Das Interesse der vorliegenden Arbeit richtet sich auf die Fragestellung, welche Zusammenhänge zwischen Menschen und technischen, rechtlichen, organisatorischen sowie wirtschaftlichen Aspekten einer Organisation bestehen und inwieweit dadurch die Sicherheit von Informationen erhöht respektive reduziert wird.
Im Rahmen dieser Arbeit wurden die Zusammenhänge zwischen der menschlichen Persönlichkeit von IT-Entscheidern und der Sicherheit von Informationssystemen, veranlasst durch mehrere Gründe, erforscht: (1) Der Mensch stellt nachweislich das größte Risiko bei der Gewährleistung der Sicherheit von Informationen dar. (2) Die Beschreibung des Verhaltens von Organisationsmitgliedern durch Methoden der differentiellen Psychologie und der Persönlichkeitsforschung haben eine hohe Aktualität. (3) Zusammenhänge zwischen der menschlichen Persönlichkeit und der Sicherheit von Informationen werden im günstigen Fall rudimentär behandelt.
Das Anliegen der vorliegenden Arbeit besteht darin, die bestehende Forschungslücke durch eine empirische Untersuchung weiter zu schließen.
Als Ausgangspunkt für diese Untersuchung waren folgende Forschungsfragen handlungsleitend:
1. Welche Zusammenhänge existieren zwischen der Informationssicherheit und den Persönlichkeitsmerkmalen von IT-Entscheidern?
2. Welche Handlungsempfehlungen können, bei Berücksichtigung der Persönlichkeitsmerkmale von IT-Entscheidern, zur Erhöhung der Informationssicherheit identifiziert werden?
Die Forschungsfragen bedurften der weiteren Operationalisierung sowie der Ausgestaltung eines konzeptionellen Bezugsrahmens, welcher den Forschungsbereich der Informationssicherheit durch die technische, rechtliche, organisatorische und wirtschaftliche Dimension darstellt. Die Erfassung der menschlichen Persönlichkeit wurde durch Theorien zur Persönlichkeit vorgenommen, welche hypothetische Aussagen über ihre Struktur und Funktionsweise lieferten.
Die Erfassung der menschlichen Persönlichkeit erfolgte, aufgrund der hohen Güte und des standardisierten Messinstruments, über das NEO-FFI-Modell, welches die Persönlichkeit über den Trait-Ansatz feststellt und im deutschsprachigen Raum von BORKENAU und OSTENDORF geprägt wurde. In dieser Taxonomie wurde die menschliche Persönlichkeit durch die fünf Persönlichkeitsmerkmale Neurotizismus, Extraversion, Offenheit für Erfahrung, Verträglichkeit und Gewissenhaftigkeit beschrieben, welche in den letzten Jahrzehnten wegweisend durch GOLDBERG, MCCRAE und JOHN geformt wurden.
Inhaltsverzeichnis
1 Einleitung und Aufbau der Arbeit
1.1 Problemstellung und Ausgangspunkt
1.2 Zielsetzung und zentrale Forschungsfragen
1.3 Methodik und Aufbau der Arbeit
2 Informationssicherheit als Querschnittsfunktion in Organisationen
2.1 Grundlagen von Informationssicherheit
2.1.1 Der Informationsbegriff in Abgrenzung zu Daten und Wissen
2.1.2 Sicherheitsbegriff und Sicherheitsaspekte
2.1.3 Grundwerte und Prinzipien der Informationssicherheit
2.2 Informationssicherheit als bedeutende Komponente der Informationsinfrastruktur
2.2.1 Beweggründe für Informationssicherheit
2.2.2 Merkmale sicherer Organisationen und kritischer Infrastrukturen
2.2.3 Informationssicherheit als Querschnittsaufgabe des Informationsmanagements unternehmerische Führungsaufgabe
2.2.4 Ziele des Informationsmanagements zur Institutionalisierung von Informationssicherheit im Unternehmen
2.3 Charakterisierung von Mitarbeitern in Organisationen zur Gewährleistung von Informationssicherheit
