So reduzieren Sie die UX-Reibung in der sicheren Produktentwicklung

Veröffentlicht: 2022-07-22

In der Produktentwicklung erhält das Aussehen oft die ganze Aufmerksamkeit. Eine ansprechende Benutzeroberfläche ist wichtig, aber UX ist das, was Ihr Produkt ausmacht oder bricht.

Als Produktmanager verbringe ich die meiste Zeit damit, darüber nachzudenken, wie ich die Reibung in der gesamten UX reduzieren kann. Damit meine ich entweder die Reduzierung der Anzahl der Schritte, die ein Endbenutzer unternehmen muss, um seine Ziele zu erreichen, oder die Reduzierung der Komplexität dieser Schritte. Eine E-Commerce-App, bei der Sie drei Sicherheitsmaßnahmen durchlaufen müssen, um einen Kauf zu tätigen, wird nicht so gut funktionieren wie eine App, die nur eine erfordert.

Geringe Reibung darf jedoch nicht auf Kosten der Sicherheit für Organisationen gehen, die sensible Kundendaten verwalten, wie z. B. Finanzinstitute und Versicherungsunternehmen.

Da Benutzerfreundlichkeit und Sicherheit personenbezogener Daten normalerweise widersprüchlich sind, kann es schwierig sein, das richtige Gleichgewicht zu finden. Hier ist, wie es geht.

Der uralte Kampf zwischen Sicherheit und Bequemlichkeit

Jahrzehntelang nach der Geburt der Kreditkarte in den 1950er-Jahren verlangten betrügerische Aussteller von Händlern, sie anzurufen, wenn eine Transaktion das „Floor Limit“ – den Höchstbetrag, den ein Karteninhaber ohne Vorautorisierung berechnen konnte – überschritt. Das ist eine Menge Reibung für einen Verbraucher, der darauf wartet, ein neues Auto oder einen neuen Kühlschrank zu kaufen. Infolgedessen mussten Banken und Kreditkartenunternehmen bei der Festlegung von Untergrenzen ihre Risikobereitschaft gegen die Toleranz ihrer Verbraucher für Unannehmlichkeiten abwägen.

Ein Kunde mit einem Kreditlimit von 10.000 US-Dollar hat für eine Bank wahrscheinlich mehr Wert – und höhere Erwartungen an den Service – als einer mit einem Kreditlimit von 1.000 US-Dollar. Sie könnten sich entscheiden, das Mindestlimit für diese Art von Kunden zu erhöhen, um die Reibung zu minimieren, die sie erleben. Aber was ist, wenn diese höherwertigen Konten auch am anfälligsten für Betrug sind? Sie könnten am Ende ein Risikoniveau einführen, das Ihrem Endergebnis mehr Schaden zufügen würde als der Verlust einiger dieser Kunden.

Der schnelle Vorlauf ins digitale Zeitalter und diese Schwankungen konkurrierender Anforderungen bleiben bestehen, wenn auch mit sich schnell ändernden Bedrohungen und weniger geduldigen Verbrauchern. Es gibt keine genaue Formel, um diese Anforderungen in Einklang zu bringen, daher müssen Produktmanager, die an Software und Anwendungen arbeiten, ihre UX ständig kalibrieren, um Reibung und Sicherheit im Gleichgewicht zu halten.

Weniger Betrug bedeutet nicht immer mehr Gewinn

Bei den meisten sicheren Softwareprodukten und Anwendungen gibt es zwei Gruppen von Kunden, die Produktmanager bedienen müssen:

  1. Die Organisation, die den höchstmöglichen Schutz priorisiert.
  2. Der Endbenutzer, der eine nahtlose Produkt-UX möchte.

Eine Bank beispielsweise würde aus vielen Gründen einen 100-prozentigen Schutz vor Betrug bevorzugen, darunter:

  • Kundenzufriedenheit.
  • Reduzierung von Betrugsverlusten.
  • Markenreputation.
  • Minimierung von Cyberattacken.

