Security braucht einfache Bedienung

Usability-Tests bei Sicherheitssoftware

18. November 2005, 18:31 Uhr | Oliver Welter, Dr. Michael Pramateftakis/wj Dipl.-Ing. Oliver Welter (welter@tum.de) und Dr.-Ing. Michael Pramateftakis (pramateftakis@tum.de) sind wissenschaftliche Mitarbeiter am Lehrstuhl für Datenverarbeitung der Technischen Universität München.

Anwenderfreundlichkeit ist für Sicherheitsprodukte mehr als eine nette Zugabe. Vor allem bei Produkten, die auf den Desktops der Enduser laufen müssen, entscheidet Usability über den Wirkungsgrad mit. Mit normalen Tests für Produktivsoftware lassen sich die Anforderungen an Security-Systeme aber nicht erfassen.

Die meisten Tests und Produktvorstellungen befassen sich auch im Bereich Security allein mit
technischen Leistungsaspekten. Anwenderfreundlichkeit spielt bestenfalls in Form der Bewertung von
Managementfunktionen eine Rolle. Im Sicherheitsumfeld müssen viele Produkte aber auch von
Endanwendern bedient werden, die sich mit IT-Technik nur rudimentär und mit IT-Sicherheit fast gar
nicht auskennen. Verschlüsselungs-Tools, VPN-Clients für mobile Arbeitskräfte, Desktop-Virenschutz
und Personal Firewalls sind typische Systeme dieser Art. Es fehlt also an Testkriterien, bei denen
Usability-Aspekte von vornherein im Zentrum stehe.

Auch die Einstellung des Benutzers zählt

Der größte Unterschied zwischen Sicherheits- und Anwendungssoftware ist vielleicht die
Einstellung des Benutzers zum Programm. Anwendungssoftware wird meist wissentlich installiert, und
der Benutzer ist gewillt, sich mit der Funktionsweise und Bedienung auseinanderzusetzen und eine
Lernkurve zu durchlaufen, weil er mit dem Produkt persönlich etwas erreichen will.

Für die meisten Benutzer ist das Themen-gebiet IT-Sicherheit dagegen noch unzugänglich. Einer
Studie des BSI [2] zufolge schätzen zwei Drittel der privaten Benutzer die Folgen eines
Computerausfalls als nicht schwerwiegend ein. Entsprechend gering ist ihre Motivation, sich aktiv
um die Absicherung vor Gefahren zu bemühen. Der Einsatz von Softwareprodukten zum Schutz der Daten
und Infrastrukturen bringt dem Benutzer auf den ersten Blick keinen Vorteil. Durch den zusätzlichen
Verbrauch von Systemressourcen oder notwendige Konfigurationsmaßnahmen und durch zusätzliche
Interaktionen, wie zum Beispiel die Eingabe eines Kennworts, fühlen sich viele Benutzer außerdem in
ihrer gewohnten Arbeitsweise beeinträchtigt. Diese Situation kann im Extremfall die
Aktionsfähigkeit von Organisationen beeinrächtigen, weshalb beispielsweise die NATO von den
Herstellern gezielt Sicherheitsprodukte einfordert, die ihrem Personal bei dessen eigentlichen
Aufgaben nicht im Weg stehen (siehe Beitrag auf Seite 10 in diesem Heft).

Im Umfeld der Unternehmensprofis sieht es nicht anders aus. Die Administratoren sind überlastet
und die IT-Budgets knapp [3]. Die Notwendigkeit von Sicherheitsmaßnahmen ist dem Management meist
nicht klar, da ein realer Gewinn durch die Verhinderung eines möglichen Schadens schwer zu erfassen
ist. Optimale Sicherheitssoftware muss ihre Arbeit deshalb verrichten, ohne dabei dem Benutzer
aufzufallen oder den Administrator zu belasten.

Testkriterien

Vor dem Hintergrund dieser Feststellung soll nun eine Reihe von Testkriterien ermittelt werden,
die die Beeinträchtigung des Nutzers durch die zu testende Software möglichst objektiv
wiedergibt.

Zunächst definieren wir verschiedene Nutzungsprofile:

Heimcomputer

Der PC wird als Schreibmaschine, Internet-Terminal und etwa zum Betrachten der Urlaubsbilder
benutzt. Der Anwender fügt verschiedene Software und Hardware hinzu, die Einrichtungsaufgaben
werden dabei vollautomatisch erledigt. Dialoge müssen präzise Anweisungen oder Fragen enthalten und
für Personen ohne jegliche EDV-Kenntnisse verständlich sein.

