Extrait
Inhaltsverzeichnis
Executive Summary
Danksagung
Abbildungsverzeichnis
Tabellenverzeichnis
Diagrammverzeichnis
Abkürzungsverzeichnis
1 Einleitung und Aufbau der Arbeit
1.1 Problemstellung und Ausgangspunkt
1.2 Zielsetzung und zentrale Forschungsfragen
1.3 Methodik und Aufbau der Arbeit
2 Informationssicherheit als Querschnittsfunktion in Organisationen
2.1 Grundlagen von Informationssicherheit
2.1.1 Der Informationsbegriff in Abgrenzung zu Daten und Wissen
2.1.2 Sicherheitsbegriff und Sicherheitsaspekte
2.1.3 Grundwerte und Prinzipien der Informationssicherheit
2.2 Informationssicherheit als bedeutende Komponente der Informationsinfrastruktur
2.2.1 Beweggründe für Informationssicherheit
2.2.2 Merkmale sicherer Organisationen und kritischer Infrastrukturen
2.2.3 Informationssicherheit als Querschnittsaufgabe des Informationsmanagements unternehmerische Führungsaufgabe
2.2.4 Ziele des Informationsmanagements zur Institutionalisierung von Informationssicherheit im Unternehmen
2.3 Charakterisierung von Mitarbeitern in Organisationen zur Gewährleistung von Informationssicherheit
2.3.1 Menschenbilder als normativ-ethische Grundlage zur Einordnung von Mitarbeitenden in Organisationen
2.3.2 Aufgaben, Rollen und Verantwortlichkeiten unterschiedlicher Organisationsmitglieder
3 Dimensionen von Informationssicherheit in Organisationen
3.1 Technische Aspekte zur Gewährleistung von Informationssicherheit
3.1.1 Maßnahmen zur Gewährleistung von Verlässlichkeit
3.1.1.1 Firewall- und Antivirus-Systeme als Sicherheitsbarrieren zum Schutz von Netzwerktopologien
3.1.1.2 Reaktive und präventive Sicherheitsvorkehrungen zur Erhöhung der Verlässlichkeit durch Intrusion Control Systeme
3.1.2 Maßnahmen zur Gewährleistung von Beherrschbarkeit
3.1.2.1 Berechtigungssysteme zur Erhöhung der Zurechenbarkeit
3.1.2.2 Digitale Signaturen zur Gewährleistung von Revisionsfähigkeit
3.1.3 Weitere Maßnahmen zur Gewährleistung der technischen Informationssicherheit
3.1.4 Potenzielle Items für die Erhebung der technischen Dimension der Informationssicherheit
3.2 Rechtliche Aspekte zur Gewährleistung von Informationssicherheit
3.2.1 Regelungen des Bundesdatenschutzgesetz und der EU-Datenschutzrichtlinien
3.2.1.1 Schutz der Privatsphäre durch das Grundgesetz und informationelle Selbstbestimmung als Grundlage des Datenschutzes
3.2.1.2 Ausgewählte EU-Richtlinien zum Datenschutz
3.2.2 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
3.2.3 Informationssicherheit im Telemediengesetz
3.2.4 Weitere ausgewählte Gesetze und Regelungen zur Gewährleistung von Informationssicherheit
3.2.5 Potenzielle Items für die Erhebung der rechtlichen Dimension der Informationssicherheit
3.3 Organisatorische Aspekte zur Gewährleistung von Informationssicherheit
3.3.1 Grundlagen der Organisation
3.3.2 Organisation der IT-Aktivitäten
3.3.2.1 Aufgaben und Struktur des IT-Bereichs: Eingliederungsmodelle
3.3.2.2 Sicherheitsstrategie und -leitlinie
3.3.3 Organisation der Informationssicherheit nach gegenwärtigen Ansätzen zum Sicherheitsmanagement
3.3.3.1 Organisation der Informationssicherheit nach IT-Grundschutzhandbuch des BSI
3.3.3.2 Organisation der Informationssicherheit nach ITIL
3.3.3.3 Organisation der Informationssicherheit nach CobiT
3.3.4 Potenzielle Items für die Erhebung der organisatorischen Dimension der Informationssicherheit
3.4 Ökonomische Aspekte zur Informationssicherheit
3.4.1 Informationen als bedeutendster Produktionsfaktor von Organisationen
3.4.2 Wirtschaftlichkeitsbetrachtungen zur Gewährleistung von Informationssicherheit
3.4.2.1 Adäquanz von Informationssicherheit zwischen Investment und Restrisiko
3.4.2.2 Kostenaspekte im Rahmen des Total Cost of Ownership
3.4.2.3 Nutzenaspekte vor dem Hintergrund des Return on Security Investment
3.4.3 Potenzielle Items für die Erhebung der wirtschaftlichen Dimension der Informationssicherheit
3.4.4 Potenzielle Items für die Erhebung mit übergreifenden Charakter
4 Der Mensch als zentraler Faktor zur Gewährleistung von Informationssicherheit
4.1 Person und Persönlichkeit als Forschungsgegenstand
4.1.1 Person und Persönlichkeit
4.1.2 Person und Persönlichkeit als Forschungsgegenstand der Psychologie
4.1.3 Kontroverse: Person versus Situation
4.2 Das Fünf-Faktoren Modell als Disziplin der Theorien zur menschlichen Persönlichkeit
4.2.1 Exzerpt gängiger Persönlichkeitstheorien
4.2.2 Das Fünf-Faktoren Modell der Persönlichkeit
4.2.2.1 Historische Entwicklung des Fünf-Faktoren-Modells der Persönlichkeit
4.2.2.2 Lexikalische und faktorenanalytische Persönlichkeitsforschung als Grundlage der Persönlichkeitsmerkmale: Beschreibung der fünf breiten Faktoren
4.2.3 Feststellung der Persönlichkeit
4.2.3.1 Messinstrumente zur Bestimmung der Persönlichkeit
4.2.3.2 Das Inventar NEO-PI-R zur Messung der Persönlichkeitsmerkmale
4.2.3.3 Das Inventar NEO-FFI zur Messung der Persönlichkeitsmerkmale
4.2.3.4 Andere relevante Messinstrumente im deutschen Sprachraum
5 Empirische Erhebung zur Überprüfung aufgestellter Forschungsfragen
5.1 Theoretische Vorüberlegungen zur Durchführung der Untersuchung
5.1.1 Methodenspektrum der Wirtschaftsinformatik
5.1.2 Primär- vs. Sekundäranalyse
5.1.3 Standards und Gütekriterien für psychologische Tests und Fragebogen
5.1.4 Methodik der Untersuchung
5.2 Auswahl und Aufbau der Untersuchungsobjekte für die Befragung
5.3 Konstruktion der Items
5.3.1 Items im NEO-FFI-Modell nach Borkenau und Ostendorf
5.3.2 Items zu den vier Dimensionen der Informationssicherheit
5.3.3 Items zur Ermittlung soziodemographischer Faktoren
5.4 Entwicklung des Fragebogens und Implementation als Online-Befragung
5.5 Gestaltung des Anschreibens
5.6 Pretest
5.7 Durchführung der Befragung und Rücklauf
5.8 Statistische Vorgehensweise zur Feststellung von Korrelationen
6 Revision und deskriptive Darstellung der erhobenen Daten
6.1 Überprüfung der erhobenen Datengüte
6.1.1 Feststellung der Validität, Reliabilität und Repräsentativität der NEO-FFI-Daten
6.1.2 Feststellung der Validität, Reliabilität und Repräsentativität der Daten zu Fragen der Informationssicherheit
6.2 Darstellung der soziodemographischen Daten
6.3 Darstellung der unterschiedlichen Persönlichkeitsmerkmale
6.4 Darstellung der Items zur Informationssicherheit in Organisationen
7 Lineare Zusammenhänge und Handlungsempfehlungen
7.1 Beispielhafte Darstellung von Zusammenhängen zwischen den erhobenen Daten mittels tabellarischer und statistischer Verfahren
7.1.1 Tabellarische Konkordanz bei ausgewählten Daten
7.1.2 Statistische Konkordanz bei ausgewählten Daten
7.2 Diskussion der Korrelationen und Herleitung von Ergebnissen aus den erhobenen Daten
7.2.1 Ergebnisse für die technische Dimension der Informationssicherheit
7.2.2 Ergebnisse für die rechtliche Dimension der Informationssicherheit
7.2.3 Ergebnisse für die organisatorische Dimension der Informationssicherheit
7.2.4 Ergebnisse für die wirtschaftliche Dimension der Informationssicherheit
7.2.5 Ergebnisse für allgemeine Items zur Informationssicherheit
7.3 Handlungsempfehlungen zur Erhöhung der Informationssicherheit
7.3.1 Empfehlungen bei geringem Neurotizismus
7.3.2 Empfehlungen bei hohem Neurotizismus
7.3.3 Empfehlungen bei geringer Extraversion
7.3.4 Empfehlungen bei hoher Extraversion
7.3.5 Empfehlungen bei geringer Offenheit für Erfahrung
7.3.6 Empfehlungen bei hoher Offenheit für Erfahrung
7.3.7 Empfehlungen bei geringer Verträglichkeit
7.3.8 Empfehlungen bei hoher Verträglichkeit
7.3.9 Empfehlungen bei geringer Gewissenhaftigkeit
7.3.10 Empfehlungen bei hoher Gewissenhaftigkeit
7.4 Zusammenschau der Handlungsempfehlungen
8 Kritische Würdigung
9 Fazit
10 Ausblick
Index
Literaturverzeichnis
Journal- und Konferenzbeiträge:
Lehr- und Fachbücher:
Beiträge aus Lehr- und Fachbüchern:
Beiträge von Regierungs- und Nicht-Regierungsinstitutionen:
Arbeitspapiere, Diplomarbeiten und Studien:
Sonstige elektronische Quellen:
Anhang
„Alles Wissen und alles Vermehren unseres Wissens endet nicht
mit einem Schlußpunkt, sondern mit einem Fragezeichen.“
(Hermann Hesse)
Executive Summary
Pietsch, Heinrich und Bizer zeigen unmissverständlich auf, dass in heutigen Informationsgesellschaften zum einen Geschäftsprozesse unteilbar mit Informations- und Kommunikationsprozessen verbunden sind und zum anderen die Bedeutung von wissensintensiven Produkten und Dienstleistungen zunehmend steigt. Demgemäß entscheiden positive werthaltige wie negative und damit schädigende Informationen schließlich über den Erfolg und die Wettbewerbsfähigkeit einer Organisation und sind zu schützen. Die Sicherheit von Informationssystemen wird nach den Ausführungen von Baskerville und Jaeger daher zunehmend systemrelevant und sollte als Ernst zunehmendes Thema eingestuft werden, insbesondere weil Schwachstellen und Gefahren in der digitalen Welt permanent steigen. Die Gewährleistung der Informationssicherheit wird hiernach zu einer Schlüsselaufgabe, welche den Fortbestand der Organisation bedingen kann. Demgemäß ist die technische Absicherung der Informationen unbedingt notwendig, jedoch zeigt sich nach Kruger und Kearney eine breite Akzeptanz dafür, dass „…involvement of humans in information security is equally important and many examples exist where human activity can be linked to security issues“, womit der Mensch in den Mittelpunkt des Interesses rückt. Diesen führen auch Gonzales, Huang und Hoonakker übereinstimmend in ihren aktuellen Forschungen zur Erhöhung der Informationssicherheit auf und Veneables bezeichnete die menschliche Schwachstelle als „…the most difficult to manage because you cannot control what is in people‘s heads and what they will be willing to talk about inadvertently or otherwise“. Dementsprechend ist die Sicherheit von Informationssystemen nicht allein durch technische Maßnahmen zu gewährleisten, sondern es bedarf vielmehr der Notwendigkeit der gesamthaften Betrachtung der Technologie, des Menschen und der Prozesse wie bspw. Spears, Dontamsetti und Narayanan anführen. Das Interesse der vorliegenden Arbeit richtet sich hierbei auf die Fragestellung, welche Zusammenhänge zwischen Menschen und technischen, rechtlichen, organisatorischen sowie wirtschaftlichen Aspekten einer Organisation bestehen und inwieweit dadurch die Sicherheit von Informationen erhöht respektive reduziert wird.
Im Rahmen dieser Arbeit wurden die Zusammenhänge zwischen der menschlichen Persönlichkeit von IT-Entscheidern und der Sicherheit von Informationssystemen, veranlasst durch mehrere Gründe, erforscht: (1) Der Mensch stellt nachweislich das größte Risiko bei der Gewährleistung der Sicherheit von Informationen dar. (2) Die Beschreibung des Verhaltens von Organisationsmitgliedern durch Methoden der differentiellen Psychologie und der Persönlichkeitsforschung haben eine hohe Aktualität. (3) Zusammenhänge zwischen der menschlichen Persönlichkeit und der Sicherheit von Informationen werden im günstigen Fall rudimentär behandelt. Das Anliegen der vorliegenden Arbeit besteht darin, die bestehende Forschungslücke durch eine empirische Untersuchung weiter zu schließen.
Als Ausgangspunkt für diese Untersuchung waren folgende Forschungsfragen handlungsleitend:
1. Welche Zusammenhänge existieren zwischen der Informationssicherheit und den Persönlich-keitsmerkmalen von IT-Entscheidern?
2. Welche Handlungsempfehlungen können, bei Berücksichtigung der Persönlichkeitsmerkmale von IT-Entscheidern, zur Erhöhung der Informationssicherheit identifiziert werden?
Die Forschungsfragen bedurften der weiteren Operationalisierung sowie der Ausgestaltung eines konzeptionellen Bezugsrahmens, welcher den Forschungsbereich der Informationssicherheit durch die technische, rechtliche, organisatorische und wirtschaftliche Dimension darstellt. Durch diesen Bezugsrahmen wurden die wesentlichen Einflussfaktoren auf die Ebene der Prozesse, der Technik sowie des Menschen ermittelt. Es wurden adäquate Fragestellungen sowie geeignete Antwortoptionen operationalisiert. Die Erfassung der menschlichen Persönlichkeit wurde durch Theorien zur Persönlichkeit vorgenommen, welche hypothetische Aussagen über ihre Struktur und Funktionsweise lieferten. Diese Aussagen wurden auf der einen Seite genutzt, um Erkenntnisse über den Aufbau, die Struktur und die Zusammenhänge der Persönlichkeit zu generieren. Auf der anderen Seite wurden, basierend auf dem Wissen über die Persönlichkeit, Vorhersagen über Verhaltensweisen getroffen, welche zu eindeutigen Handlungsempfehlungen führten. Dabei bilden die Vorhersagen über Verhaltensweisen die Grundlage, Menschen so zu sensibilisieren, dass sie mit gegenwärtigen, neuartigen und komplexen Gefahren für die Informationssicherheit zurechtkommen. Die Erfassung der menschlichen Persönlichkeit erfolgte, aufgrund der hohen Güte und des standardisierten Messinstruments, über das NEO-FFI-Modell, welches die Persönlichkeit über den Trait-Ansatz feststellt und im deutschsprachigen Raum von Borkenau und Ostendorf geprägt wurde. In dieser Taxonomie wurde die menschliche Persönlichkeit durch die fünf Persönlichkeitsmerkmale Neurotizismus, Extraversion, Offenheit für Erfahrung, Verträglichkeit und Gewissenhaftigkeit beschrieben, welche in den letzten Jahrzehnten wegweisend durch Goldberg, McCrae und John geformt wurden.
