MuC - 7. Usable Security und Privacy Workshop | DAS - Data and Application Security Group

Call for Papers - 7. Usable Security und Privacy Workshop

Die Digitalisierung hat durch die Corona-Pandemie nochmals einen Schub erfahren. In nahezu allen Wirtschaftszweigen haben Unternehmen ihre Prozesse digitalisiert, um die Arbeitsfähigkeit während der Corona-Pandemie sicherzustellen und um besser auf künftige Krisen vorbereitet zu sein. Nach einer Bitkom-Umfrage nutzen rund 80 % der Unternehmen heute Videokonferenzen und digitale Kollaborationstools, über 60 % setzen auf digitale Dokumente und digitale Signaturen. 70 % der Firmen haben Homeoffice eingeführt oder planen dies aktuell.

Doch es gibt auch Digitalisierungshemmnisse: Als die zwei größten Hürden bei der Digitalisierung werden von den Unternehmen die Anforderungen an den Datenschutz (69 %) und die technische Sicherheit (58 %) wahrgenommen. Und nicht nur für die Digitalisierung, auch für die Cyber-Gefährdungslage war Corona ein Treiber. Da schnell Lösungen her müssen, wurden viele Maßnahmen – Wechsel der Beschäftigten ins Homeoffice, Bring-your-own-Device, Einrichtung von Videokonferenzen – sehr spontan umgesetzt. IT- und Datensicherheit spielten dabei oft nur eine untergeordnete Rolle. In der Folge gab es durch Corona deutlich mehr Angriffsmöglichkeiten, zugleich war die Verfügbarkeit und Einsatzfähigkeit von IT-Security-Fachpersonal durch die Beschränkungen erschwert.

Vor diesem Hintergrund – verschärfte Gefährdungslage bei gleichzeitig gestiegenen Anforderungen an Datenschutz und Sicherheit – besteht eine der wesentlichen Herausforderungen darin, eine gute Balance zwischen Sicherheit und Benutzerfreundlichkeit herzustellen. Denn insbesondere dort, wo die Nutzer:innen ihrer Arbeit nachgehen müssen, muss der Weg des geringsten Widerstands immer auch der sicherste Weg sein. Angemessene Sicherheits- und Datenschutztechnologien, die von den Benutzer:innen verstanden sowie effektiv, effizient und zufriedenstellend genutzt werden können, sind grundlegende Faktoren für einen effektiven Schutz von Privat- und Unternehmensdaten.

Die Usability von sicherheits- bzw. privatheitsfördernden Verfahren ist somit eine Schlüsseleigenschaft, die die individuellen Anforderungen aller beteiligter Gruppen von Benutzer:innen sowohl in Entwicklungsprozessen als auch im produktiven Einsatz berücksichtigen muss. Viele Lösungen zum Schutz der Privatsphäre erreichen geltende Usability-Standards bislang nicht. Eine im Januar 2021 publizierte Studie zum benutzerfreundlichen Datenschutz in cloudbasierten Office-Lösungen hat klaffende Lücken in den bereitgestellten Funktionen und Daten der Privacy Dashboards festgestellt. Diese bilden die Betroffenenrechte aktuell nur unzureichend ab, was sich z. B. durch eine Beschränkung auf die anbieterspezifischen Datenverarbeitungen, lücken- oder fehlerhafte Datenübersichten und Datenexport sowie inkonsistentes bzw. unerwartetes Verhalten (z. B. „privater“ Kalendereintrag für Administratoren einsehbar) äußert. In einem weiteren Beispiel aus dem privaten Umfeld erfordern Sprachassistenten wie Amazon Alexa den Wechsel zu einem anderen Interface, um umfassende Privatsphäreeinstellungen vornehmen zu können. Somit wird Nutzer:innen mit geringem technischem Verständnis oder eingeschränkten Sehfähigkeiten der Zugang dazu erschwert. Auch andere Methoden und Werkzeuge zum Selbstdatenschutz erfordern in der Regel ein hohes technisches Verständnis der Anwender:innen. Den Bedarf an guten Lösungen zeigt auch eine aktuelle Studie des Arbeitskreises „Usable Security & Privacy“ der German UPA auf: Seitdem die Europäische Datenschutzgrundverordnung gilt, müssen sich zwei Drittel der Usability Professionals öfter als zuvor mit der Umsetzung von Betroffenenrechten (z. B. Auskunftsrecht, Recht auf Vergessenwerden) beschäftigen.

