Skip to main content
Disciplines
Automotive Business IT + Informatics Construction + Real Estate Electrical Engineering + Electronics Energy + Sustainability Insurance + Risk Finance + Banking Management + Leadership Marketing + Sales Mechanical Engineering + Materials
Events
DE
EN
Books
Journals
Topic Page
Marketing
Start single access now
Access for companies
EXTENDED SEARCH
Log in
Top

2019 | Book

Der Faktor Mensch in der Informationssicherheit Read chapter Read first chapter

Grundlagen und Anwendung von Information Security Awareness

Mitarbeiter zielgerichtet für Informationssicherheit sensibilisieren

Authors: Prof. Dr. Kristin Weber, Andreas E. Schütz, Tobias Fertig

Publisher: Springer Fachmedien Wiesbaden

Book Series : essentials

Part of: Springer Professional "Wirtschaft+Technik" , Springer Professional "Technik" , Springer Professional "Wirtschaft"

Login to get access
insite
SEARCH

About this book

Kristin Weber, Andreas E. Schütz und Tobias Fertig zeigen in diesem essential, wie Mitarbeiter in acht Schritten für das Thema Informationssicherheit sensibilisiert werden können. Vorgestellt wird ein Vorgehen, welches Erkenntnisse aus der Verhaltenspsychologie berücksichtigt und somit eine passgenaue Auswahl von Sensibilisierungsmaßnahmen erlaubt. Projektbeispiele illustrieren die Umsetzbarkeit des Modells. Damit beschreiben die Autoren eine konkret anwendbare Methode, die auch bei kleinem Budget eine erfolgreiche Mitarbeitersensibilisierung verspricht.

