Please use this identifier to cite or link to this item: http://dx.doi.org/10.14279/depositonce-6718
Main Title: On improving privacy and security through user-informed design
Translated Title: Verbesserung der Privatsphäre und Sicherheit durch benutzerorientiertes Design
Author(s): Piekarska, Marta
Advisor(s): Seifert, Jean-Pierre
Referee(s): Seifert, Jean-Pierre
Anderson, Ross
Volkamer, Melanie
Granting Institution: Technische Universität Berlin
Type: Doctoral Thesis
Language Code: en
Abstract: What is Privacy? It is "a state in which one is not observed or disturbed by other people''. Or at least that is what Oxford Dictionary of Modern English provides us with. However with the state of "disturbance'' or "observation'' today, it may be a little hard to define. Let's take the term "disturbance''; the way we interpret a behavior as annoying or unsolicited varies from individual to individual. When we move this to the virtual and mobile world, the borders we draw become even less obvious, as will be presented. The factors influencing user perception of what can be called "disturbing'' in terms of privacy depend on the context as much as information itself. Now, for the "observation''. It is no longer just about "other people''. "Other people'' observe us through computers and mobile devices. These computers are everywhere, even in devices that users do not normally consider as such, for instance cars or refrigerators. That is why it is important to talk about privacy in the context of computers and not only the personal world. It is my strong belief, and hypothesis of the following thesis, that users do care about their privacy; they just do not know how to protect it. In my work I postulate the following... First, it is time to stop thinking of users as enemies. They are our allies and we need to collaborate with them to develop privacy tools that they need and find intuitive. We are all users. Second, people do care about protecting at least their own Personally Identifiable Information (PII) - data that can be used to find the link between an online personality and a real person, and distinguish them from other people. Thus, to improve adaptability of Privacy Enhancing Technologies (PETs), we need to make them more personal, targeted at specific problems and focused. Finally, although users want to protect their PII, they neither have the technical knowledge and the right tools, nor will they give up usability for privacy. It has been estimated that the time required to read all privacy policies, if paid as a regular wage, would equal $780 billion. Therefore, the tools that are being developed need to be transparent, and allow for exploration and education for the people who are willing to use them. Overwhelming people with choice is as bad as not giving it to them. I have observed that despite all the efforts to develop good PETs, we are still failing. To this end, I present the following dissertation which is a complete work towards building a new way of creating systems. I call it User-Informed Design (UID). In the first part of my Thesis, I show what motivated me, based on attacks we performed, along with literature research I have done. Next, I talk about the security analysis of Operating Systems and build a model for such evaluation, so that attacks can be prevented. It can be concluded that any system will fail sooner or later and, most importantly, we need to make sure that the user is aware of the shortcomings of their device, knows how to handle it, and protect their privacy. Thus, I present the development of UID, which I then use to create the Privacy Dashboard, and various other interesting privacy-preserving solutions. Finally, I talk about the possibilities of enhancing UID with more research and novel approaches taken from behavioral psychology and economics.
