Archiv des Autors: Hartmut Ludwig

Optimierung der Website Usability durch Heuristische Evaluation

Design

Es gibt eine ganze Reihe von Methoden und Werkzeugen, um die Usability einer Website zu analysieren. Vom klassischen Usability Testing mit Testplan und Probanden über Prototyping bis hin zu umfangreichen Feldstudien. Obwohl alle Verfahren ihre Berechtigung und ihre spezifischen Vor- und Nachteile haben, bietet insbesondere die Heuristische Evaluation eine besonders gute Kosten-Nutzen-Effizienz.

Optimierung der Website Usability durch Heuristische Evaluation

Don’t make me think | photo by lucamascaro via Flickr

Was sind Heuristiken?

Im Grunde genommen sind Heuristiken einfache Verfahren (sozusagen „Faustregeln“), um sich einer Problemlösung anzunähern. Obwohl sie nicht den Anspruch haben fehlerfrei zu sein, sind sie durchaus nützlich, um eine Problemstellung innerhalb von kurzer Zeit zu analysieren.

Man kann die Heuristische Evaluation als Verfahren einsetzen, um die Usability einer Website zu analysieren (siehe auch: https://de.wikipedia.org/wiki/Heuristische_Evaluierung). Hierzu beurteilt ein kleiner Kreis von Experten (in der Regel 3-5 Personen) die Website anhand einer Liste von allgemein formulierten Heuristiken. Falls hierbei Hinweise auf Usability-Probleme gefunden werden, können diese den jeweiligen Heuristiken zugeordnet werden. Somit ist es möglich, allgemeine Aussagen darüber zu treffen, an welchen Stellen der User-Experience noch Optimierungsbedarf besteht.

Zwar muss ein solcher Experte kein Usability-Guru sein, er sollte aber schon über einige Jahre an praktischer Erfahrung im Bereich der Webgestaltung verfügen. Dafür kommen Frontend-Entwickler, Webdesigner, Webprojektleiter, aber natürlich auch auf Projektbetreuer auf Kundenseite in Frage. Wer regelmäßig mit Online-Projekten und der Gestaltung von Benutzeroberflächen zu tun hat, kennt die Prinzipien und Fallstricke der Usability und kann daher die Probleme in einem bestehenden System leicht identifizieren.

Es gibt verschiedene Heuristiken, die für die Heuristische Evaluation in Frage kommen. Im Folgenden werden beispielhaft die 10 Heuristiken vorgestellt, die Jakob Nielsen und Rolf Molich 1990 entwickelt haben und die Nielsen 1994 noch einmal verfeinert hat:

10 Heuristiken nach Nielsen

  1. Sichtbarkeit des Systemzustands
    Das System informiert den Nutzer darüber, was gerade passiert.
    Die Rückmeldungen sollen schnell erfolgen und eindeutig sein.
  2. Übereinstimmung zwischen System und Realwelt
    Das System verwendet bekannte Metaphern (z.B. „Diskette“ für „Speichern“).
    Technische Begriffe und Fehlercodes, die den Benutzer verwirren würden sollten vermieden werden.
  3. Benutzerkontrolle und Freiheit
    Ein System darf den Benutzer nicht in Situationen geraten lassen, aus denen er nicht wieder zurückfindet. Vielmehr sollte man als Nutzer Dialoge verlassen und Fehler korrigieren können. Aktionen sollten rückgängig gemacht und/oder wiederholt werden können.
  4. Konsistenz und Standards
    Benutzer sollten sich nicht über unterschiedliche Wortwahl für gleiche Situationen oder Aktionen wundern müssen. Plattformkonventionen sollten eingehalten werden
  5. Fehlerprävention
    Besser als gute Fehlermeldungen ist ein gutes Design, welches das Eintreten von Fehlern verhindert. Beispielsweise kann bereits bei der Eingabe von Werten eine unmittelbare Validierung erfolgen.
  6. Wiedererkennen statt sich erinnern
    Das Kurzzeitgedächtnis eines Benutzers ist begrenzt. Deshalb sollte er nicht gezwungen werden, sich an Informationen zu erinnern, die in einem anderen Bereich des Dialogs von Bedeutung waren. Objekte und Optionen sollten sichtbar sein und relevante Informationen die wieder benötigt werden permanent sichtbar bleiben.
  7. Flexibilität und Effizienz
    Das System sollte erfahrenen Nutzern die Möglichkeit bieten z.B. mit Tastaturkürzeln schneller ans Ziel kommen. Es sollte sich Präferenzen, die der Nutzer eingestellt hat merken.
  8. Ästhetik und minimalistisches Design
    Informationen sollten in einer natürlichen und logischen Ordnung erscheinen.
    Wichtiges darf nicht zwischen Unwichtigem „versteckt“ werden.
  9. Hilfe beim Erkennen, Diagnostizieren und Beheben von Fehlern
    Fehlermeldungen sollten in einer einfachen Sprache gehalten sein (ohne Fehlercodes und ohne impliziten Vorwurf an den User). Sie sollten gut erkennbar sein, das Problem präzise beschreiben und konkrete Lösungsvorschläge anbieten
  10. Hilfe und Dokumentation
    Sofern Funktionalitäten erklärungsbedürftig sind, sollte eine Hilfe und/oder Dokumentation angeboten werden.