Table of Contents

Frontmatter
Kapitel 1. Der Faktor Mensch in der Informationssicherheit
Zusammenfassung
Unternehmen sollten die eigenen Mitarbeiter als eine wertvolle Ressource zum Schutz sensibler Unternehmensinformationen und der IT-Infrastruktur verstehen – und nicht als Schwachstelle. Das Verhalten der Mitarbeiter hat einen großen Einfluss auf die Informationssicherheit bspw. beim Umgang mit Passwörtern, E-Mails und externen Datenträgern. Social Engineering ist eine häufig vorkommende Angriffstechnik, bei der Menschen gezielt manipuliert werden. Der „Faktor Mensch“ sollte daher beim Design und der Umsetzung von Sicherheitsmaßnahmen berücksichtigt werden. Durch gezielte Sensibilisierungsmaßnahmen können Mitarbeiter zu einer Stütze des Informationssicherheitskonzeptes werden.
Kristin Weber, Andreas E. Schütz, Tobias Fertig
Kapitel 2. Information Security Awareness
Zusammenfassung
Information Security Awareness beschreibt den Grad der Sensibilisierung für Informationssicherheit. Awareness besteht aus verschiedenen Faktoren und ist ein kognitives und affektives Konstrukt. Der Faktor Wissen bedeutet, dass Mitarbeiter Gefahren kennen und erkennen und dass sie sich vor den Gefahren schützen können. Der Faktor Verhaltensabsicht beschreibt, dass die Mitarbeiter ihr Wissen auch tatsächlich in ihr Verhalten einfließen lassen. Der Faktor Salienz umschreibt, welche Aufmerksamkeit die Mitarbeiter diesem Verhalten schenken. Der Faktor Gewohnheit sagt aus, ob das Verhalten mehr oder weniger automatisch ausgeführt wird. Ein genaues Verständnis der Faktoren von Awareness ist wichtig, wenn diese mit Awareness-Maßnahmen erhöht werden soll.
Kristin Weber, Andreas E. Schütz, Tobias Fertig
Kapitel 3. Erkenntnisse aus der Verhaltenspsychologie
Zusammenfassung
Um den Faktor Mensch in der Informationssicherheit zu verstehen, lohnt sich ein Blick in die Sozialpsychologie. Seit vielen Jahrzehnten untersucht diese Wissenschaftsdisziplin das menschliche Verhalten. Das Integrierte Verhaltensmodell, das in der Gesundheitspsychologie eingesetzt wird, beschreibt die verschiedenen Faktoren, die das Verhalten eines Menschen beeinflussen. Die Faktoren Wissen und Fähigkeiten, Verhaltensabsicht, Salienz sowie Gewohnheit werden im Kontext Information Security Awareness interpretiert.
Kristin Weber, Andreas E. Schütz, Tobias Fertig
Kapitel 4. Mitarbeiter zielgerichtet sensibilisieren
Zusammenfassung
Der Ansatz „One size fits all“ ist bei der Mitarbeitersensibilisierung nicht erfolgsversprechend. Um mit Sensibilisierungsmaßnahmen nachweisbar erfolgreich zu sein, müssen diese zielgerichtet auf den aktuellen Zustand der Security Awareness und andere Rahmenbedingungen im Unternehmen abgestimmt sein. Das Vorgehensmodell zur gezielten Mitarbeitersensibilisierung besteht daher aus zwei Phasen: In der ersten Phase wird die Ist-Situation im Unternehmen analysiert, um sie dann in der zweiten Phase zielgerichtet zu verbessern. Das Vorgehensmodell erlaubt kontinuierlich an der Verbesserung der Security Awareness zu arbeiten.
Kristin Weber, Andreas E. Schütz, Tobias Fertig
Kapitel 5. Analysephase
Zusammenfassung
Das Vorgehensmodell zur gezielten Mitarbeitersensibilisierung beginnt mit der Analysephase. In der ersten Aktivität wird ausgewählt, welche sicherheitsrelevanten Verhaltensweisen der Mitarbeiter in die weitere Betrachtung einbezogen werden. Für diese Verhaltensweisen werden dann durch Interviews mit Mitarbeitern der Wissensstand, Überzeugungen, Emotionen und mögliche Barrieren identifiziert. Aus dieser qualitativen Erhebung werden Annahmen über die Ist-Situation erstellt, die anschließend quantitativ durch Umfragen unter allen Mitarbeitern überprüft werden. Die Analyse der Umfragen zeigt, welche Art von Sensibilisierungsmaßnahmen in der Umsetzungsphase durchgeführt werden sollten.
Kristin Weber, Andreas E. Schütz, Tobias Fertig
Kapitel 6. Umsetzungsphase
Zusammenfassung
Die zweite Phase des Vorgehensmodells zur gezielten Mitarbeitersensibilisierung ist die Umsetzungsphase. In dieser Phase werden, auf Basis der Ergebnisse der Analysephase, die Mitarbeiter durch geeignete Maßnahmen sensibilisiert. Zunächst werden die Sensibilisierungsmaßnahmen ausgewählt, die gezielt auf die festgestellten Defizite einwirken können. Die Maßnahmen können dann zu einer Sensibilisierungskampagne kombiniert werden. Im Anschluss werden die Maßnahmen vorbereitet und wie geplant durchgeführt. Zum Abschluss des Vorgehens wird der Erfolg der Maßnahmen beurteilt, indem erneut die Security Awareness gemessen wird.
Kristin Weber, Andreas E. Schütz, Tobias Fertig
Kapitel 7. Fazit und Ausblick
Zusammenfassung
Um Mitarbeiter gezielt für Informationssicherheit zu sensibilisieren stellt dieses Buch ein Vorgehensmodell, bestehend aus zwei Phasen und insgesamt acht Aktivitäten vor. Die zukünftige Forschung zielt darauf ab, das Vorgehen weitestgehend zu automatisieren, ohne aber auf die Individualität zu verzichten.
Kristin Weber, Andreas E. Schütz, Tobias Fertig
Backmatter
Metadata
Title
Grundlagen und Anwendung von Information Security Awareness
Authors
Prof. Dr. Kristin Weber
Andreas E. Schütz
Tobias Fertig
Copyright Year
2019
Electronic ISBN
978-3-658-26258-7
Print ISBN
978-3-658-26257-0
DOI
https://doi.org/10.1007/978-3-658-26258-7

Premium Partner

    Image Credits