Skip to main content
main-content

Über dieses Buch

Kristin Weber, Andreas E. Schütz und Tobias Fertig zeigen in diesem essential, wie Mitarbeiter in acht Schritten für das Thema Informationssicherheit sensibilisiert werden können. Vorgestellt wird ein Vorgehen, welches Erkenntnisse aus der Verhaltenspsychologie berücksichtigt und somit eine passgenaue Auswahl von Sensibilisierungsmaßnahmen erlaubt. Projektbeispiele illustrieren die Umsetzbarkeit des Modells. Damit beschreiben die Autoren eine konkret anwendbare Methode, die auch bei kleinem Budget eine erfolgreiche Mitarbeitersensibilisierung verspricht.

Inhaltsverzeichnis

Frontmatter

Kapitel 1. Der Faktor Mensch in der Informationssicherheit

Zusammenfassung
Unternehmen sollten die eigenen Mitarbeiter als eine wertvolle Ressource zum Schutz sensibler Unternehmensinformationen und der IT-Infrastruktur verstehen – und nicht als Schwachstelle. Das Verhalten der Mitarbeiter hat einen großen Einfluss auf die Informationssicherheit bspw. beim Umgang mit Passwörtern, E-Mails und externen Datenträgern. Social Engineering ist eine häufig vorkommende Angriffstechnik, bei der Menschen gezielt manipuliert werden. Der „Faktor Mensch“ sollte daher beim Design und der Umsetzung von Sicherheitsmaßnahmen berücksichtigt werden. Durch gezielte Sensibilisierungsmaßnahmen können Mitarbeiter zu einer Stütze des Informationssicherheitskonzeptes werden.
Kristin Weber, Andreas E. Schütz, Tobias Fertig

Kapitel 2. Information Security Awareness

Zusammenfassung
Information Security Awareness beschreibt den Grad der Sensibilisierung für Informationssicherheit. Awareness besteht aus verschiedenen Faktoren und ist ein kognitives und affektives Konstrukt. Der Faktor Wissen bedeutet, dass Mitarbeiter Gefahren kennen und erkennen und dass sie sich vor den Gefahren schützen können. Der Faktor Verhaltensabsicht beschreibt, dass die Mitarbeiter ihr Wissen auch tatsächlich in ihr Verhalten einfließen lassen. Der Faktor Salienz umschreibt, welche Aufmerksamkeit die Mitarbeiter diesem Verhalten schenken. Der Faktor Gewohnheit sagt aus, ob das Verhalten mehr oder weniger automatisch ausgeführt wird. Ein genaues Verständnis der Faktoren von Awareness ist wichtig, wenn diese mit Awareness-Maßnahmen erhöht werden soll.
Kristin Weber, Andreas E. Schütz, Tobias Fertig

Kapitel 3. Erkenntnisse aus der Verhaltenspsychologie

Zusammenfassung
Um den Faktor Mensch in der Informationssicherheit zu verstehen, lohnt sich ein Blick in die Sozialpsychologie. Seit vielen Jahrzehnten untersucht diese Wissenschaftsdisziplin das menschliche Verhalten. Das Integrierte Verhaltensmodell, das in der Gesundheitspsychologie eingesetzt wird, beschreibt die verschiedenen Faktoren, die das Verhalten eines Menschen beeinflussen. Die Faktoren Wissen und Fähigkeiten, Verhaltensabsicht, Salienz sowie Gewohnheit werden im Kontext Information Security Awareness interpretiert.
Kristin Weber, Andreas E. Schütz, Tobias Fertig

Kapitel 4. Mitarbeiter zielgerichtet sensibilisieren

Zusammenfassung
Der Ansatz „One size fits all“ ist bei der Mitarbeitersensibilisierung nicht erfolgsversprechend. Um mit Sensibilisierungsmaßnahmen nachweisbar erfolgreich zu sein, müssen diese zielgerichtet auf den aktuellen Zustand der Security Awareness und andere Rahmenbedingungen im Unternehmen abgestimmt sein. Das Vorgehensmodell zur gezielten Mitarbeitersensibilisierung besteht daher aus zwei Phasen: In der ersten Phase wird die Ist-Situation im Unternehmen analysiert, um sie dann in der zweiten Phase zielgerichtet zu verbessern. Das Vorgehensmodell erlaubt kontinuierlich an der Verbesserung der Security Awareness zu arbeiten.
Kristin Weber, Andreas E. Schütz, Tobias Fertig

Kapitel 5. Analysephase

Zusammenfassung
Das Vorgehensmodell zur gezielten Mitarbeitersensibilisierung beginnt mit der Analysephase. In der ersten Aktivität wird ausgewählt, welche sicherheitsrelevanten Verhaltensweisen der Mitarbeiter in die weitere Betrachtung einbezogen werden. Für diese Verhaltensweisen werden dann durch Interviews mit Mitarbeitern der Wissensstand, Überzeugungen, Emotionen und mögliche Barrieren identifiziert. Aus dieser qualitativen Erhebung werden Annahmen über die Ist-Situation erstellt, die anschließend quantitativ durch Umfragen unter allen Mitarbeitern überprüft werden. Die Analyse der Umfragen zeigt, welche Art von Sensibilisierungsmaßnahmen in der Umsetzungsphase durchgeführt werden sollten.
Kristin Weber, Andreas E. Schütz, Tobias Fertig

Kapitel 6. Umsetzungsphase

Zusammenfassung
Die zweite Phase des Vorgehensmodells zur gezielten Mitarbeitersensibilisierung ist die Umsetzungsphase. In dieser Phase werden, auf Basis der Ergebnisse der Analysephase, die Mitarbeiter durch geeignete Maßnahmen sensibilisiert. Zunächst werden die Sensibilisierungsmaßnahmen ausgewählt, die gezielt auf die festgestellten Defizite einwirken können. Die Maßnahmen können dann zu einer Sensibilisierungskampagne kombiniert werden. Im Anschluss werden die Maßnahmen vorbereitet und wie geplant durchgeführt. Zum Abschluss des Vorgehens wird der Erfolg der Maßnahmen beurteilt, indem erneut die Security Awareness gemessen wird.
Kristin Weber, Andreas E. Schütz, Tobias Fertig

Kapitel 7. Fazit und Ausblick

Zusammenfassung
Um Mitarbeiter gezielt für Informationssicherheit zu sensibilisieren stellt dieses Buch ein Vorgehensmodell, bestehend aus zwei Phasen und insgesamt acht Aktivitäten vor. Die zukünftige Forschung zielt darauf ab, das Vorgehen weitestgehend zu automatisieren, ohne aber auf die Individualität zu verzichten.
Kristin Weber, Andreas E. Schütz, Tobias Fertig

Backmatter

Weitere Informationen

Premium Partner

    Bildnachweise