Realistische Bewertung von Sicherheitsmaßnahmen unter Einbeziehung des Faktors Mensch
Die Frage nach effektiven IT-Sicherheitsmaßnahmen in Unternehmen ist nicht leicht zu beantworten. Maßnahmen, wie Passwörter regelmäßig zu erneuern oder eine dedizierte Virenschutzsoftware zu installieren, sind nicht in allen Fällen die sinnvollste und vor allem wirtschaftlichste Methode zum Schutz von IT-Systemen und Daten. Oft zeigt sich erst bei genauerer Betrachtung, wann welche Maßnahmen tatsächlich die IT-Sicherheit erhöhen. Unter bestimmten Voraussetzungen können gut gemeinte Ratschläge sogar die Gesamtsicherheit reduzieren – beispielsweise, wenn regelmäßig erzwungene Passwortwechsel dazu führen, dass entweder einfache Passwörter gewählt oder Zugangsdaten in der Nähe des Rechners aufbewahrt werden. Eine Maßnahme, die eigentlich die IT-Sicherheit erhöhen sollte, kann dann im Gegenteil zu deren Reduzierung führen.
Ziel des Projekts MYTHBUSTER ist es, eine Methode zu entwickeln, mit der insbesondere kleine und mittlere Unternehmen in die Lage versetzt werden, die Wirksamkeit ihrer IT-Sicherheitsmaßnahmen zu überprüfen. Dazu werden die Wissenschaftlerinnen und Wissenschaftler ein formales Modell erstellen, erproben und evaluieren, das sowohl die neuesten Erkenntnisse aus der IT-Sicherheit als auch wirtschaftliche Aspekte und die Nutzungsfreundlichkeit berücksichtigt. Auf dieser Grundlage soll anschließend ein leicht zu bedienendes Software-Werkzeug entwickelt werden, mit dem Unternehmen eigenständig ihre IT-Sicherheitsmaßnamen entlang verschiedener Fragestellungen beurteilen können. Eine mögliche Fragestellung wäre beispielsweise: Ist es sinnvoll, von den Mitarbeitenden regelmäßige Passwortwechsel vornehmen zu lassen? Oder könnten die Kosten für den Support bei vergessenen Passwörtern den angemessenen Rahmen übersteigen, weil die zu schützenden Daten gar nicht so sensibel sind? Die Software berücksichtigt bei der Beurteilung sowohl den Einfluss des Faktors Mensch als auch relevante Klassen von Angreifern auf die IT-Sicherheit.
Während vielfach verbreitete Mythen zur IT-Sicherheit insbesondere in Unternehmen Kosten verursachen, bewirken sie selten mehr Schutz. Dies kann dazu führen, dass Mitarbeitende Investitionen in IT-Sicherheit generell als wenig nützlich bewerten und so letztlich das Schutzniveau insgesamt abnimmt. Die im Vorhaben entwickelten Methoden werden es Unternehmen ermöglichen, ihre Sicherheitskonzepte individuell nach den tatsächlichen Gegebenheiten zu bewerten. So können Unternehmen sinnvoller und wirtschaftlicher in IT-Sicherheit investieren und dem Eindruck entgegenwirken, dass diese Investitionen wenig nützlich seien. Langfristig trägt das Projekt dazu bei, dass Unternehmen wirksame IT-Sicherheitsmaßnahmen umsetzen, deren Nutzen die Mitarbeitenden erkennen. Dies erhöht das Sicherheitsniveau in deutschen Unternehmen und ermöglicht ihnen, die Vorteile der Digitalisierung sicher zu nutzen.