Entwicklung und Validierung eines Fragebogens zur Erfassung von Security Awareness


Bachelorarbeit, 2014

63 Seiten, Note: 1,1


Leseprobe

Inhaltsverzeichnis

Abstract

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 Theoretischer Hintergrund
2.1 Wirtschaftskriminalität
2.1.1 Industrie- und Wirtschaftsspionage
2.1.2 e-Crime
2.1.2.1 Social Engineering
2.1.2.2 E-Mails
2.2 Security Awareness
2.2.1 Security Awareness: Eine Definition
2.2.2 Security Awareness Kampagnen
2.2.3 Ansätze zur Messung von Security Awareness
2.2.3.1 Evaluation von Security Awareness Kampagnen
2.2.3.2 Kampagnenunabhängige Erhebung von Security Awareness

3 Hypothesen
3.1 Hypothesenblock zur Theory of Reasoned Action
3.2 Hypothesenblock zu organisationalen Faktoren
3.3 Hypothesenblock zur Protection Motivation Theory
3.4 Variablendeklaration

4 Methode
4.1 Stichprobe
4.2 Skalen- und Itemkonstruktion
4.3 Pretest
4.4 Item- und Skalenanalyse
4.5 Durchführung

5 Ergebnisse
5.1 Deskriptive Ergebnisse
5.2 Ergebnisse der Hypothesenprüfung
5.2.1 Ergebnisse für den ersten Hypothesenblock
5.2.2 Ergebnisse für den zweiten Hypothesenblock
5.2.3 Ergebnisse für den dritten Hypothesenblock
5.3 Sonstige Ergebnisse

6 Diskussion
6.1 Diskussion des Messinstruments
6.2 Diskussion der Ergebnisse der Hypothesenprüfung
6.3 Diskussion sonstiger Befunde
6.4 Fazit und Ausblick

Literaturverzeichnis

Anhang A: Übersicht verwendeter Items

Anhang B: Einladung zum Online Fragbogen

Anhang C: Überarbeiteter Fragebogen

Abbildungsverzeichnis

Abbildung 2. Häufigkeit eingesetzter Awareness-Maßnahmen im Finanzsektor

Abbildung 3. Beispiele für ein Awareness-Poster

Abbildung 4. Hauptfunktionen des ISAS

Abbildung 5. Metrics for Awareness

Abbildung 6. Phishing-Mail des USMA

Abbildung 7. Fragebogen zur Erhebung von Wissen, Awareness und Verhalten

Abbildung 8. Awareness-Modell

Abbildung 9. Beispielfragen der Dimensionen

Abbildung 10. Forschungsmodell zur Erklärung von Sicherheitsverhalten

Abbildung 11. Übersicht der Hypothesen

Tabellenverzeichnis

Tabelle 1: Variablenübersicht mit Prädiktor und Kriterium für die einzelnen Hypothesen

Tabelle 2: Änderungen der Items im eingesetzten Fragebogen nach dem Pretest

Tabelle 3: Itemschwierigkeiten, Trennschärfen und Itemvarianzen der Subskalen

Tabelle 4: Interne Konsistenzen der Subskalen

Tabelle 5: Deskriptive Ergebnisse

Tabelle 6: Ergebnisse des Kolmogorov-Smirnov-Anpassungstests

Tabelle 7: Ergebnisse der Hypothesenprüfung für den ersten Hypothesenblock

Tabelle 8: Ergebnisse der Hypothesenprüfung für den zweiten Hypothesenblock

Tabelle 9: Ergebnisse der Hypothesenprüfung für den ersten Hypothesenblock

Tabelle 10: Verteilung der Antworten zum Umgang mit sensiblen Daten

Tabelle 11: Mittelwerte der Itemschwierigkeiten und Trennschärfen für die Subskalen

Abstract

In dieser Arbeit wird ein Fragebogen zur Messung von Security Awareness entwickelt und im Rahmen einer empirischen Untersuchung eingesetzt. Die Erkenntnis, dass in vielen Fällen die eigenen Mitarbeiter Innen für Sicherheitsverletzung im Unternehmen verantwortlich sind, führt zu einem erhöhten Bedarf an Sicherheitslösungen nicht nur auf technischer, sondern vor allem auf personeller Ebene. Zu diesen Lösungen zählt unter anderem die Erhöhung des Sicherheitsbewusstseins der Mitarbeiter Innen durch Security Awareness Kampagnen. Solche Maßnahmen werden mittlerweile in den meisten größeren Unternehmen umgesetzt. Es mangelt bisher jedoch an geeigneten Instrumenten mit denen das Sicherheitsbewusstsein von Mitarbeiter Innen erfasst werden kann, um gezielte Maßnahmen ergreifen zu können und Erfolge von Awareness Kampagnen messbar zu machen. Die Ergebnisse dieser Arbeit zeigen, dass auf der Grundlage sozialpsychologischer Theorien wie der Theory of Reasoned Action und der Protection Motivation Theory eine Operationalisierung des Sicherheitsbewusstseins und die Vorhersage von sicherheitsrelvantem Verhalten möglich sein kann. Es konnte gezeigt werden, dass es positive Zusammenhänge zwischen den Variablen „moralische Verpflichtung“, „subjektive Norm“, „Einstellung“, „Verhaltensabsicht“ und „Verhalten“ der Theory of Reasoned Action und organisationalen Faktoren bzw. der Variable „Selbstwirksamkeit“ der Protection Motivation Theory gibt. Außerdem wurde deutlich, dass bereits die Messung der Security Awareness das Sicherheitsbewusstsein steigern kann.

