TU Darmstadt / ULB / TUprints

Privatsphäre, gibt’s da nicht 'ne App für? - Verbesserung von Privatsphäre-relevantem Verhalten durch bessere Informationen

Gerber, Paul :
Privatsphäre, gibt’s da nicht 'ne App für? - Verbesserung von Privatsphäre-relevantem Verhalten durch bessere Informationen.
Technische Universität, Darmstadt
[Ph.D. Thesis], (2017)

[img]
Preview
Text
Promotionsschrift_PaulGerber_druck.pdf - Accepted Version
Available under CC-BY-NC-SA 4.0 International - Creative Commons Attribution Non-commercial Share-alike 4.0.

Download (5MB) | Preview
Item Type: Ph.D. Thesis
Title: Privatsphäre, gibt’s da nicht 'ne App für? - Verbesserung von Privatsphäre-relevantem Verhalten durch bessere Informationen
Language: German
Abstract:

Die vorliegende Arbeit beschäftigt sich mit dem digitalen Alltag von Endanwendern und den damit verbundenen Implikationen für die individuelle Privatsphäre. Der digitale Alltag beschreibt dabei den alltäglichen Umgang mit dem Smartphone beziehungsweise digitalen Diensten im Allgemeinen und die dafür häufig notwendige Preisgabe persönlicher Daten. In diesem Kontext wird auch das sogenannte Privatsphären Paradoxon thematisiert, welches den scheinbaren Widerspruch zwischen der Einstellung zu Privatsphäre-relevantem Verhalten und tatsächlich gezeigtem Verhalten beschreibt, und mittels eines integrativen Verhaltensmodells für Privatsphäre-relevantes Verhalten mögliche Erklärungen formuliert. Die Arbeit nähert sich dem Problemkomplex zunächst explorativ und versucht ein kleineres Teilproblem zu lösen, um danach induktiv auf den daraus gewonnenen Erkenntnissen sowie dem Stand der Forschung aufbauend ein erweitertes Modell zur Beschreibung des Phänomens zu formulieren.

Für die Nutzung des Smartphones und der damit verfügbaren Online-Dienste werden im Allgemeinen kleine Softwareprogramme beziehungsweise Applikationen („Apps“) genutzt. Diese Applikationen sind, je nach verwendeten Betriebssystem, in zumeist bereits vorinstallierten Applikations-Stores zum Download verfügbar. Der Anwender kann hierbei aus mehreren Millionen verschiedenen Applikationen für die verschiedensten Anwendungsszenarien wählen. Ob für die Fahrplanauskunft des öffentlichen Nahverkehrs, ein kleines Sudoku Spiel zwischen durch oder Onlinebanking, mittels Smartphone und der zugehörigen Applikation ist dies alles unterwegs möglich. Viele Applikationen benötigen dabei Zugriff auf zum Teil persönliche Daten, die auf dem Smartphone gespeichert sind oder nutzen die vielfältigen Sensoren, die diese Geräte bieten. Dabei sind diese Daten zum Teil für die Funktionalität notwendig, wie zum Beispiel der aktuelle Aufenthaltsort bei einer Navigationssoftware, zum Teil aber auch nicht. Der Zugriff auf diese Ressourcen wird mittels sogenannter Berechtigungen vom Betriebssystem geregelt, welche der Anwender entweder vor der Installation der Applikation oder während der Nutzung bestätigen muss. Bei dieser Entscheidung ist der Anwender auf die Informationen angewiesen, die er entweder im Store selbst oder über externe Quellen, wie z.B. Foren oder öffentlich verfügbare Testseiten, finden kann.

Um herauszufinden, wie sich gute Applikationen von weniger guten am besten unterscheiden lassen, wurden in der vorliegen Arbeit zunächst Interviews mit Experten aus der IT-Forschung und Wirtschaft geführt. Auf Basis der Erkenntnisse wurden verschiedene Heuristiken formuliert an denen sich Endanwender bei der Suche und Auswahl von Applikationen orientieren können. Hierbei zeigte sich, dass der Interpretation der durch die Applikationen geforderten Berechtigungen in Hinblick auf die eigene Privatsphäre besondere Bedeutung zukommt.

