Cybersecurity by Usability: Wie benutzerfreundliches Design Sicherheit stärkt
Cybersecurity by Usability verbindet Sicherheit und Benutzerfreundlichkeit. Erfahren Sie, wie benutzerzentriertes Design Risiken senkt und Sicherheitsakzeptanz schafft.
Sicherheit und Usability: ein scheinbarer Widerspruch
Cybersecurity und Usability werden oft als gegensätzliche Kräfte wahrgenommen. Um die Sicherheit zu erhöhen, werden komplexe Passwörter, mehrstufige Authentifizierungsprozesse, strenge Zugriffskontrollen und detaillierte Anforderungen an das Anwenderverhalten umgesetzt. Doch schaut man sich das Verhalten der durchschnittlichen Anwendenden an, dann sind zwei Eigenschaften schnell zu identifizieren.
Die durchschnittliche Technikaffinität liegt bei ihnen deutlich unter dem Niveau jener Entwicklerinnen und Entwickler, die die Systeme konzipieren. Hinzu kommt, dass strenge Anforderungen an das Anwenderverhalten für Frust und Verwirrung sorgen. Als Trotzreaktion gehen Anwendende möglicherweise nachlässig mit ihren Sicherheitspraktiken um oder zeigen Gleichgültigkeit gegenüber den Sicherheitsmaßnahmen. Eine in der Zeitschrift für Arbeitswissenschaft veröffentlichte Untersuchung beschreibt diesen Zusammenhang: Sicherheitsmaßnahmen, die Arbeitsprozesse verlangsamen oder den Handlungsspielraum von Beschäftigten einschränken, stoßen häufig auf Ablehnung und können zu Umgehungsverhalten führen.
Die Folgen: Umgehungsverhalten und Sicherheitsmüdigkeit

Das Ergebnis ist aus Sicht der Cybersecurity katastrophal. Sicherheitsfunktionen wie Sperrbildschirme oder Login-Funktionen werden bewusst deaktiviert. Anwendende nutzen einfach merkbare Passwörter über mehrere Accounts hinweg oder notieren sie auf einem Klebezettel direkt neben dem System. So sorgt Cybersecurity in der Praxis für weniger statt für mehr Sicherheit. Umgehungsverhalten ist damit ein praktisches Problem, das viele Sicherheitsarchitekturen unterschätzen. Eine internationale Befragung von Proofpoint unter 7.500 Mitarbeitenden und 1.050 Sicherheitsexperten zeigt, dass rund zwei Drittel aller Angestellten bewusst gängige und bekannte Sicherheitspraktiken missachten und ihr Unternehmen dadurch erhöhten Risiken für Cyberangriffe aussetzen. Dass dahinter selten böser Wille steckt, belegt die Forschung zu Security Fatigue: Mit steigender Zahl sicherheitsrelevanter Entscheidungen nimmt die bewusste Regelumsetzung deutlich ab und Umgehungsverhalten zu. Forschende sprechen in diesem Zusammenhang von einer Vermeidung sicherheitsrelevanter Anforderungen.
Der Ansatz: Cybersecurity by Usability
An genau dieser Stelle setzt unser Ansatz an: Cybersecurity by Usability beginnt mit der Integration von Sicherheitsmaßnahmen in den Alltag der Anwendenden. Wo Sicherheitskonzepte den Menschen vor allem als Risikofaktor behandeln, der durch Vorgaben kontrolliert werden muss, ergänzen wir diese Perspektive um eine zweite. Sicherheit muss am Menschen ausgerichtet sein, nicht umgekehrt. Daraus entsteht ein Verständnis von Informationssicherheit, das in den international diskutierten Feldern Usable Security, Security UX und menschenzentrierter Cybersecurity verankert ist und das wir konsequent in unsere Lösungen für Access und Identity Management übersetzen.

