idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Grafik: idw-Logo

idw - Informationsdienst
Wissenschaft

Science Video Project
idw-Abo

idw-News App:

AppStore

Google Play Store



Instanz:
Teilen: 
09.08.2023 09:41

Das Dilemma der IT-Sicherheitsbeauftragten

Meike Drießen Dezernat Hochschulkommunikation
Ruhr-Universität Bochum

    Beauftragte für IT-Sicherheit in Unternehmen haben es schwer: Sie verlangen dem Personal zusätzlichen Aufwand ab und müssen dem Management in Zahlen belegen, dass sie erfolgreich sind. Dabei sind sie wenig in Unternehmensstrukturen eingebunden und auf eingekaufte Werkzeuge angewiesen, die nur wenig zum sicheren Verhalten der Mitarbeitenden beitragen. Das hat eine Workshopreihe über acht Monate mit 30 schweizerischen Chief Information Security Officers (CISO) ergeben, die ein Team des Exzellenzclusters Cyber Security in the Age of Large-Scale Adversaries, kurz CASA, durchgeführt hat. Sie stellten ihre Ergebnisse bei der 32. Usenix-Konferenz in den USA im August 2023 vor.

    Auf die Mitarbeitenden kommt es an

    Um vor Cyberattacken geschützt zu sein, müssen Unternehmen nicht nur ihre Technik up to date halten, sondern auch dafür sorgen, dass die Mitarbeitenden sich sicher verhalten. Dieser menschenzentrierte Ansatz der IT-Sicherheit erfordert, das Verhalten des Personals zu beeinflussen – eine komplexe Aufgabe. Wie gut das in der Praxis funktioniert, hat das Forschungsteam der Ruhr-Universität Bochum in einer fünfteiligen Workshopreihe mit 30 schweizerischen Chief Information Security Officers, kurz CISOs, untersucht.

    „Die Diskussionen haben gezeigt, dass die CISOs menschenzentrierte Sicherheit in erster Linie als das verstehen, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen“, berichtet Jonas Hielscher vom Forschungsteam. Solche Simulationen bestehen in Mails mit Phishinglinks, die von einer Sicherheitsfirma an das Personal einer Firma versendet werden. Es lässt sich im Anschluss beziffern, wie viele Mitarbeitende die Links angeklickt haben. „Das ist auch schon der größte Vorteil, den die Simulationen für CISOs haben, die ihrem Management gegenüber Zahlen liefern müssen“, meint Forscherin Uta Menges. Zum sicheren Verhalten tragen solche Aktionen nach dem aktuellen Stand der IT-Sicherheitsforschung nur wenig bei.

    Mangel an Einfluss

    Die Forschenden arbeiteten heraus, dass die CISOs zu wenig in die Unternehmensstrukturen eingebunden sind und dass es ihnen an direkten Einfluss- und Gestaltungsmöglichkeiten mangelt, um notwendige Maßnahmen bei der Belegschaft durchzusetzen. „Sie neigen dazu, die Verantwortung daher einerseits dem Management zuzuschieben, indem sie mehr Unterstützung fordern, oder auf die Mitarbeitenden abzuwälzen, die sie als Sicherheitsrisiko ansehen“, so das Forschungsteam. Aus dem Blick gerät dabei, dass Mitarbeitende mit ihrem eigentlichen Job ausgelastet sind, und IT-Sicherheitsaufgaben zulasten dieser Tätigkeiten gehen. „Das erzeugt Reibungen, die berücksichtigt werden müssen“, so Prof. Dr. Angela Sasse, Inhaberin des Lehrstuhls für Human Centered Security der Ruhr-Universität Bochum. „Um die Ergebnisse der Forschung zur menschenzentrierten Sicherheit mit den Praktiken in Unternehmen in Einklang zu bringen, braucht es mehr Zusammenarbeit zwischen der Unternehmensleitung und den CISOs, um Blockaden auszumachen und anzugehen“, ergänzt Prof. Dr. Annette Kluge, Inhaberin des Lehrstuhls Arbeits-, Organisations- & Wirtschaftspsychologie. Die Forschenden schlagen vor, CISOs zum Beispiel in Multi-Stakeholder-Risikoausschüsse einzubeziehen. Zudem sei mehr Forschung zur Perspektive der Vorstandsmitglieder und des Top-Managements auf Sicherheit notwendig, zum Beispiel indem man CISOs und Vorstandsmitglieder in einem ähnlichen Workshop-Setting zusammenbringe.


    Wissenschaftliche Ansprechpartner:

    Jonas Hielscher
    Human Centered Security
    Fakultät für Elektrotechnik und Informationstechnik
    Ruhr-Universität Bochum
    Tel.: +49 234 32 25715
    E-Mail: jonas.hielscher@ruhr-uni-bochum.de

    Uta Menges
    Fakultät für Psychologie
    Lehrstuhl Arbeits-, Organisations- & Wirtschaftspsychologie
    Ruhr-Universität Bochum
    Tel.: +49 234 32 24608
    E-Mail: uta.menges@ruhr-uni-bochum.de


    Originalpublikation:

    Jonas Hielscher, Uta Menges, Simon Parkin, Annette Kluge., M. Angela Sasse: “Employees Who Don’t Accept the Time Security Takes Are Not Aware Enough”: The CISO View of Human-Centred Security, 32th USENIX Security Symposium, 2023, Anaheim, USA, Download Pre-Print: http://www.usenix.org/system/files/sec23fall-prepub-110-hielscher.pdf


    Weitere Informationen:

    http://Ausführlicher Bericht: Wie man IT-Sicherheit und Produktivität unter einen Hut bekommt: https://news.rub.de/wissenschaft/2023-06-02-dissertation-wie-man-it-sicherheit-u...


    Bilder

    Merkmale dieser Pressemitteilung:
    Journalisten
    Informationstechnik, Psychologie
    überregional
    Forschungsergebnisse
    Deutsch


     

    Hilfe

    Die Suche / Erweiterte Suche im idw-Archiv
    Verknüpfungen

    Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.

    Klammern

    Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).

    Wortgruppen

    Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.

    Auswahlkriterien

    Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).

    Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).