Call for Papers - 9. Usable Security und Privacy Workshop

Termine

  • 12.06.2023 19.06.2023 Einreichungsfrist für Workshopbeiträge (harte Deadline)
  • 03.07.2023 10.07.2023 Annahmebenachrichtigung
  • 20.07.2023 28.07.2023 Einreichungsfrist der Endfassungen beim Organisationsteam
  • 03.09.2023 Ausrichtung des Workshops (Mensch und Computer 2023, OST Ostschweizer Fachhochschule Campus Rapperswil (SG) am Zürichsee, Schweiz)

Thema

Digitale Technologien haben unser Leben rasant verändert. Immer mehr Menschen, Gegenstände und Orte sind digital miteinander verbunden und kommunizieren miteinander. Bereits heute durchdringt die digitale Vernetzung nahezu alle Interaktionsformen unserer Gesellschaft. Dieser Trend – auch Hyperkonnektivität genannt – bringt ständig neue Technologien, Produkte, Dienstleistungen und Geschäftsmodelle hervor. Dies ermöglicht Fortschritt, gleichzeitig ergeben sich jedoch auch Risiken – vom Diebstahl geistigen Eigentums über den Verlust digitaler Identitäten bis hin zu Cyberangriffen, die die Sicherheit von Staaten, Unternehmen und Menschen bedrohen. In einer von Hyperkonnektivität geprägten Zukunft müssen digitale Anwendungen daher höchsten Ansprüchen an Cybersicherheit und Cyberprivatheit gerecht werden, die bei der Ausgestaltung alle angedachten Nutzendengruppen angemessen adressieren müssen.

Angemessene Sicherheits- und Datenschutztechnologien, die von den Benutzer:innen verstanden und effektiv, effizient und zufriedenstellend genutzt werden können, sind grundlegende Faktoren für einen effektiven Schutz von Privat- und Unternehmensdaten. Die Usability von sicherheits- bzw. privatheitsfördernden Verfahren ist somit eine Schlüsseleigenschaft, die die individuellen Anforderungen aller beteiligter Gruppen von Benutzer:innen sowohl in Entwicklungsprozessen als auch im produktiven Einsatz berücksichtigen muss.

Der Ansatz, diese drei wichtigen Grundlagen der Digitalisierung – Sicherheit, Datenschutz und Usability – zusammen zu denken und miteinander in Einklang zu bringen, wird als Usable Security bzw. Usable Privacy bezeichnet. Usable Security bezeichnet den inter- und transdisziplinären Ansatz, sicherheitsfördernde Verfahren für digitale Produkte und Dienstleistungen so auszugestalten, dass Benutzer:innen bei ihren sicherheitsrelevanten Zielen und Vorhaben bestmöglich unterstützt werden. Hierdurch werden z. B. auch Lai:innen und technikferne Anwender:innen in die Lage versetzt, Sicherheitselemente und deren Notwendigkeit zumindest grundlegend zu verstehen und die Elemente in der dafür vorgesehenen Weise zu verwenden. Usable Privacy verfolgt äquivalente Ziele und fokussiert dabei auf Technologien zur Förderung der Privatheit in digitalen Systemen und Plattformen.

Sowohl technische als auch organisatorische Maßnahmen können beeinflussen, wie die Nutzer:innen informationstechnischer Systeme die darin integrierten Funktionen zur Erhöhung der Sicherheit und der Privatheit wahrnehmen und nutzen. Ein Beispiel, das wie fast kein anderes für das Leitthema “Building Bridges” der diesjährigen Mensch und Computer steht, sind sogenannte Datentreuhänder. Ein Datentreuhänder ist eine spezielle Form des Datenmittlers und eine Vertrauensinstanz, die schützenswerte Daten zwischen Datengebenden und Datennutzenden unter Wahrung der Interessen beider Seiten digital vermittelt. Insbesondere das Schaffen von Vertrauen und das Vertreten der Interessen aller Parteien bedingen hier eine benutzerfreundliche Umsetzung der IT-Sicherheit und des Datenschutzes. Neben personenbezogenen Daten werden bei Datentreuhandmodellen auch viele unternehmensbezogene Daten vermittelt. Diese fallen nicht notwendigerweise unter den Datenschutz, aber häufig unter den Geschäftsgeheimnisschutz. Daher ist es eine spannende Frage, wie man neben “Usable Security and Privacy” auch “Usable Data Sovereignty” angeht, welche es Datengebern ermöglicht - unabhängig von der Art der Daten - informiert und selbstbestimmt an Datentreuhandmodellen teilzunehmen.