1 Einleitung

Seitdem Drucker (1986) seine Ausführungen über die „knowledge society“ veröffentlichte, gelten Wissen, Know-how und Informationen als wichtigste strategische Schlüsselressource für unternehmerischen Erfolg und Wettbewerbsfähigkeit (Wagner, 2007). Der Verlust dieser Ressourcen in Form von Forschungsergebnissen oder Firmengeheimnissen stellt aus Sicht des Bundeskriminalamtes „einen unwiederbringlichen materiellen und immateriellen Schaden dar, der auch existenzbedrohend sein kann.“ (KPMG, 2013, S. 6). Folglich sollte ein Unternehmen hohen Wert auf den Schutz dieser Ressourcen legen und potenziellen Gefahren entgegenwirken. Die Enthüllungen der NSA-Affäre im Jahr 2013, sowie die jüngste Warnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), dass rund 16 Millionen Zugangsdaten in Form von E-Mail Adressen und Passwörtern in die Hände von Kriminellen geraten sind, verdeutlichen die Gefahren, die die Fortschritte in der Informations- und Kommunikationstechnologie mit sich bringen. Neben Wirtschaftsspionage und Datendiebstahl, stellen aber oftmals auch die eigenen Mitarbeiter Innen eine Gefahr dar. Studien belegen seit einigen Jahren (z.B. Deloitte, 2007 & Deloitte 2010; KPMG, 2013), dass Sicherheitsverletzungen zu einem erheblichen Teil durch die eigenen Mitarbeiter Innen verursacht werden. Bei einer Befragung von 169 Unternehmen wurde „Human Failure“ von 79% der befragten Unternehmen als Grundursache für Sicherheitsprobleme in hren Informationssystemen genannt (Deloitte, 2007, S. 25). Laut einer Studie des Sicherheitsforums Baden-Württemberg (2010), in der die Angaben von 239 Industrie- und Dienstleistungsunternehmen ausgewertet wurden, stellt jedoch nur jedes zweite Unternehmen sicher, dass sensible Informationen nur ausgewählten Personen bekannt sind. In einer Studie der Wirtschaftsprüfung KPMG (2012) gaben nur 34% der befragten Unternehmen an, ihre Mitarbeiter Innen in Bezug auf Wirtschaftskriminalität zu schulen.

Die Herausforderung betriebsinterner Sicherheit ist durch die Nutzung mobiler Endgeräte, drahtloser Netzwerke und Social Media so groß, wie nie zuvor. Die möglichen Gefahren reichen dabei vom Verlieren eines Laptops bis zu unbeabsichtigtem Teilen sensibler Informationen bei der Nutzung von Social Media (Deloitte, 2010, S. 16).

In einem Positionspapier zu den Abhörmaßnahmen der Geheimdienste aus Großbritannien und den USA fordert der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) Konsequenzen aus der Abhöraffäre und stellt an die Politik gerichtete Forderungen auf. Eine der insgesamt neun Forderungen thematisiert das Sicherheitsbewusstsein von Privatpersonen und Unternehmen und ruft zur Stärkung der Sicherheitskultur in Deutschland auf. Als geeignete Maßnahmen werden hier Schulungen und Weiterbildungsmaßnahmen genannt, die Unternehmensmitarbeiter und Bürger in die Lage versetzen sollen, richtig mit sensiblen Daten umzugehen, damit diese etwa bei der Datenspeicherung oder deren Bekanntgabe über mögliche Folgen informiert sind (BITKOM, 2013, S.6). Für das Sicherheitsbewusstsein im Arbeitsumfeld hat sich in der Fachliteratur der Begriff Security Awareness etabliert. Neben schriftlich festgehaltenen Verhaltensgrundsätzen oder Richtlinien zum Umgang mit sensiblen Daten, zählt die Sensibilisierung der Mitarbeiter durch Security Awareness Trainings zur Verbesserung des Sicherheitsbewusstseins zu den wichtigsten Maßnahmen, um eine Sicherheitskultur zu schaffen. Die Wirtschaftsprüfungsgesellschaft KPMG (2013) stellt heraus, dass in den Unternehmen eine „fehlende und ungenügend verankerte Sicherheitskultur inzwischen zumindest mehrheitlich als Schwachstelle erkannt wird.“ (KPMG, 2013, S. 29). In einer Studie des Computer Security Institute (CSI) gaben bereits 85% der befragten Unternehmen an, eine Form von Security Awareness Training durchzuführen. Von diesen Unternehmen setzten jedoch nur 34% auch Techniken ein, um die Effektivität dieser Maßnahmen zu messen (CSI, 2011, S. 38).

Wie Security Awareness und die Wirkung von Security Awareness Trainings gemessen werden kann, ist daher Thema dieser Arbeit. Auf der Grundlage potenzieller Sicherheitsrisiken in Unternehmen und der Untersuchung verschiedener Ansätze zur Messung von Security Awareness soll ein Onlinefragebogen entwickelt und validiert werden. Dabei ist die vorliegende Arbeit wie folgt aufgebaut: Das zweite Kapitel befasst sich zunächst mit verschiedenen Formen der Wirtschaftskriminalität, von denen Unternehmen betroffen sein können. Anschließend wird der Begriff Security Awareness erläutert und ein Überblick über den Stand der bisherigen Forschung zur Messung dieses Konstrukts gegeben. Basierend auf diesen theoretischen Grundlagen werden im dritten Kapitel Hypothesen abgeleitet. Auf Grundlage verschiedener Ansätze zur Messung von Security Awareness wird im vierten Kapitel der daraus entwickelte Fragebogen vorgestellt. Die Ergebnisse der durchgeführten Studie werden im fünften Kapitel präsentiert. Im darauffolgenden sechsten Kapitel werden das Messinstrument und die Ergebnisse der Hypothesenprüfung diskutiert. Abschließend wird im siebten Kapitel ein Fazit gezogen und ein Ausblick auf die zukünftige Forschung gegeben.

2 Theoretischer Hintergrund

In diesem Kapitel soll zunächst auf verschiedene Formen der Wirtschaftskriminalität eingegangen werden, die für die Erfassung des Sicherheitsbewusstseins von Mitarbeiter Innen relevant sind. Danach erfolgt eine Definition des Begriffs Security Awareness und es wird ein Überblick über verschiedene Ansätze zur Messung von Security Awareness und den bisherigen Stand der Forschung gegeben.