Auf der anderen Seite hat der Endbenutzer konkurrierende Anforderungen: Er möchte einen einfachen und schnellen Zugriff auf sein Konto. Das wird nicht passieren, wenn die UX der Bank auf 100 % Betrugsschutz ausgelegt ist.

Stattdessen wird der Endbenutzer jedes Mal, wenn er die App verwendet, auf hohe Reibung stoßen. Beispielsweise muss der Benutzer nach der Eingabe eines Passworts möglicherweise einen Zwei-Faktor-Authentifizierungscode eingeben, der an sein Telefon gesendet wird, gefolgt von einem biometrischen Scan oder einer CAPTCHA-Abfrage. Die daraus resultierende Verzögerungszeit könnte einige Benutzer dazu veranlassen, ihre App-Nutzung zu reduzieren oder, schlimmer noch, nach einer neuen Bank zu suchen. In diesem Szenario hat die Bank Geld durch Betrugsverluste gespart, aber durch ihren schwindenden Kundenstamm Geld verloren.

Erschwerend kommt hinzu, dass verschiedene Endbenutzer unterschiedliche Schwellenwerte dafür haben, wie viel Reibung sie tolerieren, bevor sie sich nach einem anderen Dienstanbieter umsehen.

Ein Symbol, das eine Bank darstellt, ist mit dem Text „Die Bank will eine sichere App“ beschriftet. Ein Symbol, das ein Mobiltelefon anzeigt, ist mit dem Text „Der Benutzer möchte ein nahtloses Erlebnis“ gekennzeichnet.
Die Bedürfnisse des Kunden und die Vorlieben des Benutzers stehen oft im Widerspruch.

Sperren Sie die Ziele, Kosten und Risikotoleranz des Kunden

Nachdem wir festgestellt haben, dass der Versuch, einen 100-prozentigen Betrugsschutz bereitzustellen, wirtschaftlich keinen Sinn macht, müssen wir herausfinden, was er tut. Beginnen wir mit den Ressourcen der Bank: Geld und Menschen.

Identifizieren Sie zunächst die aktuelle Betrugsrate der Bank und wie viel Verlust sie absorbieren kann. Wägen Sie auch die Nettoeinsparungen ab, die es mit diesem neuen Produkt zu erzielen hofft, und die Kosten für dessen Entwicklung und Wartung. (Möglicherweise werden Sie feststellen, dass Betrugsschutz mehr kostet als Betrug selbst.)

Berechnen Sie als Nächstes, wie viele Verdachtsfälle und „False Positives“ die Mitarbeiter der Bank pro Tag bearbeiten können. Fehlalarme treten auf, wenn die Bank das Konto eines Benutzers aufgrund einer Risikofehleinschätzung entfernt oder einschränkt. Diese Fehlalarme erhöhen die Reibung für den Benutzer, rauben die Zeit der Bankangestellten und können letztendlich den Ruf der Marke schädigen.

Sie können mit der Ausarbeitung Ihres Produkts beginnen, sobald Sie festgelegt haben, was die Bank an Geld und Arbeit ausgeben oder verlieren kann. Mit diesen Informationen können Sie bestimmen, welche Datenpunkte Sie von Endbenutzern sammeln müssen, um deren Betrugsrisikobewertung in Echtzeit zu berechnen.

Identifizieren Sie, welche Daten von Endbenutzern erfasst werden sollen

Sichere Software und Anwendungen verifizieren:

  • Wer du bist. Dies sind Ihre Verhaltensweisen, zu denen Dinge wie Ihre Anmeldeorte oder Mausbewegungen gehören.
  • Was du hast. Dies sind die Geräte, die für Sie registriert sind oder die Sie regelmäßig verwenden.
  • Was du weißt. Dazu gehören Passwörter, Sicherheitsfragen, Geburtstage und andere persönliche Informationen.

