Physiologische Benutzerschnittstellen für Sicherheit und Datenschutz

Moderne Kommunikationstechnologien ermöglichen den Zugriff auf sensible Informationen an jedem Ort und zu jeder Zeit - zum Beispiel auf persönlichen Geräten oder in der Cloud. Gleichzeitig ist der Schutz solcher Informationen nach wie vor eine große Herausforderung. Einer der Hauptgründe ist, dass viele Sicherheitsmechanismen nicht optimal an ihren Nutzungskontext angepasst sind, d.h. sie unterbrechen die aktuelle Aufgabe der Benutzer, sind oft zeitaufwendig und erfordern einen gewissen kognitiven Aufwand. Daher versuchen Benutzer im Allgemeinen den erforderlichen Aufwand beim Umgang mit Sicherheitsmechanismen zu minimieren (z.B. Wiederverwendung von Passwörtern, Auswahl leicht zu merkender Passwörter und Notieren von Passwörtern), was sich negativ auf die Sicherheit auswirkt.

Zeitgleich werden immer mehr Technologien verfügbar, die es ermöglichen, den physiologischen Zustand der Nutzer zu erfassen und zu bewerten. Hierdurch entsteht die Möglichkeit, viele der Herausforderungen zu bewältigen, mit welchen modernen Sicherheitsmechanismen nach wie vor kämpfen. Eine solche Technologie ist Eyetracking. Heute sind bereits viele Laptops, Tablets und Smartphones mit hochauflösenden Kameras ausgestattet, die das Blickverhalten der Benutzer verfolgen können. Dies ermöglicht neue Sicherheitskonzepte. So kann beispielsweise das Blickverhalten durch sogenannte implizite Authentifizierungsmechanismen genutzt werden, um die Identität eines Benutzers im Hintergrund zu überprüfen, ohne dass der Benutzer seine aktuelle Aufgabe unterbrechen muss. Darüber hinaus können bestehende Sicherheitsmechanismen von dieser Technologie profitieren: durch die Überwachung des Blicks während der Wahl eines Passworts kann ein System anhand anhand von Blick- und Verhaltensinformationen die Komplexität des Passworts abschätzen oder ob der Benutzer ein dasselbe Passwort bereits für einen anderen Zugang verwendet; oder ein System kann Phishing-E-Mails aus der Art und Weise, wie der Inhalt der Email durch den Benutzer wahrgenommen wird, identifizieren (z.B. fordern Phishing-E-Mails oft sofortiges Handeln, wodurch sich das Stressniveau des Benutzers erhöht und sich letztlich seine Pupillengröße erweitert; oder Benutzer können wiederholt verdächtige URLs lesen, was zu Regressionen in den Blickdaten führt). Anschließend könnte ein System geeignete Maßnahmen einleiten.

In unserer Forschung konzentrieren wir uns darauf, wie solche neuartigen Konzepte auf der Grundlage physiologischer Daten gestaltet werden können. Insbesondere beschäftigt sich unsere Forschung (1) mit dem Verstehen physiologischer Reaktionen von Menschen in sicherheitskritischen Situationen; (2) der Entwicklung von Methoden, die es ermöglichen, physiologische Daten in sicherheitskritischen Situationen zu sammeln; und (3) der Entwicklung von Mechanismen welche nicht nur den physiologische Zustand der Benutzer analysieren sondern gleichzeitig deren Privatsphäre schützen, um letztendlich die Akzeptanz zu fördern.