Aufbauend auf die konzeptionellen Vorüberlegungen, wurde ein Fragebogen mit den Teilbereichen Persönlichkeit, Informationssicherheit und Soziodemographie entwickelt, welcher die Grundlage zur Durchführung der empirischen Untersuchung bildete. Die Analyse der erhobenen Daten erfolgte durch Methoden der induktiven Statistik, wie Regressions- und Korrelationsanalysen. Die gewonnenen Daten wurden anhand von Gütekriterien wie Objektivität, Validität und Reliabilität verifiziert oder falsifiziert und deskriptiv dargestellt. Nachfolgende Abbildung stellt die beschriebene Vorgehensweise der vorliegenden Arbeit dar:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2: Vorgehensweise der vorliegenden Arbeit
Quelle: Eigene Darstellung
Durch die Analyse der erhobenen Daten, mittels Methoden der induktiven Statistik, wurden Wirkzusammenhänge identifiziert sowie Handlungsempfehlungen wissenschaftlich stringent erarbeitet. Zur systematischen Reduzierung des festgestellten Erkenntnisdefizites wurden vorab dargestellte grundlegende Forschungsfragen durch detailliertere Fragen weiter ausdifferenziert, welche im Folgenden beantwortet werden. Eine Detailfrage ersuchte die Relevanz zu klären, welche dem Menschen zur Gewährleistung der Informationssicherheit in der Organisation zukommt. Der Autor kam zu dem Schluss, dass nicht nur nach der vorherrschenden Fachmeinung von einer hohen Relevanz des Faktors Mensch zur Gewährleistung der Informationssicherheit auszugehen ist, sondern erfährt auch durch die vorliegende Untersuchung Bestätigung. Hiernach äußerten befragte IT-Entscheider, im Rahmen der empirischen Untersuchung, u. a. auf die Frage nach Gefahrenbereichen, dass „Nachlässigkeit und Irrtum der eigenen Mitarbeiter“ bei 77,2% der befragten Organisationen in der Vergangenheit für Sicherheitsvorfälle verantwortlich waren. Demnach ist der Faktor Mensch, auch im Rahmen dieser Untersuchung, der relevanteste Aspekt in diesem Sinne.
Zudem sollte geklärt werden, inwieweit ein Zusammenhang zwischen den Persönlichkeitsmerkmalen eines IT-Entscheiders und seinen Entscheidungen respektive seiner Entwicklung im organisationalen Kontext existiert. Die empirische Untersuchung ergab 62 signifikante, lineare Zusammenhänge zwischen den Fragen zur Informationssicherheit und den festgestellten Ausprägungen der Persönlichkeit. Damit bestätigt sich, dass signifikante Zusammenhänge zwischen den Ausprägungen von Persönlichkeitsmerkmalen eines Menschen und seinen Entscheidungen respektive seiner Entwicklung im organisationalen Kontext bestehen.
Mit einer weiteren Detailfrage ermittelte der Autor, welche Wirkzusammenhänge für unterschiedliche Persönlichkeitsausprägungen zu den Dimensionen der Informationssicherheit aufgezeigt werden können. Zudem wurde geklärt, welche Persönlichkeitsmerkmale einen starken und welche einen geringen Einfluss ausüben. Zu den Dimensionen der Informationssicherheit können insgesamt 62 lineare Zusammenhänge aufgeführt werden. Davon entfallen 11 auf die technische und wirtschaftliche, 10 auf die rechtliche sowie 30 - und damit fast die Hälfte - der signifikanten, linearen Zusammenhänge auf die organisatorische Dimension der Informationssicherheit. Das Persönlichkeitsmerkmal der Gewissenhaftigkeit übt mit 20 linearen Zusammenhängen den stärksten Einfluss auf das Sicherheitsverhalten von IT-Entscheidern aus und die Persönlichkeitsmerkmale der Extraversion und Verträglichkeit mit neun linearen Zusammenhängen den geringsten.
Inwiefern Vorhersagen über Entscheidungen von IT-Mitarbeitern bei unterschiedlichen Ausprägungen der Persönlichkeitsmerkmale getroffen werden können wurde im Rahmen der Arbeit beantwortet. Dazu wurden die herausgearbeiteten Wirkzusammenhänge aus den vier Dimensionen der Informationssicherheit auf ihre besondere Betonung und jeweilige Ausprägung des Persönlichkeitsmerkmals hin fortgeführt. Entsprechende Wirkzusammenhänge werden in Abschnitt 7.2 in den Tabellen 42, 44, 46, 49 und 52 dargestellt. Hierdurch lässt sich direkt vorhersagen, dass bspw. ein IT-Entscheider mit hoher Gewissenhaftigkeit annimmt, dass IT-Benutzer im Bereich der Informationssicherheit besonders geschult sind. Bei diesem Zusammenhang handelt es sich um eine signifikante Korrelation, mit einer Irrtumswahrscheinlichkeit von unter 0,1% (α<=,001). Die berechneten Vorhersagen werden in den Tabellen 54-63 dargestellt.
Forschungsfrage 2 führt zur Quintessenz der vorliegenden Arbeit und bestimmt, welche Handlungsempfehlungen aufgrund unterschiedlicher Ausprägungen der Persönlichkeitsmerkmale für IT-Entscheider hergeleitet werden können. Im Rahmen dieser Forschungsfrage wurden die in den Wirkzusammenhängen festgestellten besonderen Betonungen zu allgemeingültigen Handlungsempfehlungen hin entwickelt. Zur Einhaltung einer wissenschaftlich widerspruchsfreien Vorgehensweise, wurde zum einen auf den konzeptionellen und inhaltlichen Orientierungsrahmen zur Informationssicherheit aus Kapitel 3 Bezug genommen, um den linearen Zusammenhang angemessen zu interpretieren. Zum anderen konnte die angemessene Interpretation der jeweiligen Ausprägung des Persönlichkeitsmerkmals nur über adäquate Eigenschaftswörter stattfinden, welche aus Tabelle 15 aus Abschnitt 4.3.2.2 herangezogen wurden. Durch diese inhaltliche Verknüpfung resultiert, bspw. aus einem linearen Zusammenhang, welcher sich in Form von einer Überbetonung von ‚Virtual Private Networks‘ bei Probanden mit geringem Neurotizismus ergab, die Handlungsempfehlung „Überprüfung der tatsächlichen, technischen Absicherung von Informationen bei Vorschlägen und Projekten von IT-Entscheidern“. Die Grundlage hierfür bildeten zwei Aspekte: (1) ‚Virtual Private Networks‘ sind ein Baustein zur technischen Absicherung und ein (2) geringer Neurotizismus lässt sich u.a. durch die Eigenschaftswörter ‚sorglos‘ und ‚gelassen‘ beschreiben. Diese Handlungsempfehlungen wurden für alle 62 erarbeiteten linearen Zusammenhänge aus Abschnitt 7.2 hergeleitet, wobei 16 Korrelationen, bei denen aufgrund der jeweiligen Antwortalternative die Fallzahl unter einem Wert von 20 lag, nur hilfsweise mit einbezogen wurden, womit sich schließlich 44 valide Handlungsempfehlungen ergaben.
Nachfolgende Tabelle zeigt die erarbeiteten Handlungsempfehlungen für die Persönlichkeitsmerkmale Neurotizismus, Extraversion, Offenheit für Erfahrung, Verträglichkeit und Gewissenhaftigkeit bei deren jeweilig geringer oder hoher Merkmalsausprägung:
Abbildung in dieser Leseprobe nicht enthalten
Tabelle 63: Zusammenschau der 44 Handlungsempfehlungen
Quelle: Herleitung aus Abschnitt 7.3
Abschließend kann festgehalten werden, dass im Rahmen der vorliegenden Arbeit lineare Zusammenhänge festgestellt worden sind, womit das Entscheidungsverhalten eines IT-Mitarbeiters in den spezifischen Ausprägungen seiner Persönlichkeit erklärbar wird. Aus den identifizierten, linearen Zusammenhängen wurden Handlungsempfehlungen hergeleitet, welche als Grundlage für die Einschätzung und Entwicklung von IT-Entscheidern mit gleicher Persönlichkeitsausprägung dienen und somit zur Erhöhung der Informationssicherheit in Organisationen beitragen können. Die Zusammenschau der Handlungsempfehlungen ermöglicht es, nach Messung der Persönlichkeitsmerkmale eines IT-Entscheiders, diesbezüglich konkrete Empfehlungen zu geben.
Keine Schuld ist dringender, als
die, Dank zu sagen.
(Marcus Tullius Cicero)
Danksagung
Mit großer Freude und Stolz habe ich den Moment der Fertigstellung meiner Dissertation sowie die Feier am Tage meiner Disputation empfunden. Diese Freude wäre mir ohne die Unterstützung einer Vielzahl von Menschen, die mich in den vergangenen Jahren auf meinem Weg begleitet haben, nicht vergönnt, so dass ich aufrichtigen Herzens all jenen „Danke!“ zurufe, die mir halfen, diese Arbeit zu einem gelungenen Abschluss zu bringen.
Ganz besonderem Dank möchte ich meinem Doktorvater Herrn Prof. Dr. Michael H. Breitner aussprechen, der mir mit seinem Fachwissen stets zur Seite stand, für mich viele freie Abende opferte, mir mit konstruktiver Kritik die Sicht auf neue Inhalte eröffnete und mir nicht zuletzt auch privat zu einem wertvollen Menschen wurde.
Ich danke Frau Dr. Claudia König für Ihre wertvollen Ratschläge und einen ersten Einblick in die Vielfältigkeit der verschiedenen existierenden Modelle zur Persönlichkeit eines Menschen.
Ich danke insbesondere auch Herrn Prof. Dr. Hans-Jörg von Mettenheim für die Übernahme des Zweitgutachtens, die viele Zeit, die er sich für mich nahm und seine fachlich sehr guten Anmerkungen, die dieser Arbeit den letzten Feinschliff verliehen.
Meinen Kollegen am Institut, Dr. Günter Wohler, Nicole Knöchelmann, Dr. Patrick Bartels, Ina Friedrich, Dr. Finn Breuer, Markus Preylowski, Philipp Maske, Dr. Karsten Sohns, Dr. Christian Zietz sowie Dr. Gabriela Hoppe, gilt ebenfalls mein herzlicher Dank, denn sie waren mir in dieser Zeit kostbare Ansprechpartner und oftmals die Quelle meine Inspiration.
Während meiner Promotionszeit arbeitete ich parallel als Vertriebsleiter im Saturn Hannover. Auch dort gab es Menschen, die mich maßgeblich unterstützt und gefördert haben. Allen voran danke ich insbesondere dem Geschäftsführer Herrn Leonard Köhrer, der den Glauben in mich unerschütterlich bewahrte, mich als Mensch, als Führungskraft sowie in meinem Forschungsprojekt förderte und mir jede Möglichkeit gab, meiner Tätigkeit am Institut nachkommen zu können. Des Weiteren danke ich Herrn Frank Uttecht, der mich in gleicher Weise unterstützte. Ebenfalls Dank schulde ich Herrn Andree Seifert, mit dem ich oftmals über Stunden mein Thema besprach sowie dem gesamten Team des Saturn Hannovers.
Seit 2009 bin ich Geschäftsführer der goolive Deutschland GmbH. An dieser Stelle möchte ich dem ganzen Team meinen herzlichen Dank aussprechen, denn viele haben mir beim Abgleich der Fußnoten mit dem Literaturverzeichnis geholfen und ertrugen mit großer Freundlichkeit meinen unruhigen Gemütszustand in den letzten Monaten vor Abgabe der finalen Dissertation.
Für ihre fachliche Unterstützung, ihre oftmals unermüdliche Fähigkeit, mir zuzuhören, sich mit meinem Thema inhaltlich zu beschäftigen, für ihre Bereitschaft, mir mit Rat, aber auch aufmunternden Worten zu helfen, danke ich meinen Freunden, die ich an der Universität Hannover kennenlernen durfte: Christoph Schwarzbach, Dr. Michael Thomas, Dr. Simon Rüsche, Dres. Simone & Stefan Krummaker, Dr. Erkan Altun, Dr. Anne Prenzler, Dr. Nadine Hennigs, Dr. Petra Enß, Corinna Luedtke sowie Jan Zeidler.
Ganz besonderen Dank möchte ich den Menschen aussprechen, die mir privat aus unterschiedlichen Gründen nahe stehen und mir oft mit freundlichen Worten oder gemeinsam verbrachter Zeit, die Kraft gaben, die Arbeit zu Ende zu bringen oder mir durch Ablenkung die wichtige Energie gaben, mich wieder meinen Studien zu widmen: Prof. Dr. Meik Friedrich, Ercan Özcan, Susanne Janssen-Weetz, Gülbahar Isler, Dietrich Günther, Dilek Dogan, Sanjib Deb, Sami Khello Casado, Sabine Toboldt-Straub und Jasmin Hamidi. Nicht mit Gold aufzuwiegen ist ihre für mich erbrachte Geduld: Dass ich oftmals keine Zeit für sie hatte, dass ich häufig und ausführlich von meiner Arbeit sprach, was für die meisten nicht das spannendste Thema gewesen sein kann oder schlicht die Tatsache, dass sie mich oftmals mit schlechter Laune antrafen, wenn ich mein für mich festgesetztes tägliches Pensum nicht erreicht hatte und mich dann wieder aufrichteten.
Auf warmherzigste und liebevollste Weise möchte ich meiner Familie, insbesondere aber meiner Mutter und meinem Vater, für ihre unerschütterliche Liebe, für ihren unersetzlichen großen Glauben in mich und dafür, dass sie jeder Zeit für mich da waren und mir Kraft gaben, danken. Ohne Euren Beistand wäre diese Arbeit niemals entstanden!
Der größte Dank jedoch gebührt meiner Frau Nadine. Ich danke ihr aufrichtig und mit meiner ganzen Liebe für die unermüdliche ständige Korrekturarbeit meiner Arbeit, für die ewigen inhaltlichen Diskussionen, für ihr großes Vermögen, mir den Rücken freizuhalten, damit ich die Zeit und Muße hatte, mich an den Schreibtisch zu setzen, für ihre ständige Motivation und ihr Vermögen, mich auch in tiefster Verzweiflung zum Lachen zu bringen. Ihre Liebe hat mir die Zeit versüßt und mich durchhalten lassen.
