Call for Papers - 8. Usable Security und Privacy Workshop

Thema

Deutschland kommt bei der Digitalisierung nur langsam voran und liegt nur knapp über dem EU-Durchschnitt. Daher hat die Bundesregierung mit ihrer 2021 beschlossenen Datenstrategie das Ziel ausgegeben, Deutschland zum Vorreiter bei Innovationen zu machen. Insgesamt wurden rund 240 Maßnahmen beschlossen, die in vier Handlungsfeldern gebündelt sind. Als grundlegende Voraussetzung für nachhaltige und erfolgreiche Digitalisierung wird in allen Handlungsfeldern und Maßnahmen Sicherheit berücksichtigt. Datenschutz wurde als wichtige Herausforderung erkannt und findet sich ebenso wie die nutzerfreundliche Gestaltung von digitalen Angeboten und Diensten in zahlreichen Maßnahmen wieder. Dieser Ansatz ist auch in Übereinstimmung mit den Zielen der Regierung Scholz, die sich beispielsweise dafür einsetzt, die Digitalisierung der Verwaltung konsequent aus der Nutzungsperspektive heraus zu denken und interdisziplinäre Problemlösungen zu entwickeln.

Der Ansatz, diese drei wichtigen Grundlagen der Digitalisierung – Sicherheit, Datenschutz und Usability – zusammen zu denken und miteinander in Einklang zu bringen, wird als Usable Security bzw. Usable Privacy bezeichnet. Besonders wichtig ist Usable Security und Privacy bei der Digitalisierung der Arbeitswelt. Überall dort, wo die Nutzer:innen ihrer Arbeit nachgehen müssen, muss der einfachste Weg durch eine Anwendung auch der sicherste sein. Angemessene Sicherheits- und Datenschutztechnologien, die von den Benutzer:innen verstanden sowie effektiv, effizient und zufriedenstellend genutzt werden können, sind grundlegende Faktoren für einen effektiven Schutz von Privat- und Unternehmensdaten.

Die Usability von sicherheits- bzw. privatheitsfördernden Verfahren ist somit eine Schlüsseleigenschaft, die die individuellen Anforderungen aller beteiligter Gruppen von Benutzer:innen sowohl in Entwicklungsprozessen als auch im produktiven Einsatz berücksichtigen muss. Usable Security bezeichnet den inter- und transdisziplinären Ansatz, sicherheitsfördernde Verfahren für digitale Produkte und Dienstleistungen so auszugestalten, dass Benutzer:innen bei ihren sicherheitsrelevanten Zielen und Vorhaben bestmöglich unterstützt werden. Hierdurch werden z. B. auch Lai:innen und technikferne Anwender:innen in die Lage versetzt, Sicherheitselemente und deren Notwendigkeit zumindest grundlegend zu verstehen und die Elemente in der dafür vorgesehenen Weise zu verwenden. Usable Privacy verfolgt äquivalente Ziele und fokussiert dabei auf Technologien zur Förderung der Privatheit in digitalen Systemen und Plattformen.

Viele Lösungen zum Schutz der Privatsphäre erreichen geltende Usability-Standards bislang nicht. Eine im Januar 2021 publizierte Studie zum benutzerfreundlichen Datenschutz in cloudbasierten Office-Lösungen hat klaffende Lücken in den bereitgestellten Funktionen und Daten der Privacy Dashboards festgestellt. Diese bilden die Betroffenenrechte aktuell nur unzureichend ab, was sich z. B. durch eine Beschränkung auf die anbieterspezifischen Datenverarbeitungen, lücken- oder fehlerhafte Datenübersichten und Datenexport sowie inkonsistentes bzw. unerwartetes Verhalten (z. B. “privater” Kalendereintrag für Administratoren einsehbar) äußert. In einem weiteren Beispiel aus dem privaten Umfeld erfordern Sprachassistenten wie Amazon Alexa den Wechsel zu einem anderen Interface, um umfassende Privatsphäreeinstellungen vornehmen zu können. Somit wird Nutzer:innen mit geringem technischem Verständnis oder eingeschränkten Sehfähigkeiten der Zugang dazu erschwert. Auch andere Methoden und Werkzeuge zum Selbstdatenschutz erfordern in der Regel ein hohes technisches Verständnis der Anwender:innen. Den Bedarf an guten Lösungen zeigt auch eine aktuelle Studie des Arbeitskreises “Usable Security & Privacy” der German UPA auf: Seitdem die Europäische Datenschutzgrundverordnung gilt, müssen sich zwei Drittel der Usability Professionals öfter als zuvor mit der Umsetzung von Betroffenenrechten (z. B. Auskunftsrecht, Recht auf Vergessenwerden) beschäftigen.

