Informationssicherheit und Persönlichkeit
Konzept, Empirie und HandlungsempfehlungenDoktorarbeit / Dissertation, 2011, 370 Seiten
II
Erstgutachter: Prof. Dr. Michael H. Breitner Zweitgutachter: Prof. Dr. Hans‐Jörg von Mettenheim Tag der Disputation: 13. Mai 2011
Executive Summary
PIETSCH, HEINRICH und BIZER zeigen unmissverständlich auf, dass in heutigen Informationsgesellschaf‐ ten zum einen Geschäftsprozesse unteilbar mit Informations‐ und Kommunikationsprozessen ver‐ bunden sind und zum anderen die Bedeutung von wissensintensiven Produkten und Dienstleistungen zunehmend steigt. Demgemäß entscheiden positive werthaltige wie negative und damit schädigende Informationen schließlich über den Erfolg und die Wettbewerbsfähigkeit einer Organisation und sind zu schützen. Die Sicherheit von Informationssystemen wird nach den Ausführungen von BASKERVILLE und JAEGER daher zunehmend systemrelevant und sollte als Ernst zunehmendes Thema eingestuft werden, insbesondere weil Schwachstellen und Gefahren in der digitalen Welt permanent steigen. Die Gewährleistung der Informationssicherheit wird hiernach zu einer Schlüsselaufgabe, welche den Fortbestand der Organisation bedingen kann. Demgemäß ist die technische Absicherung der Infor‐ mationen unbedingt notwendig, jedoch zeigt sich nach KRUGER und KEARNEY eine breite Akzeptanz dafür, dass „…involvement of humans in information security is equally important and many examp‐ les exist where human activity can be linked to security issues“, womit der Mensch in den Mittel‐ punkt des Interesses rückt. Diesen führen auch GONZALES, HUANG und HOONAKKER übereinstimmend in ihren aktuellen Forschungen zur Erhöhung der Informationssicherheit auf und VENEABLES bezeichnete die menschliche Schwachstelle als „…the most difficult to manage because you cannot control what is in people‘s heads and what they will be willing to talk about inadvertently or otherwise“. Dement‐ sprechend ist die Sicherheit von Informationssystemen nicht allein durch technische Maßnahmen zu gewährleisten, sondern es bedarf vielmehr der Notwendigkeit der gesamthaften Betrachtung der Technologie, des Menschen und der Prozesse wie bspw. SPEARS, DONTAMSETTI und NARAYANAN anfüh‐ ren. Das Interesse der vorliegenden Arbeit richtet sich hierbei auf die Fragestellung, welche Zusam‐ menhänge zwischen Menschen und technischen, rechtlichen, organisatorischen sowie wirtschaftli‐ chen Aspekten einer Organisation bestehen und inwieweit dadurch die Sicherheit von Informationen erhöht respektive reduziert wird.
Im Rahmen dieser Arbeit wurden die Zusammenhänge zwischen der menschlichen Persönlichkeit von IT‐Entscheidern und der Sicherheit von Informationssystemen, veranlasst durch mehrere Gründe, erforscht: (1) Der Mensch stellt nachweislich das größte Risiko bei der Gewährleistung der Sicherheit von Informationen dar. (2) Die Beschreibung des Verhaltens von Organisationsmitgliedern durch Methoden der differentiellen Psychologie und der Persönlichkeitsforschung haben eine hohe Aktuali‐ tät. (3) Zusammenhänge zwischen der menschlichen Persönlichkeit und der Sicherheit von Informati‐
IV
onen werden im günstigen Fall rudimentär behandelt. Das Anliegen der vorliegenden Arbeit besteht darin, die bestehende Forschungslücke durch eine empirische Untersuchung weiter zu schließen.
Als Ausgangspunkt für diese Untersuchung waren folgende Forschungsfragen handlungsleitend:
1. Welche Zusammenhänge existieren zwischen der Informationssicherheit und den Persönlich‐ keitsmerkmalen von IT‐Entscheidern?
2. Welche Handlungsempfehlungen können, bei Berücksichtigung der Persönlichkeitsmerkmale von IT‐Entscheidern, zur Erhöhung der Informationssicherheit identifiziert werden?
Die Forschungsfragen bedurften der weiteren Operationalisierung sowie der Ausgestaltung eines konzeptionellen Bezugsrahmens, welcher den Forschungsbereich der Informationssicherheit durch die technische, rechtliche, organisatorische und wirtschaftliche Dimension darstellt. Durch diesen Bezugsrahmen wurden die wesentlichen Einflussfaktoren auf die Ebene der Prozesse, der Technik sowie des Menschen ermittelt. Es wurden adäquate Fragestellungen sowie geeignete Antwortoptio‐ nen operationalisiert. Die Erfassung der menschlichen Persönlichkeit wurde durch Theorien zur Per‐ sönlichkeit vorgenommen, welche hypothetische Aussagen über ihre Struktur und Funktionsweise lieferten. Diese Aussagen wurden auf der einen Seite genutzt, um Erkenntnisse über den Aufbau, die Struktur und die Zusammenhänge der Persönlichkeit zu generieren. Auf der anderen Seite wurden, basierend auf dem Wissen über die Persönlichkeit, Vorhersagen über Verhaltensweisen getroffen, welche zu eindeutigen Handlungsempfehlungen führten. Dabei bilden die Vorhersagen über Verhal‐ tensweisen die Grundlage, Menschen so zu sensibilisieren, dass sie mit gegenwärtigen, neuartigen und komplexen Gefahren für die Informationssicherheit zurechtkommen. Die Erfassung der mensch‐ lichen Persönlichkeit erfolgte, aufgrund der hohen Güte und des standardisierten Messinstruments, über das NEO‐FFI‐Modell, welches die Persönlichkeit über den Trait‐Ansatz feststellt und im deutsch‐ sprachigen Raum von BORKENAU und OSTENDORF geprägt wurde. In dieser Taxonomie wurde die menschliche Persönlichkeit durch die fünf Persönlichkeitsmerkmale Neurotizismus, Extraversion, Offenheit für Erfahrung, Verträglichkeit und Gewissenhaftigkeit beschrieben, welche in den letzten Jahrzehnten wegweisend durch GOLDBERG, MCCRAE und JOHN geformt wurden.
Aufbauend auf die konzeptionellen Vorüberlegungen, wurde ein Fragebogen mit den Teilbereichen Persönlichkeit, Informationssicherheit und Soziodemographie entwickelt, welcher die Grundlage zur Durchführung der empirischen Untersuchung bildete. Die Analyse der erhobenen Daten erfolgte durch Methoden der induktiven Statistik, wie Regressions‐ und Korrelationsanalysen. Die gewonne‐ nen Daten wurden anhand von Gütekriterien wie Objektivität, Validität und Reliabilität verifiziert oder falsifiziert und deskriptiv dargestellt. Nachfolgende Abbildung stellt die beschriebene Vorge‐ hensweise der vorliegenden Arbeit dar:
Abbildung 2: Vorgehensweise der vorliegenden Arbeit Quelle: Eigene Darstellung
Durch die Analyse der erhobenen Daten, mittels Methoden der induktiven Statistik, wurden Wirkzu‐ sammenhänge identifiziert sowie Handlungsempfehlungen wissenschaftlich stringent erarbeitet. Zur systematischen Reduzierung des festgestellten Erkenntnisdefizites wurden vorab dargestellte grund‐ legende Forschungsfragen durch detailliertere Fragen weiter ausdifferenziert, welche im Folgenden beantwortet werden. Eine Detailfrage ersuchte die Relevanz zu klären, welche dem Menschen zur Gewährleistung der Informationssicherheit in der Organisation zukommt. Der Autor kam zu dem Schluss, dass nicht nur nach der vorherrschenden Fachmeinung von einer hohen Relevanz des Fak‐ tors Mensch zur Gewährleistung der Informationssicherheit auszugehen ist, sondern erfährt auch durch die vorliegende Untersuchung Bestätigung. Hiernach äußerten befragte IT‐Entscheider, im Rahmen der empirischen Untersuchung, u. a. auf die Frage nach Gefahrenbereichen, dass „Nachläs‐ sigkeit und Irrtum der eigenen Mitarbeiter“ bei 77,2% der befragten Organisationen in der Vergan‐ genheit für Sicherheitsvorfälle verantwortlich waren. Demnach ist der Faktor Mensch, auch im Rah‐ men dieser Untersuchung, der relevanteste Aspekt in diesem Sinne.
Zudem sollte geklärt werden, inwieweit ein Zusammenhang zwischen den Persönlichkeitsmerkmalen eines IT‐Entscheiders und seinen Entscheidungen respektive seiner Entwicklung im organisationalen Kontext existiert. Die empirische Untersuchung ergab 62 signifikante, lineare Zusammenhänge zwi‐ schen den Fragen zur Informationssicherheit und den festgestellten Ausprägungen der Persönlich‐ keit. Damit bestätigt sich, dass signifikante Zusammenhänge zwischen den Ausprägungen von Per‐ sönlichkeitsmerkmalen eines Menschen und seinen Entscheidungen respektive seiner Entwicklung im organisationalen Kontext bestehen.
VI
Mit einer weiteren Detailfrage ermittelte der Autor, welche Wirkzusammenhänge für unterschiedli‐ che Persönlichkeitsausprägungen zu den Dimensionen der Informationssicherheit aufgezeigt werden können. Zudem wurde geklärt, welche Persönlichkeitsmerkmale einen starken und welche einen geringen Einfluss ausüben. Zu den Dimensionen der Informationssicherheit können insgesamt 62 lineare Zusammenhänge aufgeführt werden. Davon entfallen 11 auf die technische und wirtschaftli‐ che, 10 auf die rechtliche sowie 30 ‐ und damit fast die Hälfte ‐ der signifikanten, linearen Zusam‐ menhänge auf die organisatorische Dimension der Informationssicherheit. Das Persönlichkeitsmerk‐ mal der Gewissenhaftigkeit übt mit 20 linearen Zusammenhängen den stärksten Einfluss auf das Sicherheitsverhalten von IT‐Entscheidern aus und die Persönlichkeitsmerkmale der Extraversion und Verträglichkeit mit neun linearen Zusammenhängen den geringsten.
Inwiefern Vorhersagen über Entscheidungen von IT‐Mitarbeitern bei unterschiedlichen Ausprägun‐ gen der Persönlichkeitsmerkmale getroffen werden können wurde im Rahmen der Arbeit beantwor‐ tet. Dazu wurden die herausgearbeiteten Wirkzusammenhänge aus den vier Dimensionen der Infor‐ mationssicherheit auf ihre besondere Betonung und jeweilige Ausprägung des Persönlichkeitsmerk‐ mals hin fortgeführt. Entsprechende Wirkzusammenhänge werden in Abschnitt 7.2 in den Tabellen 42, 44, 46, 49 und 52 dargestellt. Hierdurch lässt sich direkt vorhersagen, dass bspw. ein IT‐ Entscheider mit hoher Gewissenhaftigkeit annimmt, dass IT‐Benutzer im Bereich der Informationssi‐ cherheit besonders geschult sind. Bei diesem Zusammenhang handelt es sich um eine signifikante Korrelation, mit einer Irrtumswahrscheinlichkeit von unter 0,1% (α<=,001). Die berechneten Vorher‐ sagen werden in den Tabellen 54‐63 dargestellt.
Forschungsfrage 2 führt zur Quintessenz der vorliegenden Arbeit und bestimmt, welche Handlungs‐ empfehlungen aufgrund unterschiedlicher Ausprägungen der Persönlichkeitsmerkmale für IT‐ Entscheider hergeleitet werden können. Im Rahmen dieser Forschungsfrage wurden die in den Wirk‐ zusammenhängen festgestellten besonderen Betonungen zu allgemeingültigen Handlungsempfeh‐ lungen hin entwickelt. Zur Einhaltung einer wissenschaftlich widerspruchsfreien Vorgehensweise, wurde zum einen auf den konzeptionellen und inhaltlichen Orientierungsrahmen zur Informationssi‐ cherheit aus Kapitel 3 Bezug genommen, um den linearen Zusammenhang angemessen zu interpre‐ tieren. Zum anderen konnte die angemessene Interpretation der jeweiligen Ausprägung des Persön‐ lichkeitsmerkmals nur über adäquate Eigenschaftswörter stattfinden, welche aus Tabelle 15 aus Ab‐ schnitt 4.3.2.2 herangezogen wurden. Durch diese inhaltliche Verknüpfung resultiert, bspw. aus ei‐ nem linearen Zusammenhang, welcher sich in Form von einer Überbetonung von ‚Virtual Private Networks‘ bei Probanden mit geringem Neurotizismus ergab, die Handlungsempfehlung „Überprü‐ fung der tatsächlichen, technischen Absicherung von Informationen bei Vorschlägen und Projekten von IT‐Entscheidern“. Die Grundlage hierfür bildeten zwei Aspekte: (1) ‚Virtual Private Networks‘ sind ein Baustein zur technischen Absicherung und ein (2) geringer Neurotizismus lässt sich u.a. durch die
VII
Eigenschaftswörter ‚sorglos‘ und ‚gelassen‘ beschreiben. Diese Handlungsempfehlungen wurden für alle 62 erarbeiteten linearen Zusammenhänge aus Abschnitt 7.2 hergeleitet, wobei 16 Korrelationen, bei denen aufgrund der jeweiligen Antwortalternative die Fallzahl unter einem Wert von 20 lag, nur hilfsweise mit einbezogen wurden, womit sich schließlich 44 valide Handlungsempfehlungen erga‐ ben.