Sobald die Software diese Informationen gesammelt hat, verwenden maschinelle Lernmodelle die Eingaben aus jeder Kategorie, um dem Benutzer ein Betrugsrisikoprofil zuzuweisen. Basierend auf diesem Profil kann eine Organisation entscheiden, ob sie den Zugriff erlaubt, den Zugriff verweigert, eine weitere Authentifizierung anfordert, die Funktionalität einschränkt oder eine beliebige Kombination dieser Optionen vornimmt.

Als Produktmanager ist es verlockend, so viele Informationen wie möglich zu sammeln. Dies ist jedoch nicht immer die beste Vorgehensweise. Denn je mehr Informationen Sie von jedem Benutzer sammeln, desto mehr Zeit und Ressourcen werden benötigt, um die Risikobewertung im Backend zu berechnen. Dies wiederum erhöht die Verzögerungszeit für den Benutzer, dh mehr Reibung.

Beginnen Sie stattdessen mit den Indikatoren, die die einfachsten Hinweise auf die Identität eines Benutzers zu sein scheinen, wie z. B. Standort, bekannte Geräte und Passwörter. Denken Sie dann darüber nach, wie ein böswilliger Akteur diese Indikatoren umgehen könnte. Raffinierte Kriminelle könnten den Standort und das Gerät eines Benutzers fälschen und möglicherweise Zugriff auf Passwörter haben, die durch Datenlecks oder Malware-Angriffe kompromittiert wurden. Um diese Schlupflöcher zu schließen, können Sie auch Mausbewegungen analysieren oder prüfen, ob der Benutzer in der Vergangenheit ähnliche Einkäufe getätigt hat.

Bevor Sie einen neuen Indikator hinzufügen, wägen Sie seine Auswirkungen auf die Betrugsprävention gegen die Vorabkosten für die Hinzufügung zum Produkt ab. Berücksichtigen Sie auch die wiederkehrenden Arbeits- und Finanzkosten, die mit zusätzlichen Berechnungen und Datenspeicherung einhergehen.

Denken Sie daran, dass das Finden des richtigen Satzes von Indikatoren eine Trial-and-Error-Übung ist. Die einzige Möglichkeit, den Nutzen jedes Indikators wirklich zu bestimmen, besteht darin, jeden von ihnen zu addieren und zu subtrahieren und die Auswirkungen jeder Kombination auf Ihre Betrugsrate und Benutzererfahrung sowohl für den Kunden als auch für die Endbenutzer zu überwachen.

Betten Sie sich in Kunden ein, um Ihre Indikatoren zu überprüfen

Während der Kunde der Betrugsreduzierung Priorität einräumen kann, ist die Benutzerfreundlichkeit für seine eigenen Mitarbeiter (z. B. Betrugsanalysten) im Backend ebenfalls wichtig. Es ist daher ratsam sicherzustellen, dass die Datenpunkte, die Sie sammeln möchten, ihnen helfen und sie nicht behindern.

Ein Design-Thinking-Framework ist ein nützlicher Ansatz für Produkte, die zwei Benutzergruppen bedienen. Es ist eher menschenzentriert als problemzentriert und fordert Designer auf, sich in die Benutzer einzufühlen, damit sie sich ihre zukünftigen Bedürfnisse vorstellen können. Design Thinking kann Produktmanagern helfen, ein dynamisches Produkt zu entwickeln, das konkurrierenden Interessen dient – ​​in diesem Fall Sicherheit und Komfort.

In die Empathiephase zu investieren bedeutet, Fragen zu stellen und sich in den täglichen Arbeitsablauf Ihres Kunden einzubetten. Auf diese Weise können Sie sich an RFPs beteiligen, um Marktveränderungen vorherzusagen und zu sehen, wie die Daten des Kunden mit seiner Echtzeit-Bedrohungslandschaft übereinstimmen. Sobald Sie diese strategischen und taktischen Herausforderungen verstanden haben, können Sie mit der Entwicklung beginnen.