Die Verunsicherung zeigt sich beispielsweise bei der Umsetzung der ePrivacy-Richtlinie ("Cookie-Richtlinie"), die zuletzt 2009 geändert wurde. In den letzten Jahren hat sich eine Praxis bei der Gestaltung und technische Umsetzung von Cookie-Bannern etabliert, die sowohl datenschutzrechtlich als auch aus Usability-Sicht – Stichworte Nudging und Dark Patterns – umstritten ist. Durch sogenannte PIMS (Personal Information Management Systems) soll nun eine zentrale Einwilligungsverwaltung durch eine technische und datenschutzfreundliche Gestaltung ermöglicht werden; Rechtsgrundlage ist § 26 des am 1. Dezember 2021 in Kraft getretenen TTDSG. Allerdings sind auch diese PIMS umstritten, da das Auslesen einer neuen zentralen Einwilligungsverwaltung, auf die z. B. Browser und Plugins (bzw. deren Hersteller) zugreifen können, zu ganz neuen, gravierenden Datenschutzproblemen führen kann.

Der Workshop Usable Security und Privacy wird seit 2015 als MuC-Workshop durchgeführt. Ziel der achten Auflage ist es, dieses etablierte Forum, in dem sich Expert:innen aus Wissenschaft und Praxis zum Thema benutzerfreundlicher Technologien zur Gewährleistung der Informationssicherheit und Privatheit austauschen können, zu festigen und weiterzuentwickeln. Zugleich soll durch den Workshop die Diskussion für ein breiteres Fachpublikum geöffnet werden.

Angenommene Beiträge

• The Implementation of Protective Measures and Communication of Cybersecurity Alerts in Germany - A Representative Survey of the Population
  Marc-André Kaufhold, Julian Bäumler und Christian Reuter
  DOI: 10.18420/muc2022-mci-ws01-228
• The Notion of Relevance in Cybersecurity: A Categorization of Security Tools and Deduction of Relevance Notions
  Philipp Kuehn, Julian Bäumler, Marc-André Kaufhold, Marc Wendelborn und Christian Reuter
  DOI: 10.18420/muc2022-mci-ws01-220
• PassGlobe: Ein Shoulder-Surfing resistentes Authentifizierungsverfahren für Virtual Reality Head-Mounted Displays
  Tobias Länge, Philipp Matheis, Reyhan Düzgün, Peter Mayer und Melanie Volkamer
  DOI: 10.18420/muc2022-mci-ws01-462
• Website operators are not the enemy either - Analyzing options for creating cookie consent notices without dark patterns
  Alina Stöver, Nina Gerber, Christin Cornel, Mona Henz, Karola Marky, Verena Zimmermann und Joachim Vogt
  DOI: 10.18420/muc2022-mci-ws01-458
• Exploration of a Mobile Design for a Privacy Assistant to Help Users in Sharing Content in Online Social Networks
  Lindrit Kqiku, Jakob Dieterle und Delphine Reinhardt
  DOI: 10.18420/muc2022-mci-ws01-461

Einreichung von Beiträgen

Interessent:innen können Forschungs- und Entwicklungsarbeiten - auch in noch frühen Stadien - in deutscher oder englischer Sprache bis zum 03.06.2022 einreichen. Mögliche Beitragstypen sind:

