Hartmut Schmitt HK Business Solution GmbH

Patterns sind ein fester Bestandteil der Softwarebranche geworden und transferieren Wissen über erfolgserprobte Problemlösungen bei Design- und Implementierungsfragen.

Peter Nehren Technische Hochschule Köln

In der Literatur gibt es eine Vielzahl von Schablonen, Vorlagen und Empfehlungen zur Ausarbeitung von Use Cases in unterschiedlichen Detaillierungsgraden. Darauf aufbauend haben wir ein Beschreibungstemplate für die Dokumentation der Anwendungsfälle mit Usable-Security- Bezug erstellt.

Gerade im Bereich betrieblicher Anwendungssoftware gibt es einen großen Nachholbedarf, was die Gebrauchstauglichkeit von Schutzmechanismen und Sicherheitsfunktionen angeht. Mangelnde Usability ist in diesem Fall kein Schönheitsfehler. Sie kann, wenn Sicherheitsfunktionen nicht richtig bedient werden und dadurch der Schutz sensibler Daten versagt, drastische Folgen für die Unternehmen haben. Um das Problem einzugrenzen, lohnt es sich, zu schauen, welche Anwendungsfälle konkret betroffen sind und vor allem, welche Musterlösungen geeignet sind, um Abhilfe zu schaffen und Anwenderunternehmen einen effektiven Schutz zu gewährleisten.

Die digitale Transformation unseres beruflichen Alltags schreitet immer weiter voran. Durch die damit einhergehende Vernetzung aller Wirtschaftsbereiche ergeben sich für die Unternehmen neue Geschäftsmodelle und Chancen der Wertschöpfung; allerdings sind auch viele Anpassungen an die neuen Gegebenheiten erforderlich. Beispielsweise fallen täglich riesige Mengen teils sensibler Daten an, die vor unberechtigtem Zugriff geschützt werden müssen. Damit dieser Schutz funktioniert, müssen adäquate Sicherheitskonzepte für Software, Endgeräte und Onlineservices entwickelt werden. Die implementierten Schutzmechanismen und Sicherheitsfunktionen – z. B. Passwortmanagement, Virenscanner oder Kommunikations- und Datenverschlüsselung – dürfen keine Barriere darstellen, die den betrieblichen Anwendern beim Erledigen ihrer eigentlichen Aufgaben im Wege steht. Ansonsten werden die Mechanismen bewusst oder unbewusst umgangen, wodurch letztendlich das gesamte Sicherheitskonzept zu Fall gebracht werden kann.

Usable Security and Privacy

In Teil 1 unserer Artikelserie haben wir einen Ansatz vorgestellt, der seit einigen Jahren unter dem Schlagwort Usable Security and Privacy diskutiert wird. Er integriert Methoden und Werkzeuge des Security Engineerings mit Modellen der Psychologie und Erkenntnissen aus der Mensch-Maschine-Interaktion sowie der Designforschung. Ziel dieses interdisziplinären Ansatzes ist es, Software und interaktive Produkte so zu gestalten, dass sie den Benutzer bei seinen sicherheits- und datenschutzrelevanten Zielen und Vorhaben bestmöglich unterstützen. Der Nutzer soll in die Lage versetzt werden, Sicherheitselemente und deren Notwendigkeit zumindest grundlegend zu verstehen, damit er diese in der dafür vorgesehenen Weise verwenden kann. Bei betrieblichen Anwendungen ist hier ein besonderes Maß an Gebrauchstauglichkeit vonnöten, damit auch Newbies, sporadische Nutzer oder Anwender in Stresssituationen mit den Sicherheitselementen ihres Systems zurechtkommen.

Dem Softwareentwickler kommt in dem Entwicklungsprozess solcher Produkte eine Schlüsselposition zu. Auf der einen Seite implementiert er die Sicherheitsfunktionen, die von den späteren Endanwendern des Systems genutzt werden. Auf der anderen Seite ist er bei der Softwareentwicklung selbst Anwender von Sicherheitskomponenten. Ihm müssen Methoden, Tools, APIs, Bibliotheken und Frameworks zur Verfügung stehen, bei denen komplexe Sicherheits-, Datenschutz- und Usabilityanforderungen in verständlicher Art und Weise integriert sind. Nur dann ist er in der Lage, die entsprechenden nicht funktionalen Anforderungen an ein zu entwickelndes Produkt systematisch und korrekt umzusetzen.

Im Projekt „Usable Security by Design“ (kurz: USecureD, vgl. gleichnamiger Kasten) werden seit Mai 2015 Methoden und Werkzeuge entwickelt, die Softwarearchitekten und -programmierer bei der Entwicklung von betrieblichen Anwendungen mit dem Qualitätsmerkmal Usable Security unterstützen sollen. Zielgruppe des Projekts, das vom Bundesministerium für Wirtschaft und Energie gefördert wird, sind insbesondere Entwickler bei kleinen und mittelständischen Softwareunternehmen. Die Ergebnisse für diese Zielgruppe stehen auf der Projektwebsite kostenlos als Downloads beziehungsweise zur Anwendung zur Verfügung.

Den vollständigen Artikel lesen Sie in der Ausgabe:

Entwickler Magazin 4.16 - "PICAXE: Mit Spaß und Spiel zum Embedded-Profi"

Alle Infos zum Heft
246341Betriebliche Anwendungssoftware: Schutz und Sicherheit
X
- Gib Deinen Standort ein -
- or -