In dieser Arbeit wird ein Fragebogen zur Messung von Security Awareness entwickelt und im Rahmen einer empirischen Untersuchung eingesetzt.
Die Erkenntnis, dass in vielen Fällen die eigenen MitarbeiterInnen für Sicherheitsverletzung im Unternehmen verantwortlich sind, führt zu einem erhöhten Bedarf an Sicherheitslösungen nicht nur auf technischer, sondern vor allem auf personeller Ebene. Zu diesen Lösungen zählt unter anderem die Erhöhung des Sicherheitsbewusstseins der MitarbeiterInnen durch Security Awareness Kampagnen. Solche Maßnahmen werden mittlerweile in den meisten größeren Unternehmen umgesetzt. Es mangelt bisher jedoch an geeigneten Instrumenten mit denen das Sicherheitsbewusstsein von MitarbeiterInnen erfasst werden kann, um gezielte Maßnahmen ergreifen zu können und Erfolge von Awareness Kampagnen messbar zu machen.
Die Ergebnisse dieser Arbeit zeigen, dass auf der Grundlage sozialpsychologischer Theorien wie der Theory of Reasoned Action und der Protection Motivation Theory eine Operationalisierung des Sicherheitsbewusstseins und die Vorhersage von sicherheitsrelvantem Verhalten möglich sein kann. Es konnte gezeigt werden, dass es positive Zusammenhänge zwischen den Variablen „moralische Verpflichtung“, „subjektive Norm“, „Einstellung“, „Verhaltensabsicht“ und „Verhalten“ der Theory of Reasoned Action und organisationalen Faktoren bzw. der Variable „Selbstwirksamkeit“ der Protection Motivation Theory gibt. Außerdem wurde deutlich, dass bereits die Messung der Security Awareness das Sicherheitsbewusstsein steigern kann.
Inhaltsverzeichnis
1. Einleitung
2. Theoretischer Hintergrund
2.1. Wirtschaftskriminalität
2.1.1. Industrie- und Wirtschaftsspionage
2.2. e-Crime
2.2.1 Social Engineering
2.2.2. E-Mails
2.3. Security Awareness
2.3.1. Security Awareness: Eine Definition
2.3.2. Security Awareness Kampagnen
2.3.3. Ansätze zur Messung von Security Awareness
3. Hypothesen
3.1. Hypothesenblock zur Theory of Reasoned Action
3.2. Hypothesenblock zu organisationalen Faktoren
3.3. Hypothesenblock zur Protection Motivation Theory
3.4. Variablendeklaration
4. Methode
4.1. Stichprobe
4.2. Skalen- und Itemkonstruktion
4.3. Pretest
4.4. Item- und Skalenanalyse
4.5. Durchführung
5. Ergebnisse
5.1. Deskriptive Ergebnisse
5.2. Ergebnisse der Hypothesenprüfung
5.2.1. Ergebnisse für den ersten Hypothesenblock
5.2.2. Ergebnisse für den zweiten Hypothesenblock
5.2.3 Ergebnisse für den dritten Hypothesenblock
5.3. Sonstige Ergebnisse
6. Diskussion
6.1. Diskussion des Messinstruments
6.2. Diskussion der Ergebnisse der Hypothesenprüfung
6.3. Diskussion sonstiger Befunde
6.4. Fazit und Ausblick
Zielsetzung & Themen
Das Hauptziel dieser Arbeit besteht in der Entwicklung und empirischen Validierung eines deutschsprachigen Fragebogens zur Messung von Security Awareness bei Mitarbeitern. Hierbei wird untersucht, inwieweit sozialpsychologische Theorien wie die Theory of Reasoned Action und die Protection Motivation Theory geeignet sind, sicherheitsbewusstes Verhalten im beruflichen Kontext zu erklären und vorherzusagen.
- Theoretische Fundierung von Security Awareness und Wirtschaftskriminalität
- Integration sozialpsychologischer Modelle zur Verhaltensvorhersage
- Konstruktion und statistische Analyse eines Messinstruments (Fragebogens)
- Empirische Überprüfung von Hypothesen zu Sicherheitsverhalten und organisationalen Einflussfaktoren
- Diskussion der Relevanz des Faktors "Mensch" für die betriebliche Datensicherheit
Auszug aus dem Buch
2.2.1 Social Engineering
Unter „Social Engineering“ werden Techniken der Beeinflussung von Menschen verstanden, die insbesondere dazu eingesetzt werden, um unberechtigt an Daten oder Informationen zu gelangen oder ein regelwidriges Verhalten zu bewirken. (Fox, 2013, S. 1). Lardschneider (2008) definiert Social Engineering als „eine Form des Informationsdiebstahls durch gezieltes Manipulieren von Menschen zu denen im Vorfeld ein ausschließlich diesem Zweck dienendes Vertrauensverhältnis aufgebaut wurde.“ (S. 3). Durch die Nutzung sozialer Netzwerke, in denen MitarbeiterInnen oftmals unbewusst vertrauliche Unternehmens- und Mitarbeiterinformationen preisgeben (KPMG, 2013), ist es für Angreifer leichter, Anknüpfungspunkte für ein zwangloses Gespräch zu finden oder Vertrautheit vorzutäuschen.