2.1 Wirtschaftskriminalität

Obwohl in den vergangenen fünf Jahren jährlich bis zu 100.000 Fälle von Wirtschaftskriminalität registriert wurden (BMI, 2013), existiert in Deutschland keine Legaldefinition für die Beschreibung der Wirtschaftskriminalität. Bei der Zuordnung von Straftaten zur Wirtschaftskriminalität orientieren sich die Behörden daher an dem Katalog §74c Abs. 1 Nr. 1 bis 6b des Gerichtsverfassungsgesetzes, in dem unterschiedlichste Delikte, wie z.B. Betrug, Industriespionage oder Korruption aufgeführt sind. Das Forum Wirtschaftskriminalität schlägt für die Praxis folgende Definition vor: „Wirtschaftskriminalität ist die Summe der Straftaten und Ordnungswidrigkeiten, die in Organisationen, an Organisationen und durch Organisationen begangen werden. Hierbei wird die Mitarbeiterkriminalität mit eingeschlossen.“ (Forum Wirtschaftskriminalität, ohne Datum). Laut einer Studie der KPMG aus dem Jahr 2012 war in den Jahren 2010 und 2011 knapp jedes vierte Unternehmen mit mehr als neun Beschäftigten von Wirtschaftskriminalität betroffen. Datendiebstahl bzw. Datenmissbrauch bildeten mit 31% die dritthäufigste Deliktart nach Betrug/Untreue und Diebstahl/Unterschlagung (KPMG, 2012, S. 11).

Da sich die vorliegende Arbeit mit dem Sicherheitsbewusstsein in Zusammenhang mit Computersicherheit und dem Umgang mit sensiblen Daten beschäftigt, wird im Folgenden lediglich auf Teilaspekte der Wirtschaftskriminalität – die Industrie- und Wirtschaftsspionage und e-Crime – eingegangen.

2.1.1 Industrie- und Wirtschaftsspionage

Beiden Begriffen gemein ist die Tatsache, dass es sich um eine Form von Spionage handelt, durch die ein wirtschaftlicher Vorteil gewonnen werden soll (Wolff, 2009). In der Literatur wird aber zwischen staatlicher bzw. nachrichtendienstlicher Wirtschaftsspionage und privater Industriespionage unterschieden. Bei Lux und Peske (2002) wird Wirtschaftsspionage als „jede illegale Tätigkeit, deren Ziel die Beschaffung und Verwertung von Informationen über ein Unternehmen oder von Informationen, die in einem Unternehmen benutzt oder gewonnen werden.“ beschrieben (S. 29). Auf ähnliche Weise wird der Begriff auch durch das Bundesamt für Verfassungsschutz definiert. Hier wird Wirtschaftsspionage als „staatlich gelenkte oder gestützte, von fremden Nachrichtendiensten ausgehende Ausforschung von Wirtschaftsunternehmen und Betrieben“ bezeichnet (BFV, 2006, zitiert nach Wagner, 2007, S.16). Unter Industriespionage wird dagegen die „Aneignung geheim gehaltener Informationen (...) privatwirtschaftlicher Institutionen und Einzelpersonen.“ verstanden (Wolff, 2009, S. 20), daher wird sie häufig auch Konkurrenzspionage oder Konkurrenzausspähung genannt.

Trotz der unterschiedlichen Täterkreise und Motive, geht von beiden Phänomenen eine ähnlich hohe Gefahr für Unternehmen aus, die sich in Kombination mit Informations- und Kommunikationstechnologien in sogenannten e-Crime-Delikten äußert. Diese werden im folgenden Abschnitt näher erläutert.

2.1.2 e-Crime

Als e-Crime (auch Cybercrime) wird die „Ausführung von wirtschaftskriminellen Handlungen unter Einsatz von Informations- und Kommunikationstechnologien zum Schaden einer Einzelperson, eines Unternehmens oder einer Behörde“ bezeichnet (KPMG, 2013, S.11). Darunter fällt sowohl Sachbeschädigung, wie z.B. die Beschädigung von Computersystemen, als auch der Diebstahl von Kundendaten oder Geschäftsgeheimnissen. Bei einer branchenübergreifenden Befragung von 700 Führungskräften in Deutschland, Österreich und der Schweiz, gab ein Viertel der Befragten an, in den Jahren 2011 und 2012 von e-Crime betroffen gewesen zu sein (KPMG, 2013). Dabei zählten Computerbetrug und Datendiebstahl zu den häufigsten Deliktarten (siehe Abbildung 1).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1. Häufigkeit verschiedener e-Crime-Delikte (KPMG, 2013)

Als Gefahrenquellen für das Auftreten dieser Delikte werden die mobile Kommunikation und die Nutzung mobiler Datenträger (KPMG, 2013, S. 8), sowie Unachtsamkeit und mangelndes Risikobewusstsein (KPMG, 2013, S. 9) genannt. Die Agentur secure-it.nrw (2006) hat in Zusammenarbeit mit dem Ministerium für Innovation, Wissenschaft, Forschung und Technologie des Landes Nordrhein-Westfalen die „größten durch sorglose Mitarbeiter hervorgerufenen Gefahren für die Firmen-IT“ (S. 10) identifiziert. Dazu zählen Passwörter auf Post-its am Arbeitsplatz, Öffnen von E-Mail Anhängen unbekannter Sender, Auswahl schwacher Passwörter, Weitergabe von Passwörtern oder Firmendaten und die Geheimhaltung von Sicherheitsvorfällen.

Von Solms (2000) hält fest: ”employees are in most cases the biggest danger to a company`s IT system“ (S. 4). Daher ist neben der Nutzung von Sicherheitstechnologien und der Einhaltung von Sicherheitsrichtlinien vor allem die Kenntnis der Angriffstechniken nötig, um e-Crime Attacken erkennen und verhindern zu können. Im Folgenden werden verschiedene Angriffsarten erläutert, die durch aufmerksame und risikobewusste Mitarbeiter Innen abgewehrt werden können.

