Usable Security and Privacy Lab

Anfang Oktober hat das „ATHENE Usable Security and Privacy Lab“ (USP-Lab) an der h_da seine Arbeit aufgenommen. Das Labor wird von der Arbeitsgruppe User-Centered Security betrieben und vom Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE unterstützt. Die Forschung im Lab zielt darauf ab, digitale Sicherheitstechnologie nutzerfreundlicher zu gestalten, damit Menschen sie verstehen und im Alltag unkompliziert anwenden können. Im impact-Interview erklärt Informatiker Prof. Dr. Andreas Heinemann, warum das wichtig ist und warum Datensicherheit nicht nur ein technisches, sondern auch ein gesellschaftliches Thema ist.

Interview: Christina Janssen, 18.11.2025

impact: Wenn ich Ihnen mein Handy hinlege mit WhatsApp, beruflichen Mails, Gmail-Konto, Instagram und so weiter – bekommen Sie da die Krise?

Prof. Dr. Andreas Heinemann: Nein. Entscheidend ist, ob Sie bewusst entschieden haben, welche Apps Sie nutzen, und ob Sie die Risiken kennen. Viele installieren Apps, weil „alle“ sie haben. Das ist etwas anderes, als wenn ich mich informiert entscheide.

impact: Was ist das Problem daran, etwas zu nutzen, weil es alle tun?

Heinemann: Menschen wollen kommunizieren, das ist ihr primäres Ziel. Solange ich kommunizieren kann, bin ich erst einmal happy. Ob Nachrichten sicher oder verschlüsselt sind, ist dabei ein nachgelagertes Ziel. Es gibt viele Kommunikationsapps mit sehr unterschiedlichen Sicherheitsstandards. Beschäftige ich mich damit nicht, erscheinen sie mir alle gleichwertig.

impact: Und was kann schlimmstenfalls passieren?

Heinemann: Persönliche Daten können verloren gehen oder missbraucht werden. Jemand könnte die Daten verkaufen – Bewegungsprofile, Kontakt- oder Geburtsdaten. Oder er könnte versuchen, im Internet meine Identität anzunehmen, um mir Schaden zuzufügen. Gesellschaftlich gesehen, besteht das Risiko, dass wir unbewusst in unserem Alltag, in unserem politischen Willensbildungsprozess beeinflusst werden. Smartphones wie dieses hier sammeln permanent Daten: Standort, Bewegungen, Kontakte, Kommunikation. Je mehr Apps installiert sind, desto mehr Daten können ausgeleitet werden.

impact: Kann ich mir bei WhatsApp sicher sein, dass meine Daten nicht missbraucht werden?

Heinemann: Die Nachrichten selbst sind Ende-zu-Ende-verschlüsselt, da bin ich relativ entspannt. Was allerdings auf den Servern von Meta landet, sind zum Beispiel Kontaktinformationen. Daraus lassen sich soziale Beziehungsnetze ableiten – also wer mit wem verbunden ist. Nehmen wir das Beispiel Hochschule: Ich habe die Handynummer vom Präsidenten in meinem Handy und Sie auch. Wir beide sind bei WhatsApp und senden uns Nachrichten. Dann lernt WhatsApp, dass wir beide uns kennen. Werden mein Telefonbuch und Ihr Telefonbuch auf dem Server synchronisiert, lernt WhatsApp auch, dass wir beide den Präsidenten kennen. Es wird also eine Information generiert, die wir vielleicht gar nicht preisgeben wollten. Das passiert automatisch, wenn ich Komfortfunktionen wie die Anzeige von Klarnamen statt nur von Telefonnummern nutzen möchte. Damit gebe ich ein Stück Privatsphäre auf.

impact: Sind Sie selbst bei WhatsApp?

Heinemann: Ja, und ich bin mir der Risiken bewusst. Es gibt Informationen, die ich über WhatsApp teilen würde, andere nicht.  

impact: Gibt es Apps, von denen Sie grundsätzlich abraten?

