Vom 8. Juli bis 15. August ist der international renommierte Professor Roy Maxion von der Carnegie Mellon University am Exzellenzcluster CASA - Cyber Security in the Age of Large-Scale Adversaries an der Ruhr-Universität Bochum (RUB) zu Gast. Seine Forschungsschwerpunkte umfassen Mensch-Computer-Interaktion, Maschinelles Lernen, Sicherheit und Datenschutz, Zuverlässigkeit und Forschungsmethoden. Während seines Aufenthaltes in Bochum arbeitet er im Rahmen des „Distinguished Partner-Programms“ des Clusters eng mit Prof. Dr. M. Angela Sasse und anderen Forscher*innen von HUB D – Usability zusammen. Neben dem intensiven wissenschaftlichen Austausch und der Diskussion aktueller Forschungsthemen und -projekte wird ein besonderer Höhepunkt seines Aufenthaltes in Bochum seine Distinguished Lecture am 9. August sein.
Erfahren Sie in diesem Interview mehr über seine Forschung, seine Residency und seine Wahrnehmung der RUB:
Sie sind Experte auf dem Gebiet der Mensch-Computer-Interaktion in der Sicherheit, zum Beispiel für die Keystroke (Tastenanschlag) Biometrie. Warum ist das Verhalten einer Person an der Tastatur wichtig für die IT-Sicherheit?
Die Biometrie beruht auf der Idee, dass sich keine zwei Menschen genau gleich verhalten (oder auch nur gleich aussehen) – Handschrift und Gang gelten als einzigartige Verhaltensweisen von Personen, und tatsächlich wurden diese Merkmale bereits als Anhaltspunkte zu Identitäten verwendet. Auch der Rhythmus, in dem man tippt, gilt als einzigartig für eine Person. Wenn Instrumente entwickelt werden, die Verhaltensmerkmale und Verhaltensänderungen erfassen können, dann können diese Merkmale zur Identifizierung einer Person herangezogen werden. Beispielsweise dann, wenn sich eine Person Zugang zu Computerressourcen verschaffen will.
Ein Vorteil des Einsatzes verhaltensbiometrischer Verfahren zur Identifizierung und Authentifizierung besteht darin, dass diese Techniken oft nur wenig oder gar keine zusätzliche Ausrüstung erfordern, wie z. B. bei der Verwendung einer Tastatur und des Tipprhythmus zur Feststellung der Identität eines Benutzers. Die Tastatur ist bereits Teil der Standardausrüstung des Systems. Außerdem muss man sich nichts merken, wie bei einem Kennwort oder einer PIN, und man braucht keinen physischen Gegenstand, wie ein Telefon oder einen physischen Sicherheitsschlüssel; die Verhaltensbiometrie stützt sich nur auf das Verhalten.
Sie sind hier, um das Team in HUB D an unserem Exzellenzcluster CASA beim Aufbau eines Modelllabors zur Durchführung von Sicherheitsstudien mit biometrischen und physiologischen Messungen zu unterstützen. Könnten Sie ein solches Labor in ein paar Worten genauer beschreiben?
Ein Labor, das in der Lage ist, verhaltensbiologische und physiologische Phänomene zu messen, insbesondere im Zusammenhang mit der IT-Sicherheit, sollte verschiedene Instrumente zur Messung von Werten und Veränderungen dieser Phänomene beinhalten. Solche Instrumente können von traditionellen Messinstrumenten (z. B. der NASA TLX Task-Load-Index oder das State-Trait-Angstinventar) über einfache Standardgeräte wie Tastatur oder Maus, bis hin zu hochentwickelten Sensoren (z. B. Elektrokardiogramm oder Elektroenzephalogramm) reichen, um Stress, Tipp- oder Mausgewohnheiten sowie Herzfrequenz oder Gehirnwellenaktivität zu ermitteln. Einige Labore verfügen über Kamera-Arrays zur Augen- oder Bewegungserfassung. Die Art der Instrumente in einem Labor hängt von den Hypothesen ab, die in der aktuellen Forschung des Labors untersucht werden.