So führen Sie die Heuristische Evaluation durch

Zur Durchführung erhalten die Evaluatoren eine Tabelle. Darin können alle beobachteten Auffälligkeiten systematisch erfassen werden. Die Tabelle enthält Spalten für das Problem, die Stelle an der es aufgetreten ist, die verletzte Heuristik und der Schweregrad der Problematik.

Muster eines Evaluationsbogens

Muster eines Evaluationsbogens

Zugegeben – das Schema ist recht subjektiv. Dennoch lassen sich damit erfahrungsgemäß drei Viertel der Usability-Probleme einer Website identifizieren und für die Lösung priorisieren. Damit können bereits in einer frühen Phase der Projektentwicklung Usability-Probleme identifiziert und behoben werden. Dadurch erspart man sich teure nachträgliche Korrekturen. Deshalb ist die Heuristische Evaluation ein vergleichsweise kostengünstiges Verfahren.

Allerdings sollte eines nicht verschwiegen werden: Die „Experten“ stellen keine realen Nutzer dar. Um eine belastbare Aussage über die Effektivität, Effizienz und Nutzerzufriedenheit zu erhalten, sollte man auf einen zusätzlichen Usability-Test mit den eigentlichen Zielgruppen der Website nicht verzichten.

Merken

Merken

Der Stand von PHP in 2017

Technologie

In der akutellen „Developer Pulse“-Studie der Firma Rogue Wave Software wurden mehr aus 1200 Enwickler befragt. Dabei ging es vor allem um die Themen PHP7, Anwendungssicherheit und Entwicklungsmethodik. Eine besondere Rolle spielte  auch die Frage nach der Reife des „DevOps“-Modells.
Aus den Ergebnissen der Umfrage entstand eine interessante Info-Grafik. Darin sind die aktuellen Trends im PHP-Bereich gut erkennbar.

Informative Infografik rund um die Themen PHP7, Anwendungssicherheit, Entwicklungsmethodik. und die Reife des "DevOps"-Modells.

Infografik zum Stand von PHP in 2017

Die Hauptergebnisse im Überblick

Einige Erkenntnisse aus der diesjährigen Studie sind besonders interessant:

  • Über 50% der Befragten planen, innerhalb des nächsten Jahres auf PHP 7.x umzustellen. Das ist eine außerordentlich schnelle Akzeptanz der neuen Version.
  • Als größte Sicherheitsbdrohung werden die Schwachstellen im benutzerdefinierten Code empfunden
  • 21% der Befragten haben bereits eine Form von Continuous Delivery (CD) implementiert. Viele andere nutzen zumindest teilweise Automatisierungs-Technologien (wie CI, Testautomatisierung, Freigabeautomatisierung und Bereitstellungsautomatisierung).

Zur Herkunft der Developer-Pulse Studie

Rogue Wave führt mit der jährlichen Studie eine Tradition fort, die die Firma Zend im Jahre 2011 gestartet hatte. Dabei wurden in den vergangenen Jahren regelmäßig bis zu 4000 Entwickler nach Ihrer Einschätzung zu bestimmten Technologietrends befragt.

Die Datenbasis der aktuellen Umfrage war mit 1200 Teilnehmern etwas kleiner. Dennoch werfen die Aussagen ein durchaus repräsentatives Licht auf die aktuellen Themen im Umfeld der Webentwicklung mit PHP.

Rogue Wave erwarb die Firma Zend Technologies Inc. im Oktober 2015. Damit wurde der Anbieter von Entwicklungstools zum Technologieführer im PHP-Bereich. In den Jahren zuvor hatte Zend die Programmiersprache bereits erfolgreich weiterentwickeilt. So war es den beiden Hauptentwicklern Zeev Suraski und Andi Gutmans gelungen, sie aus der Nische der Scriptsprachen zu holen. Heute werden einige der größten Enterprise Anwendungen damit betrieben, so zum Beispiel Facebook, Yahoo, Wikipedia oder WordPress.