Nachfolgende Tabelle zeigt die erarbeiteten Handlungsempfehlungen für die Persönlichkeitsmerkma‐ le Neurotizismus, Extraversion, Offenheit für Erfahrung, Verträglichkeit und Gewissenhaftigkeit bei deren jeweilig geringer oder hoher Merkmalsausprägung:
Tabelle 63: Zusammenschau der 44 Handlungsempfehlungen
Quelle: Herleitung aus Abschnitt 7.3
Abschließend kann festgehalten werden, dass im Rahmen der vorliegenden Arbeit lineare Zusam‐ menhänge festgestellt worden sind, womit das Entscheidungsverhalten eines IT‐Mitarbeiters in den spezifischen Ausprägungen seiner Persönlichkeit erklärbar wird. Aus den identifizierten, linearen Zusammenhängen wurden Handlungsempfehlungen hergeleitet, welche als Grundlage für die Ein‐ schätzung und Entwicklung von IT‐Entscheidern mit gleicher Persönlichkeitsausprägung dienen und somit zur Erhöhung der Informationssicherheit in Organisationen beitragen können. Die Zusammen‐ schau der Handlungsempfehlungen ermöglicht es, nach Messung der Persönlichkeitsmerkmale eines IT‐Entscheiders, diesbezüglich konkrete Empfehlungen zu geben.
Danksagung
Mit großer Freude und Stolz habe ich den Moment der Fertigstellung meiner Dissertation sowie die Feier am Tage meiner Disputation empfunden. Diese Freude wäre mir ohne die Unterstützung einer Vielzahl von Menschen, die mich in den vergangenen Jahren auf meinem Weg begleitet haben, nicht vergönnt, so dass ich aufrichtigen Herzens all jenen „Danke!“ zurufe, die mir halfen, diese Arbeit zu einem gelungenen Abschluss zu bringen.
Ganz besonderem Dank möchte ich meinem Doktorvater Herrn Prof. Dr. Michael H. Breitner aus‐ sprechen, der mir mit seinem Fachwissen stets zur Seite stand, für mich viele freie Abende opferte, mir mit konstruktiver Kritik die Sicht auf neue Inhalte eröffnete und mir nicht zuletzt auch privat zu einem wertvollen Menschen wurde.
Ich danke Frau Dr. Claudia König für Ihre wertvollen Ratschläge und einen ersten Einblick in die Viel‐ fältigkeit der verschiedenen existierenden Modelle zur Persönlichkeit eines Menschen.
Ich danke insbesondere auch Herrn Prof. Dr. Hans‐Jörg von Mettenheim für die Übernahme des Zweitgutachtens, die viele Zeit, die er sich für mich nahm und seine fachlich sehr guten Anmerkun‐ gen, die dieser Arbeit den letzten Feinschliff verliehen.
Meinen Kollegen am Institut, Dr. Günter Wohler, Nicole Knöchelmann, Dr. Patrick Bartels, Ina Fried‐ rich, Dr. Finn Breuer, Markus Preylowski, Philipp Maske, Dr. Karsten Sohns, Dr. Christian Zietz sowie Dr. Gabriela Hoppe, gilt ebenfalls mein herzlicher Dank, denn sie waren mir in dieser Zeit kostbare Ansprechpartner und oftmals die Quelle meine Inspiration.
Während meiner Promotionszeit arbeitete ich parallel als Vertriebsleiter im Saturn Hannover. Auch dort gab es Menschen, die mich maßgeblich unterstützt und gefördert haben. Allen voran danke ich insbesondere dem Geschäftsführer Herrn Leonard Köhrer, der den Glauben in mich unerschütterlich bewahrte, mich als Mensch, als Führungskraft sowie in meinem Forschungsprojekt förderte und mir jede Möglichkeit gab, meiner Tätigkeit am Institut nachkommen zu können. Des Weiteren danke ich Herrn Frank Uttecht, der mich in gleicher Weise unterstützte. Ebenfalls Dank schulde ich Herrn An‐ dree Seifert, mit dem ich oftmals über Stunden mein Thema besprach sowie dem gesamten Team des Saturn Hannovers.
X
Seit 2009 bin ich Geschäftsführer der goolive Deutschland GmbH. An dieser Stelle möchte ich dem ganzen Team meinen herzlichen Dank aussprechen, denn viele haben mir beim Abgleich der Fußno‐ ten mit dem Literaturverzeichnis geholfen und ertrugen mit großer Freundlichkeit meinen unruhigen Gemütszustand in den letzten Monaten vor Abgabe der finalen Dissertation.
Für ihre fachliche Unterstützung, ihre oftmals unermüdliche Fähigkeit, mir zuzuhören, sich mit mei‐ nem Thema inhaltlich zu beschäftigen, für ihre Bereitschaft, mir mit Rat, aber auch aufmunternden Worten zu helfen, danke ich meinen Freunden, die ich an der Universität Hannover kennenlernen durfte: Christoph Schwarzbach, Dr. Michael Thomas, Dr. Simon Rüsche, Dres. Simone & Stefan Krummaker, Dr. Erkan Altun, Dr. Anne Prenzler, Dr. Nadine Hennigs, Dr. Petra Enß, Corinna Luedtke sowie Jan Zeidler.
Ganz besonderen Dank möchte ich den Menschen aussprechen, die mir privat aus unterschiedlichen Gründen nahe stehen und mir oft mit freundlichen Worten oder gemeinsam verbrachter Zeit, die Kraft gaben, die Arbeit zu Ende zu bringen oder mir durch Ablenkung die wichtige Energie gaben, mich wieder meinen Studien zu widmen: Prof. Dr. Meik Friedrich, Ercan Özcan, Susanne Janssen‐ Weetz, Gülbahar Isler, Dietrich Günther, Dilek Dogan, Sanjib Deb, Sami Khello Casado, Sabine Toboldt‐Straub und Jasmin Hamidi. Nicht mit Gold aufzuwiegen ist ihre für mich erbrachte Geduld: Dass ich oftmals keine Zeit für sie hatte, dass ich häufig und ausführlich von meiner Arbeit sprach, was für die meisten nicht das spannendste Thema gewesen sein kann oder schlicht die Tatsache, dass sie mich oftmals mit schlechter Laune antrafen, wenn ich mein für mich festgesetztes tägliches Pen‐ sum nicht erreicht hatte und mich dann wieder aufrichteten.
Auf warmherzigste und liebevollste Weise möchte ich meiner Familie, insbesondere aber meiner Mutter und meinem Vater, für ihre unerschütterliche Liebe, für ihren unersetzlichen großen Glauben in mich und dafür, dass sie jeder Zeit für mich da waren und mir Kraft gaben, danken. Ohne Euren Beistand wäre diese Arbeit niemals entstanden!
Der größte Dank jedoch gebührt meiner Frau Nadine. Ich danke ihr aufrichtig und mit meiner ganzen Liebe für die unermüdliche ständige Korrekturarbeit meiner Arbeit, für die ewigen inhaltlichen Dis‐ kussionen, für ihr großes Vermögen, mir den Rücken freizuhalten, damit ich die Zeit und Muße hatte, mich an den Schreibtisch zu setzen, für ihre ständige Motivation und ihr Vermögen, mich auch in tiefster Verzweiflung zum Lachen zu bringen. Ihre Liebe hat mir die Zeit versüßt und mich durchhal‐ ten lassen.
XI
Inhaltsverzeichnis
Executive Summary III
Danksagung IX
Abbildungsverzeichnis XVI
Tabellenverzeichnis XVIII
Diagrammverzeichnis XX
Abk ürzungsverzeichnis XXI
1 Einleitung und Aufbau der Arbeit 1
1.1 Problemstellung und Ausgangspunkt 1
1.2 Zielsetzung und zentrale Forschungsfragen 6
1.3 Methodik und Aufbau der Arbeit 10
2 Informationssicherheit als Querschnittsfunktion in Organisationen 15
2.1 Grundlagen von Informationssicherheit 15
2.1.1 Der Informationsbegriff in Abgrenzung zu Daten und Wissen 15
2.1.2 Sicherheitsbegriff und Sicherheitsaspekte 20
2.1.3 Grundwerte und Prinzipien der Informationssicherheit 24
2.2 Informationssicherheit als bedeutende Komponente der
Informationsinfrastruktur 28
2.2.1 Beweggründe für Informationssicherheit 28
2.2.2 Merkmale sicherer Organisationen und kritischer Infrastrukturen 38
2.2.3 Informationssicherheit als Querschnittsaufgabe des
Informationsmanagements unternehmerische Führungsaufgabe 42
2.2.4 Ziele des Informationsmanagements zur Institutionalisierung von
Informationssicherheit im Unternehmen 46
2.3 Charakterisierung von Mitarbeitern in Organisationen zur Gewährleistung von
Informationssicherheit 50
2.3.1 Menschenbilder als normativ ethische Grundlage zur Einordnung von
Mitarbeitenden in Organisationen 50
2.3.2 Aufgaben, Rollen und Verantwortlichkeiten unterschiedlicher
Organisationsmitglieder 53
3 Dimensionen von Informationssicherheit in Organisationen 58
3.1 Technische Aspekte zur Gewährleistung von Informationssicherheit 58
3.1.1 Maßnahmen zur Gewährleistung von Verlässlichkeit 59
XII
3.1.1.1 Firewall und Antivirus Systeme als Sicherheitsbarrieren zum
Schutz von Netzwerktopologien 59
3.1.1.2 Reaktive und präventive Sicherheitsvorkehrungen zur Erhöhung
der Verlässlichkeit durch Intrusion Control Systeme 66
3.1.2 Maßnahmen zur Gewährleistung von Beherrschbarkeit 70
3.1.2.1 Berechtigungssysteme zur Erhöhung der Zurechenbarkeit 70
3.1.2.2 Digitale Signaturen zur Gewährleistung von Revisionsfähigkeit 71
3.1.3 Weitere Maßnahmen zur Gewährleistung der technischen
Informationssicherheit 73
3.1.4 Potenzielle Items für die Erhebung der technischen Dimension der
Informationssicherheit 76
3.2 Rechtliche Aspekte zur Gewährleistung von Informationssicherheit 77
3.2.1 Regelungen des Bundesdatenschutzgesetz und der EU
Datenschutzrichtlinien 77
3.2.1.1 Schutz der Privatsphäre durch das Grundgesetz und
informationelle Selbstbestimmung als Grundlage des
Datenschutzes 79
3.2.1.2 Ausgewählte EU Richtlinien zum Datenschutz. 82
3.2.2 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich 83
3.2.3 Informationssicherheit im Telemediengesetz 85
3.2.4 Weitere ausgewählte Gesetze und Regelungen zur Gewährleistung von
Informationssicherheit 87
3.2.5 Potenzielle Items für die Erhebung der rechtlichen Dimension der
Informationssicherheit 90
3.3 Organisatorische Aspekte zur Gewährleistung von Informationssicherheit 90
3.3.1 Grundlagen der Organisation 90
3.3.2 Organisation der IT Aktivitäten 91
3.3.2.1 Aufgaben und Struktur des IT Bereichs: Eingliederungsmodelle 91
3.3.2.2 Sicherheitsstrategie und leitlinie 93
3.3.3 Organisation der Informationssicherheit nach gegenwärtigen Ansätzen
zum Sicherheitsmanagement 97
3.3.3.1 Organisation der Informationssicherheit nach IT
Grundschutzhandbuch des BSI 98
3.3.3.2 Organisation der Informationssicherheit nach ITIL 104
3.3.3.3 Organisation der Informationssicherheit nach CobiT 107
XIII
3.3.4 Potenzielle Items für die Erhebung der organisatorischen Dimension der
Informationssicherheit 108
3.4 Ökonomische Aspekte zur Informationssicherheit 109
3.4.1 Informationen als bedeutendster Produktionsfaktor von Organisationen 109
3.4.2 Wirtschaftlichkeitsbetrachtungen zur Gewährleistung von
Informationssicherheit 112
3.4.2.1 Adäquanz von Informationssicherheit zwischen Investment und
Restrisiko 112
3.4.2.2 Kostenaspekte im Rahmen des Total Cost of Ownership 114
3.4.2.3 Nutzenaspekte vor dem Hintergrund des Return on Security
Investment 117
3.4.3 Potenzielle Items für die Erhebung der wirtschaftlichen Dimension der
Informationssicherheit 120
3.4.4 Potenzielle Items für die Erhebung mit übergreifenden Charakter 121
4 Der Mensch als zentraler Faktor zur Gewährleistung von Informationssicherheit 122
4.1 Person und Persönlichkeit als Forschungsgegenstand 122
4.1.1 Person und Persönlichkeit 122
4.1.2 Person und Persönlichkeit als Forschungsgegenstand der Psychologie 124
4.1.3 Kontroverse: Person versus Situation 126
4.2 Das Fünf Faktoren Modell als Disziplin der Theorien zur menschlichen
Pers önlichkeit 127
4.2.1 Exzerpt gängiger Persönlichkeitstheorien 127
4.2.2 Das Fünf Faktoren Modell der Persönlichkeit 134
4.2.2.1 Historische Entwicklung des Fünf Faktoren Modells der
Pers önlichkeit 134
4.2.2.2 Lexikalische und faktorenanalytische Persönlichkeitsforschung als
Grundlage der Persönlichkeitsmerkmale: Beschreibung der fünf
breiten Faktoren 139
4.2.3 Feststellung der Persönlichkeit 143
4.2.3.1 Messinstrumente zur Bestimmung der Persönlichkeit 143
4.2.3.2 Das Inventar NEO PI R zur Messung der Persönlichkeitsmerkmale 145
4.2.3.3 Das Inventar NEO FFI zur Messung der Persönlichkeitsmerkmale 147
4.2.3.4 Andere relevante Messinstrumente im deutschen Sprachraum 149
5 Empirische Erhebung zur Überprüfung aufgestellter Forschungsfragen 151
XIV
5.1 Theoretische Vorüberlegungen zur Durchführung der Untersuchung 151
5.1.1 Methodenspektrum der Wirtschaftsinformatik 151
5.1.2 Primär vs. Sekundäranalyse 155
