Averting security theater : methods to investigate and integrate secure experience in a user-centered security design process

Abstract

End users' interaction with computer security mechanisms can make them feel protected -- resulting in a so-called secure experience. However, these secure experiences can be deceiving. First, users build their mental models of security and choose their security practices based on their prior secure experiences with the available tools. Hence, the lack of secure experience reduces end users' ability to make informed decisions about their security practices. Without this knowledge foundation, users may, for example, choose insecure communication tools despite having access to more secure alternatives. Second, unjustified secure experiences -- that make end users feel protected while they are not -- are dangerous. This situation, termed security theater by Bruce Schneier, may result in users forgoing effective security practices or engaging in riskier behavior because they believe to be sufficiently protected. To avoid deceiving users, the deliberate design of these secure experiences is crucial to align them with the technology's ability to protect users from security risks. Currently, the field of Usable Privacy and Security has no methods to integrate the concepts of secure experience and security into the design process. This thesis tackles both types of deceptive secure experiences by adapting existing methods from Human-Computer Interaction to Security and proposing new design methods: Contextual Inquiry at scale, Autoethnography, and a user-centered security design approach. The first part of this work describes a thorough investigation of security and privacy issues that have deceptive secure experiences: cookie consent notices on the web, anti-stalkerware on smartphones, and the combined use of private browsing tools. The second part of this work applies and adapts known methods from HCI to security. In the third part, this work demonstrates how to integrate the concepts of secure experience and security theater into a user-centered security design process.

Die Interaktion von Endbenutzer*innen mit Computersicherheitsmechanismen kann dazu führen, dass sie sich geschützt fühlen, was zu einer sogenannten Secure Experience (sicheren Nutzungserfahrung) führt. Eine Secure Experience kann jedoch trügerisch sein. Erstens führt sie dazu, dass Benutzer*innen ihre Vorstellung von Sicherheit darauf aufbauen und diese als Grundlage für die Auswahl ihrer Sicherheitspraktiken verwenden. Bei Fehlen einer Secure Experience können Endbenutzer*innen daher oft keine fundierte Entscheidungen mehr über ihre Sicherheitspraktiken treffen. Unter Umständen würden sie dann unsichere Kommunikationstools wählen, obwohl sie Zugang zu sichereren Alternativen haben. Zweitens sind ungerechtfertigte Secure Experiences -- die Endbenutzer*innen das Gefühl geben, geschützt zu sein, obwohl sie es nicht sind -- gefährlich. Diese von Bruce Schneier als Sicherheitstheater bezeichnete Situation kann dazu führen, dass Benutzer*innen auf tatsächlich wirksame Sicherheitspraktiken verzichten oder ein riskanteres Verhalten an den Tag legen, weil sie glauben, ohnehin ausreichend geschützt wägen. Um eine Täuschung der Benutzer*innen zu vermeiden, ist das bewusste Design dieser Secure Experiences entscheidend. Etablierte Designprozesse sollten die Secure Experience mit dem eigentlichen technologischen Schutz in Einklang bringen. Derzeit gibt es im Forschungsfeld Usable Privacy and Security keine etablierten Methoden, um die Konzepte der Secure Experience und des Sicherheitstheaters in den Designprozess zu integrieren. Diese Arbeit befasst sich mit beiden Arten von trügerischen Secure Experience, indem sie bestehende Methoden aus der Mensch-Computer-Interaktion (HCI) auf die Rahmenbedingungen der Security-Forschung anpasst und neue Designmethoden vorschlägt. Der erste Teil dieser Arbeit beschreibt eine gründliche Untersuchung von Sicherheits- und Datenschutzproblemen, die trügerische Secure Experiences zur Folge hat: Cookie-Zustimmungshinweise im Internet, Anti-Stalker-Software auf Smartphones und die kombinierte Nutzung von Private-Browsing-Tools. Im zweiten Teil dieser Arbeit werden bekannte Methoden aus dem Bereich HCI auf die Sicherheitsforschung angewandt und adaptiert. Im dritten Teil wird gezeigt, wie man die Konzepte der Secure Experience und des Sicherheitstheaters in einen nutzerzentrierten Sicherheitsdesignprozess integriert.