2.1.2.1 Social Engineering

Unter „Social Engineering“ werden Techniken der Beeinflussung von Menschen verstanden, die insbesondere dazu eingesetzt werden, um unberechtigt an Daten oder Informationen zu gelangen oder ein regelwidriges Verhalten zu bewirken. (Fox, 2013, S. 1). Lardschneider (2008) definiert Social Engineering als „eine Form des Informationsdiebstahls durch gezieltes Manipulieren von Menschen zu denen im Vorfeld ein ausschließlich diesem Zweck dienendes Vertrauensverhältnis aufgebaut wurde.“ (S. 3). Durch die Nutzung sozialer Netzwerke, in denen Mitarbeiter Innen oftmals unbewusst vertrauliche Unternehmens- und Mitarbeiterinformationen preisgeben (KPMG, 2013), ist es für Angreifer leichter, Anknüpfungspunkte für ein zwangloses Gespräch zu finden oder Vertrautheit vorzutäuschen. Häufige Szenarien sind Anrufe, in denen sich der Angreifer als Techniker ausgibt, der dringend ein Passwort benötigt, um ein Problem zu beheben. Durch die vorgespielte Autorität und den vermeintlichen Zeitdruck, ist die Erfolgswahrscheinlichkeit, bei ungeschulten Mitarbeiter Innen an die gewünschten Informationen zu gelangen, hoch (Fox, 2013). Um Social Engineering Angriffe zu verhindern, sollte zum einen in einer Policy festgehalten und anschließend vermittelt werden, dass bestimmte Passwörter an niemanden weitergegeben werden dürfen (Penta Safe, 2002), zum anderen müssen Mitarbeiter Innen in einer fortlaufenden Sensibilisierung über verschiedene Angriffsarten aufgeklärt werden und ein gesundes Misstrauen entwickeln (Lipski, 2009).

2.1.2.2 E-Mails

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet einen Anstieg individualisierter E-Mails, die zum Öffnen einer angehängten Datei (Schadsoftware) oder zum Besuch einer Website (Phishing) auffordern (BSI, 2013). Unter den Begriff Schadsoftware (auch Malware genannt) fallen Viren, Würmer und Trojanische Pferde, die allesamt dem Zweck dienen, unerwünschte oder schädigende Funktionen auf dem betroffenen Computer auszuführen und durch E-Mails oder den Besuch von Webseiten übertragen werden können (Gabler Wirtschaftslexikon). Der Begriff Phishing geht auf das „Fischen“ nach Passwörtern und Kreditkarteninformationen zurück (Fox, 2005). Ein Phishing-Angriff besteht in der Regel aus einer E-Mail, in der der Empfänger unter einem Vorwand dazu aufgefordert wird, eine bestimmte Internet-Adresse aufzusuchen, sowie einer Webseite, die im Corporate Design des vorgetäuschten E-Mail Absenders gestaltet ist (Fox, 2005). Dort wird der Benutzer zur Eingabe seiner Zugangsdaten aufgefordert. Diese Daten werden von den Angreifern abgefangen und ermöglichen den Zugang zu sensiblen Informationen. Oft sind die Webseiten zusätzlich mit einer Schadsoftware versehen. Diese dient dem Ziel der Kontrollübernahme des Rechners und anschließender Spionage (BSI, 2013). In einer Befragung des Computer Security Institute wurde die Infizierung mit Schadsoftware als die meist verbreitete Angriffsart identifiziert (CSI, 2011).Bei sensiblen Mitarbeiter Innen ist die Gefahr, dass diese den Anhang einer E-Mail von einem unbekannten Absender öffnen, relativ gering. Durch sogenannte Botnetze, die die Kontrolle über einen mit Schadsoftware infizierten Computer ermöglichen, kann es jedoch sein, dass eine Spam- oder Phishing-Mail über die E-Mail Adresse einer vertrauten Person verschickt wird, ohne dass diese davon weiß (BSI, 2013). Daher sollten auch E-Mail-Anhänge von Personen, die den Mitarbeiter Innen bekannt sind, nur dann geöffnet werden, wenn Sender und Empfänger zuvor persönlich über den Austausch von Dateien gesprochen haben (Penta Safe, 2002). Um Phishing-Angriffe abzuwehren, helfen neben Spam-Filtern auf der technischen Ebene, vor allem Schulungen, damit die Mitarbeiter Innen Phishing-Mails besser identifizieren und geeignete Maßnahmen ergreifen können, wie z.B. einen Systemadministrator zu informieren (Khonji,, Iraqi & Jones, 2013).

Zusammenfassend kann festgehalten werden, dass der Verlust und Missbrauch sensibler Daten, sowohl durch Hacking-Angriffe per E-Mail oder über Webseiten, als auch durch Social Engineering, in vielen Fällen von sensibilisierten Mitarbeiter Innen verhindert werden kann. So hält auch Deloitte (2010) fest: ”Internal security risks and human error can never be entirely eliminated. But with the right combination of training and data protection, they can be reduced to manageable levels.“ (S. 17).

2.2 Security Awareness

Nachdem die möglichen Gefahren und geeignete Verhaltensweisen, um diese abzuwehren, erläutert wurden, soll nun der Begriff Security Awareness definiert werden. Dazu werden verschiedene Definitionen betrachtet und Methoden zur Erhöhung sowie Ansätze zur Messung von Security Awareness vorgestellt.

2.2.1 Security Awareness: Eine Definition

Der Schutz sensibler Daten und Informationen, der im deutschsprachigen Raum als Informationssicherheit bezeichnet wird, entspricht im englischen dem Ausdruck „information security“. Daher ist in der englischen Literatur auch häufig die Bezeichnung „Information Security Awareness“ zu finden. Im Rahmen dieser Arbeit werden die Begriffe „Security Awareness“, „Information Security Awareness“ und „Sicherheitsbewusstsein“ synonym verwendet.