Praktisch zeigt sich das besonders dort, wo Berechtigungen, Identitäten und Zugänge gesteuert werden. Self-Service-Funktionen für Passwortzurücksetzung, automatisierte Berechtigungsvergabe und nachvollziehbare Rezertifizierungsprozesse machen Sicherheit für Anwendende greifbar, ohne den IT-Betrieb zu belasten. Der Fokus liegt darauf, dass Sicherheit nicht als störendes Element empfunden wird, sondern als natürlicher Bestandteil der digitalen Interaktion. Eine benutzerfreundliche Authentifizierung und ein klares Access Management reduzieren so die typischen Reibungsverluste beim Anmelden und bei der Rechtevergabe, ohne das Schutzniveau zu senken.
Der Idealzustand ist erreicht, wenn Anwendende Sicherheitsaspekte bewusst nutzen, weil die Nutzung mit weniger Aufwand und mehr Komfort verbunden ist als der bewusste Verzicht. Genau an dieser Stelle entsteht Sicherheitsakzeptanz und damit eine wichtige Grundlage dafür, dass Sicherheitskonzepte im Alltag auch tatsächlich gelebt werden. Wie gut dieser Ansatz funktioniert, zeigt sich in der Praxis. Unser BAYOOSOFT Access Manager wird in der täglichen Nutzung breit angenommen, weil Anwendende Berechtigungen, Identitäten und Passwortzurücksetzungen eigenständig und ohne lange Wartezeiten verwalten können. So wird Cybersecurity by Usability im Arbeitsalltag konkret erfahrbar.
Benutzerfreundliches Design für mehr Cybersecurity
Benutzerfreundliches Design spielt eine Schlüsselrolle bei der Umsetzung von Cybersecurity by Usability. Anwendende sollten von Anfang an in den Designprozess einbezogen werden, damit Sicherheitsaspekte nicht als nachträgliche Ergänzung betrachtet werden. Methoden wie User Research, Prototyping und Usability Testing helfen dabei, Bedienkonzepte schon früh an realen Nutzungsanforderungen zu prüfen. In der BAYOONET Group arbeiten wir hierfür eng mit unserem Schwesterunternehmen UID zusammen, das seit über 25 Jahren auf UX Design und menschenzentrierte Produktentwicklung spezialisiert ist. Schon wenige Prinzipien steigern die Qualität der Sicherheitsaspekte eines Produkts deutlich.

Trennung von Identifizierung und Authentifizierung
Ein Passwort ist zur Authentifizierung notwendig, jedoch nicht zur Identifizierung. Für die Identifizierung sollte die Devise gelten: leicht zu merken, schwer zu knacken. Ein fünfstelliger PIN mit einer begrenzten Anzahl Versuche und einem sich schrittweise erweiternden Eingabefenster bis zum nächsten Versuch ist in vielen Kontexten deutlich sicherer als eine Vielzahl komplexer Passwörter. Genau diese Idee greift kontextabhängige Authentifizierung auf, indem Authentifizierungsmechanismen sich an Kontext und Risikoprofil anpassen.
Reduktion von benötigtem sicherheitsrelevantem Anwenderwissen
Ein Geheimnis, das Anwendende nicht kennen, können sie nicht leaken oder verlieren. Im Kontext der jeweiligen Anwendung ist daher zu analysieren, ob und wie die Anwendenden in sicherheitsrelevante Abläufe einbezogen werden müssen. Wo immer es technisch möglich ist, sollten kritische Informationen im System verbleiben, statt in der Verantwortung einzelner Personen zu liegen. Das senkt nicht nur das Risiko menschlicher Fehler, sondern auch die kognitive Last für die Anwendenden.
Anwenderfeedback während der Datenverarbeitung
Ein großes Sicherheitsrisiko ist irrationales Anwenderverhalten. Wer sich unter Zeitdruck oder durch fehlende Rückmeldung des Systems unsicher fühlt, neigt zu Aggressivität, Mehrfachklicks oder hektischen Korrekturen. Genau diese Reaktionen führen zur falschen Nutzung des Produkts, etwa durch versehentlich oder mehrfach ausgeführte Funktionen, bis hin zu Datenmanipulation oder Datenverlust. Sichtbare Feedback-Loops während laufender Vorgänge geben Sicherheit und verhindern Fehlbedienungen.
Klare Fehlermeldungen
Software ist nicht fehlerfrei. Im Fehlerfall sollten Anwendende jedoch nicht allein gelassen werden. Klare Informationen zu Ursache und Auswirkung verhindern das bereits beschriebene irrationale Anwenderverhalten und geben Orientierung in genau jenen Momenten, in denen Anwendende sonst zu unsicheren Workarounds greifen würden. Eine verständliche Fehlerkommunikation ist damit kein Designdetail, sondern ein konkreter Beitrag zur Informationssicherheit.
Visuelle Identifikation von Anwendenden und Admin sowie Test- und Live-Umgebung
Parallel offene Anwendungen sorgen schnell für Verwirrung, vor allem wenn Nutzende im Zeitstress Einstellungen tätigen. Kritisch wird es, wenn sie beispielsweise unbewusst Konfigurationen und Operationen auf einer Live- statt einer Test-Umgebung anpassen. Eine klare visuelle Trennung sicherheitskritischer Rollen und Umgebungen verhindert solche Fehlbedienungen und ist eine der wirksamsten Maßnahmen gegen unbeabsichtigte Datenmanipulation in komplexen Systemlandschaften.