Zeitweise betreuter Heimcomputer

Im Gegensatz zum oben genannten Heimcomputer wird bei diesem Profil die Installation und
Konfiguration neuer Software zusammen mit einem semiprofessionellen Administrator vorgenommen.
Dieser unterrichtet den Anwender des Rechners über einige Verhaltensgrundregeln und Eigenarten der
Software und wird bei Problemen hinzugezogen. Über diese Vorgänge hinaus möchte sich der Anwender
nicht mit dem Computer beschäftigen.

Profisystem

Verschiedenste Software wird mit benutzerdefinierten Optionen installiert. Der Benutzer hat
ausreichende Kenntnisse, um sein System zu konfigurieren, und ist in der Lage, Fragen zum System zu
beantworten.

Netzwerkarbeitsplatz

Im Fokus dieses Profils liegt die einfache Administration vieler gleichartiger Rechner, die in
einem Firmennetzwerk verbunden sind. Die Benutzer können in gewissem Rahmen geschult werden. Die
Administratoren kennen ihre Systeme und sind in der Lage, auch komplexere Fragen dazu zu
beantworten.

Gerade bei Software für Sicherheitsaufgaben ist eine korrekte Konfiguration von Anfang an
unerlässlich. Daher soll im Rahmen unserer Tests der gesamte Lebenszyklus bewertet werden.

In der ersten Phase der Installation und der initialen Konfiguration betrachten wir:

Die Installation der Basissoftware vom Installationsmedium,

die Grundkonfiguration der Sicherheitsbasis und

die Konfiguration der Benutzerkonten und Betriebsparameter.

Die Betriebsphase selbst teilen wir ebenfalls in drei Unterpunkte auf:

normaler Betrieb des Systems,

Auftreten eines für die Software relevanten Ereignisses und

anfallende Wartungsaufgaben.

Als letzter Schritt soll auch die Deinstallation der jeweiligen Software getestet werden – für
den Fall, dass sie den Anforderungen des Anwenders nicht entspricht oder nicht behebbare
Funktionsprobleme aufwirft.

Testverlauf

Der Test wird für jedes definierte Nutzerprofil getrennt durchgeführt. Vor Beginn der
Testdurchläufe ist durch anerkannte Verfahren ein repräsentatives Abbild der Nutzergruppe zu
ermitteln.

Installation und initiale Konfiguration

1.) Installation der Basissoftware vom Installationsmedium

In diesem Punkt unterscheidet sich Software im Sicherheitsbereich nicht wesentlich von anderen
Softwareprodukten. Als zusätzliches Testkriterium ist hier die Unterstützung bei der
Versionsauswahl beziehungsweise Komponentenauswahl von Bedeutung.

Das Fachwissen der Anwender über den Aufgabenbereich der Software ist in den meisten Fällen
gering, die jeweiligen Installationsoptionen der Produkte müssen daher ausreichend und
allgemeinverständlich erklärt sein.

2.) Grundkonfiguration der Sicherheitsbasis

Viele Produkte benötigen eine Sicherheitsbasis, um korrekt funktionieren zu können. Dabei kann
es sich um ein Kennwort, kryptographische Schlüssel oder eine Smartcard handeln. Die Fragen dazu
lauten: Wird die Funktion der Sicherheitsbasis ausreichend erläutert? Wird bei Eingabe schwacher
Passwörter gewarnt? Können die erforderlichen Daten auf einem externen Medium gesichert werden, um
im Fehlerfall zur Rekonstruktion von Daten zur Verfügung zu stehen? Wird dies dem Benutzer
verständlich angeboten?

3.) Konfiguration der Benutzer/Betriebsparameter

Unterstützt die Software, wo es sinnvoll erscheint, Benutzerkonten? Werden diese in geeigneter
Weise mit dem System abgeglichen oder müssen diese getrennt erstellt werden? Welche
Betriebsparameter lassen sich vorab einstellen und sind diese verständlich erklärt? Treffen die
Nutzer hier die richtigen Entscheidungen? Gibt es einen Lernmodus, um die Parameter interaktiv
einzustellen? Wie brauchbar ist das Produkt, wenn der Anwender alle Standardeinstellungen
übernimmt?

Betriebsphase

Zur Beurteilung der Anwendungsphase sollten für die Testgruppe typische Arbeitsabläufe
festgelegt werden, die einer üblichen Arbeitsaufgabe entsprechen und die Funktionen der
Sicherheitssoftware benutzen. Für den Test eines Antivirenprogramms zum Beispiel ist es notwendig,
einen Virus gezielt einzuschleusen. Dies sollte auf einem Weg geschehen, der im Arbeitsalltag der
Zielgruppe auch tatsächlich vorkommt. Die Testumgebung sollte das Auftreten von relevanten
Ereignissen nur zulassen, wenn dies im Testablauf vorgesehen ist.