Abbildungsverzeichnis
Abbildung 1: Entwicklung der Informationssicherheit
Abbildung 2: Vorgehensweise der vorliegenden Arbeit
Abbildung 3: Aufbau der vorliegenden Arbeit
Abbildung 4: Abgrenzung des Wissensbegriffes
Abbildung 5: Wissensarten
Abbildung 6: Herleitung eines ganzheitlichen Sicherheitsbegriffes
Abbildung 7: Voraussichtliche Entdeckungszeit bei Verletzung eines Sicherheitsziels
Abbildung 8: Kausalmodell zur Sicherheit von Informationssystemen
Abbildung 9: Perspektiven der Sicherheit von Informationssystemen
Abbildung 10: Verlässlichkeit eines Informationssystems
Abbildung 11: Beherrschbarkeit eines Informationssystems
Abbildung 12: Säulen und Grundwerte eines Informations- und Kommunikationssystems
Abbildung 13: Aktivitäten im Risiko-Management
Abbildung 14: Schadenshöhe vs. Eintrittswahrscheinlichkeit
Abbildung 15: Gefahren für die Informationssicherheit
Abbildung 16: Menschliche Verursacher von Gefahren für die Informationssicherheit
Abbildung 17: Systematik kritischer Infrastrukturen
Abbildung 18: Herausforderungen an das Informationsmanagement
Abbildung 19: Abgrenzung von Informationswirtschaft zu Informationsmanagement
Abbildung 20: Ebenenmodell des Informationsmanagements
Abbildung 21: Idee eines Firewall-Systems
Abbildung 22: Aufbau eines aktiven Firewallelementes
Abbildung 23: Erkennung von Anomalien
Abbildung 24: Erzeugung und Verifikation einer digitalen Signatur
Abbildung 25: Black-Box Sicherheitssystem
Abbildung 26: Rangfolge von Datenschutzbestimmungen
Abbildung 27: Eingliederungsformen von IT-Organisationen
Abbildung 28: Kriterien zur Informationssicherheit im Vergleich
Abbildung 29: Sicherheitsprozess nach IT-Grundschutz
Abbildung 30: Aufbau der der IT-Organisation nach Unternehmensgröße
Abbildung 31: ITIL-Prozesse im Überblick
Abbildung 32: IT-Sicherheitsrisiken und -investment
Abbildung 33: Ertrag bei einem bestimmten Investment in Schutzmaßnahmen
Abbildung 34: Formel zum Return on Security Investment
Abbildung 35: Return on Security Investment (ROSI)
Abbildung 36: Schüchternheit als Trait: Reiz, Trait und Reaktion
Abbildung 37: Die vier Quadranten von Eysenck
Abbildung 38: Empirisch gestütztes Methodenprofil der Wirtschaftsinformatik
Abbildung 39: Hauptgegenstandsbereiche der empirischen Sozialforschung
Abbildung 40: Phasen des Befragungsmodells
Abbildung 41: Auswahlverfahren für Untersuchungsobjekte
Abbildung 42: Gütekriterien für die Erhebung von Daten
Tabellenverzeichnis
Tabelle 1: Bedrohungsarten bezüglich der Sicherheit von Informationssystemen
Tabelle 2: Beispiele für Formen von Angriffen auf Informationssysteme
Tabelle 3: Beispiele für Auslöser von Störungen
Tabelle 4: Ziele des Informationsmanagements
Tabelle 5: Inhalte von McGregors Theorie X & Y
Tabelle 6: Scheins Menschenbild-Typologie im Überblick
Tabelle 7: Zuordnung von Aufgaben an Verantwortliche für Informationssicherheit
Tabelle 8: Items für den Themenschwerpunkt technische Dimension
Tabelle 9: Items für den Themenschwerpunkt der rechtlichen Dimension
Tabelle 10: Items für den Themenschwerpunkt der organisatorischen Dimension
Tabelle 11: Items für den Themenschwerpunkt der wirtschaftlichen Dimension
Tabelle 12: Items mit übergreifenden Charakter
Tabelle 13: Lexikalische Entwicklung der „Big Five“-Faktoren
Tabelle 14: Eigenschaftswörter der „Big Five“-Faktoren
Tabelle 15: Die 5-Faktoren der Persönlichkeit des NEO-PI-R und deren wesentliche Facetten
Tabelle 16: Übersicht relevanter Messinstrumente im deutschsprachigen Raum
Tabelle 17: Methodenspektrum der Wirtschaftsinformatik mit Anwendungsbeispielen
Tabelle 18: Organisationen, die weltweit relevante Teststandards entwickelt haben
Tabelle 19: Schnittmengen der Standards SEPT und DIN 33430
Tabelle 20: Testitems und deren Antwortmodalitäten
Tabelle 21: Leitfragen zur Konstruktion von Items
Tabelle 22: Items für die technische Dimension
Tabelle 23: Items für die rechtliche Dimension
Tabelle 24: Items für die organisatorische Dimension
Tabelle 25: Items für die wirtschaftliche Dimension
Tabelle 26: Items mit übergreifendem Charakter
Tabelle 27: Items für die Erhebung der soziodemographischen Daten
Tabelle 28: Kategorisierung des E-Mail-Anschreibens nach den Kriterien von Richter
Tabelle 29: Spezifische Fragestellungen und zugehörige statistische Methoden
Tabelle 30: Interpretation des Korrelationskoeffizienten für die vorliegende Untersuchung
Tabelle 31: Mittelwerte und Standardabweichungen der Skalen des NEO-FFI Modells
Tabelle 32: Interne Konsistenz der Skalen des NEO-FFI Modells
Tabelle 33: Test auf Standardnormalverteilung nach Kolmogorov-Smirnov
Tabelle 34: Cronbach Alphakoeffizient für die erhobenen Items zu den vier Dimensionen der Informationssicherheit
Tabelle 35: Zusammenhänge zwischen den erhobenen Daten und der Auswahlgesamtheit
Tabelle 36: Arithmetische Mittelwerte der fünf Faktoren (Eigene Erhebung und Normwerte)
Tabelle 37: Zusammenhänge von Persönlichkeitsausprägungen mit einzelnen Optionen des Alters und Einkommens
Tabelle 38: Korrelationen von Persönlichkeitsausprägungen mit einzelnen Optionen des Alters und Einkommens
Tabelle 39: Korrelationen der fünf Faktoren mit den Haupt-Item des Alters und Einkommens
Tabelle 40: Korrelationen der fünf Faktoren mit Item-Optionen zur technischen Dimension der IS
Tabelle 41: Wirkzusammenhänge für die technische Dimension der Informationssicherheit
Tabelle 42: Korrelationen der fünf Faktoren mit Item-Optionen zur rechtlichen Dimension der IS
Tabelle 43: Wirkzusammenhänge für die rechtliche Dimension der Informationssicherheit
Tabelle 44: Korrelationen der fünf Faktoren mit Item-Optionen zur organisatorischen Dimension der IS
Tabelle 45: Wirkzusammenhänge für die organisatorische Dimension der Informationssicherheit
Tabelle 46: Korrelationen der fünf Faktoren mit Items zur organisatorischen Dimension der IS
Tabelle 47: Korrelationen der fünf Faktoren mit Item-Optionen zur wirtschaftlichen Dimension der IS
Tabelle 48: Wirkzusammenhänge für die wirtschaftliche Dimension der Informationssicherheit
Tabelle 49: Korrelationen der fünf Faktoren mit Items zur wirtschaftlichen Dimension der IS
Tabelle 50: Korrelationen der fünf Faktoren mit allgemeinen Item-Optionen zur IS
Tabelle 51: Wirkzusammenhänge für allgemeine Aspekte zur Informationssicherheit
Tabelle 52: Korrelationen der fünf Faktoren mit Items zu allgemeinen Aspekten der IS
Tabelle 53: Lineare Zusammenhänge bei geringem Neurotizismus
Tabelle 54: Lineare Zusammenhänge bei hohem Neurotizismus
Tabelle 55: Lineare Zusammenhänge bei geringer Extraversion
Tabelle 56: Lineare Zusammenhänge bei hoher Extraversion
Tabelle 57: Lineare Zusammenhänge bei geringer Offenheit für Erfahrung
Tabelle 58: Lineare Zusammenhänge bei hoher Offenheit für Erfahrung
Tabelle 59: Lineare Zusammenhänge bei geringer Verträglichkeit
Tabelle 60: Lineare Zusammenhänge bei hoher Verträglichkeit
Tabelle 61: Lineare Zusammenhänge bei geringer Gewissenhaftigkeit
Tabelle 62: Lineare Zusammenhänge bei hoher Gewissenhaftigkeit
Tabelle 63: Zusammenschau der 44 Handlungsempfehlungen
Diagrammverzeichnis
Diagramm 1: Rücklauf der Fragebogen auf Tagesbasis
Diagramm 2: Rücklauf der Fragebogen auf Stundenbasis
Diagramm 3: Histogramm und QQ-Diagramm für das Merkmal Verträglichkeit
Diagramm 4: Herkunftsland und Postleitzahlen der erhobenen Untersuchungsobjekte
Diagramm 5: Alter und Bildungsabschluss
Diagramm 6: Position der Befragten
Diagramm 7: Führungsverantwortung und jährliches Einkommen
Diagramm 8: Branche und Umsatz der befragten Unternehmen
Diagramm 9: Beschäftigte im Unternehmen in der IV und IS
Diagramm 10: Erhobene Werte und Normwerte des NEO-FFI-Modells für männliche Befragte
Diagramm 11: Erhobene und Normwerte des NEO-FFI-Modells für weibliche Befragte
Diagramm 12: Gefahrenbereiche in Organisationen
Diagramm 13: Gefühlte IS und mitarbeiterbezogene Ursachen für mangelnde IS
Diagramm 14: Ziele der IS und Bausteine des IS-Managements
Diagramm 15: Konsequenzen von Sicherheitsvorfällen und Compliance Anforderungen
Diagramm 16: Standards und Normen sowie Identifizierung von Lücken in der IS
Diagramm 17: Strategien und Managementansätze sowie Konzepte und Richtlinien
Diagramm 18: Weiterbildungsmaßnahmen in Organisationen
Diagramm 19: Budget IV und Budget IS
Diagramm 20: Einschätzung Budget IS sowie höchster und kumulierter Schadenwert
Diagramm 21: Ebenen die Informationssicherheit als wichtiges Thema betrachten
Diagramm 22: Probleme, die die Fortentwicklung der IS beeinträchtigen
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
„Die Neugier steht immer an erster Stelle
eines Problems, das gelöst werden will.“
(Galileo Galilei)
1 Einleitung und Aufbau der Arbeit
1.1 Problemstellung und Ausgangspunkt
In den 90er Jahren kündigte die US-amerikanische Regierung Clinton die Vernetzung der Welt und den damit verbundenen Aufbau der notwendigen Infrastruktur an, womit sie den Begriff der Informationsgesellschaft in aller Munde katapultierte.[1] Seitdem steht, vornehmlich in den OECD-Ländern, der sozialstrukturelle Wandel von einer Industriegesellschaft in eine Informationsgesellschaft, in der Geschäftsprozesse unteilbar mit Informations- und Kommunikationsprozessen verbunden sind, außer Frage.[2] Neben den klassischen Produktionsfaktoren wie Arbeit, Boden und Kapital zeigt sich, dass für den Erfolg und die Wettbewerbsfähigkeit jedes Unternehmens, die Bedeutung von wissensintensiven Produkten und Dienstleistungen zunehmend steigt.[3] Insbesondere die Handlungsfähigkeit, Informationen aufzunehmen, zu filtern, zu verarbeiten und effizient zu Wissen in Form von wirtschaftlich nutzbaren Innovationen zu entwickeln, gewinnt deutlich an Relevanz.[4]
Die Sicherheit von Informationssystemen wird daher zunehmend systemrelevant und sollte als Ernst zunehmendes Thema eingestuft werden, insbesondere weil Schwachstellen und Gefahren in der digitalen Welt permanent steigen.[5] Organisationen haben keine effektiven Risikomanagement-Systeme, welche mit dieser hohen Geschwindigkeit mithalten könnten,[6] mit der die Informationsfunktion sämtliche Geschäftsprozesse durchdringt, weshalb es als eine conditio sine qua non bezeichnet werden sollte, das Wissen zur Erhöhung der Sicherheit von Informationssystemen ständig zu erweitern.[7] Positive werthaltige wie negative und damit schädigende Informationen entscheiden über den Erfolg einer Organisation und sind, je nach ihrer Relevanz, in besonderem Umfang zu schützen.[8] Die Speicherung, Verarbeitung und Nutzung eines überwiegenden Teils dieser Informationen wie in Adressdatenbanken, Unternehmenskennzahlen, Patentideen oder Gutschriften erfolgt in digitaler Form. Die Gewährleistung der Informationssicherheit rückt damit zu einer Schlüsselaufgabe, welche über den Fortbestand und den Erfolg der Organisation entscheiden kann. Im Vordergrund stehen in dem Zusammenhang Fragen, wie man ein gewünschtes Maß an Informationssicherheit realisieren kann, inwieweit dieses Niveau an Informationssicherheit sich gegenüber Dritten wie Aufsichtsbehörden, Partner und Kunden nachweisen lässt und in welchem Umfang sich Investitionen in die Informationssicherheitsmaßnahmen rentieren. Bei der Festlegung des Niveaus der Informationssicherheit bedarf es der Feststellung, in welchem Umfang die Sicherheit der Informationen sowie die Sicherheit vor den Informationen gewährleistet werden soll. Die daraus resultierenden, komplementären Sichten, Beherrschbarkeit und Verlässlichkeit der Informationssicherheit, bedürfen der organisationsspezifischen Dekretierung zuordenbarer Schutzziele. Sodann sind mögliche Gefahren und Schwachstellen für die Organisation zu ermitteln und deren Relevanz für die Gewährleistung beispielhafter Schutzziele wie der Verfügbarkeit, der Vertraulichkeit, der Integrität, der Zurechenbarkeit und der Revisionsfähigkeit festzulegen. Insbesondere die quantitativ und qualitativ steigende Anzahl von Schwachstellen und Angriffen erfordert schnellere und komplexere Gegenmaßnahmen bei gleichzeitiger umfassender Betrachtung der Sichten der Beherrschbarkeit und Verlässlichkeit.
Technische Aspekte zur Gewährleistung von Informationssicherheit stehen dabei im Fokus vieler IT-Entscheider, allerdings ist sich die Mehrzahl der Autoren einig, dass technische Maßnahmen wie Firewalls, Virusscanner oder Mailscanner umfangreich implementiert wurden.[9] In technische Absicherungsmaßnahmen wurden in der Vergangenheit hohe Beträge investiert,[10] ohne auf das besondere Zusammenspiel von technischen Aspekten und menschlichen Bedürfnissen zu achten. Die Erhöhung der Informationssicherheit sollte zukünftig, nach vorherrschender Meinung, dem soziotechnischen Anspruch genügen, Arbeitssysteme zu entwickeln, „…which are both technically efficient and have social characteristics which lead to high job satisfaction.“[11] Die technische Absicherung ist zur Gewährleistung von Informationssicherheit unbedingt notwendig, jedoch zeigt sich eine breite Akzeptanz dafür, dass „…involvement of humans in information security is equally important and many examples exist where human activity can be linked to security issues“,[12] somit rückt der Mensch in den Mittelpunkt des Interesses wie Abbildung 1 zeigt:[13]
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1: Entwicklung der Informationssicherheit
Quelle: Vgl. Dontamsetti/Narayanan (2009), S. 28.
Die Wirtschaftsinformatik ist vornehmlich technik- und aufgabenorientiert, wodurch der Mensch als Element des Informationssystems vernachlässigt wurde.[14] Nach Konrad Zuse ist eine gute Datenverarbeitung nur dann gegeben, wenn „…die Zusammenarbeit zwischen dem Menschen und der Maschine möglichst eng ist.“[15] Allerdings ist die menschliche Schwachstelle bei der Gewährleistung von Informationssicherheit „…the most difficult to manage because you cannot control what is in people‘s heads and what they will be willing to talk about inadvertently or otherwise.“[16] Lösungen zur Erhöhung der Informationssicherheit erweisen sich regelmäßig als limitierte Bausteine „…because humans can be so unpredictable and imperfect…“,[17] wodurch die wissenschaftliche Mehrheit zu dem Schluss kam: „…it is becoming increasingly evident that 'the human factor is the Achilles heel of information security'…”[18] und einige Wissenschaftler sich zudem auf die Aussage einigen: „The weakest link the security chain is still the human factor“.[19] Dabei besteht eine breite Einigkeit, dass der menschliche Faktor bei der Betrachtung von Schwachstellen für die Informationssicherheit oft übersehen wird und unter keinen Umständen unterschätzt werden sollte.[20] Nicht selten unbeachtet bleibt dabei, dass Informationssysteme letztlich „…auf die Absichten des Menschen zurückzuführen sind und das Menschen ein wesentliches Element, wenn nicht sogar das wichtigste Element...“[21] dieser Systeme sind. Übereinstimmend wird von diversen Autoren dargestellt, dass die Sicherheit von Informationssystemen nicht allein durch technische Maßnahmen gewährleistet werden kann, vielmehr ist dafür eine gesamthafte Betrachtung der Technologie, des Menschen und der Prozesse notwendig,[22] wobei der Fokus der Entwicklungen vorrangig auf technischen Aspekten lag.[23] Nach Reason gibt es gegen die "... heimtückische Verkettung latenter menschlicher Fehler, die in jeder größeren Organisation zwangsläufig vorkommen", keine technologische Abhilfe. Deshalb sieht er institutionelle und soziale Faktoren als diejenigen an, die unsere Sicherheit am stärksten bedrohen.[24] Nach umfangreichen Recherchen wurde das Interesse des Autors auf die Fragestellung, welche Zusammenhänge zwischen Menschen und technischen, rechtlichen, organisatorischen sowie wirtschaftlichen Aspekten einer Organisation bestehen und inwieweit dadurch die Sicherheit von Informationen erhöht respektive reduziert wird, gelenkt. Als Maxime sollten im Folgenden das reaktive sowie das proaktive Denken und Handeln vorgezogen, welches auf Prozessbeherrschung gerichtet ist und somit den unternehmerischen Erfolg herbeiführt, welcher als Konsequenz vorangegangener Prozesse betrachtet wird.[25] Die überwiegende Anzahl der analysierten Fachmeinungen hält es für unerlässlich, zur Gewährleistung der Informationssicherheit, detaillierte Informationen und Erkenntnisse zur menschlichen Persönlichkeit zu generieren. Nach vorherrschender Meinung erfolgt die Erfassung der menschlichen Persönlichkeit durch Theorien zur Persönlichkeit, welche hypothetische Aussagen über die Struktur und Funktionsweise der individuellen Persönlichkeit liefern. Diese Aussagen können zum einen Erkenntnisse über den Aufbau, die Struktur und die Zusammenhänge der Persönlichkeit und zum anderen, basierend auf dem Wissen über die Persönlichkeit, können Vorhersagen über Verhaltensweisen und Lebensereignisse getroffen werden.[26] Zur adäquaten Einschätzung menschlicher Stärken und Schwächen kann die Persönlichkeitspsychologie als probates Mittel betrachtet werden, welche Interdependenzen zwischen der Sicherheit von Informationssystemen und der menschlichen Persönlichkeit aufzeigt. Die Feststellung des Aufbaus, der Struktur sowie der Zusammenhänge zur Persönlichkeit sollte, für bestimmte Typen von Menschen, zu konkreten praktischen Handlungsempfehlungen und zur Schaffung eines Rahmenwerks zur Gewährleistung von Informationssicherheit führen. Die Möglichkeit, Vorhersagen über Verhaltensweisen einer Persönlichkeit zu treffen, könnte eine Grundlage bilden, Menschen so zu sensibilisieren, dass sie auch mit neuartigen und komplexeren Gefahren für die Informationssicherheit zurechtkommen.
