Softwaresicherheit als Teil der UX

Wir alle sehnen uns nach Sicherheit und sehen zu, wie sie schwindet. Ein Plädoyer für neue Perspektiven auf Softwaresicherheit als Teil der User Experience.

Frühling 2025: Familienfest im Garten. Drei Generationen sind um den Grill versammelt. Das Telefon klingelt. Peter (29) geht ran. Er arbeitet als Vertriebsangestellter in einem Softwareunternehmen. Eine freundliche Frauenstimme begrüßt ihn und preist ihm einen neuen Glasfaseranschluss an. „Ein Werbeanruf!“, erkennt er sofort. Er will das Gespräch freundlich und zügig beenden. Aber irgendetwas kommt ihm seltsam vor. Auf Verdacht fragt er nach: „Spreche ich mit einer KI?“ Das Gegenüber antwortet prompt: „Ja, ich bin eine künstliche Intelligenz. Haben Sie Interesse an einem günstigen Glasfaservertrag?“ Peter legt auf. An diesem Tag vereinbart er mit seiner Familie ein „Safe-Word“, ein Wort, das nur sie kennen. Sicher ist sicher.

Die Paradoxie von Sicherheit

Der Begriff „Sicherheit” bezeichnet allgemein einen Zustand des Geschütztseins vor Gefahr und Schaden. Sicherheit finden wir allgemein richtig super. Allerdings nur, wenn wir dafür nichts extra tun oder uns einschränken müssen. Denn Sicherheit steht scheinbar im Widerspruch zu anderen Dingen, die wir ebenfalls sehr schätzen: Freiheit, Fortschritt und Einfachheit zum Beispiel. Denken wir zumindest.

Machen wir die Gegenprobe: In Unsicherheit würden wir uns vermutlich niemals freier oder fortschrittlicher fühlen oder denken, dass nun alles einfacher geworden ist. Folglich ist „Sicherheit” weder ein Widerspruch noch ein Ultimum: Wir empfinden „hohe Sicherheit” oder „mangelnde Sicherheit”, aber niemals maximale Sicherheit. Wir können immer noch etwas für unsere Sicherheit tun. Bevor es jedoch zu philosophisch wird, kommen wir zu der Frage, die ich in diesem Artikel beleuchten möchte: Was passiert, wenn wir Softwareprodukte durch eine „Sicherheitsbrille“ betrachten? Wenn wir Sicherheit nicht als lästige gesetzliche Vorgabe, sondern als Teil der User Experience betrachten, die sich am Nutzer orientiert?

Was ist Softwaresicherheit?

Softwaresicherheit bedeutet in erster Linie, die Systemumgebung von Grund auf möglichst sicher zu gestalten und vor schädlichen Angriffen von außen zu schützen. Dabei gilt es, die Integrität, Authentifizierung und Verfügbarkeit einer Software sicherzustellen. Im Bereich der Businesssoftware gehören dazu häufig sowohl (entwicklungs-)technische Maßnahmen als auch Schulungen der Anwender:innen. Verschiedene DIN-Normen regeln die Anforderungen und Qualitätsmerkmale sicherer Software, vor allem in hochsensiblen Bereichen wie der Medizin oder dem Bankenwesen. Soweit, so bekannt und so wichtig.

Seltener wird das Thema Softwaresicherheit jedoch aus der Nutzerperspektive betrachtet.

• Was bedeutet „sichere“ Software für unsere Nutzer?
• Wie nehmen sie unsere Sicherheitsvorkehrungen wahr?
• Welche „Gefahr” lauert innerhalb unserer Software?
• Setzt unsere Software die Nutzer einem gesundheitlichen Risiko aus, beispielsweise in Form von Abhängigkeit, Sucht, Stress oder Rückenschmerzen?
• Wo nehmen wir als Unternehmen absichtlich in Kauf, dass den Nutzern Schaden zugefügt wird, um unseren Profit zu steigern?

Besonders deutlich wird dieser erweiterte Sicherheitsbegriff, wenn wir den Blick auf aktuelle technologische Entwicklungen richten. Denn mit jeder neuen Technologie entstehen nicht nur neue Chancen, sondern auch neue Risiken, die weit über klassische IT-Bedrohungen hinausgehen und uns vor völlig neue Fragen stellen, was es bedeutet, Software wirklich sicher zu machen.

Neue Technologien, neue Gefahren

Wie die Einstiegsgeschichte zeigt, bringt die rasante technologische Entwicklung ganz neue Herausforderungen mit sich. Der Markt für künstliche Intelligenz ist derzeit noch weitestgehend ein „Wilder Westen“, in dem wichtige Gesetze und klare Regulierungen fehlen vielerorts. Trotzdem tauchen in immer mehr Softwareprodukten – oft ungefragt – neue KI-Helferlein auf, die uns im Alltag unterstützen sollen.

Doch KI ist nicht einfach nur ein stummes Werkzeug wie ein Taschenrechner, sondern ein System, das auf eine fast menschliche Weise mit uns kommuniziert und damit in der Lage ist, unser Denken und unsere Entscheidungen zu beeinflussen. Diese neue Art der Interaktion birgt ein enormes Potenzial, aber auch erhebliche Risiken, wenn wir nicht verantwortungsvoll damit umgehen.

Schon heute lässt sich beobachten, dass sogenannte „Dark Patterns“ immer salonfähiger werden. Gemeint sind Gestaltungselemente, die Nutzerinnen und Nutzer bewusst in eine bestimmte Richtung lenken, etwa dazu verleiten, persönliche Daten preiszugeben oder Verträge abzuschließen, die sie eigentlich nicht wollen. Solche manipulativen Designs hat es zwar immer schon gegeben, doch die Möglichkeiten, sie unauffällig und wirksam einzusetzen, nehmen zu – und mit ihnen auch die stillschweigende Akzeptanz.