Normaler Betrieb des Systems

Hier muss sich herausstellen, wie das Programm den regulären Betrieb des Systems beeinflusst.
Sind Leistungseinschränkungen festzustellen? Neben der subjektiven Bewertung sollte der
Ressourcenverbrauch auch objektiv ermittelt werden. Gibt es regelmäßige oder unregelmäßige
Interaktionen mit dem Benutzer, und wenn ja, sind diese verständlich oder störend? Wie häufig
treten diese auf?

Eintreten eines für die Software relevanten Ereignisses

Sicherheitssoftware arbeitet in der Regel ereignisbezogen. Je nach Art der Software kann das
Ereignis die Nutzung eines gewünschten Dienstes (zum Beispiel die Verschlüsselung einer E-Mail)
oder der Beginn eines Angriffs (zum Beispiel Öffnen einer virenbefallenen Datei) sein. Beiden
Fällen gemeinsam ist, dass auf das Ereignis reagiert werden muss. Gemäß unseres Wunsches, dass die
Software möglichst wenig mit dem Benutzer interagieren soll, müsste dies nach Möglichkeit
automatisch aufgrund der getätigten Basiseinstellungen geschehen.

Ein gravierendes Unterscheidungskriterium verschiedener Ereignisse ist die mögliche Folge einer
Fehlentscheidung bei der Reaktion, deren Spektrum von "lästig" bis "gefährlich" reicht:

Vorübergehende Funktionsprobleme (Verbot notwendiger/erwünschter
Prozesse),

nachträglich zu behebende Unannehmlichkeiten (fehlende digitale Signatur),

eine einmalige Gefährdung (unverschlüsselter Versand vertraulicher
Informationen) oder

die dauerhafte Kompromitierung des Systems (Aktivierung eines
Schadprogramms).

Bemerkenswert ist die Tatsache, dass sich das Gefährdungspotenzial der genannten Beispiele genau
gegensätzlich zu den Wahrnehmungsmöglichkeiten entwickelt. Ein ungefährliches Funktionsproblem
fällt schnell auf, während ein trojanisches Programm tunlichst versucht, genau dies zu
vermeiden.

Die korrekte Klassfizierung eines Ereignisses trägt somit einen erheblichen Teil zur
Systemsicherheit bei. Da eine 100-prozentige automatische Klassffzierung in den seltensten Fällen
möglich ist, muss hier eine Interaktion mit dem Benutzer stattfinden. Um Fehlentscheidungen zu
vermeiden, ist gerade an dieser Stelle auf eine klare Formulierung und Gestaltung der Interaktion
zu achten.

Bewertung der Ereignisbehandlung

Eine allgemeingültige Aussage zur Durchführung der Bewertung zu treffen, ist aufgrund der
Vielfalt möglicher Interaktionsarten schwierig.

Unseren Überlegungen nach sollte der Maßstab aus einer statistische Betrachtung dessen gebildet
werden, wie Testpersonen auf die angebotenen Dialoge reagieren, gewichtet mit dem Gefahrenpotenzial
der einzelnen Fehlentscheidungen. Es sollte möglich sein, auf dieser Basis ähnliche Produkte
miteinander zu vergleichen. Bisher wurden von uns noch keine Tests durchgeführt, die eine
repräsentative Auswertung erlauben würden.

Anfallende Wartungsaufgaben

Dieser Punkt ist vor allem bei Software von Bedeutung, die auf Basis von Mustererkennung
versucht, Schadcode oder Angriffe zu erkennen. Je nach Art der Software können auch kleinere
Änderungen am System eine Anpassungen der Konfiguration erfordern. Eine fehlerhafte oder
unterlassene Wartung kann im Extremfall die eigentliche Schutzsoftware zum Einfallstor für Angriffe
werden lassen. Daher sollte auch hier soweit wie möglich eine Automatisierung stattfinden, die den
Anwender von der Pflicht zur Aktualisierung entlastet. Vorgänge die nicht automatisierbar sind,
sollten wie im vorherigen Punkt auf Ihre Verständlichkeit und Akzeptanz hin beurteilt und zur
Bewertung herangezogen werden.

Deinstallation

Die Deinstallation einer Sicherheitssoftware sollte auch für den Laien problemlos durchführbar
sein. Falls die Eingabe von Kennwörtern oder die Auswahl von Optionen erforderlich ist, müssen
diese klar und verständlich abgefragt werden.