Usable Security bezeichnet den inter- und transdisziplinären Ansatz, sicherheitsfördernde Verfahren für digitale Produkte und Dienstleistungen so auszugestalten, dass Benutzer:innen bei ihren sicherheitsrelevanten Zielen und Vorhaben bestmöglich unterstützt werden. Hierdurch werden z. B. auch Lai:innen und technikferne Anwender:innen in die Lage versetzt, Sicherheitselemente und deren Notwendigkeit zumindest grundlegend zu verstehen und die Elemente in der dafür vorgesehenen Weise zu verwenden. Usable Privacy verfolgt äquivalente Ziele und fokussiert dabei auf Technologien zur Förderung der Privatheit in digitalen Systemen und Plattformen.

Ziel des 7. Usable Security und Privacy Workshops ist es, das etablierte Forum zu festigen und weiterzuentwickeln, in dem sich Expert:innen aus Wissenschaft und Praxis zum Thema benutzerfreundlicher Technologien zur Gewährleistung der Informationssicherheit und Privatheit austauschen können. Zugleich soll durch den Workshop die Diskussion für ein breiteres Fachpublikum geöffnet werden.

Angenommene Beiträge

Erfahrungen bei der UX-getriebenen Entwicklung Privatsphäre-schonender Anwaltssoftware
Roland H. Steinegger, Anna Zinßer

Evaluation der interaktiven NoPhish Präsenzschulung
Benjamin Berens, Lukas Aldag, Melanie Volkamer

Privacy Needs Reflection: Conceptional Design Rationales for Privacy-Preserving Explanation User Interfaces
Peter Sörries, Claudia Müller-Birn, Katrin Glinka, Franziska Boenisch, Marian Margraf, Sabine Sayegh-Jodehl, Matthias Rose

Willingness to Pay for the Protection of Different Data Types
Vera Schmitt, Sebastian Möller, Maija Poikela

Einreichung von Beiträgen

Interessent:innen können Forschungs- und Entwicklungsarbeiten - auch in noch frühen Stadien - in deutscher oder englischer Sprache bis zum ~~04.06.2021~~ 18.06.2021 einreichen. Mögliche Beitragstypen sind:

neue Vorgehensweisen oder Werkzeuge,
gestalterische Studien, z. B. UI-Gestaltung, Persuasive Design,
Berichte praktischer Umsetzung (erfolgreiche Beispiele, untaugliche Ansätze),
Systemdemonstrationen,
praxiserprobte Methoden, Best Practices,
kritische Reflexionen (Herausforderungen, Fallstricke),
Replikationsstudien,
theoretische/zukunftsweisende Arbeiten,
laufende Forschungs- und Entwicklungsprojekte,
Betrachtungen besonderer Benutzergruppen (z. B. Kinder, Senior:innen, Arbeitnehmer:innen, Softwareentwickler: innen, Administrator:innen).

Thematisch möchte der Workshop ein möglichst breites Spektrum abdecken. Einige aktuelle Beispiele sind:

neuartige Interaktionsformen und Benutzeroberflächen, z. B. Voice User Interfaces,
konkrete UI-Gestaltung, z. B. bei Video-Konferenzsystemen,
konkrete Anwendungen/Erfahrungen aus der Praxis,
Erfahrungen aus den ersten drei Jahren DSGVO,
Security Awareness vs. Usable Security.

Die Beiträge sollten in deutscher oder englischer Sprache und bislang unveröffentlicht sein, einen Umfang von sechs bis acht Seiten haben und den Autorenrichtlinien der Mensch und Computer 2021 entsprechen. Dabei soll, den Richtlinien entsprechend, die ACM-Formatvorlage (LaTeX, Word) verwendet werden. Die Einreichung erfolgt anonymisiert über das ConfTool Konferenzsystem.

Die angenommenen Beiträge werden in Vorträgen vorgestellt und mit dem gesamten Auditorium diskutiert. Zudem soll wie in den vergangenen Jahren angeboten werden, die schriftlichen Einreichungen zu publizieren.

Neben den Publikationen sollen für den 7. Usable Security und Privacy Workshop auf der Mensch und Computer 2021 auch interaktive Beiträge eingereicht werden können. Die Art des Beitrages ist relativ offen, soll sich aber deutlich von einem Vortrag unterscheiden. Denkbar sind kurze, moderierte Gruppenarbeitsphasen aber auch Übungen mit neuartigen Werkzeugen. Für diese Beitragsart soll eine kurze Beschreibung des Themas und des geplanten Formats eingereicht werden.