Deswegen untersucht die vorliegende Arbeit im weiteren Verlauf die Darstellung dieser Berechtigungen. Hierbei werden zunächst die Darstellungen der Berechtigungen in den beiden am weitesten verbreiteten mobilen Betriebssystemen Android von Google sowie iOS von Apple untersucht und in Hinblick auf die Nützlichkeit für die Bewertung möglicher Privatsphäre-Risiken bewertet. Es zeigen sich dabei Mängel sowohl in Bezug auf den Detailgrad als auch die Verständlichkeit der Darstellungen. Dies resultiert vor allem aus dem Bestreben durch Reduktion der Komplexität die Verständlichkeit der Darstellung zu verbessern, da dies auch ein Verlust von Informationsgehalt zur Folge hat. Vor diesem Hintergrund werden im Folgenden verschiedene Vorschläge aus der Forschungsliteratur diskutiert und auf Basis der gewonnenen Erkenntnisse Anforderungen für eine eigene Darstellung formuliert.

Auf Basis dieser Anforderungen wird im Rahmen dieser Arbeit der Prototyp einer eigenen Darstellung für Berechtigungen entwickelt und in einer Evaluationsstudie sowohl mit etablierten Darstellungen als auch Vorschlägen aus der Literatur verglichen. Es zeigt sich, dass insbesondere bei bewusster Ausnutzung des Berechtigungssystems, d.h. gezieltem Anfordern bestimmter Berechtigungsmuster, die bestehenden Darstellungen dem Endanwender keine Privatsphäre-schützende Entscheidung ermöglichen. Die Reduktion der Komplexität und der damit einhergehende Verlust an Informationsqualität kann ein Verständnis für die angeforderte Berechtigungskombination verhindern, sodass Anwender einer bewussten Täuschung hilflos ausgeliefert sind. Der entwickelte Prototyp zeigt auch in solchen Situationen eine robuste und konstant gute Informationsqualität und ermöglicht dem Anwender eine bessere Entscheidung durch bessere Informationen.

Zum besseren Verständnis der gewonnenen Erkenntnisse und um eine Übertragung auf einen allgemeinen Anwendungskontext zu ermöglichen, wird in der vorliegenden Arbeit im weiteren Verlauf ein integratives Verhaltensmodell formuliert und evaluiert. Hierbei werden insgesamt neunzehn verschiedene Einflussfaktoren, die bereits in der Literatur vorgeschlagen wurden zu einem integrativen Verhaltensmodell zusammengefügt und in einer Onlinestudie zur Verhaltensvorhersage genutzt. Die Teilnehmer werden hierbei zunächst nach verschiedensten persönlichen Informationen befragt, um in der zweiten Phase der Studie Fragen zu den erhobenen Konstrukten zu beantworten.

Hierbei kristallisieren sich insbesondere die situationsspezifischen Privatsphäre-Bedenken, die subjektiven Vorteile der Dienstnutzung sowie die subjektive Sensitivität der abgefragten Daten als gute Prädiktoren mit direkten Effekten auf das gezeigte Verhalten heraus. Es zeigt sich, dass eine umfassendere Betrachtung der diversen Einflussfaktoren helfen kann, die Verhaltensbildung im Kontext der Privatsphäre besser zu verstehen. In den letzten zehn Jahren wurde in der Privatsphären-Forschung häufig ein Mangel an Verständnis und Bewusstsein gegenüber technischen Vorgängen und Zusammenhängen bei Endanwendern dokumentiert, wobei hierbei sowohl Usability-Probleme als auch fehlendes Wissen oder Aufmerksamkeit als mögliche Ursachen diskutiert und identifiziert wurden. Die Ergebnisse unterstreichen dabei die Bedeutsamkeit dieser Erkenntnisse. Anwender berücksichtigen in ihren Entscheidungen durchaus in starkem Maße, ob erhobene Daten eine Verletzung der eigenen Privatsphäre darstellen. Um dies jedoch zu tun müssen sie dafür wissen, welche Daten überhaupt erhoben werden und, insbesondere bei eher technischen Daten wie z.B. IP-Adressen, was diese bedeuten. Der Gestaltung gut strukturierter Informationen kommt somit im Kontext der Privatsphäre besondere Bedeutung zu, da nur diese den Anwender in die Lage versetzen in seinem Sinne gute und fundierte Entscheidungen zu treffen.