Die Folge: Sicherheit wird zur Verhandlungsmasse. Anstatt den Nutzer zu schützen, wird seine Aufmerksamkeit zur Ware. Genau deshalb braucht es heute mehr denn je einen kritischen Blick darauf, wie neue Technologien eingesetzt werden und wie wir als Entwickler:innen Verantwortung dafür übernehmen, dass Sicherheit nicht auf der Strecke bleibt.

Drei Ansätze für Softwaresicherheit als Teil der User Experience

Gerade dort, wo noch wenig geregelt ist, haben wir die Chance, als Vorreiter positiv mitzugestalten. Das ist ein echter Unique Selling Point (USP). Dazu müssen wir uns in der Softwareentwicklung Folgendes bewusst machen: Viele Nutzerinnen und Nutzer vertrauen unseren Produkten blind. Als Expertinnen und Leute vom Fach sollten wir daher Verantwortung übernehmen. Dazu drei mögliche Ansätze:

1. Fürsorge

Fürsorge bedeutet, zum Wohle einer Person deren Angelegenheiten zu erledigen, die sie selbst nicht leisten kann. Die Mehrheit der Anwenderinnen und Anwender weiß wahrscheinlich nicht, wo und wie ihre Daten gespeichert werden. Sie schauen nicht tagtäglich nach, ob es sicherheitsrelevante Updates gibt, und beschäftigen sich nicht stundenlang mit komplexem Rechtemanagement und Datenschutz-Einstellungen. Wir sollten Sorge für Dinge tragen, die sie nicht leisten können. Dazu müssen wir aber erst einmal in Erfahrung bringen, wer unsere Software nutzt und wo diese Personen Hilfe benötigen. Merke: Fürsorge bedeutet nicht, Menschen zu bevormunden.

2. Selbstermächtigung

Nutzerinnen und Nutzer können sich bewusst machen, welche Möglichkeiten sie haben, und selbst entscheiden, was sie benötigen, um ihre Ziele zu erreichen. Konkret könnte das für Software bedeuten: Sie können entscheiden, ob sie ein bestimmtes Feature freischalten (mögliche Sicherheitsrisiken sind ihnen bekannt) oder ob sie zusätzliche Daten angeben möchten, um Prozesse zu erleichtern. Wir zwingen sie nicht und nehmen eine klare Haltung gegen Dark Patterns ein.

3. Spaß, Leichtigkeit und Sicherheit

Softwaresicherheit hat häufig einen „schweren“, wenig attraktiven Charakter. Vor unserem inneren Auge blitzen Bilder von dicken Tresoren, massiven Hängeschlössern und roten Gefahrenzeichen auf. Das sind Symbole, die seit Jahrzehnten unsere Nutzeroberflächen prägen. Kann Sicherheit auch „leichter“ aussehen? Darf es spielerischer sein? Muss ich den Anwenderinnen und Anwendern bei der Passwortvergabe anbrüllen: „Dein Passwort ist schwach, du Schwächling!“, oder kann ich ihn auf spielerische Weise zu einem sicheren Passwort führen? Anregungen dazu liefern Beispiele wie „The Password Game“ [2] oder „Gandalf Game“ [3]. Vorsicht: Spielen kann süchtig machen!

Wo wir beim Spielen sind: Login-Prozesse wirken heute manchmal wie umgekehrte Escaperoom-Spiele. Die 8-Faktor-Authentifizierung vor dem Video-Meeting, das schon seit fünf Minuten läuft, ist aus Sicht der Anwenderinnen und Anwender wenig erfreulich. Wie ließe sich das einfacher gestalten, ohne dabei die Sicherheitsaspekte zu vernachlässigen? Das ist eine spannende Design-Herausforderung an der Schnittstelle zwischen User Experience, Sicherheit und technischer Realisierbarkeit.

Fazit

Wir alle sehnen uns nach Sicherheit. Doch Sicherheit ist kein Selbstläufer; sie muss immer wieder neu gedacht, gestaltet und mit Leben gefüllt werden. Dafür brauchen wir mehr Perspektivenvielfalt, Aufklärung und einen kreativen, mutigen Umgang mit dem Thema „Softwaresicherheit“.

Sicherheit sollte im Rahmen der User Experience eine viel größere Rolle spielen und dabei kein schweres, abschreckendes Thema sein. Es geht nicht darum, alles komplizierter zu machen, sondern darum, bewusst darauf zu achten, dass Vereinfachung nicht zur Einladung für Manipulation wird.

Unsere Nutzerinnen und Nutzer vertrauen unseren Produkten. Dieses Vertrauen ist unser wertvollstes Gut und wir tragen die Verantwortung, es zu schützen und zu stärken. Softwaresicherheit ist kein technisches Detail, sondern ein Versprechen. Eines, das wir halten müssen.

Hinweise:

Organische Intelligenz für zukunftsfähige Softwareprojekte gesucht? Mehr über Anna Zinsser erfahren Sie auf ihrer Website. Oder folgen Sie ihr für spielerische Impulse rund um User Experience, kooperative Teamarbeit und erfahrungsbasiertes Lernen auf LinkedIn.

[1] Eine wahre Geschichte, Name und Thema sind aber geändert
[2] Neal Agarwal: The Password Game
[3] Lakera: Gandalf Game

Wenn Ihnen der Beitrag gefällt oder Sie darüber diskutieren wollen, teilen Sie ihn gerne in Ihrem Netzwerk. 

Anna Zinsser hat im t2informatik Blog weitere Beiträge veröffentlicht, u. a.