Der Autor entschied sich im Rahmen dieser Arbeit, die Zusammenhänge zwischen der menschlichen Persönlichkeit und der Sicherheit von Informationssystemen, veranlasst durch mehrere Gründe, zu erforschen: (1) Der Mensch stellt nach wie vor das größte Risiko bei der Gewährleistung der Sicherheit von Informationen dar.[27] (2) Die Beschreibung des Verhaltens von Organisationsmitgliedern durch Methoden der differentiellen Psychologie und der Persönlichkeitsforschung haben eine hohe Aktualität.[28] (3) Zusammenhänge zwischen der menschlichen Persönlichkeit und der Sicherheit von Informationen werden in betrachteten Forschungsbeiträgen im günstigen Fall rudimentär behandelt.[29] Publizierte Beiträge von Devaraj (2008), Shropshire (2006) oder Huang (2010) richten ihr wissenschaftliches Interesse auf abstrakte Termini wie „Technology Acceptance and Use“ oder leiten ein theoretisches Konstrukt ohne empirische Grundlagen her. Lehrbücher wie von Gupta und Sharman (2009) oder Bidgoli (2006) behandeln das Thema Informationssicherheit und Persönlichkeit nur in Ansätzen. Gemeinsam haben alle betrachteten Forschungsbeiträge die Einigkeit darüber, dass davon ausgegangen wird, dass es Zusammenhänge zwischen der Persönlichkeit und dem Verhalten des Menschen im organisationalen Kontext gibt. Theoretische und empirische wissenschaftliche Beiträge, welche die Festlegung auf ein Modell zur Feststellung der Persönlichkeit verbunden mit konkreten Fragestellungen zum Verhalten des Menschen bezüglich der Gewährleistung von Informationssicherheit aufzeigen, konnten vom Autor nicht identifiziert werden. Ein Anliegen der vorliegenden Arbeit ist es deshalb, die bestehende Forschungslücke durch die empirische Analyse von Zusammenhängen zwischen der menschlichen Persönlichkeit und der Gewährleistung von Informationssicherheit weiter zu schließen.
1.2 Zielsetzung und zentrale Forschungsfragen
Die vorhergehenden Überlegungen veranschaulichen die wissenschaftliche und praktische Relevanz sowie den weiteren Diskurs und die notwendige Untersuchung zur Reduzierung der Erkenntnisdefizite und führen zu folgenden grundlegenden Forschungsfragen dieser Arbeit:
1. Feststellung von Zusammenhängen zwischen Informationssicherheit und Persönlichkeit
Welche Zusammenhänge existieren zwischen der Informationssicherheit und den Persönlich-keitsmerkmalen von IT-Entscheidern?
2. Identifizierung von Handlungsempfehlungen zur Erhöhung der Informationssicherheit
Welche Handlungsempfehlungen können, bei Berücksichtigung der Persönlichkeitsmerkmale von IT-Entscheidern, zur Erhöhung der Informationssicherheit identifiziert werden?
Hierbei soll die vorliegende Arbeit einen Beitrag dazu leisten, Zusammenhänge zwischen der menschlichen Persönlichkeit und der Sicherheit von Informationen aufzuzeigen, um darüber Handlungsempfehlungen herzuleiten, welche zur Erhöhung der Sicherheit von Informationen führen sollen. Die Arbeit zielt somit auf die Beantwortung der formulierten Fragestellungen und der damit verbundenen empirischen Überprüfung deduzierender Unterfragen. Beide Forschungsfragen besitzen einen sehr abstrakten Charakter und werden, in Verbindung mit der Zielsetzung, nachfolgend durch Detaillfragen weiter ausdifferenziert. Als Grundlage für die zweckdienliche Konkretisierung dieser Fragestellungen besteht das Erfordernis, den (1) Forschungsbereich der Informationssicherheit durch einen zweckmäßigen, theoretischen Bezugsrahmen zu konzeptualisieren und zu operationalisieren. Das zielt darauf, den Forschungsbereich der Informationssicherheit, als Teilbereich des Informationsmanagements, thematisch zu verorten und seine Relevanz demgemäß zu besprechen. Zur Beschreibung von Informationssystemen im Informationsmanagement werden von unterschiedlichen Autoren Prozesse, Menschen sowie Technologien herangezogen.[30] Das vorrangige Ziel des theoretischen Bezugsrahmens sollte jedoch, nach entsprechender Verortung des Begriffs Informationssicherheit, darin bestehen, transparent Fragestellungen zu operationalisieren, welche brauchbar für die empirische Erhebung sind und zu zweckmäßigen Handlungsempfehlungen führen. Vor dem Hintergrund hat sich der Autor nach entsprechender Literaturrecherche darauf festgelegt, dass ein theoretischer Bezugsrahmen, welcher den Begriff der Informationssicherheit nach seinen technischen, rechtlichen, organisatorischen und wirtschaftlichen Aspekten differenziert für den wissenschaftlichen Erkenntnisfortschritt der vorliegenden Arbeit die höchste Praktikabilität aufweist. Desweiteren besteht die (2) Notwendigkeit, relevante Theorien der Persönlichkeit, zur adäquaten Beschreibung des Menschen durch eine standardisierte Methodik, zu identifizieren. Die Dekretierung der Theorien zur Persönlichkeit verfolgt den Anspruch, eine eindeutige und von einem objektiven Dritten replizierbare Beschreibung zur Persönlichkeit zu erhalten und zudem einem automatisierbaren, methodischen Standard zu entsprechen, welcher sich für eine Onlinebefragung nutzen lässt. Diese Persönlichkeitstheorie soll univok verwertbare Aussagen über die Struktur und die Funktionsweise der individuellen Persönlichkeit liefern können.[31] Als Taxonomie zur Kategorisierung der menschlichen Persönlichkeit wurden hier die fünf Persönlichkeitsmerkmale nach Costa und McCrae ausgewählt: (1) Neurotizismus, (2) Extraversion, (3) Offenheit für Erfahrung, (4) Verträglichkeit und (5) Gewissenhaftigkeit,[32] welche in Form eines standardisierten Tests erfragt werden können. Grundlage für diese Festlegung bildeten diverse Fachgespräche sowie eine entsprechende Literaturrecherche, welche in Abschnitt 4.3 dargestellt wird.
Der Anspruch der Betriebswirtschaftslehre, einen praxisrelevanten Erkenntnisfortschritt zu leisten, mündet in abschließenden Handlungsempfehlungen, welche im Rahmen eines iterativ verknüpften Forschungsprozesses hergeleitet werden soll und dessen Grundlage Detaillfragen bilden. Hierbei soll geklärt werden, welche Relevanz dem IT-Entscheider zur Gewährleistung der Informationssicherheit in der Organisation zukommt? Vielfältige Fachmeinungen stufen die Relevanz des Menschen, in der Organisation für die Gewährleistung der Informationssicherheit, als sehr hoch ein.[33] Unabhängig davon, sollte durch eine empirische Erhebung, zu Beginn der vorliegenden Arbeit, die Relevanz des Menschen zur Gewährleistung der Informationssicherheit verifiziert oder falsifiziert werden. Erste Identifikationspunkte können, im Rahmen einer empirischen Erhebung, Fragen zu den Gefahrenbereichen in der Organisation oder nach Problemen sein, welche die Fortentwicklung der Informationssicherheit besonders beeinträchtigen. Weitergehend könnte auch die Klärung der Ursachen, welche zu einem mangelnden Sicherheitsbewusstsein beim Mitarbeiter führt, relevante Ansatzpunkte liefern.
Eine weitere Detaillfrage sollte in der vorliegenden Arbeit klären inwieweit ein Zusammenhang zwischen den Persönlichkeitsmerkmalen eines IT-Verantwortlichen und seinen Entscheidungen respektive seiner Entwicklung im organisationalen Kontext, vorliegt. Im Rahmen dieser Frage soll festgestellt werden, ob Zusammenhänge zwischen den Persönlichkeitsmerkmalen und den Entscheidungen, die eine Person in der Organisation trifft, existieren. Das Fundament dieser Frage sollte eine empirische Erhebung darstellen. In dieser Erhebung sollen die erarbeiteten Fragen zur Informationssicherheit in Verbindung mit einem Modell zur Kategorisierung von Persönlichkeitsmerkmalen abgefragt werden. Das Antwortverhalten der Probanden sollte, je nach Ausprägung eines Persönlichkeitsmerkmals, analysiert werden. Neben einer tabellarischen Analyse, sollten eventuelle Zusammenhänge eindeutig durch Verfahren der induktiven Statistik nachgewiesen werden. Des weiteren sollten Wirkzusammenhänge für die unterschiedliche Persönlichkeitsausprägungen und jeweilige Dimensionen der Informationssicherheit aufgezeigt werden, wobei zu klären wäre welche Persönlichkeitsmerkmale einen starken und welche einen geringen Einfluss ausüben. Der Fokus der vorliegenden Arbeit richtet sich auf die Identifikation von linearen Zusammenhängen zwischen Persönlichkeitsmerkmalen und dem damit verbundenen Entscheidungsverhalten. Ziel dieser Frage ist es, die eindeutige Verifizierung oder Falsifikation von linearen Zusammenhängen zwischen unterschiedlich ausgeprägten Persönlichkeitsmerkmalen und Entscheidungen von IT-Mitarbeitern zu gewährleisten. Diese Wirkzusammenhänge sollten tabellarisch dargestellt werden, damit einen ersten Überblick über die Stärken und Schwächen unterschiedlich ausgeprägter Persönlichkeitsmerkmale aufzuzeigen. In dieser Übersicht sollte eine erste Einschätzung erfolgen, welche Merkmalsausprägungen besonders förderlich zur Erhöhung der Informationssicherheit sind und welche eventuell zu Schwachstellen führen können. Zudem sollte festgestellt werden, inwieweit sich lineare Zusammenhänge auf bestimmte Bereiche der Informationssicherheit, wie dem technischen oder organisatorischen, verorten lassen. Als Grundlage für die Identifikation linearer Zusammenhänge sollte eine empirische Erhebung vorgenommen werden.
Weitergehend hat der Autor versucht Vorhersagen, über Entscheidungen von IT-Mitarbeitern, mit unterschiedlichen Ausprägungen ihrer Persönlichkeitsmerkmale, treffen zu können. Zur Beantwortung dieser Frage ist es erforderlich, die herausgearbeiteten linearen Zusammenhänge aus den beiden vorherigen Detaillfragen näher zu analysieren. Ein linearer Zusammenhang stellt eine besondere Betonung einer Personengruppe mit einer bestimmten Merkmalsausprägung zu einer ausgewählten Fragestellung dar. Eine besondere Betonung einer bestimmten Fragestellung von dieser Personengruppe lässt die Herleitung von Vorhersagen auf deren zukünftiges Verhalten bei ähnlichen Fragestellungen zu. Dieses prognostizierte Verhalten sollte zur Sicherstellung der Aussagekraft nur auf signifikanten Korrelationen basieren. Aufbauend auf diese Frage sollte dann hergeleitet werden welche Handlungsempfehlungen aufgrund unterschiedlicher Ausprägungen der Persönlichkeitsmerkmale für IT-Entscheider hergeleitet werden können. Auf Grundlage des prognostizierten Verhaltens sollte für die Personengruppen, mit bspw. hohem Neurotizismus oder geringer Offenheit für Erfahrung, spezifische Handlungsempfehlungen gegeben werden können, um ein Höchstmaß an Informationssicherheit zu gewährleisten. Ziel dieser Frage sollte es sein, ein Raster zu entwickeln, welches für einen bestimmten Menschen nach Feststellung seiner Merkmalsausprägungen einen spezifischen Leitfaden bietet, der konkrete Handlungsempfehlungen aufführt, die bei erfolgreicher Einhaltung zu einer nachweisbaren Erhöhung der Informationssicherheit führen. Abschließend soll im Rahmen der Arbeit erforscht werden welche multivariaten Zusammenhänge sich aufzeigen lassen. Diese Frage steht in enger Anlehnung an die vorherige Frage und zielt darauf ab, die festgestellten linearen Zusammenhänge, anhand der erhobenen soziodemographischen Daten wie Führungsverantwortung oder Bildungsstand, näher zu analysieren. Untersucht werden könnte, ob bspw. ein IT-Entscheider mit geringer Gewissenhaftigkeit als Merkmalsausprägung sein Entscheidungsverhalten zusätzlich verändert, wenn er über einen geringen Bildungsstand verfügt oder in einer Firma mit einem hohen Umsatz beschäftigt ist. Im Rahmen einer multivariaten Analyse, sollte festgestellt werden, ob ein Proband mit bspw. geringer Offenheit für Erfahrung signifikante multivariate Zusammenhänge zu mehr als einer Fragestellung zur Soziodemographie oder zur Informationssicherheit aufweist. Die Feststellung multivariater Zusammenhänge kann Aufschluss darüber geben, ob bestimmte Merkmalsauprägungen im besonderen Umfang Einfluss auf die Informationssicherheit ausüben oder nicht. Aufgrund der breite dieser Frage könnte sie als Ausgangspunkt für weitere Forschungen dienen.
Abbildung 2 stellt die beschriebene Vorgehensweise der vorliegenden Arbeit dar:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2: Vorgehensweise der vorliegenden Arbeit
Quelle: Eigene Darstellung
1.3 Methodik und Aufbau der Arbeit
Der Schwerpunkt der vorliegenden Arbeit bildet die Untersuchung von Zusammenhängen zwischen menschlichen Persönlichkeitsmerkmalen und ihren Entscheidungen zu Aspekten der Informationssicherheit. Das zentrale Ergebnis richtet sich dabei auf die Herleitung von Handlungsempfehlungen für unterschiedliche Ausprägungen von Persönlichkeitsmerkmalen, welche zu einem Höchstmaß an Informationssicherheit führen. Dabei orientiert sich die vorliegende Arbeit, aufgrund des explorativen Charakters, an der Wissenschaftstheorie des modernen Empirismus, welche auf das Vermächtnis von Bacon[34] und Locke[35] zurückgeht. Als einer der Begründer der modernen Wissenschaft war Bacon begeistert vom menschlichen Geist und dessen Fehlleistungen und beschrieb das Bedürfnis unseres Geistes, in zufälligen Ereignissen Muster zu erkennen. Locke vertrat, gut 70 Jahre später in seinem Werk „Concerning Human Understanding“, die These, dass der menschliche Geist ein unbeschriebenes Blatt ist, das von den Erfahrungen beschrieben wird. Diese Grundgedanken gelten als die Wurzeln des modernen Empirismus[36], wonach das „…Wissen nur auf Sinneserfahrungen zurückgeht und wissenschaftlicher Fortschritt durch Beobachtung und Experiment erreicht wird.“[37] Empirismus basiert auf dem Induktionsschluss, welcher „…vom Besonderen zum Allgemeinen, vom Einzelnen zum Ganzen, vom Konkreten zum Abstrakten...“[38] hinleitet.[39] Der Deduktionsschluss verläuft in gegensätzlicher Richtung, indem man vom Ganzen auf das Einzelne, vom Abstrakten auf das Konkrete und vom Allgemeinen auf das Besondere schließt.[40] Die Deduktion basiert auf einem logisch stringenten Vorgehen, welches davon ausgeht, dass richtige Prämissen, bei korrekter Anwendung der Ableitungsregeln, zu einer Konklusion führen, welche zweifelsfrei als bewiesen gilt. Allerdings wird durch Deduktionsschlüsse kein neues Wissen erzeugt, sondern nur Redundantes,[41] wohingegen Induktionsschlüsse zu neuem und wahrheitserweiterndem Wissen führen; allerdings besteht gravierende Unsicherheit über die Richtigkeit des Ergebnisses.[42] Der vorhandene Stand der Forschung zeigte sich, wie in Abschnitt 1.1 dargestellt, als derartig rudimentär, dass die Bildung von Theorien als Ausgangspunkt verworfen wurde.
Methodisch entspricht die Vorgehensweise, im Rahmen dieser Arbeit, der Denkrichtung des wissenschaftlichen Realismus, wonach über ein induktives Vorgehen, durch die Verdichtung vieler Einzelbeobachtungen wissenschaftliche Gesetzmäßigkeiten und Theorien, erstellt werden.[43] Aufgrund des explorativen Charakters und der induktiven Vorgehensweise der Untersuchung, besitzen die in dieser Arbeit getroffen Aussagen und Handlungsempfehlungen lediglich eine vorläufige Gültigkeit, welche in weiteren wissenschaftlichen Forschungsarbeiten auf ihre Vergleichbarkeit, Generalisierbarkeit, Objektivität und Reproduzierbarkeit hin überprüft werden müssen.