Bisher hat sich in der Literatur keine einheitliche Definition für Security Awareness durchgesetzt. Die größten Differenzen zwischen den unterschiedlichen Definitionen bestehen darin, dass Security Awareness von einigen Autoren (z.B. Kruger & Kearney, 2006; Mathisen, 2004; Vroom & von Solms, 2004) deutlich von den Begriffen „education“ und „training“ abgegrenzt wird, während andere Autoren die drei Begriffe synonym verwenden oder einen der Begriffe als Teilaspekt der anderen verwenden (z.B. Furnell et al., 2002; Spurling, 1995; Thomson, 1999). Kritzinger (2006) grenzt die Begriffe wie folgt voneinander ab: “Awareness stimulates and motivates those being trained to care about security and to remind them of important security practices.“; das Ziel von Security Training dagegen lautet: ”to teach people skills that will enable them to perform their jobs more securely.“ (S. 301). Security Education ist nach Kritzinger nur an Sicherheitsfachleute und solche Personen gerichtet, deren Job Fachkenntnisse im Bereich der Sicherheit erfordert. Im Vergleich dazu betrachtet Siponen (2000) „education“ und „training“ lediglich als Teilaspekte von Security Awareness. Eine ausführliche Analyse und Darstellung der unterschiedlichen Definitionen finden sich bei Tsohou, Kokolakis, Karyda und Kiountouzis (2008).

In dieser Arbeit soll Security Awareness als eigenständiges Konstrukt behandelt werden. Den weiteren Ausführungen und dem entwickelten Messinstrument werden daher folgende Definitionen zu Grunde gelegt: Rantos, Fysarakis und Manifavas (2012) beschreiben Security Awareness im Unternehmensumfeld als “the knowledge and attitude employees possess regarding the protection of the physical and information assets of their organization“ (S. 328). Penta Safe (2006) definiert das Konstrukt im Security Awareness Index Report als ”the understanding by people of their role in ensuring the security of information and information technology and their ability to make prudent decisions“ (S. 9). Zerr (2007) definiert Sicherheitsbewusstsein wie folgt:

Sicherheitsbewusstsein ist die gedankliche Auseinandersetzung eines Mitarbeiters mit den Risiken, die sich aus unvorhergesehenen externen Ereignissen („höhere“ Gewalt), kriminellen Energien anderer Menschen oder aus seinem eigenen (Fehl-)Verhalten im Umgang mit Arbeitsergebnissen, eingesetzten Arbeitsmitteln und Technologien für seinen Arbeitgeber hinsichtlich der angestrebten Unternehmensziele ergeben können. (Zerr, 2007, S. 519).

Daraus lassen sich die Komponenten „Wissen“, „Einstellung“ und „Verhalten“ als zentrale Aspekte von Security Awareness extrahieren. Durch welche Maßnahmen diese Komponenten zu Gunsten eines höheren Sicherheitsbewusstseins in der Praxis beeinflusst werden sollen, wird im nächsten Abschnitt beschrieben.

2.2.2 Security Awareness Kampagnen

Entsprechend der unterschiedlichen Auffassung von Security Awareness, werden mit Awareness Kampagnen auch unterschiedliche Ziele angestrebt. Diese reichen von der Erhöhung der Aufmerksamkeit bis hin zur Verhaltensänderung der Mitarbeiter Innen. Nach Maßnahmen zur Verbesserung des Risikobewusstseins gefragt, gaben 87% der 169 befragten Unternehmen aus dem Finanzsektor an, in den letzten zwölf Monaten mindestens eine Lerneinheit zu Sicherheit und Datenschutz abgehalten zu haben (Deloitte, 2007). Abbildung 2 zeigt die am häufigsten genannten Methoden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2. Häufigkeit eingesetzter Awareness-Maßnahmen im Finanzsektor (Deloitte, 2007)

Die European Network and Information Security Agency (ENISA) stellt in ihrem Handbuch „How to raise information security awareness“ einen Ansatz vor, den sie selbst als “change management approach“ (S. 25) bezeichnet (ENISA, 2010). Dieser Ansatz geht also weit über das Ziel der Aufmerksamkeitserhöhung hinaus, denn durch die empfohlenen Maßnahmen, wie ”training and educational programmes“ (S. 18) soll bei den Mitarbeiter Innen ein ”change in behaviour and culture“ (S. 26) erreicht werden. Auch Power und Forte (2006) setzen ihrem Programm ”a corporate culture change“ (S. 1) zum Ziel. Im Gegensatz dazu grenzen Wilson und Hash (2003) die Begriffe Awareness, Training und Education explizit voneinander und stellen ein “awareness-training-education continuum“ (S. 18) vor, wonach sich der Lernprozess in drei Ebenen gliedert: “it starts with awareness, builds to training, and evolves into education“ (S. 18). Im ersten Schritt („awareness“) geht es darum, die Aufmerksamkeit auf das Thema Sicherheit zu lenken. In Teamsitzungen und durch Poster (siehe Abbildung 3) sollen die Mitarbeiter Innen befähigt werden, Gefahren zu erkennen und angemessen darauf zu reagieren. So sollte beispielsweise eine Awareness Sitzung zum Thema Virenschutz nach Wilson und Hash (2003) folgende Informationen vermitteln: ”what a virus is, what can happen if a virus infects a user`s system, what the user should do to protect the system, and what the user should do if a virus is discovered“ (S. 20). Darauf aufbauend sollen auf der zweiten Ebene im Rahmen eines Trainings ”security skills“, also konkrete sicherheitsrelevante Fähigkeiten, die speziell auf die verschiedenen Funktionen der einzelnen Mitarbeiter Innen abgestimmt sind, erlernt werden. Auf ähnliche Weise unterscheidet auch Hansche (2001) Awareness und Training voneinander und setzt seinem Awareness Programm ”good security habits“ (S. 16) zum Ziel. Die dritte Ebene (”education“) ist bei Wilson und Hash (2003), so wie auch zuvor bei Kritzinger (2006) beschrieben, in erster Linie auf Fachleute und Personen in höheren Positionen ausgerichtet: ”Education integrates all of the security skills and competencies of the various functional specialities into a common body of knowledge and strives to produce IT security specialists and professionals capable of vision and proactive response.“

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3. Beispiele für ein Awareness-Poster (NIST, 2003)

