Safe by Design: Ein Überblick über UX-Sicherheit

Veröffentlicht: 2022-03-11

Es ist Zeit fürs Bett, aber zuerst ein paar Routineaufgaben:

  • Pyjama anziehen.
  • Zähne putzen.
  • Fenster öffnen.
  • Türen entriegeln.
  • Platzieren Sie Brieftasche, persönliche Dokumente und Bankinformationen in einem bequemen Stapel auf der Küchentheke.

Schöne Träume.

Wenn dieses Szenario beunruhigend ist, überlegen Sie, wie oft dieselben sensiblen Informationen in unsere digitalen Geräte eingegeben werden. Ohne die richtigen Sicherheitsprotokolle sind unsere Vermögenswerte und Identitäten leichte Beute. Schlimmer noch: Als Designer digitaler Schnittstellen gefährdet die Missachtung der Sicherheit die Benutzer – finanziell, beruflich, zwischenmenschlich und emotional.

Sicherheit ist kein Trend oder Werbetaktik, sondern ein entscheidender Aspekt der Benutzererfahrung und des Schnittstellendesigns.

UX-Sicherheit
Wenn digitale Produkte nicht richtig gesichert sind, erhalten alle falschen Charaktere Zugriff auf die Informationen der Benutzer. (Aaron Bürde)

Die ideale Schnittstelle ist einfach zu bedienen und gegen Versuche geschützt, die privaten Informationen der Benutzer zu stehlen. Die Bereitstellung eines solchen Designs wird normalerweise als Kompromiss zwischen Benutzerfreundlichkeit und Sicherheit formuliert:

  • Wenn die Schnittstelle einfach zu verwenden ist, ist sie weniger sicher.
  • Wenn es sicher ist, ist es schwieriger zu verwenden.

Dieser Kompromiss ist ein Mythos. Wir können Schnittstellen entwerfen, die einfach und sicher sind, ohne die Qualität beider zu beeinträchtigen. Hier spielen UX-Designer eine entscheidende Rolle, indem sie sicherstellen, dass sowohl die technischen Anforderungen als auch die Bedürfnisse der Benutzer erfüllt werden.

UX-Designer sind in vielerlei Hinsicht Dolmetscher. Sie entschlüsseln technische Anforderungen und machen sie für Nutzer verständlich. Sie üben auch Situationsbewusstsein aus, indem sie entscheiden, wann sie sich auf Einfachheit konzentrieren oder wann sie ausgeklügelte Sicherheitsmaßnahmen einbeziehen. Ausgewogenheit ist der Schlüssel, aber es kann nur erreicht werden, indem alle Beteiligten von den frühesten Phasen des Entwurfs an einbezogen werden.

Binden Sie Stakeholder frühzeitig in die UX-Sicherheit ein

Es gibt mehrere Parteien, die konsultiert werden müssen, um ein sicheres und erfolgreiches digitales Produkt zu entwickeln. Beispielsweise müssen Designteams sicherstellen, dass ihre Produkte den relevanten Vorschriften wie HIPAA für die Gesundheitsbranche und PCI DSS für Bank- und Finanzdienstleistungen entsprechen. Außerdem müssen von Designteams implementierte Sicherheitsfunktionen die Standards erfüllen, die von den technischen Teams hinter digitalen Produkten festgelegt wurden.

Design für Sicherheit
Designer sollten sich der verschiedenen Sicherheitsbestimmungen bewusst sein, die für die digitalen Produkte gelten, an denen sie arbeiten.

Wenn es um Sicherheit geht, ist es nicht ungewöhnlich, dass Benutzereingaben ignoriert werden. Aber um die Sicherheitsanforderungen der Benutzer wirklich zu erfüllen, müssen Designer ihre Motivationen, Verhaltensweisen und Erwartungen verstehen. Benutzer wissen oft sehr wenig über digitale Sicherheit, daher sollten Designer lernen, die Risikostufen vorherzusehen, denen Benutzer ausgesetzt sind, wenn sie durch verschiedene Bildschirme und Funktionen navigieren. Je früher Risiken im Designprozess identifiziert werden können, desto besser.

Das Ignorieren von Stakeholdern oder das späte Einbeziehen ihrer Beiträge im Designprozess verdoppelt das Risiko. Es kann Sicherheitslücken in Produkten öffnen, die sonst hätten verhindert werden können, oder es kann zu Produkten führen, die so sicher sind, dass sie kaum noch verwendet werden können.