Bezugnehmend auf die einleitende Problemstellung des Untersuchungsgegenstandes und der beschriebenen Zielsetzung, gliedert sich die vorliegende Arbeit neben Einleitung, kritischer Würdigung, Fazit und Ausblick in sechs Kapitel.
In Kapitel 2 erfolgt die inhaltliche Heranführung an das Thema Informationssicherheit. Abschnitt 2.1 stellt eine Zusammenschau zu den Grundlagen der Informationssicherheit dar. Hierbei erfolgt die Abgrenzung des Informationsbegriffs zu Daten und Wissen. Es wird ein Überblick darüber gegeben, wie sich das Informationssystem in die Organisation einbettet und zusätzlich werden die Grundwerte, Ziele und Prinzipien der Informationssicherheit definiert. In Abschnitt 2.2 wird die Informationsinfrastruktur einer Organisation dargestellt und die Relevanz der Sicherheit von Informationen für Funktionsfähigkeit der Infrastruktur veranschaulicht, wodurch das Erfordernis für die Aufzählung von Beweggründen zur Gewährleistung von Informationssicherheit deutlich wird. Zudem werden Merkmale für sichere Organisationen und kritische Infrastrukturen erarbeitet und ein Verständnis für den Schutz von kritischen Infrastrukturen vermittelt. Nachfolgend wird in Abschnitt 2.3 die Notwendigkeit dargestellt, Informationssicherheit als Querschnittsaufgabe des Informationsmanagements zu betrachten. Dabei wird aufgezeigt, weshalb Informationsmanagement als unternehmerische Führungsaufgabe zu betrachten ist und welche Ziele dem Informationsmanagement zu Grunde liegen sollten, damit das Thema Informationssicherheit als wichtige Querschnittsaufgabe begriffen wird. Abschnitt 2.4 widmet sich den Beteiligten in der Organisation und beschreibt, im Rahmen einer ersten Strukturierung, grundlegende Menschenbilder zur normativ-ethischen Einordnung von Mitarbeitern im organisationalen Kontext. In den folgenden Unterabschnitten werden die Rollen, Aufgaben, Verantwortlichkeiten und Erfolgsfaktoren von Mitarbeitern aufgeführt.
Im Rahmen von Kapitel 3 wird der thematische Aspekt der Informationssicherheit, in einem zweckmäßigen theoretischen Bezugsrahmen, inhaltlich erarbeitet. Hierbei zielt die umfangreiche inhaltliche Erarbeitung des Begriffs Informationssicherheit darauf ab, das Thema umfassend zu ergründen und final relevante Fragestellungen für die empirische Erhebung in Kapitel 5 bereitzustellen. Thematische Schwerpunkte zur inhaltlichen Ergründung der Querschnittsaufgabe Informationssicherheit richten sich auf die technische, rechtliche, organisatorische und wirtschaftliche Dimension. In Abschnitt 3.1 werden die technischen Aspekte der Informationssicherheit erarbeitet. Maßnahmen zur Gewährleistung von Verlässlichkeit und Beherrschbarkeit, die Sicherheitsbausteine wie Firewall-, Antivirus-, Kryptographische oder auch Berechtigungssysteme beinhalten, werden erläutert. Abschnitt 3.2 beschreibt die rechtlichen Aspekte der Informationssicherheit wie Regelungen des Bundesdatenschutzgesetzes oder des Telemediengesetzes. Darauf folgend werden, in Abschnitt 3.3, organisatorische Aspekte der Informationssicherheit aufgeführt. Hierbei wird ein kurzer Einblick in die Grundlagen der Organisation gegeben, wie sich der IT-Bereich in die Organisation eingliedert und welche Relevanz eine Sicherheitsstrategie in der Organisation einnimmt. Sodann werden gegenwärtige Regelungen zum Sicherheitsmanagement, wie das IT-Grundschutzhandbuch, die ISO 27001 oder ITIL, beschrieben. In Abschnitt 3.4 werden wirtschaftliche Aspekte der Informationssicherheit erarbeitet. Hierbei wird betrachtet, welche Bedeutung die Information als Erfolgsfaktor für eine Organisation inne hat. Wirtschaftlichkeitsbetrachtungen des Autors beschreiben inhaltlich die Adäquanz zwischen Restrisiko und Investment, die Methode des „Total Cost of Ownership“ und „Return of Security Investment“. Zum Ende jedes Unterabschnitts wurden Items zur jeweiligen Dimension aus den inhaltlichen Darstellungen operationalisiert.
Hiernach wird in Kapitel 4 auf den Menschen als zentralen Faktor zur Gewährleistung von Informationssicherheit eingegangen und nach einem Modell zur Beschreibung der menschlichen Persönlichkeit recherchiert. In Abschnitt 4.1 erfolgt die Einordnung der Begriffe Kommunikation und Interaktion. Anschließend folgt die Darstellung einer Kommunikationsbeziehung in interpersonalen Beziehungsnetzwerken sowie die Beschreibung des Phänomens Führung, welches, über die Basiswerte Leistung und Zufriedenheit, eine Interaktionsbeziehung steuern kann. Nachfolgend wird in Abschnitt 4.2 die Person und Persönlichkeit als Forschungsgegenstand, insbesondere der Psychologie, inhaltlich ergründet und beschrieben. Sodann erfolgt in Abschnitt 4.3 die inhaltliche Darstellung des Fünf-Faktoren-Modells als Theorie zur Beschreibung der menschlichen Persönlichkeit. In dem Zusammenhang gibt der Autor einen Überblick über die gängigen Theorien zur Kategorisierung der Persönlichkeit, hinterfragt die jeweiligen Vor- und Nachteile der spezifischen Theorie in Abschnitt 4.3.1. und legt sich auf den Trait-Ansatz zur Beschreibung des Menschen fest. Die historische, lexikalische und faktorenanalytische Entwicklung des Fünf-Faktoren-Modells wird in Abschnitt 4.3.2 inhaltlich erörtert. In Unterabschnitt 4.3.3 erfolgt die Ermittlung eines Messinstruments zur Feststellung der Persönlichkeit, welches eine hohe Validität, Reliabilität und Objektivität aufweist sowie im Rahmen einer Onlinebefragung als standardisiertes Messinstrument genutzt werden kann.
Im Anschluss wird in Kapitel 5, auf Basis der erstellten Items zum Forschungsgegenstand der Informationssicherheit sowie der Festlegung des Messinstruments zur Beschreibung Persönlichkeit, die empirische Untersuchung methodisch konzipiert und durchgeführt. In Abschnitt 5.1 erfolgen hierzu theoretische Vorüberlegungen, welche Methoden der Wirtschaftsinformatik im Rahmen der Erhebung angewandt werden sollen. Nach der Bestimmung von Standards und Gütekriterien wird die Methodik für die empirische Erhebung festgelegt. Dementsprechend wird in Abschnitt 5.2 die Auswahl der Untersuchungsobjekte für die Erhebung vorgenommen und der Aufbau beschrieben. Hiernach erfolgt in Abschnitt 5.3 die Konstruktion der Items für die Fragen zur Informationssicherheit und zu den soziodemographischen Daten. Demgemäß folgen in Abschnitt 5.4 die Erläuterung der Entwicklung des Fragebogens und die Implementation als Online-Befragung. Abgeschlossen wird das Kapitel mit der Gestaltung des Anschreibens in Abschnitt 5.5, dem Pretest in Abschnitt 5.6 sowie der Durchführung der Befragung und dem damit verbundenen Rücklauf.
Sodann wird in Kapitel 6 eine Revision der erhobenen Daten sowie die deskriptive Darstellung der direkten Ergebnisse zu Fragen der Informationssicherheit durch Diagramme vorgenommen. Im Rahmen von Abschnitt 6.1 erfolgt die Revision der erhobenen Daten, wodurch die Gütekriterien Objektivität, Validität, Reliabilität und Generalisierbarkeit verifiziert oder falsifiziert werden sollen. Bezüglich der Fragen zur Persönlichkeit (NEO-FFI) werden bspw. die Mittelwerte der erhobenen Daten mit denen der Normstichprobe abgeglichen und Abweichungen identifiziert. In den Abschnitten 6.2, 6.3 und 6.4 werden die erhobenen Daten zur Soziodemographie, den Persönlichkeitsmerkmalen und zu Fragen der Informationssicherheit deskriptiv dargestellt.
In Kapitel 7 wurde das Ziel verfolgt, anhand der erhobenen Daten lineare Zusammenhänge zwischen den Fragen zur Informationssicherheit und den unterschiedlichen Ausprägungen der menschlichen Persönlichkeitsmerkmale zu identifizieren. Im Rahmen des Abschnitts 7.1 wird dargestellt, zu welchen unterschiedlichen Aussagen die gleichen Daten, zum einen bei einer tabellarischen Analyse und zum anderen bei der Analyse mit Methoden der induktiven Statistik, führen können. In dem Zusammenhang entschied sich der Autor, für Ergebnisse dieser Arbeit nur signifikante Korrelationen zu betrachten. In Abschnitt 7.2. werden Ergebnisse, in Form von linearen Zusammenhängen zwischen Fragen zur Informationssicherheit und den unterschiedlichen Ausprägungen der Persönlichkeitsmerkmale, strukturiert nach den vier Dimensionen der Informationssicherheit, dargestellt. Aus den erarbeiteten Ergebnissen werden in Abschnitt 7.3 Handlungsempfehlungen konkludiert und nach den unterschiedlichen Ausprägungen der Persönlichkeitsmerkmale strukturiert. Somit enthält Abschnitt 7.3.7 beispielsweise für die Personengruppe mit geringer Verträglichkeit konkrete Handlungsempfehlungen, welche bei Einhaltung zur Erhöhung der Informationssicherheit beitragen. Abschnitt 7.4 zeigt eine Zusammenschau der erarbeiteten Handlungsempfehlungen, strukturiert nach der jeweiligen Ausprägung des Persönlichkeitsmerkmals. Nachfolgend wird in Abschnitt 7.5 durch einen kurzen Leitfaden versucht, die Nutzbarkeit der Ergebnisse für Praktiker zu erhöhen. Abschließend erfolgt in Kapitel 8 die kritische Würdigung, in Kapitel 9 das Fazit und Kapitel 10 gibt einen Ausblick zur vorliegenden Arbeit. Die nachfolgende Abbildung zeigt den inhaltlichen und methodischen Aufbau der Arbeit:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 3: Aufbau der vorliegenden Arbeit
Quelle: Eigene Darstellung
„Inmitten der Schwierigkeiten liegt die Möglichkeit.“
(Albert Einstein)
2 Informationssicherheit als Querschnittsfunktion in Organisationen
2.1 Grundlagen von Informationssicherheit
2.1.1 Der Informationsbegriff in Abgrenzung zu Daten und Wissen
Der Informationsbegriff[44] ist einer der Schlüsselbegriffe im Bereich der Wirtschaftsinformatik, besitzt aber auch Bedeutung in der Betriebswirtschaftslehre und in der Informatik. Da der Begriff häufig intuitiver Benutzung unterliegt, ist es sinnvoll, ihn von solchen Begriffen wie denen des Wissens und der bloßen Daten zunächst abzugrenzen. Die Definitionsansätze, die die Fachliteratur in diesem Bereich aufführt, weisen keine Einheitlichkeit auf.[45]
Der Begriff der Information lässt sich, nach Heinrich, für die Wirtschaftsinformatik definieren als „…handlungsbestimmendes Wissen über historische, gegenwärtige und zukünftige Zustände der Wirklichkeit und Vorgänge in der Wirklichkeit, mit anderen Worten: Information ist Reduktion von Ungewissheit.“[46] Grundsätzlich lässt sich der Begriff der Information einerseits aus den etymologischen Bereichen der Spracherklärung, andererseits aus den nachrichtentechnischen Interpretationen,[47] auf semiotischer Basis und schließlich auf der Basis der so genannten Pragmatik ableiten und definieren. Der etymologische Ursprung des Begriffes Information ist auf das lateinische Nomen „informatio“ zurückführbar, das seinerseits von dem Verb „informo“ ableitbar ist. In diesem Zusammenhang bedeutet „formo“: „Ich forme“ oder „Ich gestalte“.[48] Die nachrichtentechnische Interpretation, die sich aus dem Begriff der Information ableitete, entstand in den 40er-Jahren des vorigen Jahrhunderts im Rahmen der Entwicklung von der Thermodynamik.[49] In dem Zusammenhang wurde der Begriff im Rahmen eines Modells für die Nachrichtenübermittlung genutzt, dem das Schema von Sender und Empfänger sowie der Nachrichtenübertragung zwischen diesen beiden Bereichen zugrunde lag und liegt.[50]
Dem Sender-Empfänger-Modell der Kommunikation liegt das Prinzip der Signalübertragung zugrunde, das heißt der Informationsbegriff der Nachrichtentechnik arbeitet mit quantitativen Informationselementen, bei denen sich der Informationsgehalt in den Zeichen, mit denen die Nachrichten codiert sind, konzentriert.[51] Hierbei reduziert die Nachrichtentechnik den Informationsbegriff hauptsächlich auf statistische Dimensionen, so dass dieser sich besonders für technikbezogene Forschungssektoren der Wirtschaftsinformatik verwenden lässt.[52] Der semiotische Definitionsansatz entstammt der sprachwissenschaftlichen Analyse.[53] Im Rahmen der Semiotik lassen sich die Bereiche der Syntaktik, der Semantik und der Pragmatik voneinander als unterschiedliche interpretatorische Bereiche trennen.[54]
Die Syntaktik ist eine Strukturlehre der Sprache, die sich mit der Relation zwischen den unterschiedlichen Zeichen in sprachlichen Strukturen beschäftigt. Die Abgeschlossenheit bestimmter Zeichenmengen steht hierbei im Vordergrund.[55] Konventionen, mit denen die Sprache diese Zeichen kombiniert bzw. die formalen Regeln solcher Zeichen, gestalten die Relation der Zeichen untereinander.[56] Die Syntaktik ordnet diese sprachlichen Zeichen zugleich zu einer sinnvoll rezipierbaren Abfolge von Signalen, die sich als Daten bezeichnen lassen.[57]
Abbildung 4 zeigt anschaulich das Zusammenspiel zwischen Zeichenvorrat, Syntaktik, Semantik und Pragmatik, wobei der Grad des Verstehens zwischen Sender und Empfänger Ausgangspunkt für die Entstehung neues Wissen ist:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 4: Abgrenzung des Wissensbegriffes
Quelle: Eigene Darstellung in Anlehnung an Krcmar (2003), S. 17, Voß/Gutenschwager (2001), S. 29, Kemper/Janke (2002), S. 3, North (2005), S. 32, Heinrich/Heinzl/Roithmayr (2004), S. 589.
Die syntaktischen Strukturen solcher Signalanordnungen lassen sich, da sie an ein technisches Trägermedium fixiert sind, maschinell-mechanisch auswerten und lesen.[58] In solcher Form sind sie für die Computerverarbeitung zugänglich.[59]
Die Ebene der Semantik liegt hierarchisch über der der Syntaktik, wobei die Semantik die Ordnung einzelner Sprachelemente zu Satzstrukturen übernimmt, also sie zu semantischen Strukturen verbindet.[60] Demgemäß bildet, im Kontext von Kommunikationsvorgängen, die Semantik die Ebene, auf der zwischen dem oben erwähnten nachrichtentechnischen Modell, dem Sender und Empfänger eine sprachliche Verständnisebene erzeugt wird.[61] Soll zwischen Sender und Empfänger eine Kommunikation auf der intersubjektiven Ebene stattfinden, so wird für die Bedeutung der Semantik ein gemeinsamer Sinnzusammenhang vorausgesetzt, der aus der gemeinschaftlichen Sprache beider Einheiten besteht.[62]
Demgegenüber lässt sich die Zeichenerkennung auf der syntaktischen Ebene durchführen, ohne dass menschliches Bewusstsein im Sinne von Kommunikationsverständnis vorhanden sein muss. Dieser Vorgang ist rein maschinell realisierbar.[63]
Der Bereich der Pragmatik untersucht u. a., in welcher Form der Empfänger die Datenübermittlung rezipiert und welche möglichen Effekte entsprechende Nachrichten bei ihm zeitigen. Im Zentrum steht hier der Aspekt der Verwendbarkeit von Nachrichten.[64]
Die Pragmatik beschäftigt sich folglich mit den Effekten, die die Information der Nachricht auf den Empfänger ausübt. Dies betrifft zum Beispiel die Wirkung, die eine bestimmte Form des Neuigkeitsgrades impliziert.[65] Die Reaktionen des Empfängers von Nachrichten sind, wie die Pragmatik darstellt, abhängig von der Situation und dem Kontext, in dem sie auf den Empfänger treffen. Die Verwendungszusammenhänge können demgemäß in den Bereichen der Wirtschaftsinformatik und der Betriebswirtschaftlehre deutlich verschieden ausfallen. Die Handlungen, die aus den jeweiligen Informationszusammenhängen in den unterschiedlichen Wissenschaftsbereichen resultieren, sind ihrer Natur entsprechend auf unterschiedliche Zielvorstellungen ausgerichtet.