Häufige Szenarien sind Anrufe, in denen sich der Angreifer als Techniker ausgibt, der dringend ein Passwort benötigt, um ein Problem zu beheben. Durch die vorgespielte Autorität und den vermeintlichen Zeitdruck, ist die Erfolgswahrscheinlichkeit, bei ungeschulten MitarbeiterInnen an die gewünschten Informationen zu gelangen, hoch (Fox, 2013). Um Social Engineering Angriffe zu verhindern, sollte zum einen in einer Policy festgehalten und anschließend vermittelt werden, dass bestimmte Passwörter an niemanden weitergegeben werden dürfen (PentaSafe, 2002), zum anderen müssen MitarbeiterInnen in einer fortlaufenden Sensibilisierung über verschiedene Angriffsarten aufgeklärt werden und ein gesundes Misstrauen entwickeln (Lipski, 2009).
Zusammenfassung der Kapitel
1. Einleitung: Die Einleitung beleuchtet die strategische Bedeutung von Wissen und Informationen als Schlüsselressourcen und thematisiert die Gefahren durch interne Sicherheitsrisiken wie menschliches Fehlverhalten.
2. Theoretischer Hintergrund: Dieses Kapitel definiert zentrale Begriffe wie Wirtschaftskriminalität, e-Crime und Security Awareness, während bestehende Ansätze und Kampagnen zur Sicherheitsförderung kritisch beleuchtet werden.
3. Hypothesen: Hier werden auf Basis der Theory of Reasoned Action, organisationaler Faktoren und der Protection Motivation Theory dreizehn Hypothesen zur Erklärung des Sicherheitsverhaltens von Mitarbeitern abgeleitet.
4. Methode: Der Abschnitt beschreibt das methodische Vorgehen bei der Entwicklung, Pretest-Durchführung, Itemkonstruktion und statistischen Analyse des entwickelten Fragebogens.
5. Ergebnisse: Es werden die Ergebnisse der empirischen Studie präsentiert, inklusive deskriptiver Daten der Stichprobe und der Überprüfung der aufgestellten Hypothesen mittels Korrelationsanalysen.
6. Diskussion: Abschließend werden das Messinstrument, die Hypothesenergebnisse und weitere Befunde interpretiert sowie ein Fazit zur Bedeutung des Faktors Mensch für die IT-Sicherheit gezogen.
Schlüsselwörter
Security Awareness, Sicherheitsbewusstsein, Wirtschaftsspionage, e-Crime, Social Engineering, Theory of Reasoned Action, Protection Motivation Theory, Fragebogenkonstruktion, Validierung, Informationssicherheit, Mitarbeiterverhalten, Sicherheitsrichtlinien, organisationale Normen, Selbstwirksamkeit, IT-Sicherheit.
Häufig gestellte Fragen
Worum geht es in dieser Bachelorarbeit grundsätzlich?
Die Arbeit befasst sich mit der Entwicklung und Validierung eines deutschsprachigen Fragebogens zur Erfassung der Security Awareness von Mitarbeitern in Unternehmen.
Was sind die zentralen Themenfelder der Untersuchung?
Zentrale Themen sind Wirtschaftskriminalität, die psychologischen Faktoren des Sicherheitsverhaltens, die Rolle von Sicherheitsrichtlinien und die Wirksamkeit von Awareness-Maßnahmen.
Welches primäre Ziel verfolgt die Forschungsarbeit?
Das Ziel ist es, ein theoretisch fundiertes Messinstrument zu schaffen, das die Bestimmung des Sicherheitsbewusstseins ermöglicht und dabei hilft, das sicherheitsrelevante Verhalten von Mitarbeitern besser zu verstehen.
Welche wissenschaftliche Methode kommt zum Einsatz?
Die Autorin verwendet einen rationalen Konstruktionsansatz für den Fragebogen und führt eine empirische Studie mit N=94 Teilnehmern durch, deren Daten mittels Korrelationsanalysen (insbesondere Spearman's Rho) ausgewertet werden.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil gliedert sich in die theoretische Herleitung von Hypothesen auf Basis sozialpsychologischer Modelle (TRA, PMT), die methodische Beschreibung der Skalenkonstruktion sowie die detaillierte Präsentation und Diskussion der statistischen Ergebnisse.
Durch welche Schlüsselwörter lässt sich die Arbeit am besten charakterisieren?
Die wichtigsten Schlagworte sind Security Awareness, Sicherheitsbewusstsein, Social Engineering, Theory of Reasoned Action und die Validierung von psychologischen Messinstrumenten für die IT-Sicherheit.
Warum wurde eine "e-Crime"-Perspektive für die Arbeit gewählt?
Aufgrund der zunehmenden Digitalisierung von Geschäftsprozessen stellt "e-Crime" eine der größten Bedrohungen für Unternehmen dar, wobei der Mensch als Sicherheitsfaktor eine zentrale Rolle spielt.
Welchen Einfluss haben organisationale Faktoren laut der Arbeit?
Die Arbeit zeigt, dass Sicherheitsrichtlinien und das wahrgenommene Verhalten der Bezugsgruppe (organisationale Normen) einen signifikanten Einfluss auf die moralische Verpflichtung und die Verhaltensabsicht der Mitarbeiter haben.
- Arbeit zitieren
- Lena Koldner (Autor:in), 2014, Entwicklung und Validierung eines Fragebogens zur Erfassung von Security Awareness, München, GRIN Verlag, https://www.grin.com/document/428767