Designmethoden für Produktsicherheit

Verschlüsselung

Verschlüsselung ist eine Methode, sensible Informationen in einen scheinbar zufälligen Code umzuwandeln. Dies ist ein wichtiger Designaspekt bei digitalen Produkten mit Kommunikationsfunktionen. In Apps, in denen häufig Anrufe, Texte, Videos, Bilder und Dokumente ausgetauscht werden (denken Sie an WhatsApp), sorgt die Ende-zu-Ende-Verschlüsselung dafür, dass nur die an einem Gespräch beteiligten Benutzer die ausgetauschten Daten sehen können.

Das bedeutet, dass niemand, nicht das Unternehmen hinter einer App, keine Datenkriminellen, nicht einmal die Regierung, den Inhalt von Nachrichten sehen kann. Wenn Benutzer wissen, dass ihre Informationen durch solche Maßnahmen geschützt sind, sind sie viel eher bereit, Vertrauen zu schenken.

Authentifizierung

Es ist wichtig sicherzustellen, dass sich nur der Besitzer eines Kontos anmelden kann – und dass alle Eindringlinge ausgesperrt sind. Authentifizierung ist die effektivste Methode, um digitale Produkte vor unbefugtem Zugriff zu schützen. Funktionen wie Benutzernamen und Passwortanforderungen sollten früh im Designprozess identifiziert und getestet werden.

Für zusätzliche Sicherheit kann eine Zwei-Faktor-Authentifizierung (2FA) hinzugefügt werden. Bei 2FA werden ein Benutzername und ein Passwort eingegeben und ein Anmeldecode an ein Mobiltelefon oder eine E-Mail-Adresse gesendet.

Sicherheitsbenutzererfahrung
Um einen Zugangscode zu erhalten, ermöglicht der 2FA-Prozess von Intuit den Benutzern, zwischen mehreren Lieferoptionen zu wählen.

Datenprivatsphäre

Letztendlich ist der Datenschutz eine ethische Überlegung für Designer und Unternehmen. Wenn Benutzer ihre persönlichen Daten gegen den Zugang zu einem digitalen Produkt eintauschen, entscheiden sie sich dafür, zu glauben, dass das Unternehmen, das das Produkt überwacht, ihre Informationen mit Integrität behandelt. Sie vertrauen auch darauf, dass die von Designern und Entwicklern implementierten Funktionen Datenangriffen standhalten.

Verbessern Sie die Privatsphäre und den Datenschutz der Benutzer

Es lohnt sich zu wiederholen, dass digitale Produkte für Benutzer gemacht werden, nicht umgekehrt. Die Interaktionen der Benutzer mit Produkten sollten niemals mit dem Risiko verbunden sein, dass ihre Daten durchgesickert oder gestohlen werden. Leider ist dies nicht immer der Fall.

Die meisten Cyberkriminalität wird mit der Absicht begangen, an die persönlichen Daten der Benutzer zu gelangen, aber UX-Designer können helfen. Wieso das? Durch die Implementierung von Funktionen, die Benutzer dazu ermutigen, stärkere Passwörter zu wählen und zu vermeiden, übermäßig viele persönliche Daten online zu stellen.

Beispielsweise kann die Authentifizierungsschnittstelle eines Produkts eine freundliche Nachricht verwenden, um Benutzer darüber zu informieren, warum es wichtig ist, stärkere Passwörter zu haben. Anstatt Benutzer zu zwingen, ein Passwort mit 12 Zeichen, Klein- und Großbuchstaben, einer Zahl und einem Symbol zu erstellen, könnte die Nachricht einfach lauten: „Sie brauchen ein stärkeres Passwort. Deshalb ist es wichtig.“ Auf diese Weise verstehen die Benutzer besser die Notwendigkeit, ihre Daten und ihre Privatsphäre zu schützen.

Entfernen Sie unnötige Sicherheitshindernisse

Wenn die Produktsicherheit von der Einbeziehung aller Beteiligten abhängt, müssen sich Designer die Zeit nehmen, sich mit Entwicklern und Experten für Cybersicherheit zu beraten. Entwickler haben in der Regel Einschränkungen, die sich auf das Design auswirken, und sie können möglicherweise Einblicke in die Effektivität der von Designern implementierten UX-Sicherheitsfunktionen geben. Experten für Cybersicherheit können Designer über die aktuellsten Sicherheitsstrategien, Tools und Compliance-Vorschriften informieren.