Mit dem aus den beiden Ebenen kombinierten Wissen[66] lässt sich die Summe von Fähigkeiten und Kenntnissen bezeichnen, welche von Subjekten zur Problemlösung eingesetzt werden.[67]
Die Information, die sich aus den Ebenen der Syntaktik und Semantik zusammensetzt, gibt theoretisch eine Trennschärfe vor, die in der Praxis respektive Realität nicht existieren muss.[68] Die theoretischen Grenzen zwischen diesen Bereichen sind von fließenden Übergängen gekennzeichnet.[69] Partiell spiegelt sich diese Unschärfe in den Begriffsveränderungen der Wissenschaftsbereiche, die von „Datenverarbeitung“ über „Informationsverarbeitung“ bis zum aktuell vorherrschenden Begriff der „Wissensverarbeitung“ reicht.[70]
Zudem ist der Informationsbegriff auf den der Kommunikation bezogen. Es lassen sich unterschiedliche Kommunikationsformen wie Mensch-zu-Mensch sowie Maschine-Mensch anführen, denen gemein ist, dass Kommunikation grundsätzlich dem Nachrichtenaustausch dient, der wiederum auf der Absicht beruht, Informationen weiter zu vermitteln.[71] Zur Charakterisierung lässt sich erneut das oben dargestellte nachrichtentechnische Modell der Übermittlung von Informationen von einem Sender zu einem Empfänger anführen. Sowohl die Mensch-zu-Mensch- als auch die Mensch-Maschine-Kommunikation beruhen auf gleichartigen Vereinbarungen und Regeln zur Nachrichtenübermittlung.[72]
Betrachtet man den Begriff des Wissens unter verwendungstechnischen Aspekten, so lassen sich zwei grundsätzliche Ebenen, nämlich die des individuellen Wissens und die des organisatorischen Wissens, mit je weiteren Untergliederungen unterscheiden.[73]
Das individuelle Wissen untergliedert sich weiter in implizites und explizites Wissen, wobei sich impliziertes technisches Wissen und impliziertes kognitives Wissen voneinander unterscheiden.[74] Die Ebene des implizierten technischen Wissens untergliedert sich in prozeduales Wissen, das implizierte kognitive Wissen wiederum untergliedert sich in mentale Modelle und Schemata. Des Weiteren unterteilt sich das explizite Wissen weiter in deklaratives Wissen, statistisches Wissen sowie kausales Wissen.[75]
Abbildung 5 zeigt unterschiedliche Arten von Wissen:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 5: Wissensarten
Quelle: In Anlehnung an Haun (2002), S. 101.
Die zweite oben angesprochene Ebene, die des organisationalen Wissens, untergliedert sich auf der implizierten Ebene in impliziertes technisches Wissen und impliziertes kognitives Wissen. Von der impliziten technischen Wissensebene ist die des prozedualen Wissens, also des Erfahrungswissens, ableitbar. Aus der implizierten kognitiven Wissensebene ergeben sich mentale Modelle und Schemata des Wissens.[76] Diese Wissensbegriffe sind im Vergleich zu den oben beschriebenen zeichentheoretischen Ebenen mehr auf der soziologisch-sozialen Ebene verortet, demnach auf die Wissensverwendbarkeit bezogen.[77]
2.1.2 Sicherheitsbegriff und Sicherheitsaspekte
Der Sicherheitsbegriff, der sich in Bezug auf computergestützte Informationssysteme entwickeln lässt, kann auf vier unterschiedliche Ebenen bezogen werden:
1. Auf den Anwendungsprozess, also auf den Aufgabenbereich des Systems, auf die
2. Kontext-Interpretation durch den Nutzer, also auf den Humanzusammenhang, auf die
3. technische Infrastruktur des Systems, also auf die gesamttechnischen Zusammenhänge sowie
4. auf die Datenübertragungssystematik und ihre physikalischen Medien.
Die Software, in diesem Fall das Betriebssystem und bestimmte Anwendungsprogramme, bildet die logische Ebene, auf der sich Sicherheitsprobleme abspielen. Mit der Humannutzung fügt der Mensch sich selbst als Sicherheitsproblem in die computergestützte Informationssystematik ein. Hiermit wird die Sicherheitsproblematik erweitert und bezieht sich durch Einbindung des Menschen auf die Problematik einer nicht autorisierten Informationskenntnisnahme oder -veränderung im System.[78]
Abbildung 6 zeigt anschaulich, dass bei der Gewährleistung von Sicherheit die organisatorische, personelle, logische und physikalische Ebene betrachtet werden sollten und auf welche Gestaltungsdimensionen diese Einfluss nehmen:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 6: Herleitung eines ganzheitlichen Sicherheitsbegriffes
Quelle: In Anlehnung an Lange (2005), S. 39, Müller/Stapf (1999), S. 45-53, Petzel (1996), S. 172-185.
Des Weiteren sind, im Kontext der Sicherheitsproblematik computergestützte Systeme, die Begriffe (1) Sicherheit im Allgemeinen, (2) Verlässlichkeit, die (3) Systembeherrschbarkeit sowie die (4) Ordnungsmäßigkeit zu diskutieren. Der Sicherheitsbegriff im Allgemeinen bezieht sich auf die rechtlich-organisatorischen Aspekte der Systemsicherheit. Der Begriff der Verlässlichkeit hingegen beschreibt das verlässliche Funktionieren des Systems.[79] Die Begriffe Beherrschbarkeit und Ordnungsmäßigkeit des Systems bedeuten wiederum, dass das System erstens gegen unzulässige Manipulationen immunisiert ist und zweitens, dass vorgegebene Erfordernisse des Funktionierens erfüllt werden.[80]
Abbildung 7 gibt einen Ausblick auf die voraussichtliche Entdeckungszeit bei der Verletzung eines Sicherheitsziels:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 7: Voraussichtliche Entdeckungszeit bei Verletzung eines Sicherheitsziels
Quelle: In Anlehnung an Kersten (1995), S. 78.
Spezifische Sicherheitsziele der allgemeinen Sicherheitsproblematik, die im Rahmen computergestützter Systeme oben diskutiert werden, lassen sich für die besprochenen Systeme unterscheiden. Die zentralen Begriffe sind demnach die Verfügbarkeit des Informationssystems (1), die Integrität des Systems (2), die Vertraulichkeit des Systems (3), die Verbindlichkeit des Systems (4) sowie die Anonymität des Systems (5).
(1) Der Verfügbarkeitsbegriff des Systems beschreibt die Gewährleistungsfähigkeit des Computers hinsichtlich der vom Nutzer jeweils geforderten Anwendungsebenen.
(2) Der Begriff der Integrität des Systems impliziert, dass keine unbemerkten Manipulationen die Funktionsfähigkeit und damit zugleich die Sicherheit des Systems beeinträchtigen können.[81]
(3) Der Vertraulichkeitsbegriff schließt ein, dass unbefugter Zugriff auf die Datensystematik nicht möglich sein soll.[82]
(4) Der Verbindlichkeitsbegriff besagt, dass die auf dem System kursierenden Daten bestimmten Verantwortlichkeitsinstanzen konkret und präzise zugerechnet werden können.[83] Hierzu gehört die Authentifizierbarkeit der Daten sowie die Identifizierbarkeit der Programme und Nutzer in bestimmten Zusammenhängen.[84]
(5) Der Begriff der Anonymität beinhaltet, dass die Nutzeridentität des Users dennoch unter Datenschutz steht.[85]
Die Begriffe der Risikoproblematik zur Sicherheit in computergestützten Informationssystemen lassen sich auf unterschiedlichen Ebenen diskutieren. So unterscheidet man zwischen einem vorsätzlichen Angriff und einem Zufall, die beide, ihrem Wesen nach, Risiken für die Sicherheit des Systems bedeuten. In diesem Rahmen sind Eintrittswahrscheinlichkeiten und Schadenspotenziale zu diskutieren. Gefahren, die wirksam werden können, setzen voraus, dass Schwachstellen bzw. Sicherheitslücken in dem System vorliegen.[86]
Abbildung 8 zeigt, in einem Kausalmodell, wie eine Gefahr auf eine Schwachstelle wirkt und sich durch Einbezug von Eintrittswahrscheinlichkeit und Schadenspotenzial ein Risiko ergibt:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 8: Kausalmodell zur Sicherheit von Informationssystemen
Quelle: In Anlehnung an Eckert (2004), S. 6-21, Lange (2005), S. 46.
Ein auf ähnlicher Ebene zu diskutierender Begriff ist der der Bedrohung, der analog zu dem der Gefährdung ist, denn Bedrohung setzt sich aus möglicher Gefahr und real vorhandenen Systemschwachstellen zusammen.[87] Sicherheitsproblematik, im Rahmen von Bedrohungen und Gefährdungen, diskutiert und analysiert die Begriffe auf zwei übergeordneten Ebenen: Einerseits auf der Ebene nicht beabsichtigt aufgetretener Bedrohungen, so betitelte Störungen, andererseits auf der Ebene von Bedrohungen, die mit Vorsatz ausgeführt werden und sich folglich als Angriffe identifizieren lassen.
Betrachtet man den ersten Begriff, nicht beabsichtigt aufgetretener Bedrohungen bzw. Störungen, so lässt sich des Weiteren zwischen höherer Gewalt und Fahrlässigkeit unterscheiden. Zu Störungen durch höhere Gewalt können technische Defekte und Katastrophen gezählt werden. Zur Fahrlässigkeit gehört das Versagen von menschlicher Seite oder ein ungenügendes Design des Systems. Vorsätzlich auftretende Bedrohungen bzw. Angriffe können aktiv oder passiv verlaufen, wobei aktiv die mögliche absichtliche Zerstörung der Hardware zum Ziel hat, während passive Aktionen Spionageangriffe sein können, die bspw. aus Abhöraktionen bestehen.[88]
Tabelle 1 zeigt anschaulich das Spektrum möglicher Bedrohungen, dessen Ursachen in Fahrlässigkeit, höherer Gewalt, aktiven Angriffen oder passiven Angriffen liegen können:
Abbildung in dieser Leseprobe nicht enthalten
Tabelle 1: Bedrohungsarten bezüglich der Sicherheit von Informationssystemen
Quelle: In Anlehnung an bspw. Eckert (2004), S. 14, Lange (2005), S. 48, Pohlmann/Blumberg (2004), S. 44-62.
Über die oben dargestellten Sicherheitsbegriffe hinaus, lassen sich in Bezug auf Systemsicherheit zudem die PC-Sicherheit, Datensicherheit, Betriebssystemsicherheit, Anwendungssicherheit, Kommunikationssicherheit, Netzwerksicherheit, Internetsicherheit, Transaktionssicherheit sowie die Datenbanksicherheit aufführen.[89]
Eine Gesamtdefinition für die Bezeichnung des Sicherheitssystems lässt sich mit Heinrich als ein „System, dessen Zielsetzung die Sicherheit der Informationsverarbeitung ist“ betrachten.[90] Vor dem Hintergrund soll im folgenden Abschnitt ein Blick auf die Grundwerte und Prinzipien der Informationssicherheit geworfen werden, welche das Fundament für umfassende Informationssicherheit bilden.
2.1.3 Grundwerte und Prinzipien der Informationssicherheit
Die Problematik der Grundwerte und Informationssicherheitsprinzipien wird auf der generellen Ebene als Schutz vor Gefahr zusammengefasst.[91] Das englische Begriffspaar Safety und Security erlaubt eine deutlichere Differenzierung als das deutsche Wort Sicherheit.[92] Safety impliziert in diesem Fall Geschütztheit vor nicht beabsichtigten Bedrohungen, Security hingegen beinhaltet die Geschütztheit vor mit Absicht ausgeführten Attacken. Grundlegende Ziele des Systems bilden die oben bereits angesprochenen Kriterien der Zurechenbarkeit, Revisionsfähigkeit, Verfügbarkeit, Integrität und Vertraulichkeit.[93]
Im Rahmen weiterer Untersuchungen lassen sich die Begriffe der Vertraulichkeit, Integrität und Verfügbarkeit der semantischen Dimension der Verlässlichkeit und die Begriffe der Zurechenbarkeit und Revisionsfähigkeit den der semantischen Dimension der Beherrschbarkeit zurechnen.
Abbildung 9 erklärt Ordnungsmäßigkeit; nur bei Beachtung der semantischen Dimensionen Verlässlichkeit und Beherrschbarkeit:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 9: Perspektiven der Sicherheit von Informationssystemen
Quelle: In Anlehnung an Dierstein (2004), S. 347ff, Lange (2005), S. 41.
Eine differenzierte Betrachtung des Begriffs Verlässlichkeit (dependability) bedeutet, dass keine unzulässige Beeinträchtigung der Funktionsfähigkeit des Systems hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit bestehen darf. Die Gewährleistung der Verlässlichkeit führt zu einer Sicherheit des Systems.[94]
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 10: Verlässlichkeit eines Informationssystems
Quelle: Eigene Darstellung in Anlehnung an Dierstein (2004), S. 347.
Der Begriff der Vertraulichkeit (confidentiality) bezieht sich auf die technischen Implikationen des Sicherheitssystems des Computers. Er bedeutet, dass nur User mit entsprechender Autorisierung das System und seine Informationen benutzen können. Der nicht autorisierte Zugriff auf private Informationen ist nicht möglich.[95] Die Vertraulichkeit lässt sich beispielsweise durch Verschlüsselung der Informationen mithilfe der Kryptographie herstellen.[96] Die Integrität (integrity) ergibt sich aus der Konsistenz der Daten, aus ihrer Aktualität, ihrer Vollständigkeit und ihrer Korrektheit.[97] Zugleich lassen sich diese Daten nicht verändern bzw. manipulieren. Der Begriff der Verfügbarkeit (availability) impliziert, dass die im System vorhandenen Daten und Informationen den zugangsberechtigten Teilnehmer jederzeit in vollem Umfang zur Verfügung stehen und nutzbar zu machen sind.[98] Nicht funktionsfähige Hardware wäre ein Vorfall, der die Verfügbarkeit des Systems in den Bereich des Mangels rückt.
Die Beherrschbarkeit des Systems bedeutet, wie oben bereits angesprochen, dass das System redigierbar ist, dass eine entsprechende Nachweisbarkeit für dritte Parteien, etwa des Rechtsverkehrs, existiert.[99] Beherrschbarkeit impliziert gleichermaßen die Zurechenbarkeit von Aktions- und Informationsebenen zu einem bestimmten Teilnehmer.[100] Zudem führt die Gewährleistung der Beherrschbarkeit zur Sicherheit vor dem Systems.[101]
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 11: Beherrschbarkeit eines Informationssystems
Quelle: Eigene Darstellung in Anlehnung an Dierstein (2004), S. 348.
