Zur Messbarkeit von IT-Sicherheitsbewusstsein

Abstract

Jedes IT-System ist ein soziotechnisches Konstrukt.Als solches ist es untrennbar mit dem Menschen als Nutzer verknüpft.Auch die Sicherheit dieser Systeme ist mit ihren Nutzern verknüpft.Aus diesem Grund raten einschlägige Handlungsempfehlungen zur Durchführung regelmäßiger Schulungen der Nutzer zur Verbesserung des IT-Sicherheitsbewusstseins.Die Auswirkungen dieser Schulungen werden jedoch nur selten systematisch quantifiziert. <br /> Die vorliegende Arbeit geht der Frage nach, wie bisher zur Quantifizierung von IT-Sicherheitsbewusstsein eingesetzte Verfahren verbessert werden können.Dazu werden zunächst Arbeiten auf diesem Forschungsgebiet analysiert.Es kann herausgearbeitet werden, dass die Arbeiten zum Thema IT-Sicherheitsbewusstsein zumindest motivatorisch von der Handlungsrelevanz dieses Konzepts getrieben werden.Eine Analyse verbreiteter Methoden auf diesem Gebiet zeigt insbesondere Schwächen bei der Erfassung von Nutzerverhalten. <br /> Basierend auf diesem Ergebnis wird das Konzept der artefaktbasierten IT-Sicherheitsbewusstseinsmessung entwickelt.Dieses Konzept erweitert den Ansatz der Feldexperimente auf dem Bereich der Forschung zu Phishing-E-Mails.Die relevanten ethischen und juristischen Rahmenbedingungen werden hergeleitet und ausgewertet.Anhand dieser Auswertung wird ein Werkzeug entworfen und implementiert, das die ethische und juristisch unbedenkliche Umsetzung der artefaktbasierten IT-Sicherheitsbewusstseinsmessung erlaubt.Dieses wird anschließend in einem Feldexperiment erprobt. <br /> Mit den so gewonnenen Daten lässt sich demonstrieren, dass die artefaktbasierte IT-Sicherheitsbewusstseinsmessung das Verhalten der Nutzer valide erfassen kann.Darüber hinaus erlauben die im Rahmen dieser Arbeit erhobenen Daten eine Reliabilitätsbewertung der artefaktbasierten IT-Sicherheitsbewusstseinsmessung.Diese ist insbesondere auf Phishing-Experimente übertragbar und damit auch in diesem Forschungsbereich relevant.Weiter lässt sich zeigen, dass die Motivation der Probanden allein keinen nachweisbar positiven Effekt auf IT-sicherheitsbewusstes Verhalten hat.Wird ein Maßtyp gewählt, der die Abhängigkeit der Sicherheit der IT-Systeme vom Nutzerverhalten realitätsnaher als bisherige Ansätze modelliert, so lässt sich ein Effekt aufzeigen, der darauf hindeutet, dass eine Schulung der Mitarbeiter der Sicherheit der gesamten IT-Infrastruktur abträglich sein kann.