• neue Vorgehensweisen oder Werkzeuge,
• gestalterische Studien, z. B. UI-Gestaltung, Persuasive Design,
• Berichte praktischer Umsetzung (erfolgreiche Beispiele, untaugliche Ansätze),
• Systemdemonstrationen,
• praxiserprobte Methoden, Best Practices,
• kritische Reflexionen (Herausforderungen, Fallstricke),
• Replikationsstudien,
• theoretische/zukunftsweisende Arbeiten,
• laufende Forschungs- und Entwicklungsprojekte,
• Betrachtungen besonderer Benutzergruppen (z. B. Kinder, Senior:innen, Arbeitnehmer:innen, Softwareentwickler: innen, Administrator:innen).

• neuartige Interaktionsformen und Benutzeroberflächen, z. B. Voice User Interfaces,
• konkrete UI-Gestaltung, z. B. bei Video-Konferenzsystemen,
• konkrete Anwendungen/Erfahrungen aus der Praxis,
• Erfahrungen aus den ersten drei Jahren DSGVO,
• Security Awareness vs. Usable Security.

Die Beiträge sollten in deutscher oder englischer Sprache und bislang unveröffentlicht sein, einen Umfang von sechs bis acht Seiten haben und den Autorenrichtlinien der Mensch und Computer 2022 entsprechen. Dabei soll, den Richtlinien entsprechend, die ACM-Formatvorlage (LaTeX, Word) verwendet werden. Die Einreichung erfolgt anonymisiert über das ConfTool Konferenzsystem.

Beitrag einreichen

Alle eingereichten, wissenschaftlichen Beiträge werden durch die Mitglieder des Programmkomitees in einem Double-Blind-Peer-Review-Verfahren begutachtet. Jede Einreichung wird von drei Gutachter:innen bewertet. Auswahlkriterien für die Annahme sind die Relevanz, Originalität und wissenschaftliche Qualität des Beitrags, eine klare Beschreibung des Lösungsansatzes und ein überzeugender Beleg für dessen Nützlichkeit.

Die angenommenen Beiträge werden in Vorträgen vorgestellt und mit dem gesamten Auditorium diskutiert. Zudem soll wie in den vergangenen Jahren angeboten werden, die schriftlichen Einreichungen zu publizieren. Die Autoren arbeiten dafür das Feedback aus den Gutachten für die Camera-Ready-Version ein. In diesem Jahr möchten wir die Autoren dabei erstmals mit einem Shepherding-Prozess unterstützen, in dem den Autoren jeweils ein Mitglied des Organisationsteams für Rückfragen zu den Reviewkommentaren zur Verfügung steht. Dieser Prozess soll den Autoren die Einarbeitung der Kommentare erleichtern und zu einer weiteren Qualitätssteigerung der finalen Publikation beitragen.

Neben Publikationen sollen für den 8. Usable Security und Privacy Workshop auf der Mensch und Computer 2022 auch interaktive Beiträge eingereicht werden können. Die Art des Beitrages ist relativ offen, soll sich aber deutlich von einem Vortrag unterscheiden. Denkbar sind kurze, moderierte Gruppenarbeitsphasen, aber auch Übungen mit neuartigen Werkzeugen. Für diese Beitragsart soll eine kurze Beschreibung des Themas und des geplanten Formats eingereicht werden. Die Dauer des interaktiven Beitrags darf maximal 45 Minuten betragen. Die Einreichung muss folgende Informationen enthalten: Den Namen und die Kontaktdaten des/der Beitragenden, eine Kurzvita (Erfahrungen und Kompetenzen), einen Arbeitstitel, Schlagwörter, die Beitragsart oder/und besonderen Interaktionsformen (z. B. Gruppenarbeit, Diskussion, Anwendung eines neuen Tools), die Dauer des Beitrags, die Zielgruppe und Relevanz, benötigte spezielle Ausrüstung (gängige Workshopmaterialien kann das Organisationsteam zur Verfügung stellen, spezielle Ausrüstung muss von dem/der Beitragenden selbst organisiert werden), eine Angabe zu vorherigen Veröffentlichungen der Inhalte vor dem Workshop, einen Abstract (maximal 1 DIN-A4-Seite, die als Teil der Workshopmaterialien veröffentlicht wird). Die Vorschläge für interaktive Beiträge werden von den Workshoporganisator:innen gesichtet, bewertet und dahingehend ausgewählt, dass möglichst abwechslungsreiche Interaktionsformate und unterschiedliche Themen bedient werden.