5.1.3 Standards und Gütekriterien für psychologische Tests und Fragebogen 157
5.1.4 Methodik der Untersuchung 162
5.2 Auswahl und Aufbau der Untersuchungsobjekte für die Befragung 165
5.3 Konstruktion der Items 170
5.3.1 Items im NEO FFI Modell nach Borkenau und Ostendorf 174
5.3.2 Items zu den vier Dimensionen der Informationssicherheit 175
5.3.3 Items zur Ermittlung soziodemographischer Faktoren 176
5.4 Entwicklung des Fragebogens und Implementation als Online Befragung 178
5.5 Gestaltung des Anschreibens 181
5.6 Pretest 182
5.7 Durchführung der Befragung und Rücklauf 184
5.8 Statistische Vorgehensweise zur Feststellung von Korrelationen 187
6 Revision und deskriptive Darstellung der erhobenen Daten 192
6.1 Überprüfung der erhobenen Datengüte 192
6.1.1 Feststellung der Validität, Reliabilität und Repräsentativität der NEO FFI
Daten 195
6.1.2 Feststellung der Validität, Reliabilität und Repräsentativität der Daten zu
Fragen der Informationssicherheit 200
6.2 Darstellung der soziodemographischen Daten 201
6.3 Darstellung der unterschiedlichen Persönlichkeitsmerkmale 207
6.4 Darstellung der Items zur Informationssicherheit in Organisationen 208
7 Lineare Zusammenhänge und Handlungsempfehlungen 219
7.1 Beispielhafte Darstellung von Zusammenhängen zwischen den erhobenen Daten
mittels tabellarischer und statistischer Verfahren 219
7.1.1 Tabellarische Konkordanz bei ausgewählten Daten 219
7.1.2 Statistische Konkordanz bei ausgewählten Daten 222
7.2 Diskussion der Korrelationen und Herleitung von Ergebnissen aus den
erhobenen Daten 225
7.2.1 Ergebnisse für die technische Dimension der Informationssicherheit 225
XV
7.2.2 Ergebnisse für die rechtliche Dimension der Informationssicherheit 227
7.2.3 Ergebnisse für die organisatorische Dimension der Informationssicherheit 229
7.2.4 Ergebnisse für die wirtschaftliche Dimension der Informationssicherheit 236
7.2.5 Ergebnisse für allgemeine Items zur Informationssicherheit 239
7.3 Handlungsempfehlungen zur Erhöhung der Informationssicherheit 240
7.3.1 Empfehlungen bei geringem Neurotizismus 241
7.3.2 Empfehlungen bei hohem Neurotizismus 243
7.3.3 Empfehlungen bei geringer Extraversion 245
7.3.4 Empfehlungen bei hoher Extraversion 246
7.3.5 Empfehlungen bei geringer Offenheit für Erfahrung 249
7.3.6 Empfehlungen bei hoher Offenheit für Erfahrung 250
7.3.7 Empfehlungen bei geringer Verträglichkeit 253
7.3.8 Empfehlungen bei hoher Verträglichkeit 254
7.3.9 Empfehlungen bei geringer Gewissenhaftigkeit 255
7.3.10 Empfehlungen bei hoher Gewissenhaftigkeit 257
7.4 Zusammenschau der Handlungsempfehlungen 260
8 Kritische Würdigung 262
9 Fazit 273
10 Ausblick 279
Index 282
Literaturverzeichnis 286
Journal und Konferenzbeiträge: 286
Lehr und Fachbücher: 294
Beitr äge aus Lehr und Fachbüchern: 304
Beitr äge von Regierungs und Nicht Regierungsinstitutionen: 310
Arbeitspapiere , Diplomarbeiten und Studien: 313
Sonstige elektronische Quellen: 315
Anhang 316
XVI
Abbildungsverzeichnis
Abbildung 1: Entwicklung der Informationssicherheit 3
Abbildung 2: Vorgehensweise der vorliegenden Arbeit 9
Abbildung 3: Aufbau der vorliegenden Arbeit 14
Abbildung 4: Abgrenzung des Wissensbegriffes 17
Abbildung 5: Wissensarten 20
Abbildung 6: Herleitung eines ganzheitlichen Sicherheitsbegriffes 21
Abbildung 7: Voraussichtliche Entdeckungszeit bei Verletzung eines Sicherheitsziels 22
Abbildung 8: Kausalmodell zur Sicherheit von Informationssystemen 23
Abbildung 9: Perspektiven der Sicherheit von Informationssystemen 25
Abbildung 10: Verlässlichkeit eines Informationssystems 25
Abbildung 11: Beherrschbarkeit eines Informationssystems 26
Abbildung 12: Säulen und Grundwerte eines Informations und Kommunikationssystems 28
Abbildung 13: Aktivitäten im Risiko Management 30
Abbildung 14: Schadenshöhe vs. Eintrittswahrscheinlichkeit 31
Abbildung 15: Gefahren für die Informationssicherheit 32
Abbildung 16: Menschliche Verursacher von Gefahren für die Informationssicherheit 33
Abbildung 17: Systematik kritischer Infrastrukturen 41
Abbildung 18: Herausforderungen an das Informationsmanagement 42
Abbildung 19: Abgrenzung von Informationswirtschaft zu Informationsmanagement 44
Abbildung 20: Ebenenmodell des Informationsmanagements 45
Abbildung 21: Idee eines Firewall Systems 60
Abbildung 22: Aufbau eines aktiven Firewallelementes 62
Abbildung 23: Erkennung von Anomalien 69
Abbildung 24: Erzeugung und Verifikation einer digitalen Signatur 72
Abbildung 25: Black Box Sicherheitssystem 75
Abbildung 26: Rangfolge von Datenschutzbestimmungen 81
Abbildung 27: Eingliederungsformen von IT Organisationen 93
Abbildung 28: Kriterien zur Informationssicherheit im Vergleich 97
Abbildung 29: Sicherheitsprozess nach IT Grundschutz 102
Abbildung 30: Aufbau der der IT Organisation nach Unternehmensgröße 103
Abbildung 31: ITIL Prozesse im Überblick 106
Abbildung 32: IT Sicherheitsrisiken und investment 113
Abbildung 33: Ertrag bei einem bestimmten Investment in Schutzmaßnahmen 116
Abbildung 34: Formel zum Return on Security Investment 117
XVII
Abbildung 35: Return on Security Investment (ROSI) 118
Abbildung 36: Schüchternheit als Trait: Reiz, Trait und Reaktion 133
Abbildung 37: Die vier Quadranten von Eysenck 138
Abbildung 38: Empirisch gestütztes Methodenprofil der Wirtschaftsinformatik 152
Abbildung 39: Hauptgegenstandsbereiche der empirischen Sozialforschung 157
Abbildung 40: Phasen des Befragungsmodells 162
Abbildung 41: Auswahlverfahren für Untersuchungsobjekte 166
Abbildung 42: Gütekriterien für die Erhebung von Daten 192
Abbildung 192
XVIII
Tabellenverzeichnis
Tabelle 1: Bedrohungsarten bezüglich der Sicherheit von Informationssystemen 24
Tabelle 2: Beispiele für Formen von Angriffen auf Informationssysteme 36
Tabelle 3: Beispiele für Auslöser von Störungen 37
Tabelle 4: Ziele des Informationsmanagements 47
Tabelle 5: Inhalte von McGregors Theorie X Y 51
Tabelle 6: Scheins Menschenbild Typologie im Überblick 52
Tabelle 7: Zuordnung von Aufgaben an Verantwortliche für Informationssicherheit 55
Tabelle 8: Items für den Themenschwerpunkt technische Dimension 76
Tabelle 9: Items für den Themenschwerpunkt der rechtlichen Dimension 90
Tabelle 10: Items für den Themenschwerpunkt der organisatorischen Dimension 109
Tabelle 11: Items für den Themenschwerpunkt der wirtschaftlichen Dimension 120
Tabelle 12: Items mit übergreifenden Charakter 121
Tabelle 13: Lexikalische Entwicklung der „Big Five“ Faktoren 139
Tabelle 14: Eigenschaftswörter der „Big Five“ Faktoren 143
Tabelle 15: Die 5 Faktoren der Persönlichkeit des NEO PI R und deren wesentliche Facetten 146
Tabelle 16: Übersicht relevanter Messinstrumente im deutschsprachigen Raum 149
Tabelle 17: Methodenspektrum der Wirtschaftsinformatik mit Anwendungsbeispielen 154
Tabelle 18: Organisationen, die weltweit relevante Teststandards entwickelt haben 158
Tabelle 19: Schnittmengen der Standards SEPT und DIN 33430 161
Tabelle 20: Testitems und deren Antwortmodalitäten 171
Tabelle 21: Leitfragen zur Konstruktion von Items 173
Tabelle 22: Items für die technische Dimension 175
Tabelle 23: Items für die rechtliche Dimension 175
Tabelle 24: Items für die organisatorische Dimension 176
Tabelle 25: Items für die wirtschaftliche Dimension 176
Tabelle 26: Items mit übergreifendem Charakter 176
Tabelle 27: Items für die Erhebung der soziodemographischen Daten 177
Tabelle 28: Kategorisierung des E Mail Anschreibens nach den Kriterien von Richter 182
Tabelle 29: Spezifische Fragestellungen und zugehörige statistische Methoden 188
Tabelle 30: Interpretation des Korrelationskoeffizienten für die vorliegende Untersuchung 191
Tabelle 31: Mittelwerte und Standardabweichungen der Skalen des NEO FFI Modells 195
Tabelle 32: Interne Konsistenz der Skalen des NEO FFI Modells 196
Tabelle 33: Test auf Standardnormalverteilung nach Kolmogorov Smirnov 199
XIX
Tabelle 34: Cronbach Alphakoeffizient für die erhobenen Items zu den vier Dimensionen der
Informationssicherheit 200
Tabelle 35: Zusammenhänge zwischen den erhobenen Daten und der Auswahlgesamtheit 201
Tabelle 36: Arithmetische Mittelwerte der fünf Faktoren (Eigene Erhebung und Normwerte) 207
Tabelle 37: Zusammenhänge von Persönlichkeitsausprägungen mit einzelnen Optionen des
Alters und Einkommens 220
Tabelle 38: Korrelationen von Persönlichkeitsausprägungen mit einzelnen Optionen des Alters
und Einkommens 222
Tabelle 39: Korrelationen der fünf Faktoren mit den Haupt Item des Alters und Einkommens 224
Tabelle 40: Korrelationen der fünf Faktoren mit Item Optionen zur technischen Dimension der IS 226
Tabelle 41: Wirkzusammenhänge für die technische Dimension der Informationssicherheit 227
Tabelle 42: Korrelationen der fünf Faktoren mit Item Optionen zur rechtlichen Dimension der IS 228
Tabelle 43: Wirkzusammenhänge für die rechtliche Dimension der Informationssicherheit 229
Tabelle 44: Korrelationen der fünf Faktoren mit Item Optionen zur organisatorischen
Dimension der IS 232
Tabelle 45: Wirkzusammenhänge für die organisatorische Dimension der
Informationssicherheit 234
Tabelle 46: Korrelationen der fünf Faktoren mit Items zur organisatorischen Dimension der IS 235
Tabelle 47: Korrelationen der fünf Faktoren mit Item Optionen zur wirtschaftlichen Dimension
der IS 237
Tabelle 48: Wirkzusammenhänge für die wirtschaftliche Dimension der Informationssicherheit 238
Tabelle 49: Korrelationen der fünf Faktoren mit Items zur wirtschaftlichen Dimension der IS 238
Tabelle 50: Korrelationen der fünf Faktoren mit allgemeinen Item Optionen zur IS 239
Tabelle 51: Wirkzusammenhänge für allgemeine Aspekte zur Informationssicherheit 240
Tabelle 52: Korrelationen der fünf Faktoren mit Items zu allgemeinen Aspekten der IS 240
Tabelle 53: Lineare Zusammenhänge bei geringem Neurotizismus 241
Tabelle 54: Lineare Zusammenhänge bei hohem Neurotizismus 243
Tabelle 55: Lineare Zusammenhänge bei geringer Extraversion 245
Tabelle 56: Lineare Zusammenhänge bei hoher Extraversion 246
Tabelle 57: Lineare Zusammenhänge bei geringer Offenheit für Erfahrung 249
Tabelle 58: Lineare Zusammenhänge bei hoher Offenheit für Erfahrung 251
Tabelle 59: Lineare Zusammenhänge bei geringer Verträglichkeit 253
Tabelle 60: Lineare Zusammenhänge bei hoher Verträglichkeit 254
Tabelle 61: Lineare Zusammenhänge bei geringer Gewissenhaftigkeit 255
Tabelle 62: Lineare Zusammenhänge bei hoher Gewissenhaftigkeit 257
Tabelle 63: Zusammenschau der 44 Handlungsempfehlungen 261
XX
Diagrammverzeichnis
Diagramm 1: Rücklauf der Fragebogen auf Tagesbasis .................................................................... 185 Diagramm 2: Rücklauf der Fragebogen auf Stundenbasis ................................................................ 186 Diagramm 3: Histogramm und QQ‐Diagramm für das Merkmal Verträglichkeit ............................. 198 Diagramm 4: Herkunftsland und Postleitzahlen der erhobenen Untersuchungsobjekte ................ 202