Eine Beurteilung der Nutzerschnittstelle sollte auch hier durch eine Gruppe von Testpersonen mit
eventuell unterschiedlichem Kenntnisgrad erfolgen. Anschließend ist wiederum eine statistische
Auswertung sinnvoll. Nach der Deinstallation der Software müssen alle anderen Programme auf dem
verwendeten Computer wieder einwandfrei funktionieren und alle Informationen, die von der
Sicherheitssoftware durch Verschlüsselung oder ähnliche Mechanismen geschützt waren, wieder frei
lesbar sein.

Personal Firewall als praktisches Beispiel

Im folgenden Abschnitt erläutern wir in Grundzügen den Test einer Personal-Firewall-Software
(Zone Alarm [1]) für Windows XP im Nutzerprofil Heimcomputer.

Installation und initiale Konfiguration

Als Installationsmedium diente eine Testversion, die von der Webseite des Anbieters
heruntergeladen wurde. Die initiale Konfiguration gestaltet sich äußerst einfach, alle Dialoge sind
mit Werten für den Normalbenutzer vorbelegt. Anwender mit fortgeschrittenen Kenntnissen werden
durch kurze, aber gut gestaltete Hilfetexte auf weiter gehende Konfigurationsmöglichkeiten
aufmerksam gemacht. Weiterhin steht eine ausführliche Hilfefunktion zur Verfügung, die sich aus
allen Programmteilen kontextsensitiv aufrufen lässt. Wird die Installation mit den voreingestellten
Auswahlen durchgeführt, ist das System in weniger als fünf Minuten installiert, ohne dass der
Benutzer Fragen beantworten musste. Manuelle Einstellungen sind vorerst nicht notwendig.

Betriebsphase

Nach dem obligatorischen Neustart steht die Schutzfunktion zur Verfügung. Leider wird der
Benutzer sofort mit einigen Warnmeldungen konfrontiert, die die Entscheidung "Zulassen" oder "
Verweigern" für den Netzzugriff einiger Systemdienste einfordern. Die optische Gestaltung der
Meldung signalisiert durch Ihre Rotfärbung eine Gefährdung. Die angeführten Parameter sind für den
Heimanwender nicht hilfreich. Wird der Verbindungsversuch nun verboten, funktioniert daraufhin der
Netzzugriff des Systems nicht mehr. Nach einem Neustart des Systems wird der Benutzer erneut mit
den gleichen Anfragen konfrontiert.

Sofern der Benutzer die Software nach diesen Erfahrungen nicht sofort wieder deinstalliert, ist
zu erwarten, dass er – ohne zu verstehen, warum – nach einigen Fehlversuchen die Verbindung einfach
akzeptiert. Die Fehleinschätzung von Programm und Benutzer führt also unmittelbar zu einem
funktionalen Versagen, mittelbar jedoch zu einer Schwächung des Systems.

Von dieser Schwäche abgesehen ist das Programm gut in das System integriert, und die
Systemleistung wird nicht merklich beeinträchtigt, einmal gelernte Regeln werden im Hintergrund
umgesetzt ohne eine Interaktion mit dem Anwender zu benötigen. Alle Aufgaben, die mit eventuell
anfallenden Wartungsaufgaben an der Software zu tun haben, sind zufrieden stellend gelöst. Die
Aktualisierung der Software geschieht ohne Zutun des Benutzers im Hintergrund automatisch und
stellt somit keine Fehlerquelle dar.

Deinstallation

Das Programm verfügt über eine Deinstallationsfunktion, die die Software vom Rechner entfernt.
Die Funktion warnt den Benutzer, dass die Schutzfunktionen nach der Deinstallation nicht mehr zur
Verfügung stehen. Weitere Interaktionen des Benutzers sind nicht erforderlich. Es verbleiben keine
sichtbaren Spuren oder Funktionseinschränkungen.

Zusammenfassung

Im Rahmen unserer Kurzstudie wurde deutlich, das bei der Usability-Bewertung von
Sicherheitssoftware andere Anforderungen zu berücksichtigen sind als beim Test normaler
Anwendungssoftware.

Die größten Unterschiede beruhen auf der meist unkooperativen beziehungsweise auf Unerfahrenheit
beruhenden Einstellung der Benutzer gegenüber der Software sowie die möglichen Folgen einer
Fehlbedienung.

Die vorgeschlagenen Testprofile und Kriterien wurden in einigen Kurztests praktisch erprobt. Das
im Rahmen dieses Artikels angeführte Beispiel zeigt deutlich, wie ein auf den ersten Blick
durchdachtes Konzept durch eine einzige Fehlentscheidung im Umgang mit den Funktionen den Sinn
einer kompletten Softwarelösung in Frage stellen kann. Aus unserer Sicht ist ein eigenständiges
Konzept zur Usability-Bewertung von Sicherheitssoftware dringend erforderlich.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Matchmaker+