Alternative Abstract:
Alternative AbstractLanguage
The present work deals with the digital everyday life of end users and the implications for individual privacy. Digital everyday life describes the everyday use of smartphones and digital services in general and the often necessary disclosure of personal data. In this context, the so-called privacy paradox is also addressed, which describes the apparent contradiction between attitudes towards behavior relevant to privacy and actually shown behavior, and formulates possible explanations by means of an integrative behavioral model for behavior relevant to privacy. The work approaches the thematic complex exploratively and tries to solve a smaller sub-problem, in order to formulate an extended model for the description of the phenomenon inductively based on the findings and the state of research. To use the smartphone to its full extent, small applications (“Apps”) are generally necessary. Depending on the operating system used, these applications are usually available for download in pre-installed application stores. The user can choose from several million different applications for a wide variety of application scenarios. Whether for public transport timetable information, a small Sudoku game between through or online banking, this is all possible on the road using a smartphone and the associated application. Many applications require access to some personal data stored on the smartphone or use the various sensors offered by these devices. In some cases, this data is necessary for the functionality, such as the current location in a navigation software, but sometimes it is not. Access to these resources is controlled by the operating system by means of so-called permissions, which the user must confirm either before installing the application or during use. In making this decision, the user relies on information that can be found either in the store itself or through external sources, such as forums or publicly available test sites. In order to find out how best to distinguish good applications from less good ones, interviews with experts from IT research and industry were conducted in the present work. Based on the findings, various heuristics have been formulated to guide end users in the search and selection of applications. It became clear that the interpretation of the permissions requested by the applications is of particular importance with regard to the users’ own privacy. For this reason, the present work examines the representation of these permissions in the further course of this work. The first step is to examine the interfaces of the permissions in the two most widely used mobile operating systems, Google’s Android and Apple's iOS, and to assess their usefulness for evaluating potential privacy risks. There are deficiencies in terms of both the level of detail and the comprehensibility of the interfaces. This is mainly due to the effort to reduce complexity in order to improve the comprehensibility of the presentation, as this also results in a loss of information content. Against this background, various proposals from the research literature will be discussed in the following and, based on the findings gained, requirements for an interface will be formulated. Based on these requirements, the prototype of an own interface for permissions is developed and compared in an evaluation study with established interfaces as well as proposals from the literature. It is shown that especially in the case of deliberate exploitation of the permission system, i. e. targeted requesting of certain permission patterns, the existing interfaces do not allow the end user to make a decision that protects privacy. The reduction of complexity and the associated loss of information quality can prevent an understanding of the required combination of permissions, so that users are helplessly at the mercy of deliberate deception. The developed prototype shows a robust and constantly good quality of information even in such situations and enables the user to make a better decision through better information. In order to better understand the insights gained and to enable a transfer to a more general application context, an integrative behavioral model will be formulated and evaluated in the course of this work. In this context, a total of nineteen different influencing factors, which have already been suggested in the literature, are combined to form an integrative behavioral model and used in an online study for behavioral prediction. Participants are first asked for various personal information. In the second phase of the study they are then asked to answer questions about the influencing factors. In this context, the situation-specific privacy concerns, the subjective advantages of service use and the subjective sensitivity of the queried data emerge as good predictors with direct effects on the behaviour shown. It has been shown that a more comprehensive examination of the various influencing factors can help to better understand behavioral formation in the context of privacy. In the last ten years, privacy research has often documented a lack of understanding and awareness of technical processes among end users, whereby usability problems as well as lack of knowledge or attention have been discussed and identified as possible causes. The results underline the significance of these findings. Users take into account to a large extent whether the data collected constitutes a violation of their own privacy. In order to do this, however, they need to know which data is collected at all and, especially in the case of more technical data such as IP addresses, what they mean. The design of well-structured information is therefore particularly important in the context of privacy, as only this enables the user to make good and well-founded decisions in his or her interest.English
Place of Publication: Darmstadt
Classification DDC: 100 Philosophie und Psychologie > 150 Psychologie
Divisions: 03 Department Human Sciences > Institute for Psychology > Engineering psychology research group!
Date Deposited: 11 Dec 2017 15:17
Last Modified: 11 Dec 2017 15:17
URN: urn:nbn:de:tuda-tuprints-69537
Referees: Vogt, Prof. Dr. Joachim and Sarah, Prof. Dr. Diefenbach
Refereed: 30 October 2017
URI: http://tuprints.ulb.tu-darmstadt.de/id/eprint/6953
Export:
Actions (login required)
View Item View Item

Downloads

Downloads per month over past year