Getty Images/iStockphoto
Barrierefreie Authentifizierung: Was Firmen beachten müssen
Barrierefreiheit beschränkt sich nicht auf Gebäude und den ÖPNV. Warum und wie IT-Führungskräfte der Barrierefreiheit in der Digitalwelt Priorität einräumen müssen.
Unser physisches Leben hat sich vor allem im vergangenen Jahrzehnt so intensiv mit der Onlinewelt verwoben, dass wir enorm beeinträchtigt sind, wenn wir in vielen zentralen Lebensbereichen keinen Zugang zu digitalen Diensten haben. Ob Banking, Bildung, Einkaufen oder Unterhaltung: Jeder Mensch sollte heute das Recht und den Anspruch darauf haben dürfen, sich einfach und sicher in der digitalen Welt zu bewegen.
Die Weltgesundheitsorganisation (WHO) schätzt, dass aktuell 15 Prozent der Weltbevölkerung – mehr als eine Milliarde Menschen – mit einer Behinderung leben. In den meisten Ländern gelten Gesetze, die die Diskriminierung von Menschen mit Behinderungen verbieten. Das soll sicherstellen, dass sie vollständig und gleichberechtigt an allen ihnen möglichen Aspekten des täglichen Lebens sowie der Gesellschaft teilhaben können. Der Umfang dieser Gesetze reicht allerdings angesichts der jüngsten digitalen Fortschritte schlicht nicht mehr aus. Denn: Sie berücksichtigen nicht, wie wichtig ein reibungsloser Zugang zu digitalen Diensten ist.
Die größte digitale Zugangshürde kann für Menschen mit Einschränkung die Authentifizierung sein. Diese spielt in der Onlinewelt eine entscheidende Rolle, ermöglicht sie bei entsprechender Umsetzung doch ein Höchstmaß an Privatsphäre und Sicherheit. Aktuell gewinnt besonders die passwortlose Authentifizierung an Bedeutung. Wir müssen daher sicherstellen, dass die Bedürfnisse von Menschen mit Handicap berücksichtigt werden, um sie von dieser Entwicklung nicht auszuschließen. Barrierefreiheit darf kein nachträgliches optionales Add-on sein – sie muss von Anfang an Teil der modernen Optionen sein.
Status Quo der digitalen Barrierefreiheit
In der Vergangenheit wurde bereits viel über die Vorteile der Digitalisierung in Bezug auf die Verbesserung der Barrierefreiheit gesprochen. Arbeitnehmer mit Einschränkung haben heute dank digitaler Fortschritte beispielsweise Zugang zu einem weitaus breiteren Spektrum an Beschäftigungsmöglichkeiten. Auch Bankangelegenheiten oder Schulungs- und Weiterbildungsprogramme erfordern weitestgehend keine physischen Besuche mehr. Es gibt jedoch immer noch einige gravierende Lücken in der digitalen Barrierefreiheit.
Häufig basiert die Zugänglichkeit von Onlinediensten auf gesetzlichen Anforderungen für barrierefreie Informationstechnik. Diese Gesetze sind oftmals sehr undurchsichtig in Bezug darauf, wie Barrierefreiheitsziele erreicht werden können. Sie verpflichten Unternehmen einerseits dazu, ihre Produkte barrierefrei zu gestalten, um unterschiedliche Bedürfnisse zu erfüllen, bieten andererseits jedoch keine Hinweise oder technischen Details, die sie bei der Entwicklung oder Implementierung barrierefreier Funktionen unterstützen.
Versucht man etwa, den Standard-Screenreader einer Website oder App zu nutzen, hört man an der Qualität meist schnell, dass die meisten Websites und Apps nicht mit Fokus auf Barrierefreiheit entwickelt wurden. Springen wir zurück zum Thema Authentifizierung, sind die Sicherheitscodes, die man per SMS oder E-Mail erhält, zwar ebenfalls technisch zugänglich, aber sie fordern Menschen, die Hilfstechnologien verwenden, oft ein zusätzliches Maß an Fähigkeiten oder Wissen ab, um die Codes entsprechend richtig zu übertragen.
Einfache Passwörter sind keine Option
Während bei der gesetzlichen Herangehensweise zur barrierefreien Informationstechnik also noch viel Aufholpotenzial besteht, gibt es einige Branchenrichtlinien, die IT-Führungskräfte und Produktmanager beim Entwerfen barrierefreier Apps, Hardware und Software unterstützen können. Die vom World Wide Web Consortium (W3C) entwickelten Richtlinien für barrierefreie Webinhalte (WCAG) gelten heute als solide Grundlage für Barrierefreiheit im Netz und haben sich bereits in vielen Ländern als Standardkriterien für digitale Barrierefreiheit durchgesetzt.
„Während bei der gesetzlichen Herangehensweise zur barrierefreien Informationstechnik noch viel Aufholpotenzial besteht, gibt es einige Branchenrichtlinien, die IT-Führungskräfte unterstützen können.“
Andrew Shikiar, FIDO Alliance
Ein essenzieller Teil der WCAG-Kriterien ist die empfohlene Richtlinie „Barrierefreie Authentifizierung“. Diese besagt, dass es mindestens eine andere Authentifizierungsmethode geben muss, die nicht auf einem kognitiven Funktionstest beruht. Ein Beispiel: Das Erinnern an ein standortspezifisches Passwort.
Unterstützende Mechanismen wie Passwort-Manager lösen in diesem Fall zwar einen Teil der Anforderungen nach Barrierefreiheit – oft wirkt sich das aber wiederum negativ auf den Sicherheitsaspekt aus. Die bessere Lösung für barrierefreie Authentifizierung mit hoher Sicherheit sind daher Passwortalternativen. Diese bieten neben der Barrierefreiheit auch noch die zusätzliche Sicherheit durch Multifaktor-Authentifizierung.
Das sollten Unternehmen beachten
Entscheidend bei der erfolgreichen Umsetzung von digitaler Barrierefreiheit ist, dass Nutzer die Möglichkeit haben, die Authentifikationsmethoden auszuwählen, mit denen sie sich am wohlsten fühlen. Beispielsweise solche, die heute gängig zum Entsperren des Telefons verwendet werden: Der biometrische Fingerabdruck, die Eingabe einer kurzen PIN oder aber der Blick in die Kamera.
Bei der Nutzung von Onlinediensten wiederholen Nutzer einfach diese vertrauten Methoden zur Authentifizierung auf ihrem Gerät – mit der Möglichkeit, mehrere alternative Authentifizierungsverfahren anzubieten, um situationsbezogen die beste Barrierefreiheit zu ermöglichen.
So können sich auch Menschen mit Einschränkung leicht und sicher im Netz bewegen – ganz egal, ob es die eigenen Mitarbeiter oder Kunden sind. Für Unternehmen gibt es viele Wege zur Implementierung dieser Maßnahmen – die sie zudem auf die verschiedenen Bedürfnisse der Benutzer abstimmen können. Regelmäßige Ende-zu-Ende-Tests mit Menschen mit Einschränkungen und solchen, die Hilfstechnologien verwenden, sind im Prozess unerlässlich. So kann validiert werden, dass Interaktionen, die zum und durch den Authentifizierungsprozess führen, für alle uneingeschränkt zugänglich sind. Dies gilt natürlich auch für die Hardware, die Unternehmen anbieten.
Über den Autor:
Andrew Shikiar ist Executive Director und CMO der FIDO Alliance.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.