2.3.1 Menschenbilder als normativ-ethische Grundlage zur Einordnung von Mitarbeitenden in Organisationen
2.3.2 Aufgaben, Rollen und Verantwortlichkeiten unterschiedlicher Organisationsmitglieder
3 Dimensionen von Informationssicherheit in Organisationen
3.1 Technische Aspekte zur Gewährleistung von Informationssicherheit
3.1.1 Maßnahmen zur Gewährleistung von Verlässlichkeit
3.1.1.1 Firewall- und Antivirus-Systeme als Sicherheitsbarrieren zum Schutz von Netzwerktopologien
3.1.1.2 Reaktive und präventive Sicherheitsvorkehrungen zur Erhöhung der Verlässlichkeit durch Intrusion Control Systeme
3.1.2 Maßnahmen zur Gewährleistung von Beherrschbarkeit
3.1.2.1 Berechtigungssysteme zur Erhöhung der Zurechenbarkeit
3.1.2.2 Digitale Signaturen zur Gewährleistung von Revisionsfähigkeit
3.1.3 Weitere Maßnahmen zur Gewährleistung der technischen Informationssicherheit
3.1.4 Potenzielle Items für die Erhebung der technischen Dimension der Informationssicherheit
3.2 Rechtliche Aspekte zur Gewährleistung von Informationssicherheit
3.2.1 Regelungen des Bundesdatenschutzgesetz und der EU-Datenschutzrichtlinien
3.2.1.1 Schutz der Privatsphäre durch das Grundgesetz und informationelle Selbstbestimmung als Grundlage des Datenschutzes
3.2.1.2 Ausgewählte EU-Richtlinien zum Datenschutz
3.2.2 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
3.2.3 Informationssicherheit im Telemediengesetz
3.2.4 Weitere ausgewählte Gesetze und Regelungen zur Gewährleistung von Informationssicherheit
3.2.5 Potenzielle Items für die Erhebung der rechtlichen Dimension der Informationssicherheit
3.3 Organisatorische Aspekte zur Gewährleistung von Informationssicherheit
3.3.1 Grundlagen der Organisation
3.3.2 Organisation der IT-Aktivitäten
3.3.2.1 Aufgaben und Struktur des IT-Bereichs: Eingliederungsmodelle
3.3.2.2 Sicherheitsstrategie und -leitlinie
3.3.3 Organisation der Informationssicherheit nach gegenwärtigen Ansätzen zum Sicherheitsmanagement
3.3.3.1 Organisation der Informationssicherheit nach IT-Grundschutzhandbuch des BSI
3.3.3.2 Organisation der Informationssicherheit nach ITIL
3.3.3.3 Organisation der Informationssicherheit nach CobiT
3.3.4 Potenzielle Items für die Erhebung der organisatorischen Dimension der Informationssicherheit
3.4 Ökonomische Aspekte zur Informationssicherheit
3.4.1 Informationen als bedeutendster Produktionsfaktor von Organisationen
3.4.2 Wirtschaftlichkeitsbetrachtungen zur Gewährleistung von Informationssicherheit
3.4.2.1 Adäquanz von Informationssicherheit zwischen Investment und Restrisiko
3.4.2.2 Kostenaspekte im Rahmen des Total Cost of Ownership
3.4.2.3 Nutzenaspekte vor dem Hintergrund des Return on Security Investment
3.4.3 Potenzielle Items für die Erhebung der wirtschaftlichen Dimension der Informationssicherheit
3.4.4 Potenzielle Items für die Erhebung mit übergreifenden Charakter
4 Der Mensch als zentraler Faktor zur Gewährleistung von Informationssicherheit
4.1 Person und Persönlichkeit als Forschungsgegenstand
4.1.1 Person und Persönlichkeit
4.1.2 Person und Persönlichkeit als Forschungsgegenstand der Psychologie
4.1.3 Kontroverse: Person versus Situation
4.2 Das Fünf-Faktoren Modell als Disziplin der Theorien zur menschlichen Persönlichkeit
4.2.1 Exzerpt gängiger Persönlichkeitstheorien
4.2.2 Das Fünf-Faktoren Modell der Persönlichkeit
4.2.2.1 Historische Entwicklung des Fünf-Faktoren-Modells der Persönlichkeit
