Es ist zumindest in unserem Unternehmen ein ewiger Diskurs: Sicherheit und Usability stehen sich gegenseitig im Weg. Ein Login zum Beispiel ist ja eine bewusste Hürde, um die Sicherheit von Informationen zu erhöhen. Aber er sorgt auch dafür, dass ein Anwender seinen Benutzernamen und sein Passwort eingeben muss, wenn er auf die Inhalte zugreifen will. Ich selbst verwende einen digitalen Passwortmanager, um den Prozess des Logins und die Verwaltung von immer wechselnden und immer sichereren Passwörtern für mich einfach zu machen und so eine hohe Usability zu erreichen. Und auch alle unsere Mitarbeiter werden im Rahmen von Security-Audits dazu angehalten, das so zu machen.

Solche Passwortmanager sind ein gutes Beispiel dafür, wie Usability und Sicherheit so miteinander verwoben werden können, dass eine akzeptable Lösung entsteht.

Ein weiteres gutes Beispiel ist die Zwei-Faktor-Authentisierung von Google. Klar, eigentlich ist ein solches Verfahren fast immer lästig, weil man irgendeine per SMS oder E-Mail verschickte Ziffernfolge irgendwo eingeben muss. Google dagegen hat den Login über eine App (zum Beispiel Gmail) auf dem Smartphone gelöst. Wenn ich mit dem entsprechenden Google-Konto schon in Gmail eingeloggt bin, kann ich durch Aufruf der App den Login auf einem anderen Gerät (zum Beispiel einem Notebook) bestätigen: keine Nummern, wenig Komplexität. Auf einmal wird aus der lästigen eine aushaltbare Sicherheitsmaßnahme.

Es ist nicht so, dass die Usability dank Passwortmanager oder Zwei-Faktor-Authentisierung optimal würde. Aber es ist ein guter Kompromiss. Und darum geht es in einem Intranet: 

Sie erreichen keine maximale Sicherheit und Sie erreichen auch keine maximale Usability. 

Ich warne davor zu glauben, Sie könnten ein “offensichtlich unsicheres System” einkaufen und da auch nur “wenige unternehmenskritische Informationen” veröffentlichen. Das klingt schon in dem Moment absurd, in dem man es ausspricht. Aber so denken tatsächlich viele.

Die Vertraulichkeit einer Information steht im direkten Zusammenhang mit ihrer Relevanz und Attraktivität für das Unternehmen. Wenn Sie nur generische Unternehmenspropaganda zu veröffentlichen haben, können Sie konsequent sein und dafür gleich eine öffentliche Plattform nutzen. Das ist dann aber kein Intranet und damit werden Sie keine dauerhafte Aufmerksamkeit bei Ihren Mitarbeitern erzielen. Und wenn Sie eben doch relevante Informationen veröffentlichen, müssen Sie diese auch sichern.

Sie haben es vermutlich längst gemerkt: Mir persönlich ist Usability extrem wichtig. Die meisten unserer Kunden tendieren jedoch ganz stark in Richtung Sicherheit.

Am besten ist es, wenn Sie es schaffen, mit Ihrem Intranet-Team eine ungefähre Strategie zu definieren: Wo wollen Sie das Projekt verorten? Sind Ihnen Sicherheit und Usability gleich wichtig? Ist Ihnen im Zweifel Usability oder Sicherheit wichtiger? 

Teile Ihrer Positionierung in diesen Fragen dürften schon durch Ihre Unternehmenskultur, die Art und Beschaffenheit Ihres Geschäftsmodells und die Präferenzen der Entscheider determiniert sein. Wenn Sie darüber Klarheit haben, hilft Ihnen das ungemein bei der weiteren Planung.