auftauschendes Security-Popup bei einer Internetverbindung etwa kann der Benutzer schnell die Nerven verlieren und eventuell auf den zusätzlichen Schutz verzichten.
Gibt es einen EDV- oder IT-Spezialisten im Unternehmen, so sollte auch dieser bei den Tests anwesend sein und das Monitoring übernehmen. Anderenfalls sollte ein Mitarbeiter diese Rolle übernehmen, der über profundes Hintergrundwissen und Informationen über die technische Ausstattung der Firma verfügt.
In einem zweiten Schritt können die häufigsten Probleme herausgearbeitet und Szenarien erstellt werden, in denen diese Probleme auf jeden Fall auftreten werden.
Insbesondere sollten technisch unerfahrenere Mitarbeiter, die mit dem Programm noch nicht in Berührung gekommen sein dürfen, in den Test einbezogen werden. So lässt sich auch erkennen, inwiefern eine erste, durch Schulungen vermittelte Erfahrung mit dem Programm bereits den Umgang damit erleichtert.
Dokumentation als Ergebnis
Es empfiehlt sich darüber hinaus, aufgrund der gewonnenen Daten für den Fall eines späteren produktiven Einsatzes oder für einen intensiveren Test eine Anleitung zur Benutzung des Programms zu erstellen, damit Kollegen und neue Mitarbeiter eine erste Handreichung erhalten. In dieser Dokumentation sollten die häufigsten Fragen vorgestellt und erklärt werden, weil bereits dadurch ein Großteil der potenziellen Problemfelder abgedeckt wird.
Um die Tauglichkeit des Programms unabhängig von einer oft reaktiven Testsituation zu überprüfen, kann es dann beim einem ersten Teil der Mitarbeiter oder Abteilungen als Standard implementiert und in den Arbeitsalltag integriert werden.
Falls sich die Fragen zum Programm und die Probleme damit dann nach mehreren Tagen nicht vermindert haben, muss entweder davon ausgegangen werden, dass die Dokumentation noch nicht ausreichend ist, oder dass das Programm für die Mitarbeiter nicht gebrauchstauglich ist.
Vertrauensbildende Maßnahme
Die größten Probleme bei einem internen Usability-Test lassen sich jedoch nicht so einfach neutralisieren. In jeder bewussten Testsituation werden sich entsprechende Mitarbeiter anders verhalten als im Arbeitsalltag. Eine ehrliche und eventuell negative Meinung könnte zurückgehalten werden, um dem Vorgesetzten nicht negativ aufzufallen. Vielleicht hat die EDV-Abteilung im Unternehmen auch einen schlechten Ruf. Einen Lösungsansatz stellt hier gegebenenfalls der Einsatz eines oder mehrerer externer Experten als Testleitung dar, die sich mit den Effekten von Fragesituationen auskennen, von einer internen Firmenhierarchie unbeeinflusst sind und dies auch als Faktum den Testpersonen vermitteln. Ein alternativer Ansatz ist es, eine Person als Versuchsleiter zu instruieren, die sich mit den Testenden auf gleicher hierarchischer Ebene befindet.
Es ist also durchaus möglich, mit relativ geringem zeitlichen und finanziellem Aufwand interne Usability-Tests durchzuführen, die schnell Ergebnisse liefern und dadurch einen wichtigen Beitrag zu IT-Sicherheit leisten. Die Evaluation von Usability erfordert folglich nicht notwendigerweise ressourcen wie externe Experten-Laboratorien, Hohlspiegelräume und diplomierte Neuropsychologen.
Darüber hinaus werden die Mitarbeiter auf dem geschilderten Weg in Entscheidungsfindungsprozesse einbezogen, was ihrer Identifikation mit dem Unternehmen förderlich sein kann. Zugleich wird ihnen vermittelt, wie wichtig die Beteiligung des Einzelnen als Sicherheitsfaktor ist. Auch dies ist ein wichtiger Aspekt , denn ohne Personal, das nach bestimmten Sicherheitsstandards arbeitet, bleibt jedes Sicherheitsprodukt eine nutzlose Investition.
"Don?t make me think!" gilt also sicherlich nur für die Bedienung von Hard- und Software – keinesfalls aber für die Auseinandersetzung mit Sicherheitsthemen an sich.
Lesen Sie mehr zum Thema