Diagramm 5: Alter und Bildungsabschluss ........................................................................................ 203 Diagramm 6: Position der Befragten ................................................................................................ 203 Diagramm 7: Führungsverantwortung und jährliches Einkommen .................................................. 204 Diagramm 8: Branche und Umsatz der befragten Unternehmen .................................................... 205 Diagramm 9: Beschäftigte im Unternehmen in der IV und IS ........................................................... 206 Diagramm 10: Erhobene Werte und Normwerte des NEO‐FFI‐Modells für männliche Befragte ....... 207 Diagramm 11: Erhobene und Normwerte des NEO‐FFI‐Modells für weibliche Befragte ................... 208 Diagramm 12: Gefahrenbereiche in Organisationen .......................................................................... 209 Diagramm 13: Gefühlte IS und mitarbeiterbezogene Ursachen für mangelnde IS............................. 210 Diagramm 14: Ziele der IS und Bausteine des IS‐Managements ........................................................ 211 Diagramm 15: Konsequenzen von Sicherheitsvorfällen und Compliance Anforderungen ................. 212 Diagramm 16: Standards und Normen sowie Identifizierung von Lücken in der IS ............................ 213 Diagramm 17: Strategien und Managementansätze sowie Konzepte und Richtlinien ....................... 214 Diagramm 18: Weiterbildungsmaßnahmen in Organisationen .......................................................... 215 Diagramm 19: Budget IV und Budget IS .............................................................................................. 216 Diagramm 20: Einschätzung Budget IS sowie höchster und kumulierter Schadenwert ..................... 217 Diagramm 21: Ebenen die Informationssicherheit als wichtiges Thema betrachten ......................... 217 Diagramm 22: Probleme, die die Fortentwicklung der IS beeinträchtigen ......................................... 218
XXI
Abkürzungsverzeichnis
Abkürzung Vollständige Bezeichnung 16 PF‐R 16 Persönlichkeits‐Faktoren‐Test - revidierte Fassung AERA American Educational Research Association APA American Psychological Association BDSG Bundesdatenschutzgesetz BSI Bundesamt für Sicherheit in der Informationstechnik CBT International Guidelines on Computer‐Based and Internet Delivered Testing CEO Chief Executive Officer CIO Chief Information Officer CISO Chief Information Security Officer CRO Chief Risk Officer CSO Chief Security Officer D‐PRF Deutsche Personality Research Form E Extraversion FPI‐R Freiburger Persönlichkeitsinventar G Gewissenhaftigkeit i Zeichen für die interne Konsistenz und Stabilität i.V.m in Verbindung mit IDS Intrusion Detection System IM Informationsmanagement IPS Intrusion Prevention System IRS Intrusion Response System IRTA Internationale Richtlinien für die Testanwendung IS Informationssicherheit ISM Informationssicherheits‐Management ITC International Test Commission ITIL Information Technology Infrastructure Library IuKdG Informations‐ und Kommunikationsdienste Gesetz KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich LAN Local Area Network M Zeichen für ein Multiplikator MdStV Mediendienste Staatsvertrag N Neurotizismus
XXII
NCME National Council on Measurement in Education NEO‐FFI NEO‐Fünf‐Faktoren‐Inventar O Offenheit für Erfahrung p Zeichen für die Korrelation ROI Return on Investments ROSI Return on Security Investment SCM Service Continuity Management SEC Security and Exchange Commission SEPT Standards for Educational and Psychological Testing sig. (2‐seitig) zweiseitige Signifikanz SigG Signaturgestz SLM Service Level Management SOX Sarbanes Oxley Act SPSS Statistical Package for the Social Sciences (ursprüngliche Bezeichnung) TAG Test Adaption Guidelines TCO Total Cost of Ownership TDDSG Teledienstedatenschutzgesetz TDG Teledienstegesetz TK Testkuratorium der Föderation Deutscher Psychologievereinigungen V Verträglichkeit VPN Virtual Private Network WAN Wide Area Network α Zeichen für die Signifikanz
1 Einleitung und Aufbau der Arbeit
1.1 Problemstellung und Ausgangspunkt
In den 90er Jahren kündigte die US‐amerikanische Regierung Clinton die Vernetzung der Welt und den damit verbundenen Aufbau der notwendigen Infrastruktur an, womit sie den Begriff der Infor‐ mationsgesellschaft in aller Munde katapultierte. 1 Seitdem steht, vornehmlich in den OECD‐Ländern, der sozialstrukturelle Wandel von einer Industriegesellschaft in eine Informationsgesellschaft, in der Geschäftsprozesse unteilbar mit Informations‐ und Kommunikationsprozessen verbunden sind, au‐ ßer Frage. 2 Neben den klassischen Produktionsfaktoren wie Arbeit, Boden und Kapital zeigt sich, dass für den Erfolg und die Wettbewerbsfähigkeit jedes Unternehmens, die Bedeutung von wissensinten‐ siven Produkten und Dienstleistungen zunehmend steigt. 3 Insbesondere die Handlungsfähigkeit, Informationen aufzunehmen, zu filtern, zu verarbeiten und effizient zu Wissen in Form von wirt‐ schaftlich nutzbaren Innovationen zu entwickeln, gewinnt deutlich an Relevanz. 4 Die Sicherheit von Informationssystemen wird daher zunehmend systemrelevant und sollte als Ernst zunehmendes Thema eingestuft werden, insbesondere weil Schwachstellen und Gefahren in der digitalen Welt permanent steigen. 5 Organisationen haben keine effektiven Risikomanagement‐ Systeme, welche mit dieser hohen Geschwindigkeit mithalten könnten, 6 mit der die Informations‐ funktion sämtliche Geschäftsprozesse durchdringt, weshalb es als eine conditio sine qua non be‐ zeichnet werden sollte, das Wissen zur Erhöhung der Sicherheit von Informationssystemen ständig zu erweitern. 7 Positive werthaltige wie negative und damit schädigende Informationen entscheiden über den Erfolg einer Organisation und sind, je nach ihrer Relevanz, in besonderem Umfang zu schüt‐ zen. 8 Die Speicherung, Verarbeitung und Nutzung eines überwiegenden Teils dieser Informationen wie in Adressdatenbanken, Unternehmenskennzahlen, Patentideen oder Gutschriften erfolgt in digi‐
1 Vgl. SCHINK (2004), S. 13. Vertiefend zur Informationsgesellschaft vgl. KÜBLER (2005), S. 59‐87; BÖSCHEN (2003), S. 25‐29; BIZER/LUTTERBECK, et al. (2002), S. 44f.
2 Nach HEINRICH, HEINZL und ROITHMAYR durchdringt die Information alle anderen Produktionsfaktoren. Vgl. HEIN‐ RICH/HEINZL, et al. (2004), S. XIV.
3 Vgl. PIETSCH/MARTINY, et al. (2004), S. 39‐48; HEINRICH/HEINZL, et al. (2004), S. 514; NÜTTGENS (1995), S. 5; BIZER/LUTTERBECK, et al. (2002), S. 69.
4 Vgl. HÜSEMANN (2003), S. 104; WILLKE (2001), S. 11; NONAKA/TAKEUCHI (1997), S. 18 und S. 69‐71; POLANYI (1958), S. 70; STEHR (2001), S. 56f.
5 Vgl. BASKERVILLE (1993), S. 375.
6 Vgl. COLWILL (2010), S. 2‐3.
7 Vgl. BASKERVILLE (1993), S. 375.
8 Vgl. KERSTEN/KLETT (2005), S. V.
2
taler Form. Die Gewährleistung der Informationssicherheit rückt damit zu einer Schlüsselaufgabe, welche über den Fortbestand und den Erfolg der Organisation entscheiden kann. Im Vordergrund stehen in dem Zusammenhang Fragen, wie man ein gewünschtes Maß an Informationssicherheit realisieren kann, inwieweit dieses Niveau an Informationssicherheit sich gegenüber Dritten wie Auf‐ sichtsbehörden, Partner und Kunden nachweisen lässt und in welchem Umfang sich Investitionen in die Informationssicherheitsmaßnahmen rentieren. Bei der Festlegung des Niveaus der Informations‐ sicherheit bedarf es der Feststellung, in welchem Umfang die Sicherheit der Informationen sowie die Sicherheit vor den Informationen gewährleistet werden soll. Die daraus resultierenden, komplemen‐ tären Sichten, Beherrschbarkeit und Verlässlichkeit der Informationssicherheit, bedürfen der organi‐ sationsspezifischen Dekretierung zuordenbarer Schutzziele. Sodann sind mögliche Gefahren und Schwachstellen für die Organisation zu ermitteln und deren Relevanz für die Gewährleistung bei‐ spielhafter Schutzziele wie der Verfügbarkeit, der Vertraulichkeit, der Integrität, der Zurechenbarkeit und der Revisionsfähigkeit festzulegen. Insbesondere die quantitativ und qualitativ steigende Anzahl von Schwachstellen und Angriffen erfordert schnellere und komplexere Gegenmaßnahmen bei gleichzeitiger umfassender Betrachtung der Sichten der Beherrschbarkeit und Verlässlichkeit.
Technische Aspekte zur Gewährleistung von Informationssicherheit stehen dabei im Fokus vieler IT‐ Entscheider, allerdings ist sich die Mehrzahl der Autoren einig, dass technische Maßnahmen wie Firewalls, Virusscanner oder Mailscanner umfangreich implementiert wurden. 9 In technische Absi‐ cherungsmaßnahmen wurden in der Vergangenheit hohe Beträge investiert, 10 ohne auf das besonde‐ re Zusammenspiel von technischen Aspekten und menschlichen Bedürfnissen zu achten. Die Erhö‐ hung der Informationssicherheit sollte zukünftig, nach vorherrschender Meinung, dem soziotechni‐ schen Anspruch genügen, Arbeitssysteme zu entwickeln, „…which are both technically efficient and have social characteristics which lead to high job satisfaction.“ 11 Die technische Absicherung ist zur Gewährleistung von Informationssicherheit unbedingt notwendig, jedoch zeigt sich eine breite Ak‐ zeptanz dafür, dass „…involvement of humans in information security is equally important and many examples exist where human activity can be linked to security issues“, 12 somit rückt der Mensch in den Mittelpunkt des Interesses wie Abbildung 1 zeigt: 13
9 Vgl. KERSTEN/KLETT (2005), S. V.
10 Vgl. KRUGER/KEARNEY (2008), S. 254.
11 WARREN/BATTEN (2002), S. 258.
12 KRUGER/KEARNEY (2008), S. 254.
13 Vgl. SPEARS (2006), S. 186.
Abbildung 1: Entwicklung der Informationssicherheit
Quelle: Vgl. DONTAMSETTI/NARAYANAN (2009), S. 28.
Die Wirtschaftsinformatik ist vornehmlich technik‐ und aufgabenorientiert, wodurch der Mensch als Element des Informationssystems vernachlässigt wurde. 14 Nach KONRAD ZUSE ist eine gute Datenver‐ arbeitung nur dann gegeben, wenn „…die Zusammenarbeit zwischen dem Menschen und der Ma‐ schine möglichst eng ist.“ 15 Allerdings ist die menschliche Schwachstelle bei der Gewährleistung von Informationssicherheit „…the most difficult to manage because you cannot control what is in people‘s heads and what they will be willing to talk about inadvertently or otherwise.“ 16 Lösungen zur Erhöhung der Informationssicherheit erweisen sich regelmäßig als limitierte Bausteine „…because humans can be so unpredictable and imperfect…“, 17 wodurch die wissenschaftliche Mehrheit zu dem Schluss kam: „…it is becoming increasingly evident that 'the human factor is the Achilles heel of in‐ formation security'…” 18 und einige Wissenschaftler sich zudem auf die Aussage einigen: „The weakest link the security chain is still the human factor“. 19 Dabei besteht eine breite Einigkeit, dass der menschliche Faktor bei der Betrachtung von Schwachstellen für die Informationssicherheit oft über‐ sehen wird und unter keinen Umständen unterschätzt werden sollte. 20 Nicht selten unbeachtet bleibt dabei, dass Informationssysteme letztlich „…auf die Absichten des Menschen zurückzuführen sind und das Menschen ein wesentliches Element, wenn nicht sogar das wichtigste Element...“ 21 dieser Systeme sind. Übereinstimmend wird von diversen Autoren dargestellt, dass die Sicherheit von In‐ formationssystemen nicht allein durch technische Maßnahmen gewährleistet werden kann, vielmehr
14 Vgl. HEINRICH/HEINZL, et al. (2004), S. 14.
15 KONRAD ZUSE (1970), zitiert nach HEINRICH/HEINZL, et al. (2004), S. 14.
16 VENABLES (2006), S. 857.
17 HALL (2009), S. 3.
18 GONZALEZ/SAWICKA (2002), S. 1; vgl. HUANG/RAU, et al. (2010), S. 221; HOONAKKER/BORNOE, et al. (2009), S. 462; HUANG/RAU, et al. (2007), S. 906.
19 WILLIAMS (2009), S. 48.
20 HALL betont, dass “The human factor should not be underestimated” und legt einen besonderen Stellenwert auf Bil‐ dung, welche er “…as valuable as the proper technology.” bezeichnet. HALL (2009), S. 3.
