Information Security Awareness – ein Programm zur Absicherung des Faktors Mensch

Bachelor-Studiengang IT Security

Christian Filzwieser, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage

Information Security Awareness (ISA) ist in vielen Unternehmen ein noch nicht wirklich beachteter Faktor, um die Sicherheit zu erhöhen. Sicherheitsprobleme werden fälschlicherweise oft als rein technische Probleme angesehen. In der Realität spielt allerdings der Mensch eine tragende Rolle. Da gerade dieser das schwächste Glied in der Sicherheitskette darstellt, ist ISA ein wichtiger Grundstein eines ganzheitlichen Sicherheitskonzeptes. Mit einem ISA-Programm kann das Wissen der MitarbeiterInnen gestärkt und somit Informationen besser geschützt werden. Für ISA und ISA-Programme gibt es keine eindeutige Definition, kein Kochrezept zur einheitlichen Anwendung. Ganz im Gegenteil: Ein ISA-Programm muss stets individuell an die Anforderungen eines Unternehmens angepasst werden.

Ziel

Das Ziel dieser Bachelorarbeit ist es, festzustellen, ob und wie der Level an Awareness erhoben werden kann. Des Weiteren wird ein ISA-Programm für die Diözese St. Pölten geplant und erstellt. Danach soll es möglich sein, dieses zu evaluieren und zu optimieren. Dazu wird ein Konzept entwickelt, das die Messung des erreichten Awareness Levels auf verschiedenen Ebenen ermöglicht.

Ergebnis

Um den Level an Awareness zu erheben, wurde eine Befragung der MitarbeiterInnen mittels Online-Fragebogen durchgeführt. Dadurch konnten konkrete Zahlen in Bezug auf das Sicherheitsbewusstsein innerhalb des Unternehmens ermittelt werden. Um eine Steigerung herbeizuführen, wurde ein Awareness-Programm konzipiert, welches die wichtigsten Punkte, beispielsweise wer welche Informationen erhält und wie diese vermittelt werden, definiert. Durch die Einführung der Lernzieltaxonomie nach Bloom erhält das Programm mehr Dynamik und eine Variierung der Schwierigkeit wird ermöglicht. Um den Fortschritt und die Wirksamkeit kontinuierlich bestimmen zu können, werden laufende Messungen durchgeführt. Während die Medien und Informationskanäle über die Zugriffszahlen der Webseite gemessen werden, wird bei der Feststellung, ob die Informationen angenommen und verstanden wurden, auf ein Schulnotensystem gesetzt. Dies sichert die Vergleichbarkeit und soll somit klar darlegen, ob die Lernziele erreicht wurden oder nicht. Durch die Einteilung der Ergebnisse beider Messungen in eine Baumstruktur können der Level an Awareness und die Informationsvermittlung gegenübergestellt werden.