Erweiterung klassischer Testmethoden für die Bewertung der IT-Sicherheit durch Einbeziehen des Sicherheitsbewusstseins des Benutzers
Angriffe auf IT-Infrastrukturen werden immer häufiger, da sie mit vergleichsweise geringem Aufwand über das Internet möglich sind und die Identität eines Angreifers leicht verschleiert werden kann. Ob ein Angriff Erfolg hat, entscheidet oft das individuelle Verhalten der IT-Benutzer, die sich mit einer solchen Attacke konfrontiert sehen. Zur Frage, ob und in welchem Maße das Sicherheitsbewusstsein von IT-Benutzern den Ausgang sicherheitsrelevanter Vorfälle beeinflussen kann, liegen jedoch nur wenige empirische Daten vor. Die Datenerhebung ist nicht nur mit hohen Kosten verbunden, sondern kann auch datenschutz- und arbeitsrechtlich problematisch sein.
Eine Bewertung der IT-Sicherheit bei Betreibern kritischer Infrastrukturen wird üblicherweise durch klassisches „Penetration Testing“ durchgeführt. Bei diesem Vorgang wird die IT-Infrastruktur eines Unternehmens auf Verwundbarkeiten überprüft. Dabei ist das Testfeld jedoch lediglich auf die technische Infrastruktur beschränkt und lässt den Faktor Mensch bei der IT-Sicherheitsbewertung außen vor.
Das Verbundprojekt „IT-Security Awareness Penetration Testing (ITS.APT)“ verfolgt das Ziel, diese klassische Testmethode um den Faktor Mensch zu erweitern, d. h. die Benutzer der IT-Infrastruktur. Im Projekt werden neue Methoden erarbeitet, mit denen das IT-Sicherheitsbewusstsein von Benutzern gemessen werden kann. Inwieweit das Sicherheitsbewusstsein von Individuen eine Rolle bei Angriffen auf die IT-Infrastruktur spielt, konnte mit traditionellen wissenschaftlichen Messwerkzeugen bisher nicht praktikabel nachgewiesen werden. Im Rahmen des Projektes soll ein einfach quantifizierbarer Indikator „IT-Sicherheitsbewusstsein“ entwickelt werden, der Vorteile zum Beispiel im Hinblick auf Vergleichbarkeit, Kosten und zeitlichen Erhebungsaufwand bietet.
In einem umfassenden Feldtest mit anschließender Evaluation in einem der größten europäischen Zentren für medizinische Versorgung, dem Universitätsklinikum Schleswig-Holstein, wird untersucht, welche Parameter entscheidend für das IT-Sicherheitsbewusstsein der Nutzer sind. In dieser Umgebung sind die Auswirkungen sicherheitsrelevanter Vorfälle besonders gravierend und die Anforderungen an den Datenschutz besonders hoch.
Die angestrebte Innovation umfasst ein Werkzeug zur kosteneffizienten Messung des kollektiven IT-Sicherheitsbewusstseins ganzer Unternehmen und bietet damit neue Erkenntnisse für alle beteiligten Forschungsbereiche: Rechtswissenschaften, Psychologie und Informatik. Auch das IT-Risikomanagement von Unternehmen kann so verfeinert werden. Zudem werden neue Ansätze zur Erhöhung des IT-Sicherheitsbewusstseins der Nutzer geschaffen und exemplarisch im Rahmen des Projekts umgesetzt.