21 Vgl. HEINRICH/HEINZL, et al. (2004), S. 14.
4
ist dafür eine gesamthafte Betrachtung der Technologie, des Menschen und der Prozesse notwen‐ dig, 22 wobei der Fokus der Entwicklungen vorrangig auf technischen Aspekten lag. 23 Nach REASON gibt es gegen die "... heimtückische Verkettung latenter menschlicher Fehler, die in jeder größeren Orga‐ nisation zwangsläufig vorkommen", keine technologische Abhilfe. Deshalb sieht er institutionelle und soziale Faktoren als diejenigen an, die unsere Sicherheit am stärksten bedrohen. 24 Nach umfangrei‐ chen Recherchen wurde das Interesse des Autors auf die Fragestellung, welche Zusammenhänge zwischen Menschen und technischen, rechtlichen, organisatorischen sowie wirtschaftlichen Aspekten einer Organisation bestehen und inwieweit dadurch die Sicherheit von Informationen erhöht respek‐ tive reduziert wird, gelenkt. Als Maxime sollten im Folgenden das reaktive sowie das proaktive Den‐ ken und Handeln vorgezogen, welches auf Prozessbeherrschung gerichtet ist und somit den unter‐ nehmerischen Erfolg herbeiführt, welcher als Konsequenz vorangegangener Prozesse betrachtet wird. 25 Die überwiegende Anzahl der analysierten Fachmeinungen hält es für unerlässlich, zur Ge‐ währleistung der Informationssicherheit, detaillierte Informationen und Erkenntnisse zur menschli‐ chen Persönlichkeit zu generieren. Nach vorherrschender Meinung erfolgt die Erfassung der mensch‐ lichen Persönlichkeit durch Theorien zur Persönlichkeit, welche hypothetische Aussagen über die Struktur und Funktionsweise der individuellen Persönlichkeit liefern. Diese Aussagen können zum einen Erkenntnisse über den Aufbau, die Struktur und die Zusammenhänge der Persönlichkeit und zum anderen, basierend auf dem Wissen über die Persönlichkeit, können Vorhersagen über Verhal‐ tensweisen und Lebensereignisse getroffen werden. 26 Zur adäquaten Einschätzung menschlicher Stärken und Schwächen kann die Persönlichkeitspsychologie als probates Mittel betrachtet werden, welche Interdependenzen zwischen der Sicherheit von Informationssystemen und der menschlichen Persönlichkeit aufzeigt. Die Feststellung des Aufbaus, der Struktur sowie der Zusammenhänge zur Persönlichkeit sollte, für bestimmte Typen von Menschen, zu konkreten praktischen Handlungsemp‐ fehlungen und zur Schaffung eines Rahmenwerks zur Gewährleistung von Informationssicherheit führen. Die Möglichkeit, Vorhersagen über Verhaltensweisen einer Persönlichkeit zu treffen, könnte eine Grundlage bilden, Menschen so zu sensibilisieren, dass sie auch mit neuartigen und komplexe‐ ren Gefahren für die Informationssicherheit zurechtkommen.
Der Autor entschied sich im Rahmen dieser Arbeit, die Zusammenhänge zwischen der menschlichen Persönlichkeit und der Sicherheit von Informationssystemen, veranlasst durch mehrere Gründe, zu
22 Vgl. GONZALEZ/SAWICKA (2002), S. 1; HUANG/RAU, et al. (2010), S. 221; HOONAKKER/BORNOE, et al. (2009), S. 462; HUANG/RAU, et al. (2007), S. 906.
23 Vgl. HALL (2009), S. 3.
24 REASON/GRABOWSKI (1994), S. 305.
25 Vgl. ZARNEKOW/BRENNER, et al. (2005), S. 16; BURSCH/GÜNTHER, et al. (2005), S. 72; MÜLLER (2003), S. 22; MÖRIKE (2004), S. 104.
26 Vgl. AMELANG/SCHMIDT‐ATZERT, et al. (2006), S. 16; ZIMBARDO/GERRIG, et al. (2008), S. 504.
5
erforschen: (1) Der Mensch stellt nach wie vor das größte Risiko bei der Gewährleistung der Sicher‐ heit von Informationen dar. 27 (2) Die Beschreibung des Verhaltens von Organisationsmitgliedern durch Methoden der differentiellen Psychologie und der Persönlichkeitsforschung haben eine hohe Aktualität. 28 (3) Zusammenhänge zwischen der menschlichen Persönlichkeit und der Sicherheit von Informationen werden in betrachteten Forschungsbeiträgen im günstigen Fall rudimentär behan‐ delt. 29 Publizierte Beiträge von DEVARAJ (2008), SHROPSHIRE (2006) oder HUANG (2010) richten ihr wis‐ senschaftliches Interesse auf abstrakte Termini wie „Technology Acceptance and Use“ oder leiten ein theoretisches Konstrukt ohne empirische Grundlagen her. Lehrbücher wie von GUPTA und SHARMAN (2009) oder BIDGOLI (2006) behandeln das Thema Informationssicherheit und Persönlichkeit nur in Ansätzen. Gemeinsam haben alle betrachteten Forschungsbeiträge die Einigkeit darüber, dass davon ausgegangen wird, dass es Zusammenhänge zwischen der Persönlichkeit und dem Verhalten des Menschen im organisationalen Kontext gibt. Theoretische und empirische wissenschaftliche Beiträge, welche die Festlegung auf ein Modell zur Feststellung der Persönlichkeit verbunden mit konkreten Fragestellungen zum Verhalten des Menschen bezüglich der Gewährleistung von Informationssicher‐ heit aufzeigen, konnten vom Autor nicht identifiziert werden. Ein Anliegen der vorliegenden Arbeit ist es deshalb, die bestehende Forschungslücke durch die empirische Analyse von Zusammenhängen zwischen der menschlichen Persönlichkeit und der Gewährleistung von Informationssicherheit weiter zu schließen.
27 Vgl. VON SOLMS (2006), S. 167; SCHNEIER (2008), S. VII; VENABLES (2006), S. 857; HUANG/RAU, et al. (2010), S. 221; WILLIAMS (2009), S. 48; HOONAKKER/BORNOE, et al. (2009), S. 462; GONZALEZ/SAWICKA (2002), S. 1; HALL (2009), S. 3; HUANG/RAU, et al. (2007), S. 906; DE RAAD (2000); LACEY (2009); COLWILL (2010); WOLEK (2008).
28 Vgl. dazu Werke von MYERS/REISS, et al. (2008); ZIMBARDO/GERRIG, et al. (2008); ASENDORPF (2007); BARENBAUM/WINTER (2008) ; AMELANG/SCHMIDT‐ATZERT, et al. (2006); PAYK (2007); WIEDMANN (2006); NERDINGER/BLICKLE, et al. (2008); FISSENI (1998); MOOSBRUGGER/KELAVA (2007a); WEINERT (2004); VON ROSENSTIEL (1980).
29 Vgl. DEVARAJ/EASLEY, et al. (2008); MANCHA/DIETRICH (2007); SHROPSHIRE/WARKENTIN, et al. (2006) ; HUANG/RAU, et al. (2010); LACEY (2009); GUPTA/SHARMAN (2009); VANCE/SUPONEN, et al. (2009) ; LEWIS (2006); LAYTON (2005); GONZALEZ/SAWICKA (2002) ; MITNICK/SIMON (2002); STANTON/STAM, et al. (2005); THEOHARIDOU/KOKOLAKIS, et al. (2005).
6
1.2 Zielsetzung und zentrale Forschungsfragen
Die vorhergehenden Überlegungen veranschaulichen die wissenschaftliche und praktische Relevanz sowie den weiteren Diskurs und die notwendige Untersuchung zur Reduzierung der Erkenntnisdefizi‐ te und führen zu folgenden grundlegenden Forschungsfragen dieser Arbeit:
1. Feststellung von Zusammenhängen zwischen Informationssicherheit und Persönlichkeit
Welche Zusammenhänge existieren zwischen der Informationssicherheit und den Persönlich‐ keitsmerkmalen von IT‐Entscheidern?
2. Identifizierung von Handlungsempfehlungen zur Erhöhung der Informationssicherheit
Welche Handlungsempfehlungen können, bei Berücksichtigung der Persönlichkeitsmerkmale von IT‐Entscheidern, zur Erhöhung der Informationssicherheit identifiziert werden?
Hierbei soll die vorliegende Arbeit einen Beitrag dazu leisten, Zusammenhänge zwischen der mensch‐ lichen Persönlichkeit und der Sicherheit von Informationen aufzuzeigen, um darüber Handlungsemp‐ fehlungen herzuleiten, welche zur Erhöhung der Sicherheit von Informationen führen sollen. Die Arbeit zielt somit auf die Beantwortung der formulierten Fragestellungen und der damit verbunde‐ nen empirischen Überprüfung deduzierender Unterfragen. Beide Forschungsfragen besitzen einen sehr abstrakten Charakter und werden, in Verbindung mit der Zielsetzung, nachfolgend durch Detaillfragen weiter ausdifferenziert. Als Grundlage für die zweckdienliche Konkretisierung dieser Fragestellungen besteht das Erfordernis, den (1) Forschungsbereich der Informationssicherheit durch einen zweckmäßigen, theoretischen Bezugsrahmen zu konzeptualisieren und zu operationalisieren. Das zielt darauf, den Forschungsbereich der Informationssicherheit, als Teilbereich des Informa‐ tionsmanagements, thematisch zu verorten und seine Relevanz demgemäß zu besprechen. Zur Be‐ schreibung von Informationssystemen im Informationsmanagement werden von unterschiedlichen Autoren Prozesse, Menschen sowie Technologien herangezogen. 30 Das vorrangige Ziel des theoreti‐ schen Bezugsrahmens sollte jedoch, nach entsprechender Verortung des Begriffs Informationssi‐ cherheit, darin bestehen, transparent Fragestellungen zu operationalisieren, welche brauchbar für die empirische Erhebung sind und zu zweckmäßigen Handlungsempfehlungen führen. Vor dem Hin‐ tergrund hat sich der Autor nach entsprechender Literaturrecherche darauf festgelegt, dass ein theo‐ retischer Bezugsrahmen, welcher den Begriff der Informationssicherheit nach seinen technischen, rechtlichen, organisatorischen und wirtschaftlichen Aspekten differenziert für den wissenschaftlichen Erkenntnisfortschritt der vorliegenden Arbeit die höchste Praktikabilität aufweist. Desweiteren be‐
30 Vgl. HUANG/RAU, et al. (2010), S. 221; HOONAKKER/BORNOE, et al. (2009), S. 462; GONZALEZ/SAWICKA (2002), S. 1.
7
steht die (2) Notwendigkeit, relevante Theorien der Persönlichkeit, zur adäquaten Beschreibung des Menschen durch eine standardisierte Methodik, zu identifizieren. Die Dekretierung der Theorien zur Persönlichkeit verfolgt den Anspruch, eine eindeutige und von einem objektiven Dritten replizierbare Beschreibung zur Persönlichkeit zu erhalten und zudem einem automatisierbaren, methodischen Standard zu entsprechen, welcher sich für eine Onlinebefragung nutzen lässt. Diese Persönlichkeits‐ theorie soll univok verwertbare Aussagen über die Struktur und die Funktionsweise der individuellen Persönlichkeit liefern können. 31 Als Taxonomie zur Kategorisierung der menschlichen Persönlichkeit wurden hier die fünf Persönlichkeitsmerkmale nach COSTA und MCCRAE ausgewählt: (1) Neurotizis‐ mus, (2) Extraversion, (3) Offenheit für Erfahrung, (4) Verträglichkeit und (5) Gewissenhaftigkeit, 32 welche in Form eines standardisierten Tests erfragt werden können. Grundlage für diese Festlegung bildeten diverse Fachgespräche sowie eine entsprechende Literaturrecherche, welche in Abschnitt 4.3 dargestellt wird.
Der Anspruch der Betriebswirtschaftslehre, einen praxisrelevanten Erkenntnisfortschritt zu leisten, mündet in abschließenden Handlungsempfehlungen, welche im Rahmen eines iterativ verknüpften Forschungsprozesses hergeleitet werden soll und dessen Grundlage Detaillfragen bilden. Hierbei soll geklärt werden, welche Relevanz dem IT‐Entscheider zur Gewährleistung der Informationssicherheit in der Organisation zukommt? Vielfältige Fachmeinungen stufen die Relevanz des Menschen, in der Organisation für die Gewährleistung der Informationssicherheit, als sehr hoch ein. 33 Unabhängig da‐ von, sollte durch eine empirische Erhebung, zu Beginn der vorliegenden Arbeit, die Relevanz des Menschen zur Gewährleistung der Informationssicherheit verifiziert oder falsifiziert werden. Erste Identifikationspunkte können, im Rahmen einer empirischen Erhebung, Fragen zu den Gefahrenbe‐ reichen in der Organisation oder nach Problemen sein, welche die Fortentwicklung der Informa‐ tionssicherheit besonders beeinträchtigen. Weitergehend könnte auch die Klärung der Ursachen, welche zu einem mangelnden Sicherheitsbewusstsein beim Mitarbeiter führt, relevante Ansatzpunk‐ te liefern.
Eine weitere Detaillfrage sollte in der vorliegenden Arbeit klären inwieweit ein Zusammenhang zwi‐ schen den Persönlichkeitsmerkmalen eines IT‐Verantwortlichen und seinen Entscheidungen respekti‐
31 Im Rahmen der vorliegenden Arbeit ist beabsichtigt, vorrangig gesunde Menschen zu analysieren, deswegen wurden Testverfahren der differenziellen Psychologie denen der klinischen Diagnostik vorgezogen. Außerdem wurden vorran‐ gig Theorien der Persönlichkeit in Betracht gezogen, welche die Persönlichkeit durch zeitlich überdauernde Eigen‐ schaften beschreiben konnten, um damit langfristige Vorhersagen über Verhaltensweisen und Lebensereignisse tref‐ fen zu können. Vgl. ZIMBARDO/GERRIG, et al. (2008), S. 504; AMELANG/SCHMIDT‐ATZERT, et al. (2006), S. 16.