Viele Lösungen zur Ausübung der Souveränität im digitalen Raum erreichen geltende Usability-Standards bislang nicht Häufige Ursachen dafür sind eine unzureichende Ausgestaltung von Sicherheits- und Datenschutzmechanismen, die den Bedürfnissen, Fähigkeiten und Zielen der Nutzer:innen nicht gerecht werden. Die hohe und stetig steigende Komplexität informationstechnischer Systeme - auch bedingt durch deren Hyperkonnektivität - sorgt für immer neue Herausforderungen. Beispielsweise können dezentrale Systemarchitekturen, die ohne eine zentrale Entität auskommen, technisch ein hohes Schutzniveau bieten – im Anwendungssegment Instant Messaging wäre hier z. B. das Matrix-Protokoll zu nennen. Durch die für Nutzende dabei noch benötigte technische Expertise für die Installation und den Betrieb eines Home-Servers werden derartige Ansätze in der Praxis aber bisher kaum verwendet. Zentralisierte Systeme wie WhatsApp oder Signal werden stattdessen vorgezogen. Twitter vs. Mastodon ist ein weiteres Beispiel dafür, dass zentrale Systeme trotz ihrer Nachteile gegenüber dezentralen Systemarchitekturen – z.B. datengetriebenes Geschäftsmodell – aufgrund von Usabilityvorteilen präferiert werden.

Der Workshop Usable Security und Privacy wird seit 2015 als MuC-Workshop durchgeführt. Ziel der neunten Auflage ist es, dieses etablierte Forum, in dem sich Expert:innen aus Wissenschaft und Praxis zum Thema benutzerfreundlicher Technologien zur Gewährleistung der Informationssicherheit und Privatheit austauschen können, zu festigen und weiterzuentwickeln. Zugleich soll durch den Workshop die Diskussion für ein breiteres Fachpublikum geöffnet werden.

Angenommene Beiträge

  • Let's write Privacy: Vision for an Experiment Design on Textual Privacy in Conversation
    Franka Beyer, Zahra Kolagar und Darina Gold
    DOI: 10.18420/muc2023-mci-ws11-260
  • Towards informed choices: A decision model for adaptive warnings in self-sovereign identity
    Sarah Ebert, Anna-Magdalena Krauß und Jürgen Anke
    DOI: 10.18420/muc2023-mci-ws11-322
  • Is Privacy a Trait or a State? Examining Hangriness and its Influence on Individual's Privacy Perception
    Vera Schmitt, Robert P. Spang, Wafaa Wardah und Sebastian Möller
    DOI: 10.18420/muc2023-mci-ws11-377
  • Legal Requirements and Technical Metrics for Controlling Privacy of Employees' Location Data
    Ulrich Waldmann, Thomas Kunz, Janine Schleper, Matthias Kohn und Paulina Jo Pesch
    DOI: 10.18420/muc2023-mci-ws11-364

Einreichung von Beiträgen

Interessent:innen können Forschungs- und Entwicklungsarbeiten - auch in noch frühen Stadien - in deutscher oder englischer Sprache bis zum 12.06.2023 einreichen. Mögliche Beitragstypen sind:

  • neue Vorgehensweisen oder Werkzeuge,
  • gestalterische Studien, z. B. UI-Gestaltung, Persuasive Design,
  • Berichte praktischer Umsetzung (erfolgreiche Beispiele, untaugliche Ansätze),
  • Systemdemonstrationen,
  • praxiserprobte Methoden, Best Practices,
  • kritische Reflexionen (Herausforderungen, Fallstricke),
  • Replikationsstudien,
  • theoretische/zukunftsweisende Arbeiten,
  • laufende Forschungs- und Entwicklungsprojekte,
  • Betrachtungen besonderer Benutzergruppen (z. B. Kinder, Senior:innen, Arbeitnehmer:innen, Softwareentwickler:innen, Administrator:innen) und Anwendungsdomänen (z. B. Behörden).
Thematisch möchte der Workshop ein möglichst breites Spektrum abdecken. Einige aktuelle Beispiele sind:
  • neuartige Interaktionsformen und Benutzeroberflächen, z. B. Voice User Interfaces,
  • konkrete UI-Gestaltung, z. B. bei Video-Konferenzsystemen,
  • konkrete Anwendungen/Erfahrungen aus der Praxis,
  • Erfahrungen aus den ersten Jahren DSGVO,
  • Security Awareness vs. Usable Security.

Die Beiträge sollten in deutscher oder englischer Sprache und bislang unveröffentlicht sein, einen Umfang von sechs bis acht Seiten haben und den Autorenrichtlinien der Mensch und Computer 2023 entsprechen. Dabei soll, den Richtlinien entsprechend, die ACM-Formatvorlage (LaTeX, Word) verwendet werden. Die Einreichung erfolgt anonymisiert über das ConfTool Konferenzsystem.

Beitrag einreichen

Alle eingereichten, wissenschaftlichen Beiträge werden durch die Mitglieder des Programmkomitees in einem Double-Blind-Peer-Review-Verfahren begutachtet. Jede Einreichung wird von drei Gutachter:innen bewertet. Auswahlkriterien für die Annahme sind die Relevanz, Originalität und wissenschaftliche Qualität des Beitrags, eine klare Beschreibung des Lösungsansatzes und ein überzeugender Beleg für dessen Nützlichkeit.