Was ist Privatsphäre? Gemäß der Definition des Oxford Dictionary of Modern English ist Privatsphäre "ein Zustand, in welchem jemand durch andere weder beobachtet noch gestört wird''. Allerdings ist die Definition von „gestört werden“ bzw. „beobachtet werden“ in der heutigen Zeit, schwierig zu bestimmen. Wenn wir den Begriff des „gestört werdens“ einmal näher betrachten, dann variieren die Reaktionen, ob wir ein Verhalten als ärgerlich oder lästig empfinden, von Mensch zu Mensch. Übertragen wir nun diese Fragestellung in die virtuelle Welt, werden die Grenzen immer unklarer. Faktoren, die die Auffassung beeinflussen, was wir unter dem Begriff "störend'' in Bezug auf Privatsphäre verstehen, hängen stark vom Kontext sowie der Information ab. In Bezug auf "beobachtet werden'' geht es jetzt nicht mehr einfach nur um die "anderen''. Die "anderen'' beobachten uns im virtuellen Raum durch ihre Computer oder mobilen Geräte, und diese Computer Geräte sind allgegenwärtig. Einige "Computer'' Geräte werden von den Nutzern gar nicht als solche wahrgenommen, wie z.B. ein Auto oder so etwas profanes wie ein Kühlschrank. Daher ist es von entscheidender Bedeutung, über Privatsphäre nicht nur im Kontext des realen Lebens zu sprechen. Ich bin fest von der folgenden Aussage überzeugt, gemäß des Kontextes der vorliegenden Thesis: Nutzer legen Wert auf ihre Privatsphäre. Jedoch wissen sie nicht, wie sie sie im virtuellen Raum schützen können. In meiner Arbeit postuliere ich folgende Aussage: Erstens, aus Sicht der Entwickler ist es wichtig, die Nutzer nicht als ihren Feind zu sehen. Entwickler müssen die Nutzer als Verbündete sehen, mit deren Kollaborationen man Werkzeuge entwickeln kann, die der Nutzer braucht und die er intuitiv bedienen kann. Zweitens, die Nutzer sorgen sich natürlich um ihre persönlichen Daten und Information (PII). Unter PII versteht man Daten, die den Nutzer eindeutig identifizieren können und die eine eindeutige Verbindung zwischen des Nutzers echtem Leben und dessen online Persönlichkeit ermöglichen. Um nun Privacy Enhancing Technologies (PET) besser an die Bedürfnisse der Nutzer anzupassen, müssen diese personalisiert und gezielt auf spezifische Probleme fokussiert werden. Abschließend ist zu sagen, dass, obwohl wir unsere PII schützen wollen, wir weder das technische Wissen noch die richtigen Werkzeuge dafür haben und wir aber auch nicht unsere Privatsphäre für mehr Benutzerfreundlichkeit opfern wollen. Außerdem ist die Zeit, die es kostet alle verfügbaren Privacy Policies zu lesen, Schätzungen zufolge umgerechnet 780 Milliarden USD wert, wenn man von einem normalen Gehalt ausgeht. Daher sollten die Werkzeuge, die entwickelt werden, transparent sein für die Menschen, die diese nutzen wollen, um so einen einfachen Einstieg zu ermöglichen. Die Nutzer mit zu vielen Optionen zu erdrücken, ist ebenso der falsche Weg, wie ihnen diese gar nicht anzubieten. Trotz des hohen Aufwandes, war die Entwicklung guter PETs, meiner Beobachtung nach, bisher nicht erfolgreich. Daher lege ich in der vorliegenden Thesis das neue Konzept, des User Informed Design dar, das neue Wege beschreibt, wie Systeme entworfen werden sollten. Im ersten Abschnitt meiner Arbeit präsentiere ich meine Beweggründe, basierend auf Angriffen, die wir auf realen Systemen ausgeführt haben, zusammen mit der verwandten Literatur. Danach präsentiere ich eine Sicherheitsanalyse bestehender Betriebssysteme und ein Model, welches zu deren Evaluation verwendet werden kann, um Angriffe zu verhindern. Zusammenfassend kann man sagen, dass jedes System früher oder später versagen wird. Der Nutzer sollte aber über diese Probleme informiert werden und muss wissen, wie er mit diesen umgehen sollte, um seine Privatsphäre zu schützen. Daher präsentiere ich in dieser Thesis das User Informed Design und verwende dieses im Verlauf meiner Arbeit, um das Privacy Dashboard zu entwickeln. Ich schließe meine Arbeit mit einer Diskussion über weitere Einsatzszenarien für das User Informed Design. Diese neuen Ansätze basieren auf Konzepten aus der Verhaltensforschung sowie aus dem Bereich der Ökonomie.
URI: https://depositonce.tu-berlin.de//handle/11303/7498
http://dx.doi.org/10.14279/depositonce-6718
Exam Date: 25-Nov-2016
Issue Date: 2018
Date Available: 7-Mar-2018
DDC Class: 000 Informatik, Informationswissenschaft, allgemeine Werke
Subject(s): security
privacy
user-informed design
user centric design
mobile systems
Sicherheit
Privatsphäre
benutzerorientiertes Design
benutzerzentriertes Design
mobile Systeme
License: https://creativecommons.org/licenses/by-sa/4.0/
Appears in Collections:Inst. Telekommunikationssysteme » Publications

Files in This Item:
File Description SizeFormat 
piekarska_marta.pdf13.04 MBAdobe PDFThumbnail
View/Open


This item is licensed under a Creative Commons License Creative Commons