Heinemann: Ich würde immer fragen: Wie finanziert sich die App? Wenn ein Dienst kostenlos ist, zahle ich meist mit meinen Daten. Das sieht man derzeit bei vielen Supermarkt-Apps. Man bekommt Rabatt, aber gleichzeitig wird detailliert das Kaufverhalten analysiert. Das Prinzip kennen wir seit Payback, nur ist es heute personalisierter. Ich persönlich nutze solche Apps nicht.

impact: Welches Ziel verfolgt das USP-Lab in diesem Zusammenhang?

Heinemann: Das Lab ist Teil von ATHENE, dem Nationalen Forschungszentrum für angewandte Cybersicherheit. Wir erforschen Sicherheit aus Nutzerperspektive: Was braucht ein Mensch, um digitale Dienste sicher und angstfrei nutzen zu können? Das Lab stellt die Infrastruktur bereit, um solche Fragen experimentell zu untersuchen: Räume, Technik und Personal. Gleichzeitig entwickeln wir neue Forschungsmethoden und binden die Ergebnisse in die Lehre ein.

impact: Wie sieht Forschung im Lab konkret aus?

Heinemann: Wir arbeiten zum Beispiel mit Eye-Tracking. Ein Proband oder eine Probandin nutzt eine Software, während ein Eye-Tracker die Blickbewegungen erfasst. Wir sehen so, wo sich der Nutzer orientiert, wo er hängen bleibt oder welche Funktionen er gar nicht wahrnimmt. Das hilft, Benutzeroberflächen zu verbessern – etwa wenn ein Button, mit dem man die Verschlüsselung aktiviert, schlecht erkennbar ist. Dann geht es eben nicht nur um Usability, sondern um Sicherheit: Wenn eine Sicherheitsfunktion nicht gefunden wird, wird sie auch nicht genutzt.

impact: Was sind weitere Methoden, mit denen Sie im USP-Lab arbeiten?

Heinemann: Wir versuchen zu verstehen, wie verschiedene Nutzergruppen digitale Systeme bedienen. Ein junger Mensch verwendet Computer oder Handys anders als ein Erwachsener oder ein alter Mensch. Dafür arbeiten wir mit Fokusgruppen: Wir laden repräsentative Nutzer ein, um mit ihnen Interviews zu führen, mit ihnen zusammen Lösungen zu erarbeiten und am Ende zu zeigen, wie ein Produkt aussehen könnte. Oder um sie nach ihrer Meinung zu einem Prototyp zu fragen. So lernen wir, wie Anwendungen gestaltet sein müssen, damit sie akzeptiert werden und sicher nutzbar sind.

impact: Wer gehört zum Lab-Team?

Heinemann: Im Lab arbeiten aktuell ein Informatiker und eine Psychologin – so verbinden wir technische und nutzerzentrierte Perspektiven. Das Lab gehört zur Arbeitsgruppe UCS – User-Centered Security an der h_da.

impact: Wer darf das Lab nutzen?

Heinemann: Vorrangig Forschende an allen mitwirkenden Institutionen in ATHENE. Darüber hinaus nutze ich das Lab in der Lehre. Es kann aber auch von anderen Kolleginnen und Kollegen am Fachbereich Informatik genutzt werden und – je nach Kapazität – auch von anderen Fachbereichen. Wir haben schon Interessensbekundungen aus dem Fachbereich Wirtschaft, dem Studiengang Wirtschaftspsychologie und einigen anderen.

impact: Ziel des USP-Labs ist es also, Sicherheit alltagstauglicher zu machen?

Heinemann: Genau. Wir machen keine Schulungen, sondern entwickeln Anwendungen, die Nutzerinnen und Nutzer in ihrem Alltag unterstützen. Ein Beispiel ist unser Konzept eines „Privacy Buddy“: ein digitaler Begleiter, der mir zur Seite steht, meine Privatsphäre selbstbestimmt nach meinen Vorstellungen zu schützen – etwa indem er mich darüber aufklärt, welche Risiken sich für mich ergeben, wenn eine App unnötig viele Berechtigungen besitzt, oder in welchen Situationen ich eine Nachricht besser verschlüsselt verschicken sollte. Eine Art digitaler Schutzengel.

impact: So einen „digitalen Schutzengel“ möchten Sie entwickeln?