Planen Sie, während der Entwicklungs- und Testphase so viel Zeit wie möglich mit Ihrem Kunden zu verbringen. Während das Feedback Ihnen ein Gefühl für die Wunschliste des Kunden gibt, hilft Ihnen das Shadowing, Missverständnisse, Wissenslücken und Designfehler zu erkennen, die in der Selbstauskunft nicht auftauchen.

Shadowing ist ziemlich einfach, wenn Sie ein interner Produktmanager sind, der sich Büroräume mit Betrugsanalysten teilt. Wenn Sie ein Berater oder externer Mitarbeiter sind, müssen Sie so oft wie möglich Besuche vor Ort vereinbaren. Wenn Reisen keine Option sind, lohnen sich virtuelle Sitzungen mit Bildschirmfreigabe.

Wenden Sie sich wöchentlich an Betrugsanalysten, sobald Ihr Produkt in Betrieb ist, um sicherzustellen, dass das UX-Design ihnen dient, insbesondere wenn Sie neue Funktionen einführen: Warum führen sie Aufgaben in einer bestimmten Reihenfolge aus? Was passiert, wenn sie auf eine bestimmte Schaltfläche klicken? Wie reagieren sie, wenn sie eine Benachrichtigung erhalten? Welche Veränderungen nehmen sie in ihrem Arbeitsalltag wahr?

Sammeln Sie Ihre Daten

Mithilfe der Datenerfassungstechnologie können Unternehmen Hunderte von Datenpunkten nutzen, um die Identität eines Benutzers zu überprüfen. Es hilft auch E-Commerce-Websites und -Apps, die Erfahrung eines Benutzers an sein demografisches Profil anzupassen. Ein Benutzer, der zu einem bestimmten Profil passt, kann sogar individuelle Angebote erhalten oder automatisierte Unterstützung auslösen.

Wie funktioniert das in Sicherheitsanwendungen?

  • Webbrowser: Jedes Mal, wenn ein Benutzer in einem Browser zu einer geschützten Website navigiert, sammeln eingebettete JavaScript-„Sammler“ identifizierende Informationen. Dazu können Datenpunkte wie Standort, Gerätedetails und Mausbewegungen gehören.
  • Native Apps: Native Apps sind für eine bestimmte Geräteplattform wie iOS oder Android konzipiert. Beim Zugriff auf einen Dienst von einem Mobilgerät aus verwenden diese Apps Software Development Kits (SDKs), um identifizierende Informationen zu sammeln, die Fingertipps und Wischbewegungen anstelle von Mausbewegungen umfassen können.

Ihre maschinellen Lernmodelle weisen dann basierend auf dem Gesamtmuster, das diese Datenpunkte bilden, eine Betrugsrisikobewertung zu. Bei einem überdurchschnittlichen Risiko-Score ist es sinnvoll, mehr Reibung in Form von Zwei-Faktor-Authentifizierung oder Sicherheitsfragen einzuführen. Wenn jedoch zu viele Ihrer Benutzer zusätzliche Überprüfungsschritte auslösen, ist es möglicherweise an der Zeit, Ihre Risikoschwelle oder Datenerfassungsstrategie zu überdenken.

Reduzieren Sie die Reibung der Endbenutzer weiter

Sobald Ihr Produkt in Betrieb ist, verfolgen Sie die Beschwerden der Endbenutzer, die bei Call Centern oder über App Stores protokolliert werden, um Schwachstellen und Verbesserungsvorschläge zu entdecken. Selbst die besten Pre-Launch-Tests werden nicht jeden Reibungspunkt erfassen, und neue Betriebssysteme und Geräteversionen können unerwartete Komplikationen verursachen, die Endbenutzer verlangsamen.