32 Vgl. MCCRAE/COSTA (1983), S. 245f; ASENDORPF (2007), S. 155; DE RAAD (2000), S. 80; ELLIS/ABRAMS, et al. (2009), S. 236.
33 Vgl. WILLIAMS (2009), S. 48; VON SOLMS (2006), S. 167; HALL (2009), S. 3; GONZALEZ/SAWICKA (2002), S. 1; HUANG/RAU, et al. (2010), S. 221; HOONAKKER/BORNOE, et al. (2009), S. 462; HUANG/RAU, et al. (2007), S. 906.
8
ve seiner Entwicklung im organisationalen Kontext, vorliegt. Im Rahmen dieser Frage soll festgestellt werden, ob Zusammenhänge zwischen den Persönlichkeitsmerkmalen und den Entscheidungen, die eine Person in der Organisation trifft, existieren. Das Fundament dieser Frage sollte eine empirische Erhebung darstellen. In dieser Erhebung sollen die erarbeiteten Fragen zur Informationssicherheit in Verbindung mit einem Modell zur Kategorisierung von Persönlichkeitsmerkmalen abgefragt werden. Das Antwortverhalten der Probanden sollte, je nach Ausprägung eines Persönlichkeitsmerkmals, analysiert werden. Neben einer tabellarischen Analyse, sollten eventuelle Zusammenhänge eindeutig durch Verfahren der induktiven Statistik nachgewiesen werden. Des weiteren sollten Wirkzusam‐ menhänge für die unterschiedliche Persönlichkeitsausprägungen und jeweilige Dimensionen der Informationssicherheit aufgezeigt werden, wobei zu klären wäre welche Persönlichkeitsmerkmale einen starken und welche einen geringen Einfluss ausüben. Der Fokus der vorliegenden Arbeit richtet sich auf die Identifikation von linearen Zusammenhängen zwischen Persönlichkeitsmerkmalen und dem damit verbundenen Entscheidungsverhalten. Ziel dieser Frage ist es, die eindeutige Verifizierung oder Falsifikation von linearen Zusammenhängen zwischen unterschiedlich ausgeprägten Persönlich‐ keitsmerkmalen und Entscheidungen von IT‐Mitarbeitern zu gewährleisten. Diese Wirkzusammen‐ hänge sollten tabellarisch dargestellt werden, damit einen ersten Überblick über die Stärken und Schwächen unterschiedlich ausgeprägter Persönlichkeitsmerkmale aufzuzeigen. In dieser Übersicht sollte eine erste Einschätzung erfolgen, welche Merkmalsausprägungen besonders förderlich zur Erhöhung der Informationssicherheit sind und welche eventuell zu Schwachstellen führen können. Zudem sollte festgestellt werden, inwieweit sich lineare Zusammenhänge auf bestimmte Bereiche der Informationssicherheit, wie dem technischen oder organisatorischen, verorten lassen. Als Grund‐ lage für die Identifikation linearer Zusammenhänge sollte eine empirische Erhebung vorgenommen werden.
Weitergehend hat der Autor versucht Vorhersagen, über Entscheidungen von IT‐Mitarbeitern, mit unterschiedlichen Ausprägungen ihrer Persönlichkeitsmerkmale, treffen zu können. Zur Beantwor‐ tung dieser Frage ist es erforderlich, die herausgearbeiteten linearen Zusammenhänge aus den bei‐ den vorherigen Detaillfragen näher zu analysieren. Ein linearer Zusammenhang stellt eine besondere Betonung einer Personengruppe mit einer bestimmten Merkmalsausprägung zu einer ausgewählten Fragestellung dar. Eine besondere Betonung einer bestimmten Fragestellung von dieser Personen‐ gruppe lässt die Herleitung von Vorhersagen auf deren zukünftiges Verhalten bei ähnlichen Frage‐ stellungen zu. Dieses prognostizierte Verhalten sollte zur Sicherstellung der Aussagekraft nur auf signifikanten Korrelationen basieren. Aufbauend auf diese Frage sollte dann hergeleitet werden wel‐ che Handlungsempfehlungen aufgrund unterschiedlicher Ausprägungen der Persönlichkeitsmerkma‐ le für IT‐Entscheider hergeleitet werden können. Auf Grundlage des prognostizierten Verhaltens soll‐ te für die Personengruppen, mit bspw. hohem Neurotizismus oder geringer Offenheit für Erfahrung,
9
spezifische Handlungsempfehlungen gegeben werden können, um ein Höchstmaß an Informationssi‐ cherheit zu gewährleisten. Ziel dieser Frage sollte es sein, ein Raster zu entwickeln, welches für einen bestimmten Menschen nach Feststellung seiner Merkmalsausprägungen einen spezifischen Leitfaden bietet, der konkrete Handlungsempfehlungen aufführt, die bei erfolgreicher Einhaltung zu einer nachweisbaren Erhöhung der Informationssicherheit führen. Abschließend soll im Rahmen der Arbeit erforscht werden welche multivariaten Zusammenhänge sich aufzeigen lassen. Diese Frage steht in enger Anlehnung an die vorherige Frage und zielt darauf ab, die festgestellten linearen Zusammen‐ hänge, anhand der erhobenen soziodemographischen Daten wie Führungsverantwortung oder Bil‐ dungsstand, näher zu analysieren. Untersucht werden könnte, ob bspw. ein IT‐Entscheider mit gerin‐ ger Gewissenhaftigkeit als Merkmalsausprägung sein Entscheidungsverhalten zusätzlich verändert, wenn er über einen geringen Bildungsstand verfügt oder in einer Firma mit einem hohen Umsatz beschäftigt ist. Im Rahmen einer multivariaten Analyse, sollte festgestellt werden, ob ein Proband mit bspw. geringer Offenheit für Erfahrung signifikante multivariate Zusammenhänge zu mehr als einer Fragestellung zur Soziodemographie oder zur Informationssicherheit aufweist. Die Feststellung multivariater Zusammenhänge kann Aufschluss darüber geben, ob bestimmte Merkmalsauprägun‐ gen im besonderen Umfang Einfluss auf die Informationssicherheit ausüben oder nicht. Aufgrund der breite dieser Frage könnte sie als Ausgangspunkt für weitere Forschungen dienen.
Abbildung 2 stellt die beschriebene Vorgehensweise der vorliegenden Arbeit dar:
Abbildung 2: Vorgehensweise der vorliegenden Arbeit
Quelle: Eigene Darstellung
10
1.3 Methodik und Aufbau der Arbeit
Der Schwerpunkt der vorliegenden Arbeit bildet die Untersuchung von Zusammenhängen zwischen menschlichen Persönlichkeitsmerkmalen und ihren Entscheidungen zu Aspekten der Informationssi‐ cherheit. Das zentrale Ergebnis richtet sich dabei auf die Herleitung von Handlungsempfehlungen für unterschiedliche Ausprägungen von Persönlichkeitsmerkmalen, welche zu einem Höchstmaß an In‐ formationssicherheit führen. Dabei orientiert sich die vorliegende Arbeit, aufgrund des explorativen Charakters, an der Wissenschaftstheorie des modernen Empirismus, welche auf das Vermächtnis von BACON 34 und LOCKE 35 zurückgeht. Als einer der Begründer der modernen Wissenschaft war BACON begeistert vom menschlichen Geist und dessen Fehlleistungen und beschrieb das Bedürfnis unseres Geistes, in zufälligen Ereignissen Muster zu erkennen. LOCKE vertrat, gut 70 Jahre später in seinem Werk „Concerning Human Understanding“, die These, dass der menschliche Geist ein unbeschriebe‐ nes Blatt ist, das von den Erfahrungen beschrieben wird. Diese Grundgedanken gelten als die Wur‐ zeln des modernen Empirismus 36 , wonach das „…Wissen nur auf Sinneserfahrungen zurückgeht und wissenschaftlicher Fortschritt durch Beobachtung und Experiment erreicht wird.“ 37 Empirismus ba‐ siert auf dem Induktionsschluss, welcher „…vom Besonderen zum Allgemeinen, vom Einzelnen zum Ganzen, vom Konkreten zum Abstrakten...“ 38 hinleitet. 39 Der Deduktionsschluss verläuft in gegensätz‐ licher Richtung, indem man vom Ganzen auf das Einzelne, vom Abstrakten auf das Konkrete und vom Allgemeinen auf das Besondere schließt. 40 Die Deduktion basiert auf einem logisch stringenten Vor‐ gehen, welches davon ausgeht, dass richtige Prämissen, bei korrekter Anwendung der Ableitungsre‐ geln, zu einer Konklusion führen, welche zweifelsfrei als bewiesen gilt. Allerdings wird durch Deduk‐
34 FRANCIS BACON (1561‐1626) war ein englischer Rechtsanwalt, Philosoph und Staatmann. Vgl. ELLIS/ABRAMS, et al. (2009), S. 54; MYERS/REISS, et al. (2008), S. 4.
35 JOHN LOCKE (1632‐1704) war ein englischer Philosoph und Aufklärer. Vgl. ASENDORPF (2007), S. 29; MYERS/REISS, et al. (2008), S. 4.
36 Schon ARISTOTELES und PLATON stritten sich um eine einheitliche Herangehensweise, Wissen zu erlangen. PLATONS These besagt, dass Wissen nicht unbedingt „durch Sinneswahrnehmungen erklärt werden muss“, demzufolge also „deduktiv erlangt“ wird und somit durch „logisches Denken erschlossen“ werden kann. Vgl. MANDL/REINMANN‐ROTHMEIER (2000), S. 5. Die aristotelische Wissenskonzeption hingegen stützt sich auf die Annahme, dass die „Sinneserfahrung die einzig wahre Wissensquelle“ ist und somit „Erkenntnis […] induktiv erlangt“ wird, womit ARISTOTELES den Empirismus, „Ge‐ genspieler des Rationalismus“, ins Leben rief. Vgl. MANDL/REINMANN‐ROTHMEIER (2000), S. 5; MUSGRAVE (1989), S. 388. Im 18. Jahrhundert führte schließlich der Philosoph IMMANUEL KANT die beiden Strömungen erstmalig zusammen. Er hielt Erfahrungen zur Wissensgewinnung für wichtig, war aber gleichzeitig der Ansicht, dass sie ohne logisches Denken nicht korrekt verstanden werden kann. Vgl. MANDL/REINMANN‐ROTHMEIER (2000), S. 5; KANT (1922), S. 519f; NONAKA/TAKEUCHI (1997), S. 36.
37 MYERS/REISS, et al. (2008), S. 5.
38 BORTZ/DÖRING (2006), S. 300.
39 Formale Schwierigkeiten mit dem Induktionsschluss führten letztlich zur Abkehr vom induktiven Empirismus zu einer deduktiv angelegten Wissenschaftstheorie, welche von POPPER 1989 mit dem kritischen Rationalismus entwickelt wur‐ de. Vgl. BORTZ/DÖRING (2006), S. 300.
40 Vgl. RAITHEL (2008), S. 12f; BEHNKE/BEHNKE (2006), S. 43; BROSIUS/KOSCHEL, et al. (2009), S. 39f.
11
tionsschlüsse kein neues Wissen erzeugt, sondern nur Redundantes, 41 wohingegen Induktionsschlüs‐ se zu neuem und wahrheitserweiterndem Wissen führen; allerdings besteht gravierende Unsicher‐ heit über die Richtigkeit des Ergebnisses. 42 Der vorhandene Stand der Forschung zeigte sich, wie in Abschnitt 1.1 dargestellt, als derartig rudimentär, dass die Bildung von Theorien als Ausgangspunkt verworfen wurde.
Methodisch entspricht die Vorgehensweise, im Rahmen dieser Arbeit, der Denkrichtung des wissen‐ schaftlichen Realismus, wonach über ein induktives Vorgehen, durch die Verdichtung vieler Einzelbe‐ obachtungen wissenschaftliche Gesetzmäßigkeiten und Theorien, erstellt werden. 43 Aufgrund des explorativen Charakters und der induktiven Vorgehensweise der Untersuchung, besitzen die in dieser Arbeit getroffen Aussagen und Handlungsempfehlungen lediglich eine vorläufige Gültigkeit, welche in weiteren wissenschaftlichen Forschungsarbeiten auf ihre Vergleichbarkeit, Generalisierbarkeit, Objektivität und Reproduzierbarkeit hin überprüft werden müssen.
Bezugnehmend auf die einleitende Problemstellung des Untersuchungsgegenstandes und der be‐ schriebenen Zielsetzung, gliedert sich die vorliegende Arbeit neben Einleitung, kritischer Würdigung, Fazit und Ausblick in sechs Kapitel.
In Kapitel 2 erfolgt die inhaltliche Heranführung an das Thema Informationssicherheit. Abschnitt 2.1 stellt eine Zusammenschau zu den Grundlagen der Informationssicherheit dar. Hierbei erfolgt die Abgrenzung des Informationsbegriffs zu Daten und Wissen. Es wird ein Überblick darüber gegeben, wie sich das Informationssystem in die Organisation einbettet und zusätzlich werden die Grundwer‐ te, Ziele und Prinzipien der Informationssicherheit definiert. In Abschnitt 2.2 wird die Informations‐ infrastruktur einer Organisation dargestellt und die Relevanz der Sicherheit von Informationen für Funktionsfähigkeit der Infrastruktur veranschaulicht, wodurch das Erfordernis für die Aufzählung von Beweggründen zur Gewährleistung von Informationssicherheit deutlich wird. Zudem werden Merk‐ male für sichere Organisationen und kritische Infrastrukturen erarbeitet und ein Verständnis für den Schutz von kritischen Infrastrukturen vermittelt. Nachfolgend wird in Abschnitt 2.3 die Notwendigkeit dargestellt, Informationssicherheit als Querschnittsaufgabe des Informationsmanagements zu be‐ trachten. Dabei wird aufgezeigt, weshalb Informationsmanagement als unternehmerische Führungs‐
41 Typisches Beispiel hierfür wäre: „Wenn alle Menschen sterblich sind und Aristoteles ein Mensch ist, dann ist auch Aristoteles sterblich. Vgl. BORTZ/DÖRING (2006), S. 300.
