Dass ihr Ziel alles andere als eine einfach zu lösende Aufgabe ist, verdeutlicht bereits der sperrige Name, den die Forscher ihrem Projekt gegeben haben: »Computerunterstütztes Entwicklungstool für sichere, benutzerfreundliche und marktkonforme Sicherheitslösungen«. Als Ergebnis ihrer zweijährigen Arbeit präsentierten die Wissenschaftlerinnen und Wissenschaftler des Fraunhofer-Instituts für Arbeitswirtschaft und Organisation IAO und ihre Forschungspartner nun einen Softwareprototyp, der einfach nur »Wizard« heißt. Trotz des Namens hat das Programm nichts mit Zauberei zu tun, sondern ist ein Tool, das interdisziplinäres Expertenwissen mittels leistungsfähiger Algorithmik analysiert, kombiniert und situationsgerecht zur Verfügung stellt. Softwareentwicklern und IT-Sicherheitsexperten kann das Programm so bei ihrer Arbeit als Beobachter und Berater unterstützend zur Seite stehen.

Usability und marktorientierte IT-Sicherheit

Die Sicherheitsfachleute waren sich bei der Einführung des neuen Deutschen Personalausweises weitgehend einig: Seine Authentifizierungsfunktion ist technisch vorbildlich umgesetzt. Dennoch wird diese Funktion mit dem Personalausweis in der Praxis bis heute nur wenig genutzt. Denn selbst wenn der Ausweisinhaber die Funktion freigeschaltet hat, kann sie beispielsweise für Online-Bestellungen nur in wenigen Fällen genutzt werden. »Offensichtlich war der Markt nicht bereit dazu, die Strukturen zur Verwendung der Sicherheitstechnik bereitzustellen«, sagt Andrea Horch vom Fraunhofer IAO. Ähnliche Beispiele gebe es viele. So haben sich etwa auch die bisherigen Lösungen zur Verschlüsselung von E-Mails in der breiten privaten Anwendung nicht durchsetzen können. Jedes dieser Softwareprojekte belegt, dass bei der Softwareentwicklung nicht nur die technischen Aspekte zentral wichtig sind, sondern auch sozioökonomische Fragestellungen wie die aktuellen Marktverhältnisse und Konzepte einer adäquaten Vermarktung des Softwareprodukts. »Zudem setzen sich auf dem Markt in der Regel nur die Lösungen durch, die einfach zu bedienen sind und die dem Bedarf der Nutzerinnen und Nutzer auch entsprechen«, so Horch. Benutzerfreundlichkeit sei dabei aber nicht nur eine Frage des Markterfolgs. Häufig hat sie sogar direkt Einfluss auf die Sicherheit eines Systems. So induzieren etwa zu komplizierte Passwörter erst eine Sicherheitslücke, weil die Anwender dann dazu neigen die vielstelligen Sicherheitscodes zum Beispiel notiert auf einem Zettel in derselben Tasche wie das Smartphone dabei zu haben. Usability und Marktkonformität sollten daher immer integrierter Bestandteil der Entwicklung einer IT-Sicherheitslösung sein. Ein entsprechend ganzheitliches Vorgehensmodell erfordert allerdings Expertenwissen aus verschiedenen Fachdisziplinen und den Einsatz verschiedener Methoden zur Beantwortung der relevanten Fragestellungen zum richtigen Zeitpunkt im Verlauf eines Softwareprojekts.

Entwicklertool bietet prozessbegleitende Unterstützung

Im Rahmen des Projekts »CUES« haben die Forscherinnen und Forscher nun Expertenwissen, das für eine benutzerfreundliche und marktkonforme Softwareentwicklung notwendig ist, in einem digitalen »Werkzeugkasten« gesammelt. Er enthält empfohlene Vorgehensweisen, Best-Practice-Ansätze und Checklisten ebenso wie geeignete Methoden zur Analyse, Umsetzung und Evaluierung von Fragestellungen rund um die Themen Benutzerfreundlichkeit und Sozioökonomie. Für die Entwicklerteams wäre diese Wissenssammlung allein allerdings wiederrum kaum effizient nutzbar. Um auch dieses zu ermöglichen, entwickelten die Projektpartner daher den »CUES-Wizard«. Das Programm übernimmt die semantische Verknüpfung des hinterlegten Expertenwissens und setzt statistische Verfahren ein, um das Entwicklerteam eines Softwareprojekts optimal bei ihrer Arbeit unterstützen zu können. Bereits zu Beginn der Projektarbeit »briefen« die Softwareentwickler dazu den »Wizard« mit einer Reihe von Rahmendaten wie die Größe und die fachliche Zusammensetzung des Entwicklerteams, das verfügbare Budget, den Zeitrahmen und die geplanten Umsetzungsmaßnahmen. Ab jetzt begleitet das Programm den Projektverlauf kontinuierlich und bereitet die Inhalte seiner Wissensdatenbank projektbezogen auf. »Kommt das Konzept einer Sicherheitslösung nun beispielsweise in eine Phase, in der es dringend ratsam ist, die späteren Nutzer einzubinden, fragt der Wizard von sich aus nach, ob entsprechende Maßnahmen bereits geplant sind und schlägt auch dafür geeignete Methoden vor«, erklärt Horch. Zudem kann das Programm strukturierte Hilfestellung beim Einsatz der jeweiligen Verfahren und der Bewertung der Ergebnisse bieten.

Aktuell gibt es den »CUES-Wizard« als Pilotanwendung mit einer Wissensbasis für Softwareprojekte in den Bereichen Smart Home und Industrie 4.0. Die Unterstützung durch das Programm ist jedoch grundsätzlich nicht auf diese beiden Anwendungsbereiche beschränkt. Vielmehr haben die Forscherinnen und Forscher zusätzlich eine Editor-Funktion integriert. So ist es möglich, weitere Branchenlösungen zu erstellen. Außerdem haben die Entwicklerteams damit auch die Möglichkeit, in dem von ihnen verwendeten Programm, spezielle nur in ihrem Unternehmen vorhandene Methoden und Erfahrungen einzupflegen und die Wissensbasis so an ihren Arbeitsbereich optimal anzupassen. (mab)