Für Unternehmen, die auf E-Commerce aufbauen, sind die Kosten dieser Verlangsamung offensichtlich. Im Jahr 2022 schätzte das Baymard Institute, dass 17 % der vermeidbaren Warenkorbabbrüche auf einen übermäßig langen oder komplizierten Bezahlvorgang zurückzuführen waren; weitere 18 % der Befragten machten mangelndes Vertrauen in die Sicherheit ihrer Kreditkarteninformationen verantwortlich. Baymard schätzt, dass langsamer Checkout und mangelndes Vertrauen in die Website-Sicherheit zu einer Reihe von Faktoren gehörten, die zu Umsatzeinbußen in Höhe von 260 Milliarden US-Dollar in den USA und der EU beigetragen haben. Das ist eine unglaubliche Gelegenheit für E-Commerce-Produktmanager, ihre Point-of-Sale-Lösungen zu überdenken. Aber unabhängig von Ihrer Branche sollte die Verringerung der Reibung der Benutzer und die Gewährleistung des Vertrauens in Ihren Datenschutz eine kontinuierliche Praxis sein, die zu zufriedeneren Kunden und wichtigen Geschäftsinnovationen führen kann.

Ein Balkendiagramm, das die Gründe für vermeidbare Warenkorbabbrüche während des Bezahlvorgangs anzeigt. Zu den Werten zählen: Zusatzkosten zu hoch, 48 %; Kontoerstellung erforderlich, 24 %; Lieferung zu langsam, 22 %; Die Site-Sicherheit fühlt sich nicht vertrauenswürdig an, 18 %; Kasse zu kompliziert, 17 %; Gesamtkosten unklar, 16 %; Website-Fehler, 13 %; Rückgaberecht zu streng, 12 %; Begrenzte Zahlungsmethoden, 9 %; Karte abgelehnt, 4 %.
Komplizierte Checkout-Prozesse und mangelndes Vertrauen in die Sicherheit der Website machten 2022 35 % der vermeidbaren Warenkorbabbrüche aus.

Hier zwei Beispiele für erfolgreiche Reibungsreduzierung in der sicheren Produktentwicklung:

3DS

In den späten 1990er Jahren haben sich Visa und Mastercard zusammengetan, um das Sicherheitsprotokoll 3D Secure Payments (3DS) zu entwickeln. Das ursprüngliche Protokoll, das 2001 veröffentlicht wurde, verlangte von allen Benutzern, ihre Karten bei 3DS zu registrieren und sich an jeder Kasse mit einem speziellen 3DS-Passwort anzumelden. Wenn sich ein Benutzer nicht an sein 3DS-Passwort erinnern konnte, musste er es abrufen oder zurücksetzen, bevor er seinen Kauf abschloss. In einer späteren Version hatten Kartenherausgeber die Möglichkeit, das oft vergessene statische Passwort durch ein dynamisches Einmalpasswort (OTP) zu ersetzen. Der zusätzliche Anmeldeschritt behinderte jedoch weiterhin den Bestellvorgang.

Die 3DS-Entwickler nahmen diese anhaltende Reibung zur Kenntnis und veröffentlichten 2016 3DS 2.0, das eine SDK-Komponente enthält, die es Anwendungen ermöglicht, das 3DS-Element in ihren Code einzubetten. 3DS 2.0 ist besser für mobile Transaktionen geeignet und analysiert mehr Datenpunkte, um eine genauere Risikobewertung zu erhalten. Infolgedessen muss nur ein kleiner Prozentsatz der 3DS 2.0-Benutzer einen zusätzlichen Authentifizierungsschritt durchführen, häufig in Form eines OTP.