Ein Wort der Vorsicht: Sicherheitsexperten zu konsultieren ist gut, aber übertriebene Sicherheitsmaßnahmen machen digitale Produkte schwerfällig und ermutigen Benutzer, sich woanders umzusehen. Vage Meldungen wie „Ihre Internetverbindung ist nicht sicher“ verleiten Benutzer dazu, Sicherheitsfunktionen zu umgehen, die zu ihrem Schutz gedacht sind.

Letztendlich wirft es ein schlechtes Licht auf Unternehmen, wenn legitime Benutzer Aufgaben nicht erledigen können oder aufgrund zu komplizierter digitaler Sicherheit von ihren Konten ausgeschlossen werden.

Sicherheits-UX-Design
Es ist möglich, digitale Sicherheitsfunktionen zu übertreiben und Benutzer zu frustrieren. (Kelly Sikkema)

Sicher gegen Social Engineering

Von allen Angriffen auf die digitale Sicherheit, die stattfinden, ist ein Schema wesentlich häufiger als alle anderen. Sie macht fast 90 % der Sicherheitsverletzungen weltweit aus und verlässt sich mehr auf die Kunst der Täuschung als auf ausgefeilte technische Fähigkeiten. Was ist diese schändliche Taktik?

Phishing.

Wie alte Betrüger stützt sich Phishing (das am häufigsten in E-Mails vorkommt) stark auf Social-Engineering-Strategien, um Benutzer zu erschrecken, unter Druck zu setzen und zu verwirren, damit sie vertrauliche Informationen und hart verdientes Geld preisgeben. Zum Schutz vor Phishing-Angriffen können Designer Sicherheitsforen erstellen, die es Benutzern ermöglichen, Spam zu melden und Warnungen an andere Benutzer zu senden. Sie können auch Popups oder Nachrichten in ihren Apps verwenden, um Benutzer auf bekannte Phishing-Versuche aufmerksam zu machen.

Anwendungssicherheitsdesign
Phishing macht die schriftliche Kommunikation zu einer Waffe, indem es Menschen dazu verleitet, ihre vertraulichen Informationen weiterzugeben. (Aufgabe Ashiq)

Auch Designer brauchen digitale Sicherheit

Trotz aller Anstrengungen, die in die Sicherheit gesteckt werden, kann eine übersehene Schwachstelle die Integrität digitaler Produkte ernsthaft gefährden. Es hat wenig mit Technologie zu tun – es sind die Designer selbst.

Für jedes erstellte Produkt werden Hunderte (sogar Tausende) von Designartefakten generiert. Dutzende von Kommunikationskanälen werden genutzt. Links zu strategischen Dokumenten werden an mehrere Parteien gesendet. Und verteilte Teams sind zunehmend auf Cloud-basierte Design-Tools angewiesen.

Wenn Designer keine Vorkehrungen treffen, um ihre Arbeit und Kommunikation zu schützen, werden Angreifer Wege finden, Schwachstellen der Organisation zu infiltrieren. Dies kann bedeuten, VPNs einzurichten, Cybersicherheitsschulungen zu absolvieren und Asset-Management- und Kommunikationsrichtlinien zu erlassen, um lose Enden zu vermeiden.

Design für Sicherheit

Sichere und nutzbare Schnittstellen sind kein Zufall. Sie sind das Ergebnis von Designern, die sich die Zeit nehmen, Schwachstellen in Daten zu identifizieren und Stakeholder früh in den kreativen Prozess einzubeziehen. Sicherheit unterscheidet sich nicht von anderen kritischen Funktionen – die Bedürfnisse der Endbenutzer dürfen nicht ignoriert werden.

Wenn Designer hilfreiche Wege finden, um den Wert von Sicherheit zu kommunizieren und sicherzustellen, dass Sicherheitsfunktionen effizient funktionieren, werden Benutzer die Unternehmen, die digitale Produkte überwachen, mit ihrem Vertrauen und ihrem kontinuierlichen Engagement belohnen.

• • •

Weiterführende Literatur im Toptal Design Blog:

  • The Higher Ground – Ein Leitfaden zur Designethik
  • Age Before Beauty – Ein Leitfaden zum Interface-Design für ältere Erwachsene
  • Das Ende der Webformulare
  • Der ultimative Leitfaden für das Design von E-Commerce-Websites
  • Home Smart IoT Home: Das Internet der Dinge domestizieren