Das System hat immer recht

• 14.02.06, 15:59 | Kommunikation

Beim Thema »einfache Bedienbarkeit« (oder kauderwelschig: »Usability«) scheiden sich die Geister wohl nach wie vor. Zwar wird niemand ernsthaft bestreiten, dass sie zu den zentralen Kriterien jeder Schnittstelle zwischen Mensch und Maschine zählt, wie es in der Realität um sie beschaffen ist, steht allerdings auf einem anderen Blatt. Ein schönes Beispiel, wie man es nicht machen sollte, liefert die Deutsche Bahn, namentlich beim Versuch, einen Account zur Online-Buchung von Fahrkarten einzurichten.

Bevor man sich der eigentlichen Einrichtung zuwendet, hat man immerhin schon eine ganze Menge ausgefüllt und angekreuzt, bis die gewünschte Buchung feststand. Angesichts der Vielzahl von Möglichkeiten wird sich das Auswahlprocedere aber allenfalls im Detail verbessern lassen – die Kritik richtet sich also vornehmlich an das, was danach kommt.

Ganz oben erscheint die Aufforderung, Benutzername und Passwort auszuwählen, beides soll aus mindestens 8 Zeichen bestehen, wie die Maske mitteilt. Der durchschnittliche Kunde wird an dieser Stelle mit 90-prozentiger Sicherheit ein Passwort wie z. B. »annemarie« wählen. Wer Einblick in Daten hat, die von Kunden selbst eingetragen wurden, weiß, dass so gut wie jeder dabei auf solche merkbaren Begriffe zugreift und eben nicht auf kryptische Konstruktionen á la »P7h#()9xE«, die aus Sicherheitserwägungen fraglos besser geeignet sind. Mit der Eingabe von »annemarie« gibt sich das System allerdings nicht zufrieden:

Ihr Passwort muss sowohl aus Buchstaben als auch aus Zahlen oder Sonderzeichen bestehen

lautet die Rückmeldung. Untersucht man wiederum die allgemeinen Gepflogenheiten, stellt man fest, dass die häufigste »Kryptisierung« meist darin besteht, Annemaries Geburtsjahr anzuhängen, also etwa »annemarie72«.

Ihr Passwort genügt den Sicherheitsanforderungen nicht

heißt es nach der Eingabe nur noch lapidar. Warum nicht, bleibt unklar. Also klickt man wohl als nächstes auf den blauen Info-Button.

Ihr Passwort können Sie frei wählen und jederzeit ändern. Aus Sicherheitsgründen bitten wir Sie, ein Passwort zu wählen,
• das mindestens 8 Zeichen hat,
• sowohl aus Buchstaben als auch mindestens einer Zahl oder einem Sonderzeichen besteht. Dabei müssen mindestens 3 unterschiedliche Zeichen enthalten sein,
• das nicht Ihren Vor-, Nach- oder Benutzernamen enthält.
Bitte beachten Sie bei der Wahl Ihres Passwortes auch die Groß- und Kleinschreibung.

Falls Sie nicht erkennen, wo bei »annemarie72« der Widerspruch liegt, stehen Sie damit nicht allein. Also versuchen wir es noch mal, und siehe da, jetzt wird das Passwort zwar plötzlich klaglos geschluckt, es erscheint aber eine neue Fehlermeldung:

Der von Ihnen gewählte Benutzername ist bereits vergeben. Bitte geben Sie einen anderen Benutzernamen ein

Als ob es ein Problem wäre, beides in einem Rutsch zu prüfen. Interessant ist aber, wie sich die Bahn ein »gutes« Passwort vorstellt:

Einfache Passwörter, wie Personennamen, Monatsnamen, Automarken oder die Namen von Fußballvereinen sind keine guten Passwörter, da Sie leicht erraten werden können. Bitte benutzen Sie kein Passwort, das Sie bereits für ein anderes System verwenden!

Schon recht. Nur: Über wie viele passwortgeschützte Zugänge verfügt der moderne Mensch eigentlich? So summa summarum? 10? 20? 100? Viel Spaß beim Merken, wenn es tatsächlich für jedes System ein eigenes sein darf. Gottlob erklärt die Bahn, wie einfach das ist:

Überlegen Sie sich einen Satz von mindestens 8 Wörtern Länge, den Sie sich gut merken können. Der Satz sollte, wenn möglich, auch Ziffern und Sonderzeichen enthalten, sowie Groß- und Kleinschreibung. Von jedem Wort nehmen Sie dann das erste Zeichen und konstruieren dadurch das Passwort. Bestimmte Wörter sollten Sie durch Zeichen ersetzen. In der folgenden Tabelle sind einige Beispiele dafür aufgeführt. Sie können aber auch beliebige eigene Ersetzungen durchführen. Hauptsache, Sie können sich Ihren Satz und somit Ihr Passwort leicht merken.

Alles klar? Herzlichen Glückwunsch, Ihre Auffassungsgabe dürfte damit weit über dem Durchschnitt liegen. Dass ein nicht geringer Teil der Kunden eher zu den Normalbegabten zählt, schwant wohl auch der Bahn, deshalb gibt es noch eine illustrative Tabelle und ein Beispiel dazu:

Nehmen wir an, Sie hätten sich den Merksatz ‘Sicherheit ist ein Prozess und nicht eine Technik’ als Merksatz gewählt, dann wäre das daraus gebildete Kennwort ‘Si1P&n1T’.
Den Satz kann man sich leicht merken, aber ohne den Satz ist das Kennwort ziemlich unverständlich.
Auch die Wahl eines fremdsprachlichen Satzes ist empfehlenswert: z.B. der Satz ‘Nihil tam munitum quod non expugnari pecunia possit’ (Marcus Tullius Cicero: ‘Nichts ist so gesichert, dass es nicht durch Geld eingenommen werden kann’), der als Passwort ‘0tmqne$p’ ergibt.
Wir hoffen, dass Ihnen mit diesen Anregungen die Wahl eines sicheren und dennoch gut zu merkenden Passworts erleichtert wird.

Der Hoffnung schließen wir uns gern an, in der überwiegenden Anzahl der Fälle wird es allerdings dabei bleiben. Versuchen Sie mal, nachzuempfinden, wie viele Klicks (mit einher gehenden Frustrationen) nötig waren, bis nichts anderes erledigt war, als den Benutzernamen und das Passwort zu fixieren – ein Bruchteil dessen, was insgesamt geleistet wird – dann werden Sie einräumen, dass dieses Procedere rein gar nichts mit Usability zu tun hat, sondern bestenfalls ein Geeiere ist, bei dem der gesunde Mensch eigentlich abwinken müsste. Dass er es nicht tut, ist lediglich dem schieren Umstand zu danken, dass er sich an solche Abläufe längst gewöhnt hat, selten sind sie ja nun wahrlich nicht. Im Klartext heißen sie aber nichts anderes, als dass er sich den Systemanforderungen zu beugen hat und nicht umgekehrt – eigentlich eine ziemlich krude Auffassung des Verhältnisses Mensch/Maschine, oder?