Auch Chen, Shaw & Yang (2006) streben mit ihrem Programm eine Erhöhung des Sicherheitsbewusstseins und eine Verhaltensänderung an. Zu diesem Zweck entwickelten sie eine Pilotversion eines Information Security Awareness System (ISAS) in Form einer e-learning Plattform und evaluierten diese über einen Zeitraum von sechs Monaten in einem global agierenden Versicherungsunternehmen. Die Anforderungen des Unternehmens an das ISAS waren erstens, erlebte Sicherheitsvorfälle über Diskussionsforen und Neuigkeiten zu teilen und zweitens, eine e-learning-Umgebung zur Verbesserung des Sicherheitsbewusstseins anzubieten. Daraus entwickelten Chen et al. (2006) die in Abbildung 4 aufgeführten Hauptfunktionen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4. Hauptfunktionen des ISAS (Chen et al., 2006)

Sowohl die News- und Diskussions-Rubriken, als auch die Tests konnten individuell auf einzelne Nutzer abgestimmt werden. Diese Aufbauweise erwies sich als sehr effektiv und wird von Chen et. al (2006) als zwingend erforderlich angesehen, um individuellen Bedürfnissen der Mitarbeiter gerecht werden zu können und die Motivation, sich mit dem Thema Sicherheit auseinanderzusetzen, zu erhöhen. Albrechtsen (2007) stellte im Rahmen einer qualitativen Befragung von Mitarbeiter Innen fest, dass einseitige Kommunikation im Sinne eines Vortrags von Sicherheitsexperten einen geringen Effekt auf die Verhaltensänderung der Mitarbeiter Innen hat. Die Befragten bevorzugten Maßnahmen, durch die sie involviert werden, wie z.B. Security Workshops, in denen die Informationen selbst erarbeitet und reflektiert werden. Dieser partizipative Ansatz wird auch von Albrechtsen und Hovden (2010) als geeignetes Mittel zur Verbesserung der Security Awareness vorgeschlagen. Obwohl diese sehr zeitintensive Art der Sensibilisierung präferiert wurde, gaben die Befragten gleichzeitig an, keine Zeit für Fragen der Informationssicherheit aufbringen zu können. Albrechtsen (2007) schlägt daher für die weitere Forschung vor, die Kosteneffizienz der Nutzerbeteiligung in Security Awareness Maßnahmen zu untersuchen. Ein zugleich interaktives und individualisierbares Programm wurde von Furnell, Gennatou und Dowland (2002) entwickelt. Bestehend aus einer Datenbank mit Informationen über mögliche Sicherheitsmaßnahmen (z.B. Virenschutzssoftware) und einer Auswahl von Szenarien, in denen diese angewendet werden können (z.B. Phishing-Mails), erlaubt dieses Programm seinen Nutzer Innen, verschiedene Maßnahmen in den vorgestellten Szenarien auszuprobieren und ein Verständnis für die Konsequenzen bestimmter Handlungen zu erlangen. Die Szenarien können dabei individuell auf den Kompetenz- und Verantwortungsbereich der Nutzer Innen abgestimmt werden. Auch Rhee, Kim und Ryu (2009) stellten fest, dass Vorträge und Vorschriften allein bei der Implementierung von Sicherheitsmaßnahmen wenig effektiv sind. Stattdessen sollten Awareness Kampagnen mithilfe interaktiver Trainings die Selbstwirksamkeit erhöhen. Rhee et al. (2009) konnten zeigen, dass Selbstwirksamkeit im Umgang mit Computern einen positiven Einfluss auf das Sicherheitsverhalten (z.B. die Nutzung von Sicherheitssoftware) und auf die Absicht, den Sicherheitsaufwand zu erhöhen, hat.

Unabhängig davon, welches Ziel eine Kampagne verfolgt und durch welche Maßnahmen dieses Ziel erreicht werden soll, ist eine Evaluation dieser Bemühungen und deren Ergebnisse sinnvoll. Nur so ist es möglich festzustellen, ob Investitionen zur Steigerung des Sicherheitsbewusstseins effizient eingesetzt werden und inwieweit die Maßnahmen gegebenenfalls optimiert werden müssen (Zerr, 2007). In den nächsten Abschnitten werden daher verschiedene Ansätze zur Messung von Security Awareness und Evaluation von Awareness Kampagnen vorgestellt.

2.2.3 Ansätze zur Messung von Security Awareness

Abhängig davon, welche Definition dem Verständnis von Security Awareness zu Grunde liegt und welches Ziel mit der Messung verfolgt wird, bieten sich unterschiedliche Ansätze für die Messung des Sicherheitsbewusstseins an. Diese können grob in zwei Richtungen unterschieden werden: auf der einen Seite finden sich Ansätze zur Evaluation einer Awareness Kampagne im Sinne einer Erfolgsmessung, auf der anderen Seite soll kampagnenunabhängig das Security Awareness Level der Mitarbeiter Innen oder die Einflussfaktoren des Sicherheitsverhaltens untersucht werden. Beide Vorgehensweisen werden im Folgenden vorgestellt.

2.2.3.1 Evaluation von Security Awareness Kampagnen

Nach Mathisen (2004) besteht das Problem bei der Messung von Security Awareness in der Diskrepanz zwischen den Aussagen der Mitarbeiter Innen zu ihrem Sicherheitsbewusstsein und ihrem tatsächlichen Handeln. Unter der Annahme, dass sich das Sicherheitsbewusstsein in beobachtbarem Verhalten äußert, erscheint daher eine Betrachtung quantifizierbarer Handlungen sinnvoll. So schlägt Mathisen (2004) für die Evaluation eines Awareness Programms z.B. die Erfassung der Anzahl der Mitarbeiter Innen vor, die ihren Schreibtisch nach der Arbeit „clean“ hinterlassen oder das Verhältnis von Dokumenten, die mit einem Aktenvernichter entsorgt wurden im Vergleich zu Dokumenten, die in den Papierkorb geworfen wurde (siehe Abbildung 5).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5. Metrics for Awareness (Mathisen, 2004)

Dodge, Carver und Ferguson (2007) evaluierten ihr Anti-Phishing-Programm an der United States Military Academy (USMA), indem sie den Studierenden Phishing-Mails sendeten, die zur Öffnung eines Anhangs oder zur Eingabe von Passwörtern auf verlinkten Webseiten aufforderten und die Reaktionen der Studierenden protokollierten (siehe Abbildung 6). Die E-Mails wurden so konzipiert, dass die Studierenden durch den Betreff (Problem bei der Eintragung einer Note) zwar ein hohes Interesse haben, die E-Mail zu öffnen, bei näherem Hinsehen jedoch bemerken, dass die E-Mail gefälscht ist.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6. Phishing-Mail des USMA (Dodge et al., 2007)