Bild, das die alten und neuen 3DS-Prozesse vergleicht. Beim ursprünglichen 3DS mussten alle Käufer ihre Identität mit statischen Passwörtern authentifizieren, die oft in einem Popup-Fenster oder auf einer Weiterleitungsseite eingegeben wurden. Der 3DS 2.0-Prozess zeigt, dass mehr Authentifizierungsschritte automatisch und parallel zum Checkout-Prozess des Käufers stattfinden, anstatt ihn zu verlangsamen. Diese Authentifizierungsschritte umfassen Symbole, die den Standort des Käufers, Geräte, den Einkaufsverlauf, den aktuellen Einkauf, die Zeitzone und Biometrie darstellen.
3DS 2.0 verwendet passive Authentifizierungsfunktionen, die die meisten Käufer von zusätzlichen Schritten während des Bezahlvorgangs befreien.

Über

3DS 2.0 ist ein Beispiel für die Verringerung der Produktreibung durch Iteration. Aber Sie können auch auf Branchenebene Reibungen reduzieren, indem Sie disruptive Produkte einführen.

Das Geschäftsmodell von Uber baut darauf auf, Reibung von einer traditionellen Taxifahrt abzuziehen. Mit Uber gibt es kein Warten mehr mit einem Taxiservice oder das Durchwühlen Ihrer Brieftasche am Ende Ihrer Reise.

Ein reibungsloser Zahlungsprozess war der Schlüssel zum frühen Erfolg des Unternehmens, aber er war mit einigen Risiken verbunden. Jedes Mal, wenn Uber automatisch eine Transaktion auf einer in seiner App gespeicherten Kreditkarte verarbeitet, riskiert es eine Rückbuchung (bei der ein Karteninhaber eine Transaktion anfechtet und eine Rückerstattung erhält).

Uber errechnete jedoch, dass die Kosten für diese potenziellen Rückbuchungen die Gelegenheit zur Optimierung des Benutzererlebnisses wert waren. Wenn ein Benutzer jedes Mal, wenn er eine Fahrt anruft, eine Kreditkarte hervorkramen oder ein Passwort eingeben müsste, wäre das ganze Geschäft möglicherweise gescheitert. Stattdessen akzeptierte Uber das Risiko der Reibung und der Service startete.

In beiden Beispielen führte ein benutzerzentrierter Produktmanagementansatz, der auch Sicherheit und Risiko abwägte, zu bahnbrechenden und profitablen Innovationen.

Die beste Wartung ist ein guter Angriff

Betrüger wollen den Produktteams immer einen Schritt voraus sein. Während andere Arten der Entwicklung auf wechselnde Anforderungen reagieren können, müssen sichere Softwareprojekte diese antizipieren. Dies bedeutet, dass Produktmanager Branchenliteratur lesen und Daten von mehreren Kunden nutzen müssen, um aus früheren Sicherheitsverletzungen und erfolgreichen Umlenkungen zu lernen.

Ihr Produktteam sollte regelmäßig Berichte zur Bedrohungslandschaft erstellen und diese mit den Erfahrungen und Anforderungen Ihrer Kunden abgleichen. Nicht jede neue Bedrohung rechtfertigt ein Produkt-Update. Vielleicht hat Ihr Team einen neuen Angriffstyp identifiziert, vor dem Ihre UX keinen Schutz bietet, aber eine Diskussion mit Ihrem Kunden zeigt, dass er für seine Bedrohungsumgebung nicht relevant ist: Ein Bankkunde in Südafrika hat es möglicherweise mit einem Ausschlag von SIM-Swap-Betrug, während ein anderer in New York möglicherweise mehr Angriffe von Hackern erlebt, die VPNs verwenden. In den meisten Fällen wäre es nicht kosteneffektiv – und würde zu unnötigen UX-Reibungen führen – beide Banken vor beiden Arten von Betrug zu schützen.

Als Produktmanager müssen Sie Funktionen ständig anpassen, um sicherzustellen, dass Sie Sicherheit nicht gegen ein angenehmes Benutzererlebnis eintauschen oder umgekehrt. Und während Sie viele Daten benötigen, um die Bedürfnisse Ihrer Kunden und Endbenutzer wirklich zu verstehen, ist der Rest dieses Balanceakts eine Mischung aus Versuch, Irrtum und Kunst.