42 Vgl. BORTZ/DÖRING (2006), S. 300f. Eine weitere Form des Schließens stellt die Abduktion dar, welche genuin neues und innovatives Wissen erzeugt und damit potenziell warheitsgenerierend ist. Vgl. BORTZ/DÖRING (2006), S. 301.
43 Vgl. BHASKAR (2009), S. Xf; HACKING/SCHULTE (1996), S. 43ff. VAN FRAASSEN beschreibt den wissenschaftlichen Realismus wie folgt: “Science aims to give us, in its theories, a literally true story of what the world is like; and acceptance of a scientific theory involves the belief that it is true. This is the correct statement of scientific realism.” MCMULLIN (1984), S. 35.
12
aufgabe zu betrachten ist und welche Ziele dem Informationsmanagement zu Grunde liegen sollten, damit das Thema Informationssicherheit als wichtige Querschnittsaufgabe begriffen wird. Abschnitt 2.4 widmet sich den Beteiligten in der Organisation und beschreibt, im Rahmen einer ersten Struktu‐ rierung, grundlegende Menschenbilder zur normativ‐ethischen Einordnung von Mitarbeitern im or‐ ganisationalen Kontext. In den folgenden Unterabschnitten werden die Rollen, Aufgaben, Verant‐ wortlichkeiten und Erfolgsfaktoren von Mitarbeitern aufgeführt.
Im Rahmen von Kapitel 3 wird der thematische Aspekt der Informationssicherheit, in einem zweck‐ mäßigen theoretischen Bezugsrahmen, inhaltlich erarbeitet. Hierbei zielt die umfangreiche inhaltli‐ che Erarbeitung des Begriffs Informationssicherheit darauf ab, das Thema umfassend zu ergründen und final relevante Fragestellungen für die empirische Erhebung in Kapitel 5 bereitzustellen. Thema‐ tische Schwerpunkte zur inhaltlichen Ergründung der Querschnittsaufgabe Informationssicherheit richten sich auf die technische, rechtliche, organisatorische und wirtschaftliche Dimension. In Ab‐ schnitt 3.1 werden die technischen Aspekte der Informationssicherheit erarbeitet. Maßnahmen zur Gewährleistung von Verlässlichkeit und Beherrschbarkeit, die Sicherheitsbausteine wie Firewall‐, Antivirus‐, Kryptographische oder auch Berechtigungssysteme beinhalten, werden erläutert. Ab‐ schnitt 3.2 beschreibt die rechtlichen Aspekte der Informationssicherheit wie Regelungen des Bun‐ desdatenschutzgesetzes oder des Telemediengesetzes. Darauf folgend werden, in Abschnitt 3.3, or‐ ganisatorische Aspekte der Informationssicherheit aufgeführt. Hierbei wird ein kurzer Einblick in die Grundlagen der Organisation gegeben, wie sich der IT‐Bereich in die Organisation eingliedert und welche Relevanz eine Sicherheitsstrategie in der Organisation einnimmt. Sodann werden gegenwär‐ tige Regelungen zum Sicherheitsmanagement, wie das IT‐Grundschutzhandbuch, die ISO 27001 oder ITIL, beschrieben. In Abschnitt 3.4 werden wirtschaftliche Aspekte der Informationssicherheit erar‐ beitet. Hierbei wird betrachtet, welche Bedeutung die Information als Erfolgsfaktor für eine Organi‐ sation inne hat. Wirtschaftlichkeitsbetrachtungen des Autors beschreiben inhaltlich die Adäquanz zwischen Restrisiko und Investment, die Methode des „Total Cost of Ownership“ und „Return of Se‐ curity Investment“. Zum Ende jedes Unterabschnitts wurden Items zur jeweiligen Dimension aus den inhaltlichen Darstellungen operationalisiert.
Hiernach wird in Kapitel 4 auf den Menschen als zentralen Faktor zur Gewährleistung von Informa‐ tionssicherheit eingegangen und nach einem Modell zur Beschreibung der menschlichen Persönlich‐ keit recherchiert. In Abschnitt 4.1 erfolgt die Einordnung der Begriffe Kommunikation und Interakti‐ on. Anschließend folgt die Darstellung einer Kommunikationsbeziehung in interpersonalen Bezie‐ hungsnetzwerken sowie die Beschreibung des Phänomens Führung, welches, über die Basiswerte Leistung und Zufriedenheit, eine Interaktionsbeziehung steuern kann. Nachfolgend wird in Abschnitt 4.2 die Person und Persönlichkeit als Forschungsgegenstand, insbesondere der Psychologie, inhaltlich
13
ergründet und beschrieben. Sodann erfolgt in Abschnitt 4.3 die inhaltliche Darstellung des Fünf‐ Faktoren‐Modells als Theorie zur Beschreibung der menschlichen Persönlichkeit. In dem Zusammen‐ hang gibt der Autor einen Überblick über die gängigen Theorien zur Kategorisierung der Persönlich‐ keit, hinterfragt die jeweiligen Vor‐ und Nachteile der spezifischen Theorie in Abschnitt 4.3.1. und legt sich auf den Trait‐Ansatz zur Beschreibung des Menschen fest. Die historische, lexikalische und faktorenanalytische Entwicklung des Fünf‐Faktoren‐Modells wird in Abschnitt 4.3.2 inhaltlich erör‐ tert. In Unterabschnitt 4.3.3 erfolgt die Ermittlung eines Messinstruments zur Feststellung der Per‐ sönlichkeit, welches eine hohe Validität, Reliabilität und Objektivität aufweist sowie im Rahmen einer Onlinebefragung als standardisiertes Messinstrument genutzt werden kann.
Im Anschluss wird in Kapitel 5, auf Basis der erstellten Items zum Forschungsgegenstand der Infor‐ mationssicherheit sowie der Festlegung des Messinstruments zur Beschreibung Persönlichkeit, die empirische Untersuchung methodisch konzipiert und durchgeführt. In Abschnitt 5.1 erfolgen hierzu theoretische Vorüberlegungen, welche Methoden der Wirtschaftsinformatik im Rahmen der Erhe‐ bung angewandt werden sollen. Nach der Bestimmung von Standards und Gütekriterien wird die Methodik für die empirische Erhebung festgelegt. Dementsprechend wird in Abschnitt 5.2 die Aus‐ wahl der Untersuchungsobjekte für die Erhebung vorgenommen und der Aufbau beschrieben. Hier‐ nach erfolgt in Abschnitt 5.3 die Konstruktion der Items für die Fragen zur Informationssicherheit und zu den soziodemographischen Daten. Demgemäß folgen in Abschnitt 5.4 die Erläuterung der Ent‐ wicklung des Fragebogens und die Implementation als Online‐Befragung. Abgeschlossen wird das Kapitel mit der Gestaltung des Anschreibens in Abschnitt 5.5, dem Pretest in Abschnitt 5.6 sowie der Durchführung der Befragung und dem damit verbundenen Rücklauf.
Sodann wird in Kapitel 6 eine Revision der erhobenen Daten sowie die deskriptive Darstellung der direkten Ergebnisse zu Fragen der Informationssicherheit durch Diagramme vorgenommen. Im Rah‐ men von Abschnitt 6.1 erfolgt die Revision der erhobenen Daten, wodurch die Gütekriterien Objekti‐ vität, Validität, Reliabilität und Generalisierbarkeit verifiziert oder falsifiziert werden sollen. Bezüglich der Fragen zur Persönlichkeit (NEO‐FFI) werden bspw. die Mittelwerte der erhobenen Daten mit de‐ nen der Normstichprobe abgeglichen und Abweichungen identifiziert. In den Abschnitten 6.2, 6.3 und 6.4 werden die erhobenen Daten zur Soziodemographie, den Persönlichkeitsmerkmalen und zu Fragen der Informationssicherheit deskriptiv dargestellt.
In Kapitel 7 wurde das Ziel verfolgt, anhand der erhobenen Daten lineare Zusammenhänge zwischen den Fragen zur Informationssicherheit und den unterschiedlichen Ausprägungen der menschlichen Persönlichkeitsmerkmale zu identifizieren. Im Rahmen des Abschnitts 7.1 wird dargestellt, zu wel‐ chen unterschiedlichen Aussagen die gleichen Daten, zum einen bei einer tabellarischen Analyse und zum anderen bei der Analyse mit Methoden der induktiven Statistik, führen können. In dem Zusam‐
14
menhang entschied sich der Autor, für Ergebnisse dieser Arbeit nur signifikante Korrelationen zu betrachten. In Abschnitt 7.2. werden Ergebnisse, in Form von linearen Zusammenhängen zwischen Fragen zur Informationssicherheit und den unterschiedlichen Ausprägungen der Persönlichkeits‐ merkmale, strukturiert nach den vier Dimensionen der Informationssicherheit, dargestellt. Aus den erarbeiteten Ergebnissen werden in Abschnitt 7.3 Handlungsempfehlungen konkludiert und nach den unterschiedlichen Ausprägungen der Persönlichkeitsmerkmale strukturiert. Somit enthält Abschnitt 7.3.7 beispielsweise für die Personengruppe mit geringer Verträglichkeit konkrete Handlungsempfeh‐ lungen, welche bei Einhaltung zur Erhöhung der Informationssicherheit beitragen. Abschnitt 7.4 zeigt eine Zusammenschau der erarbeiteten Handlungsempfehlungen, strukturiert nach der jeweiligen Ausprägung des Persönlichkeitsmerkmals. Nachfolgend wird in Abschnitt 7.5 durch einen kurzen Leitfaden versucht, die Nutzbarkeit der Ergebnisse für Praktiker zu erhöhen. Abschließend erfolgt in Kapitel 8 die kritische Würdigung, in Kapitel 9 das Fazit und Kapitel 10 gibt einen Ausblick zur vorlie‐ genden Arbeit. Die nachfolgende Abbildung zeigt den inhaltlichen und methodischen Aufbau der Arbeit:
Abbildung 3: Aufbau der vorliegenden Arbeit
Quelle: Eigene Darstellung
2 Informationssicherheit als Querschnittsfunktion in Organisationen
2.1 Grundlagen von Informationssicherheit
2.1.1 Der Informationsbegriff in Abgrenzung zu Daten und Wissen
Der Informationsbegriff 44 ist einer der Schlüsselbegriffe im Bereich der Wirtschaftsinformatik, besitzt aber auch Bedeutung in der Betriebswirtschaftslehre und in der Informatik. Da der Begriff häufig intuitiver Benutzung unterliegt, ist es sinnvoll, ihn von solchen Begriffen wie denen des Wissens und der bloßen Daten zunächst abzugrenzen. Die Definitionsansätze, die die Fachliteratur in diesem Be‐ reich aufführt, weisen keine Einheitlichkeit auf. 45
Der Begriff der Information lässt sich, nach Heinrich, für die Wirtschaftsinformatik definieren als „…handlungsbestimmendes Wissen über historische, gegenwärtige und zukünftige Zustände der Wirklichkeit und Vorgänge in der Wirklichkeit, mit anderen Worten: Information ist Reduktion von Ungewissheit.“ 46 Grundsätzlich lässt sich der Begriff der Information einerseits aus den etymologi‐ schen Bereichen der Spracherklärung, andererseits aus den nachrichtentechnischen Interpretatio‐ nen, 47 auf semiotischer Basis und schließlich auf der Basis der so genannten Pragmatik ableiten und definieren. Der etymologische Ursprung des Begriffes Information ist auf das lateinische Nomen „in‐ formatio“ zurückführbar, das seinerseits von dem Verb „informo“ ableitbar ist. In diesem Zusam‐ menhang bedeutet „formo“: „Ich forme“ oder „Ich gestalte“. 48 Die nachrichtentechnische Interpreta‐ tion, die sich aus dem Begriff der Information ableitete, entstand in den 40er‐Jahren des vorigen Jahrhunderts im Rahmen der Entwicklung von der Thermodynamik. 49 In dem Zusammenhang wurde der Begriff im Rahmen eines Modells für die Nachrichtenübermittlung genutzt, dem das Schema von
44 Vgl. PIETSCH/MARTINY, et al. (2004), S. 41‐43; BIZER/LUTTERBECK, et al. (2002), S. 68; KÜBLER (2005), S. 84‐86; KRCMAR (2003), S. 15.
45 Vgl. LEHNER/MAIER (1994), S. 8; BODE (1997), S. 449ff.
46 HEINRICH (2002a), S. 7.
47 Unter Nachrichtentechnik wird der Wissenschaftsbereich der Technik, der sich mit Verfahren und technischen Einrich‐ tungen zur Aufnahme, Zwischenspeicherung, Aus‐ und Wiedergabe sowie zur Übermittlung von Nachrichten befasst, bezeichnet. Vgl. HEINRICH/HEINZL, et al. (2004), S. 449.
48 Vgl. STOWASSER/PETSCHENIG, et al. (1998), S. 253; BIETHAHN/MUCKSCH, et al. (2000), S. 5; STAHLKNECHT/HASENKAMP (2005), S. 9.