4.2.2.2 Lexikalische und faktorenanalytische Persönlichkeitsforschung als Grundlage der Persönlichkeitsmerkmale: Beschreibung der fünf breiten Faktoren
4.2.3 Feststellung der Persönlichkeit
4.2.3.1 Messinstrumente zur Bestimmung der Persönlichkeit
4.2.3.2 Das Inventar NEO-PI-R zur Messung der Persönlichkeitsmerkmale
4.2.3.3 Das Inventar NEO-FFI zur Messung der Persönlichkeitsmerkmale
4.2.3.4 Andere relevante Messinstrumente im deutschen Sprachraum
5 Empirische Erhebung zur Überprüfung aufgestellter Forschungsfragen
5.1 Theoretische Vorüberlegungen zur Durchführung der Untersuchung
5.1.1 Methodenspektrum der Wirtschaftsinformatik
5.1.2 Primär- vs. Sekundäranalyse
5.1.3 Standards und Gütekriterien für psychologische Tests und Fragebogen
5.1.4 Methodik der Untersuchung
5.2 Auswahl und Aufbau der Untersuchungsobjekte für die Befragung
5.3 Konstruktion der Items
5.3.1 Items im NEO-FFI-Modell nach Borkenau und Ostendorf
5.3.2 Items zu den vier Dimensionen der Informationssicherheit
5.3.3 Items zur Ermittlung soziodemographischer Faktoren
5.4 Entwicklung des Fragebogens und Implementation als Online-Befragung
5.5 Gestaltung des Anschreibens
5.6 Pretest
5.7 Durchführung der Befragung und Rücklauf
5.8 Statistische Vorgehensweise zur Feststellung von Korrelationen
6 Revision und deskriptive Darstellung der erhobenen Daten
6.1 Überprüfung der erhobenen Datengüte
6.1.1 Feststellung der Validität, Reliabilität und Repräsentativität der NEO-FFI-Daten
6.1.2 Feststellung der Validität, Reliabilität und Repräsentativität der Daten zu Fragen der Informationssicherheit
6.2 Darstellung der soziodemographischen Daten
6.3 Darstellung der unterschiedlichen Persönlichkeitsmerkmale
6.4 Darstellung der Items zur Informationssicherheit in Organisationen
7 Lineare Zusammenhänge und Handlungsempfehlungen
7.1 Beispielhafte Darstellung von Zusammenhängen zwischen den erhobenen Daten mittels tabellarischer und statistischer Verfahren
7.1.1 Tabellarische Konkordanz bei ausgewählten Daten
7.1.2 Statistische Konkordanz bei ausgewählten Daten
7.2 Diskussion der Korrelationen und Herleitung von Ergebnissen aus den erhobenen Daten
7.2.1 Ergebnisse für die technische Dimension der Informationssicherheit
7.2.2 Ergebnisse für die rechtliche Dimension der Informationssicherheit
7.2.3 Ergebnisse für die organisatorische Dimension der Informationssicherheit
7.2.4 Ergebnisse für die wirtschaftliche Dimension der Informationssicherheit
7.2.5 Ergebnisse für allgemeine Items zur Informationssicherheit
7.3 Handlungsempfehlungen zur Erhöhung der Informationssicherheit
7.3.1 Empfehlungen bei geringem Neurotizismus
7.3.2 Empfehlungen bei hohem Neurotizismus
7.3.3 Empfehlungen bei geringer Extraversion
7.3.4 Empfehlungen bei hoher Extraversion
7.3.5 Empfehlungen bei geringer Offenheit für Erfahrung
7.3.6 Empfehlungen bei hoher Offenheit für Erfahrung
7.3.7 Empfehlungen bei geringer Verträglichkeit
7.3.8 Empfehlungen bei hoher Verträglichkeit
7.3.9 Empfehlungen bei geringer Gewissenhaftigkeit
7.3.10 Empfehlungen bei hoher Gewissenhaftigkeit
7.4 Zusammenschau der Handlungsempfehlungen
8 Kritische Würdigung
9 Fazit
10 Ausblick
Zielsetzung & Themen
Die vorliegende Arbeit zielt darauf ab, Zusammenhänge zwischen der menschlichen Persönlichkeit von IT-Entscheidern und der Sicherheit von Informationssystemen zu untersuchen, um auf dieser Basis konkrete Handlungsempfehlungen für Organisationen zu entwickeln und somit das Informationssicherheitsniveau zu erhöhen.