Die Dauer des interaktiven Beitrags darf maximal 45 Minuten betragen. Die Einreichung muss folgende Informationen enthalten: Den Namen und die Kontaktdaten des/der Beitragenden, eine Kurzvita (Erfahrungen und Kompetenzen), einen Arbeitstitel, Schlagwörter, die Beitragsart oder/und besonderen Interaktionsformen (z. B. Gruppenarbeit, Diskussion, Anwendung eines neuen Tools), die Dauer des Beitrags, die Zielgruppe und Relevanz, benötigte spezielle Ausrüstung (gängige Workshopmaterialien kann das Organisationsteam zur Verfügung stellen, spezielle Ausrüstung muss von dem/der Beitragenden selbst organisiert werden), eine Angabe zu vorherigen Veröffentlichungen der Inhalte vor dem Workshop, einen Abstract (maximal 1 DIN-A4-Seite, die als Teil der Workshopmaterialien veröffentlicht wird).

Das Ergebnis des Workshops ist eine dokumentierte Sammlung von neuen Entwicklungen und Forschungsergebnissen im Bereich Usable Security und Privacy in den Proceedings der „Mensch und Computer 2021“ sowie – für den zweiten Teil – ein intensiver Wissensaustausch zwischen den Teilnehmern auf Basis der Interaktion am Workshoptag, der ebenfalls in geeigneter Form dokumentiert und veröffentlicht wird.

Alle eingereichten, wissenschaftlichen Beiträge werden durch die Mitglieder des Programmkomitees in einem Double-Blind-Peer-Review-Verfahren begutachtet. Jede Einreichung wird von drei Gutachter:innen bewertet. Auswahlkriterien für die Annahme sind die Relevanz, Originalität und wissenschaftliche Qualität des Beitrags, eine klare Beschreibung des Lösungsansatzes und ein überzeugender Beleg für dessen Nützlichkeit.

Die Vorschläge für interaktive Beiträge werden von den Workshoporganisator:innen gesichtet, bewertet und dahingehend ausgewählt, dass möglichst abwechslungsreiche Interaktionsformate und unterschiedliche Themen bedient werden.

Programmkomitee

Yasemin Acar (Max-Planck-Institut für Sicherheit und Privatsphäre, DE)
Florian Alt (Universität der Bundeswehr München, DE)
Jens Bender (BSI, DE)
Zinaida Benenson (FAU Erlangen-Nürnberg, DE)
Alexander de Luca (Google, DE)
Markus Dürmuth (Ruhr-Universität Bochum, DE)
Denis Feth (Fraunhofer IESE, DE)
Simone Fischer-Hübner (Karlstad University, SE)
Peter Gorski (infodas, DE)
Marit Hansen (ULD Schleswig-Holstein, DE)
Timo Jakobi (Universität Siegen, DE)
Marian Margraf (FU Berlin, DE)
Tilo Mentler (Hochschule Trier, DE)
Sebastian Möller (TU Berlin, DE)
Delphine Reinhardt (Universität Göttingen, DE)
Christian Reuter (TU Darmstadt, DE)
Matthew Smith (Universität Bonn, DE)
Gunnar Stevens (Universität Siegen, DE)
Jan Tolsdorf (Hochschule Bonn-Rhein-Sieg, DE)
Stephan Wiefling (Hochschule Bonn-Rhein-Sieg, DE)

Termine

~~04.06.2021~~ 18.06.2021 Einreichungsfrist für Workshopbeiträge
~~18.06.2021~~ 25.06.2021 Annahmebenachrichtigung
09.07.2021 Einreichungsfrist der Endfassungen beim Organisationsteam
Voraussichtlich 05.09.2021 Ausrichtung des Workshops (Mensch und Computer 2021, Ingolstadt)

Organisation und Durchführung

Luigi Lo Iacono (Hochschule Bonn-Rhein-Sieg, luigi.lo_iacono@h-brs.de)
Hartmut Schmitt (HK Business Solutions GmbH, hartmut.schmitt@hk-bs.de)
Svenja Polst (Fraunhofer IESE, svenja.polst@iese.fraunhofer.de)
Andreas Heinemann (Hochschule Darmstadt, andreas.heinemann@h-da.de)

Der Schwerpunkt dieses Workshops liegt auf Usable Security und Privacy. Der Workshop findet in enger Abstimmung mit der Fachgruppe „Usable Safety & Security“ im Fachbereich Mensch-Computer-Interaktion (MCI) der Gesellschaft für Informatik (GI) statt, die federführend den „8. Workshop Mensch-Maschine-Interaktion in sicherheitskritischen Systemen“ organisiert. Einreichungen aus dem Umfeld von Usable Safety verweisen wir auch auf diesen Workshop.

Der 7. Usable Security und Privacy Workshop wird in Zusammenarbeit mit dem Arbeitskreis Usable Security & Privacy der German UPA, dem GI Fachbereich Mensch-Computer-Interaktion (MCI), dem ITG-Fachbereich Dienste und Anwendungen und dem Projekt „TrUSD – Transparente und selbstbestimmte Ausgestaltung der Datennutzung im Unternehmen“ durchgeführt.