49 Vgl. SHANNON (1949) zitiert nach SHANNON/WEAVER (1976), S. 23. Die Thermodynamik beschäftigt sich mit dem Entste‐ hen von Ordnung und Unordnung in Systemen. Vgl. bspw. KÖNIGSWIESER/HILLEBRAND (2008), S. 22; STEINLE (2005), S. 197. Insbesondere der zweite Hauptsatz der Thermodynamik besagt, „…daß sich physikalische Systeme generell in Richtung zunehmender Unordnung entwickeln.“ WOLF (2005), S. 316.
16
Sender und Empfänger sowie der Nachrichtenübertragung zwischen diesen beiden Bereichen zu‐ grunde lag und liegt. 50
Dem Sender‐Empfänger‐Modell der Kommunikation liegt das Prinzip der Signalübertragung zugrun‐ de, das heißt der Informationsbegriff der Nachrichtentechnik arbeitet mit quantitativen Informati‐ onselementen, bei denen sich der Informationsgehalt in den Zeichen, mit denen die Nachrichten codiert sind, konzentriert. 51 Hierbei reduziert die Nachrichtentechnik den Informationsbegriff haupt‐ sächlich auf statistische Dimensionen, so dass dieser sich besonders für technikbezogene For‐ schungssektoren der Wirtschaftsinformatik verwenden lässt. 52 Der semiotische Definitionsansatz entstammt der sprachwissenschaftlichen Analyse. 53 Im Rahmen der Semiotik lassen sich die Bereiche der Syntaktik, der Semantik und der Pragmatik voneinander als unterschiedliche interpretatorische Bereiche trennen. 54
Die Syntaktik ist eine Strukturlehre der Sprache, die sich mit der Relation zwischen den unterschiedli‐ chen Zeichen in sprachlichen Strukturen beschäftigt. Die Abgeschlossenheit bestimmter Zeichen‐ mengen steht hierbei im Vordergrund. 55 Konventionen, mit denen die Sprache diese Zeichen kombi‐ niert bzw. die formalen Regeln solcher Zeichen, gestalten die Relation der Zeichen untereinander. 56 Die Syntaktik ordnet diese sprachlichen Zeichen zugleich zu einer sinnvoll rezipierbaren Abfolge von Signalen, die sich als Daten bezeichnen lassen. 57
Abbildung 4 zeigt anschaulich das Zusammenspiel zwischen Zeichenvorrat, Syntaktik, Semantik und Pragmatik, wobei der Grad des Verstehens zwischen Sender und Empfänger Ausgangspunkt für die Entstehung neues Wissen ist:
50 Vgl. FLEISSNER (1998), S. 6.
51 Vgl. DIERSTEIN (1997), S. 36; HEINRICH (2001), S. 125; BLIEBERGER/BURGSTALLER, et al. (2002), S. 17.
52 Vgl. HEINRICH (2002b), S. 1040; FLEISSNER (1998), S. 13.
53 Vgl. KRCMAR (2003), S. 16; MORRIS/POSNER (1988), S. 1ff.
54 Vgl. VOß/GUTENSCHWAGER (2001), S. 27‐29; MAIER/LEHNER (1995), S. 173. HEINRICH und ROITHMAYR definieren die Semiotik als die „…Lehre von den Zeichensystemen, den Beziehungen der Zeichen untereinander, zu den bezeichneten Objek‐ ten der Realität und der Vorstellungswelt des Menschen sowie zwischen dem Sender und dem Empfänger von Zei‐ chen.“ Zitiert nach BIETHAHN/MUCKSCH, et al. (2004), S. 4‐5.
55 Vgl. HUANG/RAU, et al. (2010), S. 356.
56 Vgl. HEINRICH/HEINZL, et al. (2004), S. 589; VOß/GUTENSCHWAGER (2001), S. 28; OELSNITZ/HAHMANN (2003), S. 38; FLEISSNER (1998), S. 11; TROTT ZU SOLZ (1992), S. 42; MAIER/LEHNER (1995), S. 172.
57 Vgl. HAUN (2002), S. 178. Zur Syntaktik vergleiche vertiefend das „Syntactic‐Semantic“ Model von MÜLLER und STAPF MÜLLER/STAPF (1999), S. 298f.
Abbildung 4: Abgrenzung des Wissensbegriffes
Quelle: Eigene Darstellung in Anlehnung an KRCMAR (2003), S. 17, VOß/GUTENSCHWAGER (2001), S. 29, KEM‐ PER/JANKE (2002), S. 3, NORTH (2005), S. 32, HEINRICH/HEINZL/ROITHMAYR (2004), S. 589.
Die syntaktischen Strukturen solcher Signalanordnungen lassen sich, da sie an ein technisches Trä‐ germedium fixiert sind, maschinell‐mechanisch auswerten und lesen. 58 In solcher Form sind sie für die Computerverarbeitung zugänglich. 59
Die Ebene der Semantik liegt hierarchisch über der der Syntaktik, wobei die Semantik die Ordnung einzelner Sprachelemente zu Satzstrukturen übernimmt, also sie zu semantischen Strukturen verbin‐ det. 60 Demgemäß bildet, im Kontext von Kommunikationsvorgängen, die Semantik die Ebene, auf der zwischen dem oben erwähnten nachrichtentechnischen Modell, dem Sender und Empfänger eine
58 Vgl. HOLEY/WELTER, et al. (2004), S. 24f; GABRIEL/BEIER (2003), S. 32.
59 Vgl. SCHWARZER/KRCMAR (1999), S. 8; HOLEY/WELTER, et al. (2004), S. 24. Zur Semantik von Daten siehe bspw. NÜTTGENS (1995), S. 282.
60 Vgl. FLEISSNER (1998), S. 12; VOß/GUTENSCHWAGER (2001), S. 28.
18
sprachliche Verständnisebene erzeugt wird. 61 Soll zwischen Sender und Empfänger eine Kommunika‐ tion auf der intersubjektiven Ebene stattfinden, so wird für die Bedeutung der Semantik ein gemein‐ samer Sinnzusammenhang vorausgesetzt, der aus der gemeinschaftlichen Sprache beider Einheiten besteht. 62
Demgegenüber lässt sich die Zeichenerkennung auf der syntaktischen Ebene durchführen, ohne dass menschliches Bewusstsein im Sinne von Kommunikationsverständnis vorhanden sein muss. Dieser Vorgang ist rein maschinell realisierbar. 63
Der Bereich der Pragmatik untersucht u. a., in welcher Form der Empfänger die Datenübermittlung rezipiert und welche möglichen Effekte entsprechende Nachrichten bei ihm zeitigen. Im Zentrum steht hier der Aspekt der Verwendbarkeit von Nachrichten. 64
Die Pragmatik beschäftigt sich folglich mit den Effekten, die die Information der Nachricht auf den Empfänger ausübt. Dies betrifft zum Beispiel die Wirkung, die eine bestimmte Form des Neuigkeits‐ grades impliziert. 65 Die Reaktionen des Empfängers von Nachrichten sind, wie die Pragmatik darstellt, abhängig von der Situation und dem Kontext, in dem sie auf den Empfänger treffen. Die Verwen‐ dungszusammenhänge können demgemäß in den Bereichen der Wirtschaftsinformatik und der Be‐ triebswirtschaftlehre deutlich verschieden ausfallen. Die Handlungen, die aus den jeweiligen Infor‐ mationszusammenhängen in den unterschiedlichen Wissenschaftsbereichen resultieren, sind ihrer Natur entsprechend auf unterschiedliche Zielvorstellungen ausgerichtet.
Mit dem aus den beiden Ebenen kombinierten Wissen 66 lässt sich die Summe von Fähigkeiten und Kenntnissen bezeichnen, welche von Subjekten zur Problemlösung eingesetzt werden. 67
Die Information, die sich aus den Ebenen der Syntaktik und Semantik zusammensetzt, gibt theore‐ tisch eine Trennschärfe vor, die in der Praxis respektive Realität nicht existieren muss. 68 Die theoreti‐ schen Grenzen zwischen diesen Bereichen sind von fließenden Übergängen gekennzeichnet. 69 Partiell
61 Vgl. STREUBEL (1996), S. 18; FERSTL/SINZ (1993), S. 89.
62 Vgl. GEBERT (1992), S. 1110; STREUBEL (1996), S. 18; PICOT/REICHWALD, et al. (2003), S. 63; HEINRICH/HEINZL, et al. (2004), S. 587.
63 Vgl. WALL (1999), S. 7; SCHELLMANN (1997), S. 12; HILDEBRAND (2001), S. 7; WILLKE/KRÜCK, et al. (2001), S. 8.
64 Vgl. VOß/GUTENSCHWAGER (2001), S. 28; MAIER/LEHNER (1995), S. 173; BIETHAHN/MUCKSCH, et al. (2004), S. 7; FANK (1996), S. 29; WALL (1999), S. 26.
65 Vgl. MÜLLER/STAPF (1999), S. 186‐187; MAG (1990), S. 6; PFAU (1997), S. 7; VOß/GUTENSCHWAGER (2001), S. 28.
66 HEINRICH bezeichnet Wissen als Handlungsfähigkeit bzw. im Sinn einer Nominaldefinition als vernetztes Wissen. Vgl. HEINRICH (2002a), S. 19.. CEZANNE definiert im Rahmen der Volkswirtschaftslehre Wissen als eine günstige Kombination von Produktionsfaktoren. Zitiert nach VOß/GUTENSCHWAGER (2001), S. 20.
67 Vgl. HAUN (2002), S. 178; BODENDORF (2003), S. 1f; OELSNITZ/HAHMANN (2003), S. 41.
68 Vgl. FÖCKER/GOESMANN, et al. (1999), S. 36; GABRIEL/DITTMAR (2001), S. 18.
69 Vgl. PROBST/RAUB, et al. (1999), S. 38f.
Arbeit zitieren:
Robert Pomes, 2011, Informationssicherheit und Persönlichkeit, München, GRIN Verlag GmbH
Dieser Text kann über folgende URL aufgerufen und zitiert werden:
Einbetten
DOI
Formatvorlage (Microsoft Word) für eine Diplomarbeit, Masterarbeit, Ha...
Für MS Word 2003 - Update 2010
Vorlagen, Muster, Formulare, Infobroschüren
Ausarbeitung, 25 Seiten
Formatvorlage (OpenOffice) für eine Diplomarbeit, Masterarbeit, Hausar...
Vorlagen, Muster, Formulare, Infobroschüren
Ausarbeitung, 35 Seiten
Formatvorlage / Vorlage zur Erstellung einer Diplomarbeit, Bachelorarb...
Vorlagen, Muster, Formulare, Infobroschüren
Ausarbeitung, 15 Seiten
Formatvorlage / Vorlage für eine Diplomarbeit / Hausarbeit
Für MS Word 2007 - dotx
Vorlagen, Muster, Formulare, Infobroschüren
Ausarbeitung, 25 Seiten
Anleitung zum Erstellen schriftlicher Arbeiten: Der Aufbau einer wisse...
Vorlagen, Muster, Formulare, Infobroschüren
Ausarbeitung, 20 Seiten
Erstellen einer schriftlichen Hausarbeit
Vorlagen, Muster, Formulare, Infobroschüren
Hausarbeit, 14 Seiten
Grundtechniken wissenschaftlichen Arbeitens
Bibliografieren - Reden - Schr...
Vorlagen, Muster, Formulare, Infobroschüren
Skript, 46 Seiten
Ratgeber zur Erstellung wissenschaftlicher Arbeiten. Diplomarbeiten - ...
Vorlagen, Muster, Formulare, Infobroschüren
Ausarbeitung, 39 Seiten
Informatik - Wirtschaftsinformatik: Informationssicherheit und Persönlichkeit ist nun auf dem Buchmarkt erhältlich
Robert Pomes gefällt Informationssicherheit und Persönlichkeit
Robert Pomes gefällt Informationssicherheit und Persönlichkeit
Formatvorlage (Microsoft Word) für eine Diplomarbeit, Masterarbeit, Ha...
Für MS Word 2003 - Update 2010
Vorlagen, Muster, Formulare, Infobroschüren
Ausarbeitung, 25 Seiten
Formatvorlage (OpenOffice) für eine Diplomarbeit, Masterarbeit, Hausar...
Vorlagen, Muster, Formulare, Infobroschüren
Ausarbeitung, 35 Seiten
Formatvorlage / Vorlage zur Erstellung einer Diplomarbeit, Bachelorarb...
Vorlagen, Muster, Formulare, Infobroschüren
Ausarbeitung, 15 Seiten
Formatvorlage / Vorlage für eine Diplomarbeit / Hausarbeit
Für MS Word 2007 - dotx
Vorlagen, Muster, Formulare, Infobroschüren
Ausarbeitung, 25 Seiten
Anleitung zum Erstellen schriftlicher Arbeiten: Der Aufbau einer wisse...
Vorlagen, Muster, Formulare, Infobroschüren
Ausarbeitung, 20 Seiten
Erstellen einer schriftlichen Hausarbeit
Vorlagen, Muster, Formulare, Infobroschüren
Hausarbeit, 14 Seiten
Grundtechniken wissenschaftlichen Arbeitens
Bibliografieren - Reden - Schr...
Vorlagen, Muster, Formulare, Infobroschüren
Skript, 46 Seiten
Ratgeber zur Erstellung wissenschaftlicher Arbeiten. Diplomarbeiten - ...
Vorlagen, Muster, Formulare, Infobroschüren
Ausarbeitung, 39 Seiten
Parental Descriptions of Child Personality: Developmental Antecedents ...
Kohnstamm, Geldolph A. Kohnstamm, Ivan Mervielde
0 Kommentare