Beherrschbarkeit bedeutet, dass organisatorische, personelle und juristische Bereiche des Systems sich berechenbar verhalten.[102]
Die Begriffe der Beherrschbarkeit, Zurechenbarkeit, Verbindlichkeit und Authentizität beziehen sich eher auf die Sicherheit nicht-technischer Bereiche des Systems. In diesem Sinne bedeutet Zurechenbarkeit (accountability), dass das Verursacherprinzip von Daten- bzw. Systemaktionen funktioniert.[103] Verbindlichkeit (liability) ist auf Authentizität, d. h. auf die Zurechenbarkeit, sowie Verbindlichkeit der Daten bezogen.[104] Authentizität (authenticity) garantiert die Echtheit, d. h. die Zurechenbarkeit der Datenflüsse zu einem im Hintergrund befindlichen Rechtssubjekt auf sicherer Basis.[105]
Die Sicherheit computergestützter Informationsströme lässt sich, in diesem Zusammenhang, als ein Element der IT-Governance[106] betrachten. Die Schutzwürdigkeit von Daten, d. h. die Vermeidung von Risikosituationen, in denen diese Daten verloren gehen könnten, ist von Bedeutung, da ihr Fortbestehen den Fortbestand betriebswirtschaftlicher Organisationen garantiert. Andererseits muss jedes Unternehmen selbst auf betriebswirtschaftlicher Ebene Datensicherheit leisten. Insbesondere für diesen Bereich gelten die Kategorien der Verlässlichkeit und Beherrschbarkeit.[107] Abbildung 12 zeigt ein Informations- und Kommunikationssystem das aus Hardware und Netzen, Software, Organisation und Mitarbeitern besteht, welches von den beiden Sichten Beherrschbarkeit und Verlässlichkeit der Informationssicherheit umrahmt wird und als Dach umfassende Sicherheit bieten soll:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 12: Säulen und Grundwerte eines Informations- und Kommunikationssystems
Quelle: Eigene Darstellung
Die oben diskutierten Begriffe beziehen sich in ihrer Gesamtheit auf die Rechtsverbindlichkeit, die den rechtssozialen Hintergrund der Gültigkeit dieser Daten gewährleistet.[108] Die Sicherheit von IT-Vorgängen ist prozessual aufzufassen. Sie muss permanent an eine sich wandelnde Umwelt angepasst werden.[109] Die technische Verfügbarkeit der Information ist hierfür nur partiell ausreichend. Das Governance-Institut stellt hierbei fest, dass die IT-Governance, unter betriebswirtschaftlichen Aspekten, dem Vorstand und dem Management des Unternehmens obliegt.[110] Die Verantwortung für die Sicherheit der Informationsflüsse ist, in diesem Sinne, dem Management eines Unternehmens wie deren Mitarbeitern zuzuordnen und kann als bedeutende Komponente der Informationsinfrastruktur bezeichnet werden, welche nachfolgend zur Gewährleistung der Informationssicherheit besprochen wird.
2.2 Informationssicherheit als bedeutende Komponente der Informationsinfrastruktur
2.2.1 Beweggründe für Informationssicherheit
Da im Rahmen betriebswirtschaftlicher Prozesse die Informationstechnologie, das Internet und die entsprechenden elektronischen Arbeitsprozesse einen immer größeren und bedeutenderen Raum einnehmen, stellt sich zunehmend auch das Problem der Informationssicherheit. Die Informationsinfrastruktur größerer Organisationen, Institutionen sowie Unternehmen ist im zunehmenden Maße auf eine funktionierende Informationssicherheit angewiesen, die im Rahmen einer umfassenden Informationskultur aufrecht erhalten werden muss.[111] Beim Fehlen einer Informationssicherheitsstruktur können Schäden durch fehlerhafte Funktionserfüllung oder Systemausfälle, Forderungen nach Schadensersatz durch dritte Parteien nach sich ziehen, die zu beträchtlichen Kosten für das betreffende Unternehmen führen können. Solche Sicherheitsausfälle erstrecken sich gegebenenfalls nicht nur auf das unmittelbar betroffene Unternehmen, sondern auch auf andere beteiligte Geschäftskunden und können in der Öffentlichkeit ein negatives Image erzeugen sowie die Existenz von Unternehmen bedrohen.[112]
Da sich der Mensch und seine möglichen Fehlleistungen als Zentrum des Sicherheitsproblems erweisen, ist bei Mitarbeitern im betriebswirtschaftlichen Bereich besonderer Wert auf die Beachtung einer Sicherheitskultur und ihrer Begrifflichkeiten zu legen. Sicherheitskultur muss ein Element positiver Unternehmenskultur werden. Sie muss den Mitarbeitern über die bloße technische Unterrichtung und den organisatorischen Bereich hinaus, in ihr Handeln, Denken und Fühlen übergehen. Die informationelle Sektion eines Unternehmens beruht in diesem Sinne nicht nur auf den primärtechnischen Bedienungsfähigkeiten des Personals, hinsichtlich der elektronischen Bereiche, sondern ist unter ethischen Blickwinkeln und unter sozialen und kulturellen Aspekten ebenfalls zu betrachten. Mitarbeiter in betriebswirtschaftlichen Bereichen sollten entsprechend ihrer Unternehmenskultur, die Informationssicherheit, gemeint ist die Minimierung entsprechender Risiken, als selbstverständlichen Blickwinkel ihrer täglichen Aktivitäten betrachten.[113]
Da die Ethik IT-bezogener Betriebssicherheit nicht vorrangig zu den Selbstverständlichkeiten einer Unternehmenskultur gehört, liegt es nahe, dass sich die Unternehmen mit der Einführung eines Risiko-Managements beschäftigen, welches die Gefahren für ihre Informationssicherheit mit den oben dargestellten möglichen Folgen möglichst reduziert.[114] Der Risikobegriff hängt hinsichtlich seiner Definitionsformen von den Zielstellungen der unterschiedlichen Wissenschaftsbereiche ab, die ihn jeweils Interesse geleitet verwenden. Betriebswirtschaftlich gesehen lässt sich die Risikodefinition als effektbezogene Beeinträchtigung oder Bedrohung eines zielorientiert arbeitenden Systems betrachten.[115] Ein betriebswirtschaftliches Risikomanagement, das die unterschiedlichen Informationsebenen mit dem nötigen Sicherheitsmanagement ausstattet, lässt sich über verschiedene Ebenen interdependent kombinieren.
Den Rahmenkontext des Risikomanagements bilden entsprechend kommunikative Ebenen, die einerseits Kontrolle der Informationssicherheit und andererseits ein Reporting beinhalten, das mit den Überwachungsfunktionen des Systems übereinstimmt. Auf der obersten Ebene dieses Gesamtsystems existiert eine Analyse, die Risiken identifiziert, evaluiert und sie auf die Ebene der Risiko-Bewältigung überträgt. Hier werden betriebswirtschaftliche Strategien ausgearbeitet und implementiert, die ihrerseits in diesbezügliche Maßnahmen zur informationellen Sicherheit des Betriebsvorganges führen.
Abbildung 13 stellt das des Risikomanagement nach Königs dar:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 13: Aktivitäten im Risiko-Management
Quelle: In Anlehnung an Königs (2005), S. 7.
Die oben angesprochene Definition des Risikos als „Zielabweichung“ von den betriebswirtschaftlich geplanten Zielstellungen, lässt sich hinsichtlich der ebenso betriebswirtschaftlich entstehenden Schäden auf die Problematik des Budgets, der Qualität sowie der Dauer betrachten. Grundsätzlich richtet sich Risiko-Management auf die Minimierung von Wirkungen, die sich aus Gefahren-Situationen für die betroffenen Mitarbeiter ergeben bzw. auf ihre mögliche Beseitigung. Der Fokus des Risiko-Managements richtet sich einerseits auf den Unsicherheitsfaktor Mensch bzw. den Mitarbeiter und andererseits auf die Objektbereiche, in die die Schadensereignisse fallen. Gegenwärtig beschäftigen sich die Standardisierungsgremien mit der Vereinheitlichung der Risiko-Terminologie.[116]
Im Rahmen der Begrifflichkeiten, die den Bereich Informationssicherheit betreffen, sind im Folgenden konzis Terme vorzustellen, die diesen näher erläutern. Neben dem Begriff des Risikos wird in den diesbezüglichen Fachpublikationen der Begriff der Gefahr diskutiert. Gefahr wird dabei als möglicher Eintritt eines Systemschadens betrachtet.[117] Schaden wird als ein Nachteil bezeichnet, der durch eine Vermögensminderung oder durch einen Vermögensverlust verursacht wird. Schäden lassen sich als immaterielle oder ideelle Form des Verlustes definieren. Weitere Subklassifizierungen von Schaden lassen sich sowohl als primäre wie auch sekundäre Schäden identifizieren, die auf mittelbare Einflüsse durch Gefahren verursacht werden.[118] Für verursachte Schäden besteht jeweils eine Eintrittswahrscheinlichkeit, für die, wie in Abbildung 6 skizziert, eine Gefahr bzw. eine Schwachstelle als Ursache im Rahmen einer forensischen Analyse gefunden werden sollte.
Abbildung 14 zeigt beispielhaft den Zusammenhang zwischen der Eintrittswahrscheinlichkeit und der prognostizierten Schadenshöhe:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 14: Schadenshöhe vs. Eintrittswahrscheinlichkeit
Quelle: In Anlehnung an Müller (2003), S. 71.
Die Problematik des Gefahrenbereiches für die Informationssystemsicherheit lässt sich generell unter zwei Oberbegriffen diskutieren: Einerseits den des
(1) Angriffs, andererseits unter dem der
(2) Störung, bei dem die Kategorie der höheren Gewalt sich nicht auf menschliche Einwirkung bezieht.
Der Gefahrenbereich (1) Angriff lässt sich seinerseits in die Unterbegrifflichkeiten der Spionage und der Sabotage unterteilen. Spionagetätigkeiten, als Angriff auf Informationssysteme, lassen sich unter die Begriffe Abhören und logischer Diebstahl rubrizieren. Der Begriff der Sabotage bezieht sich hingegen mehr auf logische Manipulationsversuche, auf physische Manipulationsversuche am System oder auf den Diebstahl physischer Elemente des Systems.
Der Begriff der (2) Störung, dem die Informationssystemsicherheit unterliegen kann, klassifiziert sich weiter in Fahrlässigkeit und höhere Gewalt. Der Begriff der Fahrlässigkeit impliziert die fahrlässige Vernachlässigung von Sicherheitsregulierungen, ein fehlerhaftes Design des Systems und schließlich falsche Bedienung der Systemfunktionen. Höhere Gewalt umfasst bspw. den Ausfall des Systems, ausgelöst durch einen Stromausfall, Strahlung, elektrostatische Störungen, Feuchtigkeitseinwirkung, Explosionen, Brand, Verschmutzung oder Strahlungseinflüsse.
In Abbildung 15 werden die unterschiedlichen Gefahren für die Informationssicherheit durch Angriffe und Störungen dargestellt:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 15: Gefahren für die Informationssicherheit
Quelle: In Anlehnung an Höppe/Prieß (2003), S. 33.
Betrachtet man weitergehend nur die menschlichen Gefahrenverursacher für die Informationssicherheit des Systems, so lassen sich diese weiter in:
(1) Zutrittsberechtigte und
(2) Nicht-Zutrittsberechtigte Verursacher unterteilen.
Die Zutrittsberechtigten zum System können Zugriffsberechtigte oder Nicht-Zugriffsberechtigte sein.[119] Zugriffberechtigte, die Systemgefahren verursachen, können Vertragspartner, nicht zum Betrieb gehörende Mitarbeiter, jedoch auch eigene Betriebsmitarbeiter sein. Nicht-Zugriffsberechtigte, die Systemprobleme verursachen können, lassen sich in die gleichen Klassifizierungen unterteilen. Bei den Nicht-Zugriffsberechtigten ergänzt die Kategorie Besucher die drei besprochenen Kategorien. Von diesen sind die Nicht-Zutrittsberechtigten, die Gefahren verursachen können, zu unterscheiden. Diese bestehen beispielsweise aus Studierenden, die das System manipulieren, Menschen mit normalen kriminellen Energien, Hackern, Industriespionen, aber auch Konkurrenten, die sich für Systemkomponenten des Wettbewerbers interessieren.
Abbildung 16 führt unterschiedliche menschliche Verursacher von Gefahren nach Zutrittsberechtigten und Nicht Zutrittsberechtigten auf:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 16: Menschliche Verursacher von Gefahren für die Informationssicherheit
Quelle: In Anlehnung an Mohr (1993), S. 42.
[...]
[1] Vgl. Schink (2004), S. 13. Vertiefend zur Informationsgesellschaft vgl. Kübler (2005), S. 59-87; Böschen (2003), S. 25-29; Bizer/Lutterbeck , et al. (2002), S. 44f.
[2] Nach Heinrich, Heinzl und Roithmayr durchdringt die Information alle anderen Produktionsfaktoren. Vgl. Heinrich/Heinzl , et al. (2004), S. XIV.
[3] Vgl. Pietsch/Martiny , et al. (2004), S. 39-48; Heinrich/Heinzl , et al. (2004), S. 514; Nüttgens (1995), S. 5; Bizer/Lutterbeck , et al. (2002), S. 69.
[4] Vgl. Hüsemann (2003), S. 104; Willke (2001), S. 11; Nonaka/Takeuchi (1997), S. 18 und S. 69-71; Polanyi (1958), S. 70; Stehr (2001), S. 56f.
[5] Vgl. Baskerville (1993), S. 375.
[6] Vgl. Colwill (2010), S. 2-3.
[7] Vgl. Baskerville (1993), S. 375.
[8] Vgl. Kersten/Klett (2005), S. V.
[9] Vgl. Kersten/Klett (2005), S. V.
[10] Vgl. Kruger/Kearney (2008), S. 254.
[11] Warren/Batten (2002), S. 258.
[12] Kruger/Kearney (2008), S. 254.
[13] Vgl. Spears (2006), S. 186.
[14] Vgl. Heinrich/Heinzl , et al. (2004), S. 14.
[15] Konrad Zuse (1970), zitiert nach Heinrich/Heinzl , et al. (2004), S. 14.
[16] Venables (2006), S. 857.
[17] Hall (2009), S. 3.
[18] Gonzalez/Sawicka (2002), S. 1; vgl. Huang/Rau , et al. (2010), S. 221; Hoonakker/Bornoe , et al. (2009), S. 462; Huang/Rau , et al. (2007), S. 906.
[19] Williams (2009), S. 48.
[20] Hall betont, dass “The human factor should not be underestimated” und legt einen besonderen Stellenwert auf Bildung, welche er “…as valuable as the proper technology.” bezeichnet. Hall (2009), S. 3.
[21] Vgl. Heinrich/Heinzl , et al. (2004), S. 14.
[22] Vgl. Gonzalez/Sawicka (2002), S. 1; Huang/Rau , et al. (2010), S. 221; Hoonakker/Bornoe , et al. (2009), S. 462; Huang/Rau , et al. (2007), S. 906.
[23] Vgl. Hall (2009), S. 3.
[24] Reason/Grabowski (1994), S. 305.
[25] Vgl. Zarnekow/Brenner , et al. (2005), S. 16; Bursch/Günther , et al. (2005), S. 72; Müller (2003), S. 22; Mörike (2004), S. 104.
[26] Vgl. Amelang/Schmidt-Atzert , et al. (2006), S. 16; Zimbardo/Gerrig , et al. (2008), S. 504.
[27] Vgl. von Solms (2006), S. 167; Schneier (2008), S. VII; Venables (2006), S. 857; Huang/Rau , et al. (2010), S. 221; Williams (2009), S. 48; Hoonakker/Bornoe , et al. (2009), S. 462; Gonzalez/Sawicka (2002), S. 1; Hall (2009), S. 3; Huang/Rau , et al. (2007), S. 906; De Raad (2000); Lacey (2009); Colwill (2010); Wolek (2008).
[28] Vgl. dazu Werke von Myers/Reiss , et al. (2008); Zimbardo/Gerrig , et al. (2008); Asendorpf (2007); Barenbaum/Winter (2008) ; Amelang/Schmidt-Atzert , et al. (2006); Payk (2007); Wiedmann (2006); Nerdinger/Blickle , et al. (2008); Fisseni (1998); Moosbrugger/Kelava (2007a); Weinert (2004); von Rosenstiel (1980).
[29] Vgl. Devaraj/Easley , et al. (2008); Mancha/Dietrich (2007); Shropshire/Warkentin , et al. (2006) ; Huang/Rau , et al. (2010); Lacey (2009); Gupta/Sharman (2009); Vance/Suponen , et al. (2009) ; Lewis (2006); Layton (2005); Gonzalez/Sawicka (2002) ; Mitnick/Simon (2002); Stanton/Stam , et al. (2005); Theoharidou/Kokolakis , et al. (2005).
[30] Vgl. Huang/Rau , et al. (2010), S. 221; Hoonakker/Bornoe , et al. (2009), S. 462; Gonzalez/Sawicka (2002), S. 1.
