Förderjahr 2017 / Project Call #12 / ProjektID: 2390 / Projekt: SecPatt
SecPatts haben eins zum Ziel – Sie sollen eine zentrale Anlaufstelle bei wichtigen sowie wiederkehrenden als auch aktuellen Fragen und Problemen zu Security und Privacy einer Webpage werden.
Wie man sich vorstellen kann, gibt es natürlich Unmengen an Fragen die während der Erstellung eines Internetauftritts auftreten könnten. Doch welche Fragen sind denn nun wichtig? Über welche Themengebiete sollte man auf jeden Fall Bescheid wissen? Welche Themen sind eher trivial, und was ist momentan aktuell? Um all diese Fragen beantworten zu können, war es notwendig, dass wir uns einen Überblick über das breitgefächerte Themengebiet bekommen. Wir verschafften uns diesen bei einem ersten Expertengespräch am Fachbereich für Computerwissenschaften. Dieses Gespräch ermöglichte es uns nicht nur tiefer in die Thematik von Privacy und Security im allgemeinen Web zu tauchen, es ermöglichte uns auch unseren Horizont themenspezifisch zu erweitern.
Eine wichtige Erkenntnis aus diesem Gespräch war unter anderem, dass auch simpelste Entscheidungen die für die Hobby-Entwickler zunächst keine Bedeutung haben und daher oft spontan aus dem Bauch heraus getroffen werden, in bestimmten Fällen zu großen und mitunter auch negativen Konsequenzen führen können. Daher ist es umso wichtiger, auch einfache Fragen die für erfahrenere Entwickler vielleicht trivial zu sein scheinen, aufzugreifen, sie in einfachen Worten in den SecPatts zu Erklären und im darauffolgenden Schritt zu Beantworten. Es beginnt also alles bereits schon bei der Wahrnehmung eines potentiellen Problemherds als solchem.
Alles eine Frage der Iteration
Diese initialen Fragestellungen arbeiteten wir in einem internen Workshop am Center für Human Computer Interaction in Salzburg aus. In diesem Workshop erstellten wir während einer Brainstorming Session eine Mind Map, in der wir versuchten, Stichworte aus dem Expertengespräch sinnvoll miteinander zu verbinden, um so Zusammenhänge und Hierarchien zwischen den Problemstellungen zu erfassen. Schnell stellten wir fest, dass diverse Themen auf verschiedenste Arten miteinander zusammenhängen. Zudem wurde auch klar, dass einige Probleme oder Fragen erst gar nicht auftauchen, wenn man sich als Entwickler früh genug im Klaren ist, was genau das Ziel z.B. der Webpage sein wird.
Reales Szenario
Als Beispiel hierfür nehmen wir Herrn Eder, dieser möchte seine selbstgeschnitzten Holzfiguren über das Internet verkaufen. Er besorgt sich eine Domain sowie Webspace, richtet sich ein CMS (Content Management System) mitsamt einem Webshop Plugin ein. Das geht auch recht einfach, denn im Internet gibt es genug Anleitungen hierfür. Sogar ein Step-by-Step Video hat Herr Eder gefunden. Nun stellt er diese Webpage online, frei zugänglich für alle Internetnutzer der Welt. Damit die Bestellungen auch reinkommen, bewirbt er seinen neuen Webshop über die Sozialen Medien. Nach und nach trudeln Bestellungen ein und Herr Eder freut sich sehr darüber. Doch bald vergeht ihm das Lachen. Die Bestellungen kommen nicht nur aus Österreich oder den Nachbarländern, es sind auch Länder dabei bei denen er nicht mal weiß, ob der Versand dorthin überhaupt möglich ist. Hinzu kommt die Tatsache, dass Herr Eder kaum Ware hat, um all die eingegangenen Bestellungen auch zu erfüllen. Er hat vergessen anzugeben, wie viele Produkte überhaupt verfügbar sind. Weiters muss sich Herr Eder die Frage stellen, ob es ihm geltendes Datenschutzrecht erlaubt, seine Kundendaten aus aller Welt am Server seines Anbieters in Deutschland abzulegen. Nun steht Herr Eder vor vielen Problemen, über die weder Anleitungen noch das Step-by-Step Video gewarnt haben.
Dies ist nur eines von vielen Szenarien, die während des Workshops diskutiert wurden. In erster Instanz war es wichtig, allgemeine Probleme von solchen, die spezifisch Security und Privacy betreffen, zu trennen. In zweiter Instanz wurden diese dann konsolidiert, größere Problemfelder in ihre Einzelprobleme zerlegt und schließlich getrennt festgehalten.
What comes next?
In weiterer Folge wird auf diesen ein zweiter Expertenworkshop folgen, um eine breitere Palette an Problemstellungen zu gewährleisten. Die final iterierte und priorisierte Problemliste ist für Ende März 2018 vorgesehen, wonach die Arbeit an den Patterns selbst beginnt.