Die angenommenen Beiträge werden in Vorträgen vorgestellt und mit dem gesamten Auditorium diskutiert. Zudem soll wie in den vergangenen Jahren angeboten werden, die schriftlichen Einreichungen zu publizieren. Die Autor:innen arbeiten dafür das Feedback aus den Gutachten für die Camera-Ready-Version ein. Auch in diesem Jahr möchten wir die Autor:innen dabei mit einem Shepherding-Prozess unterstützen, in dem den Autor:innen jeweils ein Mitglied des Organisationsteams für Rückfragen zu den Reviewkommentaren zur Verfügung steht. Dieser Prozess soll den Autor:innen die Einarbeitung der Kommentare erleichtern und zu einer weiteren Qualitätssteigerung der finalen Publikation beitragen.

Neben Publikationen sollen für den 10. Usable Security und Privacy Workshop auf der Mensch und Computer 2024 auch interaktive Beiträge eingereicht werden können. Die Art des Beitrages ist relativ offen, soll sich aber deutlich von einem Vortrag unterscheiden. Denkbar sind kurze, moderierte Gruppenarbeitsphasen, aber auch Übungen mit neuartigen Werkzeugen. Für diese Beitragsart soll eine kurze Beschreibung des Themas und des geplanten Formats eingereicht werden.

Die Dauer des interaktiven Beitrags darf maximal 45 Minuten betragen. Die Einreichung muss folgende Informationen enthalten: Den Namen und die Kontaktdaten des/der Beitragenden, eine Kurzvita (Erfahrungen und Kompetenzen), einen Arbeitstitel, Schlagwörter, die Beitragsart oder/und besonderen Interaktionsformen (z. B. Gruppenarbeit, Diskussion, Anwendung eines neuen Tools), die Dauer des Beitrags, die Zielgruppe und Relevanz, benötigte spezielle Ausrüstung (gängige Workshopmaterialien kann das Organisationsteam zur Verfügung stellen, spezielle Ausrüstung muss von dem/der Beitragenden selbst organisiert werden), eine Angabe zu vorherigen Veröffentlichungen der Inhalte vor dem Workshop, einen Abstract (maximal 1 DIN-A4-Seite, die als Teil der Workshopmaterialien veröffentlicht wird). Die Vorschläge für interaktive Beiträge werden von den Workshoporganisator:innen gesichtet, bewertet und dahingehend ausgewählt, dass möglichst abwechslungsreiche Interaktionsformate und unterschiedliche Themen bedient werden.

Zusätzlich zu den Vorträgen und interaktiven Beiträgen wird das Workshop-Programm durch eine eingeladene Keynote abgerundet. Als Keynote Speaker:in soll eine namhafte Persönlichkeit aus der Usable Security und Privacy Forschung oder aus der Industrie im Vorlauf des Workshops vom Organisationsteam akquiriert werden.

Das Ergebnis des Workshops ist eine dokumentierte Sammlung von neuen Entwicklungen und Forschungsergebnissen im Bereich Usable Security und Privacy in den Proceedings der "Mensch und Computer 2023" sowie – für den zweiten Teil – ein intensiver Wissensaustausch zwischen den Teilnehmern auf Basis der Interaktion am Workshoptag, der ebenfalls in geeigneter Form dokumentiert und veröffentlicht wird.

Programmkomitee

  • Florian Alt (Universität der Bundeswehr München, DE)
  • Zinaida Benenson (FAU Erlangen-Nürnberg, DE)
  • Florian Dehling (Hochschule Bonn-Rhein-Sieg, DE)
  • Markus Dürmuth (Leibniz Universität Hannover, DE)
  • Sascha Fahl (CISPA, DE)
  • Peter Leo Gorski (infodas, DE)
  • Marc-André Kaufhold (TU Darmstadt, DE)
  • Patrick Kühtreiber (Georg-August-Universität Göttingen, DE)
  • Marian Margraf (FU Berlin, DE)
  • Tilo Mentler (Hochschule Trier, DE)
  • Sebastian Möller (TU Berlin, DE)
  • Anna-Marie Ortloff (Universität Bonn, DE)
  • Christian Reuter (TU Darmstadt, DE)
  • Gunnar Stevens (Universität Siegen, DE)
  • Jan Tolsdorf (Hochschule Bonn-Rhein-Sieg, DE)
  • Stephan Wiefling (Hochschule Bonn-Rhein-Sieg, DE)

Organisation und Durchführung

Der 9. Usable Security und Privacy Workshop wird in Zusammenarbeit mit dem GI Fachbereich Mensch-Computer-Interaktion (MCI), dem ITG-Fachbereich Dienste und Anwendungen, dem Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE und dem Projekt „D'accord – Adaptive Datenschutz-Cockpits in digitalen Ökosystemen“ durchgeführt.