idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Grafik: idw-Logo

idw - Informationsdienst
Wissenschaft

Science Video Project
idw-Abo

idw-News App:

AppStore

Google Play Store



Instance:
Share on: 
08/09/2023 09:41

Das Dilemma der IT-Sicherheitsbeauftragten

Meike Drießen Dezernat Hochschulkommunikation
Ruhr-Universität Bochum

    Beauftragte für IT-Sicherheit in Unternehmen haben es schwer: Sie verlangen dem Personal zusätzlichen Aufwand ab und müssen dem Management in Zahlen belegen, dass sie erfolgreich sind. Dabei sind sie wenig in Unternehmensstrukturen eingebunden und auf eingekaufte Werkzeuge angewiesen, die nur wenig zum sicheren Verhalten der Mitarbeitenden beitragen. Das hat eine Workshopreihe über acht Monate mit 30 schweizerischen Chief Information Security Officers (CISO) ergeben, die ein Team des Exzellenzclusters Cyber Security in the Age of Large-Scale Adversaries, kurz CASA, durchgeführt hat. Sie stellten ihre Ergebnisse bei der 32. Usenix-Konferenz in den USA im August 2023 vor.

    Auf die Mitarbeitenden kommt es an

    Um vor Cyberattacken geschützt zu sein, müssen Unternehmen nicht nur ihre Technik up to date halten, sondern auch dafür sorgen, dass die Mitarbeitenden sich sicher verhalten. Dieser menschenzentrierte Ansatz der IT-Sicherheit erfordert, das Verhalten des Personals zu beeinflussen – eine komplexe Aufgabe. Wie gut das in der Praxis funktioniert, hat das Forschungsteam der Ruhr-Universität Bochum in einer fünfteiligen Workshopreihe mit 30 schweizerischen Chief Information Security Officers, kurz CISOs, untersucht.

    „Die Diskussionen haben gezeigt, dass die CISOs menschenzentrierte Sicherheit in erster Linie als das verstehen, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen“, berichtet Jonas Hielscher vom Forschungsteam. Solche Simulationen bestehen in Mails mit Phishinglinks, die von einer Sicherheitsfirma an das Personal einer Firma versendet werden. Es lässt sich im Anschluss beziffern, wie viele Mitarbeitende die Links angeklickt haben. „Das ist auch schon der größte Vorteil, den die Simulationen für CISOs haben, die ihrem Management gegenüber Zahlen liefern müssen“, meint Forscherin Uta Menges. Zum sicheren Verhalten tragen solche Aktionen nach dem aktuellen Stand der IT-Sicherheitsforschung nur wenig bei.

    Mangel an Einfluss

    Die Forschenden arbeiteten heraus, dass die CISOs zu wenig in die Unternehmensstrukturen eingebunden sind und dass es ihnen an direkten Einfluss- und Gestaltungsmöglichkeiten mangelt, um notwendige Maßnahmen bei der Belegschaft durchzusetzen. „Sie neigen dazu, die Verantwortung daher einerseits dem Management zuzuschieben, indem sie mehr Unterstützung fordern, oder auf die Mitarbeitenden abzuwälzen, die sie als Sicherheitsrisiko ansehen“, so das Forschungsteam. Aus dem Blick gerät dabei, dass Mitarbeitende mit ihrem eigentlichen Job ausgelastet sind, und IT-Sicherheitsaufgaben zulasten dieser Tätigkeiten gehen. „Das erzeugt Reibungen, die berücksichtigt werden müssen“, so Prof. Dr. Angela Sasse, Inhaberin des Lehrstuhls für Human Centered Security der Ruhr-Universität Bochum. „Um die Ergebnisse der Forschung zur menschenzentrierten Sicherheit mit den Praktiken in Unternehmen in Einklang zu bringen, braucht es mehr Zusammenarbeit zwischen der Unternehmensleitung und den CISOs, um Blockaden auszumachen und anzugehen“, ergänzt Prof. Dr. Annette Kluge, Inhaberin des Lehrstuhls Arbeits-, Organisations- & Wirtschaftspsychologie. Die Forschenden schlagen vor, CISOs zum Beispiel in Multi-Stakeholder-Risikoausschüsse einzubeziehen. Zudem sei mehr Forschung zur Perspektive der Vorstandsmitglieder und des Top-Managements auf Sicherheit notwendig, zum Beispiel indem man CISOs und Vorstandsmitglieder in einem ähnlichen Workshop-Setting zusammenbringe.


    Contact for scientific information:

    Jonas Hielscher
    Human Centered Security
    Fakultät für Elektrotechnik und Informationstechnik
    Ruhr-Universität Bochum
    Tel.: +49 234 32 25715
    E-Mail: jonas.hielscher@ruhr-uni-bochum.de

    Uta Menges
    Fakultät für Psychologie
    Lehrstuhl Arbeits-, Organisations- & Wirtschaftspsychologie
    Ruhr-Universität Bochum
    Tel.: +49 234 32 24608
    E-Mail: uta.menges@ruhr-uni-bochum.de


    Original publication:

    Jonas Hielscher, Uta Menges, Simon Parkin, Annette Kluge., M. Angela Sasse: “Employees Who Don’t Accept the Time Security Takes Are Not Aware Enough”: The CISO View of Human-Centred Security, 32th USENIX Security Symposium, 2023, Anaheim, USA, Download Pre-Print: http://www.usenix.org/system/files/sec23fall-prepub-110-hielscher.pdf


    More information:

    http://Ausführlicher Bericht: Wie man IT-Sicherheit und Produktivität unter einen Hut bekommt: https://news.rub.de/wissenschaft/2023-06-02-dissertation-wie-man-it-sicherheit-u...


    Images

    Criteria of this press release:
    Journalists
    Information technology, Psychology
    transregional, national
    Research results
    German


     

    Help

    Search / advanced search of the idw archives
    Combination of search terms

    You can combine search terms with and, or and/or not, e.g. Philo not logy.

    Brackets

    You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).

    Phrases

    Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.

    Selection criteria

    You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).

    If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).