Die Dauer des interaktiven Beitrags darf maximal 45 Minuten betragen. Die Einreichung muss folgende Informationen enthalten: Den Namen und die Kontaktdaten des/der Beitragenden, eine Kurzvita (Erfahrungen und Kompetenzen), einen Arbeitstitel, Schlagwörter, die Beitragsart oder/und besonderen Interaktionsformen (z. B. Gruppenarbeit, Diskussion, Anwendung eines neuen Tools), die Dauer des Beitrags, die Zielgruppe und Relevanz, benötigte spezielle Ausrüstung (gängige Workshopmaterialien kann das Organisationsteam zur Verfügung stellen, spezielle Ausrüstung muss von dem/der Beitragenden selbst organisiert werden), eine Angabe zu vorherigen Veröffentlichungen der Inhalte vor dem Workshop, einen Abstract (maximal 1 DIN-A4-Seite, die als Teil der Workshopmaterialien veröffentlicht wird).

Zusätzlich zu den Vorträgen und interaktiven Beiträgen wird das Workshop-Programm durch eine eingeladene Keynote abgerundet. Als Keynote Speaker:in soll eine namhafte Persönlichkeit aus der Usable Security und Privacy Forschung oder aus der Industrie im Vorlauf des Workshops vom Organisationsteam akquiriert werden.

Das Ergebnis des Workshops ist eine dokumentierte Sammlung von neuen Entwicklungen und Forschungsergebnissen im Bereich Usable Security und Privacy in den Proceedings der "Mensch und Computer 2022" sowie – für den zweiten Teil – ein intensiver Wissensaustausch zwischen den Teilnehmern auf Basis der Interaktion am Workshoptag, der ebenfalls in geeigneter Form dokumentiert und veröffentlicht wird.

Programmkomitee

• Florian Alt (Universität der Bundeswehr München, DE)
• Florian Dehling (Hochschule Bonn-Rhein-Sieg, DE)
• Denis Feth (Fraunhofer IESE, DE)
• Peter Gorski (infodas, DE)
• Timo Jakobi (Universität Siegen, DE)
• Marian Margraf (FU Berlin, DE)
• Maija Poikela (Fraunhofer AISEC, DE)
• Christian Reuter (TU Darmstadt, DE)
• Jan Tolsdorf (Hochschule Bonn-Rhein-Sieg, DE)
• Stephan Wiefling (Hochschule Bonn-Rhein-Sieg, DE)

Organisation und Durchführung

• Luigi Lo Iacono (Hochschule Bonn-Rhein-Sieg, luigi.lo_iacono@h-brs.de)
• Hartmut Schmitt (HK Business Solutions GmbH, hartmut.schmitt@hk-bs.de)
• Svenja Polst (Fraunhofer IESE, svenja.polst@iese.fraunhofer.de)
• Andreas Heinemann (Hochschule Darmstadt, andreas.heinemann@h-da.de)

Der 8. Usable Security und Privacy Workshop wird in Zusammenarbeit mit dem Arbeitskreis Usable Security & Privacy der German UPA, dem GI Fachbereich Mensch-Computer-Interaktion (MCI), dem ITG-Fachbereich Dienste und Anwendungen und dem Projekt „D'accord – Adaptive Datenschutz-Cockpits in digitalen Ökosystemen“ durchgeführt.