Heinemann: Daran forschen wir. Ob daraus ein Produkt wird, entscheidet später die Industrie. Wir liefern wissenschaftliche Erkenntnisse. Als ich 2013 an der h_da angefangen habe, musste man noch alle sechs Monate seine Passwörter wechseln. Die Forschung weiß aber, dass das konstante, unmotivierte Ändern nicht zu Passwörtern führt, die sicherer sind. Das Bundesamt für Sicherheit in der Informationstechnik hat diese Erkenntnis irgendwann aufgegriffen – und viele Organisationen, auch wir an der Hochschule, haben die Pflicht zum regelmäßigen Passwortwechsel abgeschafft. Das ist ein Beispiel für den Transfer von Forschungsergebnissen in die Praxis.

impact: Wie beeinflusst KI Ihre Arbeit, ist sie nicht auch ein „Feind“ Ihrer Forschung, weil Angreifer dadurch schneller und raffinierter werden?

Heinemann: Für die IT-Sicherheit ist KI ein Riesenthema. KI kann Angriffe automatisieren und optimieren, aber sie kann auch zur Verteidigung eingesetzt werden. In unserem Forschungsgebiet, der „benutzbaren Sicherheit“, sehe ich sie vor allem als Unterstützungswerkzeug.

impact: Gibt es Anwendungen, in denen Privacy und Sicherheit schon optimal gelöst sind?

Heinemann: Das lässt sich nicht pauschal sagen. Sicherheit ist immer ein Aushandlungsprozess. Die Corona-Warn-App ist ein gutes Beispiel: Man wollte Infektionsketten nachvollziehen, aber gleichzeitig die Privatsphäre schützen. Das führte zu einer Lösung, die bewusst auf bestimmte Auswertungsmöglichkeiten verzichtet. Sicherheit und Nutzbarkeit stehen immer in einem Spannungsverhältnis. Will ich maximale Anonymität, schränke ich Funktionalität ein; will ich maximale Funktionalität, gebe ich Privatsphäre auf.

impact: Wäre ein „Datenschutzlabel“ für Apps denkbar, ähnlich dem Nutri-Score bei Lebensmitteln?

Heinemann: Ja, es gab auch schon Forschungsarbeiten dazu. Ein einfaches Ampelsystem würde Nutzerinnen und Nutzern helfen, informierte Entscheidungen zu treffen: Dieses Handy kostet weniger, weil es viele Daten sammelt – jenes kostet mehr, weil es weniger sammelt. So etwas wäre wünschenswert, hat sich aber bislang nicht durchgesetzt.

impact: Interessieren sich die Menschen in Deutschland nicht genug für dieses Thema?

Heinemann: Derzeit überwiegt das Sicherheitsbedürfnis gegenüber dem Freiheitsbedürfnis. Viele wären bereit, Privatsphäre abzugeben, wenn sie dafür mehr Sicherheit empfinden – denken Sie an die Debatten über mehr Videoüberwachung. Wie weit das noch gehen wird, ist schwer abzusehen. In ihrem Buch „Die Methode“ beschreibt Juli Zeh eine Gesundheitsdiktatur, in der man belohnt wird, wenn man sich gesund ernährt und viel Sport macht. Wenn nicht, wird man bestraft.

impact: In China ist das mit dem „Social Score“ schon Realität. Wie kann man in der Gesellschaft ein stärkeres Bewusstsein für solche Themen verankern?

Heinemann: Mir wäre es ein Anliegen, dass wir als Hochschule, die hier in Darmstadt verankert ist, eine engere Verzahnung zwischen Hochschule, Wissenschaft und der Stadtgesellschaft aufbauen. In Darmstadt gab es eine Weile lang ein Bürgerpanel, ein Projekt im Fachbereich Gesellschaftswissenschaften unter Leitung von Prof. Dr. Daniel Hanß. So etwas wieder zu beleben, um gemeinsam mit Darmstädterinnen und Darmstädtern digitale Fragestellungen zu diskutieren, wäre eine gute Sache. Das USP-Lab könnte dabei eine Rolle spielen.