WannaCry ist erst der Anfang…

Allgemeines

Die Zunahme von Erpressungs-Trojanern wie WannaCry zeigt, dass die groß angelegte „Nationale Strategie zum Schutz der Informationsinfrastrukturen“ kaum durchführbar ist, solange in den Großunternehmen eine Kultur herrscht, die elementare Sicherheitsanforderungen auf die lange Bank schiebt.

Von WannaCry - https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/, Gemeinfrei, https://commons.wikimedia.org/w/index.php?curid=58846200

Wana-Decrypt0r-Screenshot

Wie sicher sind kritische Infrastrkturen?

Vor nunmehr 12 Jahren beschloss die Bundesregierung eine „Nationale Strategie zum Schutz der Informationsinfrastrukturen„.
Ich vermag nicht zu beurteilen, was seitdem unternommen wurde um kritische Infrastrukturen, wie Energieversorgung, Wasserwerke, Datennetzwerke und Verkehrsinfrastruktur entsprechend abzusichern. Man weiß ja, dass die Mühlen der Behörden mitunter langsam mahlen. Allzu viel scheint dabei bislang nicht herausgekommen zu sein.

WannaCry konnte Unternehmen mit zentraler Bedeutung für die öffentliche Infrastruktur ohne Mühe erfolgreich angreifen. Betroffen waren zum Beispiel:

  • Die spanische Telefónica
  • Die Deutsche Bahn
  • diverse Krankenhäuser in Großbritannien

Es mag sein, dass die Ausfälle von den Bürgern zum Teil eher als Unannehmlichkeiten wahrgenommen wurden und nicht als echte Bedrohung. Aber durch die zunehmende Vernetzung und das Internet of Things wird die Einstufung der Kritikalität zunehmend schwieger ..

Natürlich hängen keine Beatmungsapparate an öffentlichen Netzwerken. Man kann auch davon ausgehen, dass Betriebssysteme und sonstige Software dieser lebenswichtigen Geräge ausreichend auditiert werden. Aber es reicht ja schon, wenn die Aufnahme und Behandlung von ernsthaft erkrankten Patienten durch WannaCry verzögert und erschwert wurde. Wenn der PC in der Notaufnahme streikt ist die Abgrenzung von „kritischer“ gegenüber „weniger kritischer“ Infrastruktur rein theoretisch.

Der doppelte Skandal

Man kann es zu recht als Skandal einstufen, dass die NSA die Hintertür geschaffen hat, durch die der Wurm sich weiter verbreiten konnte.

Ein weiterer Skandal passiert jedoch täglich unbeachtet offenbar auch in großen Unternehmen. Dort werden die simpelsten Prinzipien der IT-Sicherheit offenbar mit Füßen getreten. Es gibt keine externen Kontrollinstanzen, die ein sauberes Arbeiten erzwingen. Daher werden Prozesse (und seien sie noch so kritisch) verschleppt, verzögert, verdrängt.

Dabei muss man wirklich kein Experte sein, um zu wissen, was gegen Ransomware hilft. Neben einfachen Regeln der Datensicherheit (nicht jeden Mailanhang aufrufen) hilft vor allem das Einspielen der neusten Sicherheitsupdates.

Das entsprechende Sicherheitsupdate MS17-010, das die längst bekannt gewordene Lücke stopft stand seit März zur Verfügung. Jeder Heimanwender hat bei einem ordentlcih konfigurierten Windows die Updates längst automatisch installiert. Dahingegen ist der Rollout eines Patches bei großen Unternhmen offenbar immer noch ein manueller Prozess. Zumindest scheint es ein Prozess zu sein, der nur mit erheblicher Verzögerung stattfindet. Nur so ist es zu erklären, dass es den IT-Abteilungen großer Unternehmen auch nach auch zwei Monate nach Veröffentlichung nicht möglich war, den Patch auszurollen.

Weckruf oder Schlummer-Taste?

Man kann von Glück sagen, dass der Erpressungstrojaner (wie schon einige Vorgänger) durch schlampige Programmierung und eher durch Zufall relativ frühzeitig ausgebremst werden konnten. Nicht auszudenken, welche Verbreitung diese neuartige Kombination von Ransomware und Wurm ansonsten erlangt hätte, wenn sie noch einige Stunden oder Tage länger aktiv gewesen wäre.

Man könnte es als „Weckruf“ bezeichnen, allerdings gab es von diesen Weckrufen schon einige und sie haben bislang nicht dazu geführt, dass es zu einem Umdenken kam. Der Siegeszug der Ransomware hat gerade erst begonnen und der nächste Erpressungstrojaner wird sich nicht wieder durch einen einfachen Killswitch ausschalten lassen. Zumindest soltle man sich darauf nicht verlassen!