[31] Im Rahmen der vorliegenden Arbeit ist beabsichtigt, vorrangig gesunde Menschen zu analysieren, deswegen wurden Testverfahren der differenziellen Psychologie denen der klinischen Diagnostik vorgezogen. Außerdem wurden vorrangig Theorien der Persönlichkeit in Betracht gezogen, welche die Persönlichkeit durch zeitlich überdauernde Eigenschaften beschreiben konnten, um damit langfristige Vorhersagen über Verhaltensweisen und Lebensereignisse treffen zu können. Vgl. Zimbardo/Gerrig , et al. (2008), S. 504; Amelang/Schmidt-Atzert , et al. (2006), S. 16.
[32] Vgl. McCrae/Costa (1983), S. 245f; Asendorpf (2007), S. 155; De Raad (2000), S. 80; Ellis/Abrams , et al. (2009), S. 236.
[33] Vgl. Williams (2009), S. 48; von Solms (2006), S. 167; Hall (2009), S. 3; Gonzalez/Sawicka (2002), S. 1; Huang/Rau , et al. (2010), S. 221; Hoonakker/Bornoe , et al. (2009), S. 462; Huang/Rau , et al. (2007), S. 906.
[34] Francis Bacon (1561-1626) war ein englischer Rechtsanwalt, Philosoph und Staatmann. Vgl. Ellis/Abrams , et al. (2009), S. 54; Myers/Reiss , et al. (2008), S. 4.
[35] John Locke (1632-1704) war ein englischer Philosoph und Aufklärer. Vgl. Asendorpf (2007), S. 29; Myers/Reiss , et al. (2008), S. 4.
[36] Schon Aristoteles und Platon stritten sich um eine einheitliche Herangehensweise, Wissen zu erlangen. Platons These besagt, dass Wissen nicht unbedingt „durch Sinneswahrnehmungen erklärt werden muss“, demzufolge also „deduktiv erlangt“ wird und somit durch „logisches Denken erschlossen“ werden kann. Vgl. Mandl/Reinmann-Rothmeier (2000), S. 5. Die aristotelische Wissenskonzeption hingegen stützt sich auf die Annahme, dass die „Sinneserfahrung die einzig wahre Wissensquelle“ ist und somit „Erkenntnis […] induktiv erlangt“ wird, womit Aristoteles den Empirismus, „Gegenspieler des Rationalismus“, ins Leben rief. Vgl. Mandl/Reinmann-Rothmeier (2000), S. 5; Musgrave (1989), S. 388. Im 18. Jahrhundert führte schließlich der Philosoph Immanuel Kant die beiden Strömungen erstmalig zusammen. Er hielt Erfahrungen zur Wissensgewinnung für wichtig, war aber gleichzeitig der Ansicht, dass sie ohne logisches Denken nicht korrekt verstanden werden kann. Vgl. Mandl/Reinmann-Rothmeier (2000), S. 5; Kant (1922), S. 519f; Nonaka/Takeuchi (1997), S. 36.
[37] Myers/Reiss , et al. (2008), S. 5.
[38] Bortz/Döring (2006), S. 300.
[39] Formale Schwierigkeiten mit dem Induktionsschluss führten letztlich zur Abkehr vom induktiven Empirismus zu einer deduktiv angelegten Wissenschaftstheorie, welche von Popper 1989 mit dem kritischen Rationalismus entwickelt wurde. Vgl. Bortz/Döring (2006), S. 300.
[40] Vgl. Raithel (2008), S. 12f; Behnke/Behnke (2006), S. 43; Brosius/Koschel , et al. (2009), S. 39f.
[41] Typisches Beispiel hierfür wäre: „Wenn alle Menschen sterblich sind und Aristoteles ein Mensch ist, dann ist auch Aristoteles sterblich. Vgl. Bortz/Döring (2006), S. 300.
[42] Vgl. Bortz/Döring (2006), S. 300f. Eine weitere Form des Schließens stellt die Abduktion dar, welche genuin neues und innovatives Wissen erzeugt und damit potenziell warheitsgenerierend ist. Vgl. Bortz/Döring (2006), S. 301.
[43] Vgl. Bhaskar (2009), S. Xf; Hacking/Schulte (1996), S. 43ff. Van Fraassen beschreibt den wissenschaftlichen Realismus wie folgt: “Science aims to give us, in its theories, a literally true story of what the world is like; and acceptance of a scientific theory involves the belief that it is true. This is the correct statement of scientific realism.” McMullin (1984), S. 35.
[44] Vgl. Pietsch/Martiny , et al. (2004), S. 41-43; Bizer/Lutterbeck , et al. (2002), S. 68; Kübler (2005), S. 84-86; Krcmar (2003), S. 15.
[45] Vgl. Lehner/Maier (1994), S. 8; Bode (1997), S. 449ff.
[46] Heinrich (2002a), S. 7.
[47] Unter Nachrichtentechnik wird der Wissenschaftsbereich der Technik, der sich mit Verfahren und technischen Einrichtungen zur Aufnahme, Zwischenspeicherung, Aus- und Wiedergabe sowie zur Übermittlung von Nachrichten befasst, bezeichnet. Vgl. Heinrich/Heinzl , et al. (2004), S. 449.
[48] Vgl. Stowasser/Petschenig , et al. (1998), S. 253; Biethahn/Mucksch , et al. (2000), S. 5; Stahlknecht/Hasenkamp (2005), S. 9.
[49] Vgl. Shannon (1949) zitiert nach Shannon/Weaver (1976), S. 23. Die Thermodynamik beschäftigt sich mit dem Entstehen von Ordnung und Unordnung in Systemen. Vgl. bspw. Königswieser/Hillebrand (2008), S. 22; Steinle (2005), S. 197. Insbesondere der zweite Hauptsatz der Thermodynamik besagt, „…daß sich physikalische Systeme generell in Richtung zunehmender Unordnung entwickeln.“ Wolf (2005), S. 316.
[50] Vgl. Fleissner (1998), S. 6.
[51] Vgl. Dierstein (1997), S. 36; Heinrich (2001), S. 125; Blieberger/Burgstaller , et al. (2002), S. 17.
[52] Vgl. Heinrich (2002b), S. 1040; Fleissner (1998), S. 13.
[53] Vgl. Krcmar (2003), S. 16; Morris/Posner (1988), S. 1ff.
[54] Vgl. Voß/Gutenschwager (2001), S. 27-29; Maier/Lehner (1995), S. 173. Heinrich und Roithmayr definieren die Semiotik als die „…Lehre von den Zeichensystemen, den Beziehungen der Zeichen untereinander, zu den bezeichneten Objekten der Realität und der Vorstellungswelt des Menschen sowie zwischen dem Sender und dem Empfänger von Zeichen.“ Zitiert nach Biethahn/Mucksch , et al. (2004), S. 4-5.
[55] Vgl. Huang/Rau , et al. (2010), S. 356.
[56] Vgl. Heinrich/Heinzl , et al. (2004), S. 589; Voß/Gutenschwager (2001), S. 28; Oelsnitz/Hahmann (2003), S. 38; Fleissner (1998), S. 11; Trott zu Solz (1992), S. 42; Maier/Lehner (1995), S. 172.
[57] Vgl. Haun (2002), S. 178. Zur Syntaktik vergleiche vertiefend das „Syntactic-Semantic“ Model von Müller und Stapf Müller/Stapf (1999), S. 298f.
[58] Vgl. Holey/Welter , et al. (2004), S. 24f; Gabriel/Beier (2003), S. 32.
[59] Vgl. Schwarzer/Krcmar (1999), S. 8; Holey/Welter , et al. (2004), S. 24. Zur Semantik von Daten siehe bspw. Nüttgens (1995), S. 282.
[60] Vgl. Fleissner (1998), S. 12; Voß/Gutenschwager (2001), S. 28.
[61] Vgl. Streubel (1996), S. 18; Ferstl/Sinz (1993), S. 89.
[62] Vgl. Gebert (1992), S. 1110; Streubel (1996), S. 18; Picot/Reichwald , et al. (2003), S. 63; Heinrich/Heinzl , et al. (2004), S. 587.
[63] Vgl. Wall (1999), S. 7; Schellmann (1997), S. 12; Hildebrand (2001), S. 7; Willke/Krück , et al. (2001), S. 8.
[64] Vgl. Voß/Gutenschwager (2001), S. 28; Maier/Lehner (1995), S. 173; Biethahn/Mucksch , et al. (2004), S. 7; Fank (1996), S. 29; Wall (1999), S. 26.
[65] Vgl. Müller/Stapf (1999), S. 186-187; Mag (1990), S. 6; Pfau (1997), S. 7; Voß/Gutenschwager (2001), S. 28.
[66] Heinrich bezeichnet Wissen als Handlungsfähigkeit bzw. im Sinn einer Nominaldefinition als vernetztes Wissen. Vgl. Heinrich (2002a), S. 19.. Cezanne definiert im Rahmen der Volkswirtschaftslehre Wissen als eine günstige Kombination von Produktionsfaktoren. Zitiert nach Voß/Gutenschwager (2001), S. 20.
[67] Vgl. Haun (2002), S. 178; Bodendorf (2003), S. 1f; Oelsnitz/Hahmann (2003), S. 41.
[68] Vgl. Föcker/Goesmann , et al. (1999), S. 36; Gabriel/Dittmar (2001), S. 18.
[69] Vgl. Probst/Raub , et al. (1999), S. 38f.
[70] Vgl. Gabriel/Beier (2003), S. 33.
[71] Vgl. Heinrich (2001), S. 132; Picot/Maier (1992), Sp. 930.
[72] Vgl. Gebert (1992), Sp. 1110.
[73] Vgl. Haun (2002), S. 100. Individuelles Wissen entsteht durch die soziale Interaktion zwischen impliziten und expliziten Wissen. Dabei wird die Wissenskonversion durch die vier Ebenen Sozialisation, Externalisierung, Kombination sowie Internalisierung bestimmt. Vgl. Heinrich (2002a), S. 466-467.
[74] Holey, Welter und Wiedemann bezeichnen als implizites Wissen, Wissen, welches an eine Person gebunden ist und sich schwer formalisieren und kommunizieren lässt. Dabei handelt es sich in erster Linie um Erfahrungen und Regeln, welche unbewusst angewendet und selten artikuliert werden. Vgl. Holey/Welter , et al. (2004), S. 281; Kübler (2005), S. 98; Biethahn/Mucksch , et al. (2004), S. 96. Explizites Wissen hingegen liegt in der Regel in formaler und strukturierter Form vor. Dadurch kann es leicht erfasst, verarbeitet, gespeichert und übertragen werden. Vgl. Biethahn/Mucksch , et al. (2004), S. 96; Holey/Welter , et al. (2004), S. 281; Kübler (2005), S. 123.
[75] Vgl. Heinrich (2002a), S. 466-467. Implizites Wissen wird auch als „Alltagswissen“ bezeichnet, welches durch das soziale Umfeld und die kulturelle Praxis entsteht. Vgl. Kübler (2005), S. 139-142.
[76] Vgl. Heinrich/Heinzl , et al. (2004), S. 423-424; Haun (2002), S. 101; Mentale Modelle werden nach herrschender Meinung als kritischer Faktor beim personalen und organisationalen Lernen bezeichnet. Dabei werden mentale Modelle bezeichnet als „…die Landkarten in unseren Köpfen, welche die Welt des Wissens zugänglich machen und bestimmen, welche Territorien und Bereiche zugänglich sind und welche nicht.“ Willke (2001), S. 48; Ein interessantes Beispiel zu mentalen Modellen beschreibt Krcmar. Vgl. Krcmar (2003), S. 420.
[77] Wissen gilt oft als Gemeingut par excellence, d.h. dass das Wissen im Prinzip allen Mitgliedern im gleichen Umfang zugänglich ist. Vgl. Stehr (2001), S. 60-61.
[78] Vgl. Lippold (1992), Sp. 913; Pohl/Weck (1993b), S. 21; Eckert (2004), S. 4.
[79] Vgl. Pohl/Weck (1993b), S. 20; Dierstein (1997), S. 49.
[80] Vgl. Dierstein (1997), S. 50; Dierstein (2003), S. 11f.
[81] Vgl. Eckert (2004), S. 7; Holznagel (2003), S. 13.
[82] Vgl. Schneider (2007), S. 1; Holznagel (2003), S. 13; Kersten (1995), S. 76
[83] Vgl. Kersten (1995), S. 77; Eckert (2004), S. 10.
[84] Vgl. Rannenberg (1999), S. 55; Voßbein (1999), S. 55.
[85] Vgl. Eckert (2004), S. 11; BSI, Bundesamt für Sicherheit in der Informationstechnik (2004a), Kapitel 1.
[86] Vgl. Stelzer (1990), S. 40; Konrad (1998), S. 28.
[87] Vgl. Konrad (1998), S. 25f; Stelzer (1990), S. 33f.
[88] Vgl. Holznagel (2003), S. 19f.
[89] Vgl. Greenfield/Niedermayer (2006) ; Heath Jr./Bard , et al. (2006) ; Volonino/Volonino (2006) ; Schiano (2006) ; Bidgoli (2006) ; Singh (2006) ; Fleissner (1998); Himma (2006) ; Borisov (2006) ; Itkis (2006) ; Hamdi/Boudriga , et al. (2006) ; Smith (2006).
[90] Heinrich (2002a), S. 279.
[91] Vgl. Krampert (2003), S. 19f.
[92] Vgl. Schneier (2008), S. 135; Kersten (1995), S. 53; Mitnick/Simon (2002); Pietsch/Martiny , et al. (2004), S. 52f.
[93] Vgl. Gora/Krampert (2003), S. 32f; Königs (2005), S. 103f; Müller (2003), S. 46.
[94] Vgl. Dierstein (2004), S. 346f; Pomes/Breitner (2005); Eckert (2004), S. 6.
[95] Vgl. Aebi (2004), S. 12; BITKOM (2003), S. 14.
[96] Vgl. Stahlknecht/Hasenkamp (2005), S. 490 ff.
[97] Vgl. Petzel (1996), S. 208.
[98] Vgl. Petzel (1996), S. 208; Eckert (2004), S. 10.
[99] Vgl. BITKOM (2003), S. 15; Dierstein (1997), S. 61.
[100] Vgl. Dierstein (2004), S. 346, 349; BITKOM (2003), S. 15.
[101] Vgl. Dierstein (2004), S. 346f; Pomes/Breitner (2005); Eckert (2004), S. 6.
[102] Vgl. BITKOM (2003), S. 15; Dierstein (2004), S. 346.
[103] Vgl. Dierstein (2004), S. 349; BITKOM (2003), S. 15.
[104] Vgl. Petzel (1996), S. 209; BITKOM (2003), S. 15.
[105] Vgl. Fumy/Sauerbrey (2006), S. 148; Petzel (1996), S. 209; CSS/ETH (2006), S. 7.
[106] Unter IT-Governance werden die „Grundsätze, Verfahren und Maßnahmen zusammengefasst, die sicherstellen, dass mit Hilfe der eingesetzten IT die Geschäftsziele abgedeckt, Ressourcen verantwortungsvoll eingesetzt und Risiken angemessen überwacht…“ werden. Meyer/Zarnekow , et al. (2003), S. 445.
[107] Vgl. Pomes/Breitner (2005), S. 24. Vertiefend zum Datensicherheitskonzept siehe bspw. Pohlmann/Blumberg (2004), S. 69f; Sokol (2005), S. 103.
[108] Vgl. Dierstein (2004), S. 349.
[109] Vgl. Langosch (1994), S. 33-35.
[110] Vgl. IT Governance Institute (2003), S. 11.
[111] Vgl. Heinrich (2002a), S. 19; Schwarze (2000), S. 17.
[112] Vgl. Humpert (2004), S. 7; Mai (2003), S. 37; Bourseau (2003), S. 197.
[113] Vgl. Schlienger (2006), S. 27-30.
[114] Vgl. Königs (2005).
[115] Vgl. Brühwiler (2001), S. 110ff.
[116] Vgl. Königs (2005), S. 8.
[117] Petzel definiert unter Gefahr eine Sachlage, „…die bei ungehinderten Geschehensablauf zu einem Schaden, d.h. zur Minderung eines tatsächlich vorhandenen Bestandes rechtlich geschützter Güter und Rechte führen würde. Vgl. Petzel (1996), S. 104.
[118] Vgl. Müller (2003), S. 71; Pohlmann/Blumberg (2004), S. 124.
[119] Vgl. Mohr (1993), S. 42.
- Citation du texte
- Robert Pomes (Auteur), 2011, Informationssicherheit und Persönlichkeit, Munich, GRIN Verlag, https://www.grin.com/document/175268
Textes similaires
Devenir un auteur
Commentaires