- Analyse der menschlichen Persönlichkeit von IT-Entscheidern anhand des Fünf-Faktoren-Modells (Big Five)
- Untersuchung der Informationssicherheit in vier Dimensionen: technisch, rechtlich, organisatorisch und wirtschaftlich
- Empirische Identifikation von linearen Wirkzusammenhängen zwischen Persönlichkeitsmerkmalen und Entscheidungsverhalten
- Herleitung valider Handlungsempfehlungen zur systematischen Steigerung der Informationssicherheit
- Konzeption eines Referenzmodells zur Entwicklung von IT-Entscheidern
Auszug aus dem Buch
1.1 Problemstellung und Ausgangspunkt
In den 90er Jahren kündigte die US-amerikanische Regierung Clinton die Vernetzung der Welt und den damit verbundenen Aufbau der notwendigen Infrastruktur an, womit sie den Begriff der Informationsgesellschaft in aller Munde katapultierte. Seitdem steht, vornehmlich in den OECD-Ländern, der sozialstrukturelle Wandel von einer Industriegesellschaft in eine Informationsgesellschaft, in der Geschäftsprozesse unteilbar mit Informations- und Kommunikationsprozessen verbunden sind, außer Frage. Neben den klassischen Produktionsfaktoren wie Arbeit, Boden und Kapital zeigt sich, dass für den Erfolg und die Wettbewerbsfähigkeit jedes Unternehmens, die Bedeutung von wissensintensiven Produkten und Dienstleistungen zunehmend steigt. Insbesondere die Handlungsfähigkeit, Informationen aufzunehmen, zu filtern, zu verarbeiten und effizient zu Wissen in Form von wirtschaftlich nutzbaren Innovationen zu entwickeln, gewinnt deutlich an Relevanz.
Die Sicherheit von Informationssystemen wird daher zunehmend systemrelevant und sollte als Ernst zunehmendes Thema eingestuft werden, insbesondere weil Schwachstellen und Gefahren in der digitalen Welt permanent steigen. Organisationen haben keine effektiven Risikomanagement-Systeme, welche mit dieser hohen Geschwindigkeit mithalten könnten, mit der die Informationsfunktion sämtliche Geschäftsprozesse durchdringt, weshalb es als eine conditio sine qua non bezeichnet werden sollte, das Wissen zur Erhöhung der Sicherheit von Informationssystemen ständig zu erweitern. Positive werthaltige wie negative und damit schädigende Informationen entscheiden über den Erfolg einer Organisation und sind, je nach ihrer Relevanz, in besonderem Umfang zu schützen. Die Speicherung, Verarbeitung und Nutzung eines überwiegenden Teils dieser Informationen wie in Adressdatenbanken, Unternehmenskennzahlen, Patentideen oder Gutschriften erfolgt in digitaler Form.
Zusammenfassung der Kapitel
1 Einleitung und Aufbau der Arbeit: Diese Einleitung führt in die Problemstellung der Informationssicherheit ein, definiert die zentralen Forschungsfragen und erläutert die methodische Vorgehensweise der Dissertation.
2 Informationssicherheit als Querschnittsfunktion in Organisationen: Dieses Kapitel stellt das theoretische Fundament dar, definiert zentrale Begriffe wie Information und Sicherheit und verortet Informationssicherheit als unternehmerische Führungsaufgabe.
3 Dimensionen von Informationssicherheit in Organisationen: Hier erfolgt eine detaillierte inhaltliche Erarbeitung der vier Dimensionen der Informationssicherheit (technisch, rechtlich, organisatorisch, ökonomisch) inklusive deren Operationalisierung in Items.
4 Der Mensch als zentraler Faktor zur Gewährleistung von Informationssicherheit: Dieser Abschnitt widmet sich dem Menschen, erläutert psychologische Grundlagen der Persönlichkeitsforschung, führt das Fünf-Faktoren-Modell ein und diskutiert die Messinstrumente zur Bestimmung der Persönlichkeit.
5 Empirische Erhebung zur Überprüfung aufgestellter Forschungsfragen: Dieses Kapitel konzipiert die empirische Untersuchung, erläutert die Methoden der Wirtschaftsinformatik, die Konstruktion der Items sowie die Durchführung der Online-Befragung.
6 Revision und deskriptive Darstellung der erhobenen Daten: Hier werden die erhobenen Daten auf ihre Güte hin überprüft und deskriptiv dargestellt, um eine statistische Grundlage für die nachfolgenden Analysen zu bilden.
7 Lineare Zusammenhänge und Handlungsempfehlungen: Das Kernstück der Arbeit diskutiert die identifizierten Korrelationen zwischen Persönlichkeitsmerkmalen und Sicherheitsaspekten und leitet daraus konkrete Handlungsempfehlungen ab.
8 Kritische Würdigung: Der Autor hinterfragt kritisch die gewählte Methodik, die Repräsentativität der Stichprobe sowie die Validität der verwendeten Modelle.
9 Fazit: Das Fazit fasst die zentralen Erkenntnisse der Arbeit zusammen und bewertet die Erreichung der gesetzten Forschungsziele.
10 Ausblick: Der abschließende Teil bietet einen Ausblick auf potenzielle zukünftige Forschungsfelder und die Möglichkeiten einer praktischen Umsetzung in Form eines Referenzmodells.
Schlüsselwörter
Informationssicherheit, Persönlichkeitsforschung, IT-Entscheider, Fünf-Faktoren-Modell, NEO-FFI, Risikomanagement, IT-Governance, Handlungsempfehlungen, empirische Untersuchung, IT-Sicherheit, Soziodemographie, Korrelationsanalyse, Unternehmenskultur, Schutzziele, Informationsinfrastruktur
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit untersucht die Zusammenhänge zwischen der menschlichen Persönlichkeit von IT-Entscheidern und dem Entscheidungsverhalten in Bezug auf die Informationssicherheit in Organisationen.
Was sind die zentralen Themenfelder?
Die zentralen Themenfelder sind Informationssicherheit (in technischer, rechtlicher, organisatorischer und wirtschaftlicher Hinsicht) sowie Persönlichkeitspsychologie, speziell das Fünf-Faktoren-Modell (Big Five).
Was ist das primäre Ziel oder die Forschungsfrage?
Das primäre Ziel ist es, auf Basis empirisch nachgewiesener Zusammenhänge zwischen Persönlichkeitsmerkmalen und Sicherheitsentscheidungen wissenschaftlich fundierte Handlungsempfehlungen für IT-Entscheider zu erarbeiten.
Welche wissenschaftliche Methode wird verwendet?
Es wird ein explorativer, quantitativ-empirischer Ansatz verfolgt. Die Datenerhebung erfolgt mittels Online-Befragung, ausgewertet wird durch induktive Statistik (Korrelations- und Regressionsanalysen).
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in die theoretische Fundierung der Sicherheitsdimensionen, die psychologische Charakterisierung von Mitarbeitern, die Konzeption der empirischen Untersuchung sowie die detaillierte Analyse der gefundenen linearen Zusammenhänge und die daraus abgeleiteten Handlungsempfehlungen.
Welche Schlüsselwörter charakterisieren die Arbeit?
Zentrale Begriffe sind Informationssicherheit, Persönlichkeitsforschung, IT-Entscheider, Fünf-Faktoren-Modell, Risikomanagement und IT-Governance.
Warum ist der Faktor Mensch in der IT-Sicherheit so entscheidend?
Der Autor zeigt auf, dass der Mensch das größte Sicherheitsrisiko darstellt, da menschliche Fehler (Irrtum, Nachlässigkeit) statistisch die häufigste Ursache für Sicherheitsvorfälle in Organisationen sind.
Welche praktischen Empfehlungen werden für IT-Entscheider mit hoher Gewissenhaftigkeit gegeben?
IT-Entscheidern mit hoher Gewissenhaftigkeit wird empfohlen, ihre stark ausgeprägte Detailorientierung und Sicherheitsbedürfnisse kritisch auf Kosten-Nutzen-Aspekte zu prüfen und bei der Ermittlung von Sicherheitslücken sowie beim Budgeteinsatz externe, objektive Prüfungen hinzuzuziehen.
Welches Fazit zieht der Autor zur Validität seiner Ergebnisse?
Der Autor stellt kritisch fest, dass die Arbeit trotz der identifizierten Zusammenhänge keine uneingeschränkte Übertragbarkeit auf alle IT-Entscheider in Deutschland erlaubt, da die Stichprobe auf zwei Online-Portale begrenzt war und der Standardfehler eine verallgemeinernde Aussage einschränkt.
- Citation du texte
- Robert Pomes (Auteur), 2011, Informationssicherheit und Persönlichkeit, Munich, GRIN Verlag, https://www.grin.com/document/175268