Eine Ihrer Maximen lautet: "Achten Sie auf die Details". Warum ist das so wichtig für Sie und wie bereichert diese Einstellung Ihr Forschungsgebiet?
Vielleicht lässt sich das am besten mit einem Beispiel beantworten: Eine Person mit einem Thermometer weiß immer die Temperatur; eine Person mit zwei Thermometern ist sich nie sicher. Hier geht es um zwei wichtige Fragen: (1) Wie genau ist das Thermometer und (2) unterscheidet sich ein Thermometer von einem anderen? Diese Details können über das Gelingen eines Experiments entscheiden, das von der Temperaturmessung abhängt.
Ein weiteres Beispiel für ein Detail betrifft Messinstrumente, die kalibriert werden müssen und die nach einiger Zeit und Verwendung nicht mehr kalibriert werden können. Dies lässt sich anhand eines Klaviers – einer anderen Art von Instrument – veranschaulichen, das in regelmäßigen Abständen gestimmt (kalibriert) werden muss und nach einer gewissen Zeit der Nutzung verstimmt ist, sodass eine Stimmung (Neukalibrierung) erforderlich wird. Das Ignorieren solcher Details kann ein Experiment ruinieren, da es unzuverlässige Messwerte liefert, wenn die Instrumente "verstimmt" oder ungenau sind. Man sollte sich zumindest über die Grenzen seines Messgeräts im Klaren sein.
Waren Sie schon einmal an der Ruhr-Universität Bochum? Und, wenn nicht: Wie würden Sie unsere Universität den Menschen zu Hause beschreiben?
Dies ist mein erster Besuch an der RUB. Ich würde sagen, dass es zwei interessante Merkmale gibt. Das eine sind die physischen Räume – die Gebäude und die Gestaltung des Campus. Einige haben bemerkt, dass die Architektur des Campus an "brutalistisches" Design erinnert. Es mag zwar stimmen, dass der brutalistischen Architektur die anmutigen, geschwungenen Kurven der Renaissance-Architektur fehlen, aber ich schätze ihre einfache, rationale und funktionale Gestaltung. Ich kann mich nicht beschweren. Die Innenräume der Gebäude könnten jedoch etwas benutzerfreundlicher gestaltet werden; es ist nicht einfach, sich in diesen zurechtzufinden.
Ein zweites Merkmal sind nicht die physischen Räume, sondern die geistigen Räume. In dieser Hinsicht scheint es nur wenige Universitäten zu geben, die die intellektuellen Qualitäten der RUB erreichen. Die Fakultäten an der RUB sind auf äußerst interessante Weise vielfältig und es gibt viele Möglichkeiten der Zusammenarbeit zwischen den verschiedenen Disziplinen, von der Mensch-Computer-Interaktion über IT-Sicherheit bis hin zur Medizin. Unabhängig vom äußeren Erscheinungsbild der RUB, würde ich mich auf die intellektuelle Ausrichtung der Einrichtung konzentrieren, die auf mich erfreulich vielfältig und umfangreich wirkt.
Würden Sie sagen, dass der Bereich der Mensch-Computer-Interaktion oder der Usable Security innerhalb der IT-Sicherheitsforschungsgemeinschaft einen positiven Ruf genießt?
Ich kenne niemanden, der Human-Centred Security (HCI) oder Usable Security negativ gegenübersteht – obwohl es viele Leute gibt, die sie anscheinend gar nicht kennen.
Welchen Rat würden Sie als erfahrener Wissenschaftler unserem Exzellenzcluster CASA geben?
Ich würde vor allem zu kritischem Denken und sorgfältiger Beobachtung ermutigen, insbesondere im Vorfeld bei der Einrichtung von Programmen oder physischen Einrichtungen; ein wenig Voraussicht kann viel bewirken, und Fehler vermeiden. Wie Frank Westheimer einmal sagte (vielleicht mit einer Prise Sarkasmus): "Ein Monat im Labor kann oft eine Stunde in der Bibliothek sparen." Außerdem gibt es meines Wissens keinen Alternative zu Tests im Vorfeld eines Projekts. Diese Maximen werden, neben der Beachtung von Details, viele zukünftige Stürme besänftigen.
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.