Da es an der USMA weder einen Colonel (COL) Melville, noch eine siebte Etage in der Washington Hall gibt, erwarteten Dodge et. al (2007) von aufmerksamen Studierenden[HB1] , die Phishing-Mail auch als solche zu erkennen. Zudem wurde angenommen, dass Studierende[HB2] aus höheren Semestern seltener auf die E-Mail hereinfallen würden, weil sie häufiger an den halbjährlich stattfindenden Security Trainings teilgenommen haben. Die Ergebnisse zeigen, dass „Freshman“ doppelt so oft auf die E-Mails hereinfielen wie „Seniors“. Außerdem berichteten über 60% der „Seniors“ ihren Vorgesetzten von dem Vorfall. Bei den „Freshman“ taten dies weniger als 10%. Um den Effekt eines e-learning Tools auf das Sicherheitsbewusstsein der Mitarbeiter Innen zu untersuchen, ließen Hagen und Albrechtsen (2009) ihre Versuchspersonen jeweils vor der Teilnahme an einem e-learning Programm und drei Wochen nach Beendigung des Programms einen Fragebogen bezüglich ihres Wissens, ihrer Awareness und ihres Verhaltens ausfüllen (siehe Abbildung 7).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7. Fragebogen zur Erhebung von Wissen, Awareness und Verhalten (Hagen & Albrechtsen, 2009)

Die erhobenen Daten wurden mit Beschäftigten derselben Firma verglichen, die jedoch nicht an dem e-learning Programm teilgenommen haben. Hagen und Albrechtsen (2009) konnten zeigen, dass sich das Sicherheitswissen, -bewusstsein und -verhalten durch Einsatz des e-learning Tools signifikant verbessert hat. Eine Folgestudie, in der derselbe Fragebogen acht Monate nach Einsatz des Tools verwendet wurde, zeigte eine weiterhin positive Entwicklung in der Awareness und dem Verhalten der Mitarbeiter Innen. Hinsichtlich des Sicherheitswissens konnte jedoch keine Langzeitwirkung gemessen werden (Hagen, Albrechtsen & Johnsen, 2010). Die Autoren kommen daher zu dem Schluss, dass Sicherheitstrainings kontinuierlich durchgeführt werden müssen, um dauerhaften Erfolg gewährleisten zu können.

2.2.3.2 Kampagnenunabhängige Erhebung von Security Awareness

Zerr (2007) stellt einen Ansatz vor, der sowohl zur kampagnenunabhängigen Erhebung von Security Awareness (Security Status), als auch zur Erfolgskontrolle einer Awareness Kampagne genutzt werden kann (Kampagnen-Check). Anhand sozialwissenschaftlicher Überlegungen zur Einstellungsänderung identifiziert Zerr (2007) vier Einflussfaktoren, die neben der sozialen und medialen Umwelt und Awareness Kampagnen auf die Ausbildung des Sicherheitsbewusstseins der Mitarbeiter Innen einwirken (siehe Abbildung 8).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 8. Awareness-Modell (Zerr, 2007)

Die Unternehmensphilosophie besteht hierbei aus Sicherheitskultur und -richtlinien. Wie sich diese auf die Aufgabenbewältigung der Mitarbeiter Innen auswirken, wird in der Skala „Einfluss auf Aufgabenbewältigung“ abgefragt. Die Eigenverantwortung misst, inwiefern die Mitarbeiter Innen sich selbst in der Lage sehen, etwas zur Unternehmenssicherheit beizutragen. Die Skala zu Management Attention fragt die von den Mitarbeiter Innen wahrgenommene Bedeutung des Themas bei den Führungskräften ab. Die daraus entwickelten Items werden mit einer 5-stufigen Likert-Skala abgefragt. Nach der Auswertung ergibt sich daraus der Security Awareness Index (SAI), der einen Wert zwischen 0 und 100 annehmen kann. Liegt dieser unter 50, wird von einem geringen Sicherheitsbewusstsein ausgegangen. Ein SAI zwischen 50 und 75 bedeutet ein mittleres, ein SAI über 75 ein hohes Sicherheitsbewusstsein. Soll das Awareness-Modell zur Evaluation einer Kampagne eingesetzt werden, kommen in t2 zusätzliche Fragen, die den Inhalt der Kampagne betreffen, zum Einsatz. Bei einer Untersuchung in einem Telekommunikationsunternehmen wurden mithilfe des SAI im Erhebungszeitraum t0 44% der Mitarbeiter als unzureichend sicherheitsbewusst und nur 36% als sicherheitsbewusst identifiziert. In einer erneuten Erhebung nach Umsetzung einer Awareness-Kampagne (t2) hat sich die Anzahl der als sicherheitsbewusst einzustufenden Mitarbeiter um 21% erhöht (Zerr, 2007). Zerr weist darauf hin, dass die Messung der Security Awareness selbst bereits eine sensibilisierende Maßnahme darstellt. Diesen Ansatz verfolgten auch Egeler, Pandzic und Vinokurov (2006), die im Rahmen eines Seminars zum Thema Social Engineering einen Fragebogen entwickelten, dessen Hauptziel die Sensibilisierung der Mitarbeiter und nicht die Erfassung des Sicherheitsbewusstseins ist. Penta Safe (2002) gliedert Security Awareness in die Aspekte „Education and Training“, „Knowledge“ und „Perception and Attitude“ und entwickelt daraus verschiedene Items, die gemeinsam den Security Awareness Index ergeben. Zu Beginn wird der letzte Kontakt mit Trainings und Sicherheitsrichtlinien erfasst. Es folgen Fragen zur Auswahl der Passwörter, der Wahrscheinlichkeit, potentiell gefährliche E-Mail Anhänge zu öffnen und der Bereitwilligkeit, das eigene Passwort weiterzugeben. Abschließend werden Empfindungen und Einstellung zu Sicherheit und anderen Aspekten von Awareness abgefragt. Wie auch bei Zerr (2007), kann der SAI bei Penta Safe (2002) einen Wert zwischen 0 und 100 annehmen. Im Gegensatz zu Zerr (2007) wurde hierbei jedoch eine Gewichtung vorgenommen, die darauf beruht, wie stark ein Item nach Ansicht der Autoren das Sicherheitsbewusstsein reflektiert. Kruger und Kearney (2006) entwickelten ein 35 Fragen umfassendes Instrument mit den Dimensionen „Knowledge“, „Attitude“ und „Behaviour“. Dabei werden die Fragen zum Teil über eine 2-stufige Skala („True“, „False“) und zum Teil über eine 3-stufige Skala („True“, „Do not know“, „False“) beantwortet (siehe Abbildung 9).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 9. Beispielfragen der Dimensionen (Kruger & Kearney, 2006)

Jede der drei Dimensionen wurde zusätzlich in die folgenden sechs „Focus Areas“ unterteilt, die die wichtigsten Risikobereiche betreffen und von den Autoren als „Golden Rules“ bezeichnet werden: “1. Adhere to policies, 2. Keep password secret, 3. Use e-Mail and internet with care, 4. Be careful when using mobile equipment, 5. Report security incidents, 6. Actions carry consequences“ (S. 2). Analog zur Auswertung des SAI bei Penta Safe (2002), kann auch bei Kruger und Kearney (2006) ein Wert zwischen 0 und 100 erreicht werden, wobei 80-100 Punkte für ein gutes, 60-79 für ein mittleres und weniger als 59 Punkte für ein schlechtes Sicherheitsbewusstsein stehen. Ein umfassendes Modell für das Sicherheitsverhalten von Mitarbeiter Innen im Umgang mit Computern wird von Yoon & Kim (2013) vorgestellt (siehe Abbildung 10).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 10. Forschungsmodell zur Erklärung von Sicherheitsverhalten (Yoon & Kim, 2013)

Zur Erklärung des Sicherheitsverhaltens betrachteten sie Aspekte der Protection Motivation Theory und (PMT) und der Theory of Reasoned Action (TRA), sowie die moralische Verpflichtung und organisationale Faktoren. Vorhergegangene Studien zeigten, dass die Variablen „perceived severity“, „perceived vulnerability“, „perceived response effect“, „self efficacy“ und „response cost“ der PMT einen Einfluss auf das subjektive und objektive Sicherheitsverhalten haben (Workmann, Bommer & Straub, 2008) und dass die Variablen „subjective norm“ und „attitude“ der TRA die Verhaltensabsicht beeinflussen (Lee & Kozar, 2008). Ajzen (1991) weist darauf hin, dass in bestimmten Situationen nicht nur der soziale Druck („subjective norm“), sondern auch persönliche Gefühle und die moralische Verpflichtung bzgl. eines bestimmten Verhaltens betrachtet werden sollten (Ajzen, 1991, zitiert nach Yoon & Kim, 2013). Daher fügten Yoon und Kim (2013) ihrem Modell die Variable „moral obligation“ hinzu. Desweiteren gehen die Autoren davon aus, dass die subjektiven Normen eines Individuums im Unternehmen durch organisationale Normen beeinflusst werden. Yoon und Kim (2013) definieren organisationale Normen im Rahmen ihrer Studie wie folgt: ”In this study, organizational norms about computer security can be defined as normative beliefs related to computer security behaviors, shared by most of the members in an organization.“ (S. 407). Da Sicherheitsrichtlinien („security policies“) nach Lee, Lee und Yoo (2004) nicht nur Standards bezüglich der Computersicherheit vorgeben, sondern auch Pflichten in Bezug auf sicheres Verhalten formulieren, folgern Yoon und Kim (2013), dass die Sicherheitsrichtlinien die moralische Verpflichtung verstärken und die organisationalen Normen beeinflussen. Zur Überprüfung des Modells wurde jede Variable durch zwei bis vier Items auf einer 7-stufigen Likert-Skala von „strongly disagree“ bis „strongly agree“ abgefragt. Von den insgesamt dreizehn Hypothesen wurden lediglich zwei abgelehnt. Es konnte kein signifikanter Einfluss von wahrgenommenem Gefährdungspotenzial („Perceived Threat Vulnerability“) auf die Einstellung (H6) und kein signifikanter Einfluss der subjektiven Normen auf die Verhaltensabsicht („Computer Security Behavioral Intentions“) gezeigt werden (H1). Insgesamt konnte 61% der Varianz der Verhaltensabsicht bezüglich der Computersicherheit von Mitarbeiter Innen aufgeklärt werden.

Bisher hat sich in der deutschen Forschung und Praxis weder eine einheitliche Terminologie, noch ein theoretisch fundiertes Modell zur Messung des Sicherheitsbewusstseins etabliert. Im Rahmen dieser Arbeit sollen daher die verschiedenen Methoden und Erkenntnisse der vorgestellten Ansätze zur Messung von Security Awareness vereint und durch einen deutschsprachigen Fragebogen instrumentalisiert und validiert werden.

[...]

Ende der Leseprobe aus 63 Seiten

Details

Titel
Entwicklung und Validierung eines Fragebogens zur Erfassung von Security Awareness
Hochschule
Universität Duisburg-Essen  (Fachgebiet Wirtschafts- und Organisationspsychologie)
Note
1,1
Autor
Jahr
2014
Seiten
63
Katalognummer
V428767
ISBN (eBook)
9783668745230
ISBN (Buch)
9783668745247
Dateigröße
1439 KB
Sprache
Deutsch
Schlagworte
Security Awareness, IT-Sicherheit, Awareness, Sicherheitsbewusstsein, Theory of Reasoned, Action, Protection Motivation Theory
Arbeit zitieren
Lena Koldner (Autor), 2014, Entwicklung und Validierung eines Fragebogens zur Erfassung von Security Awareness, München, GRIN Verlag, https://www.grin.com/document/428767

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Entwicklung und Validierung eines Fragebogens zur Erfassung von Security Awareness



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden