Prävention statt Intervention – Mit einer Methode zum maßgeschneiderten Awareness-Konzept

Bachelor-Studiengang IT Security

Ivonne Emminger, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage

Heutzutage geht die technische Entwicklung rasant voran. In vielen Lebens- und Arbeitsbereichen ist der Umgang mit Informationen bedeutend, und diese Entwicklung macht auch nicht vor Unternehmen Halt. Viele AngreiferInnen versuchen kontinuierliche Angriffe: entweder mit dem Ziel, Schaden anzurichten, oder um Informationen zu stehlen.

Um Angriffe zu vereiteln, setzen Unternehmen für den Schutz ihrer Werte verschiedene technische Sicherheits- und Kontrollmechanismen ein. Leider sind diese nicht komplett ausreichend, da NutzerInnen der direkte Zugriff auf Informationen ermöglicht wird, und ein hundertprozentiger technischer Schutz dabei nicht möglich ist. Dadurch stellen AnwenderInnen selbst ein gewisses Risiko dar, wenn sie Informationen und IT-Systeme nicht adäquat verwenden.

In einem Unternehmen sind die MitarbeiterInnen wichtige Elemente. Daher ist es wichtig, diese bezüglich ihres Wissens und Sicherheitsbewusstseins zu sensibilisieren und zu trainieren. Das Sicherheitsbewusstsein und das Verhalten jedes Einzelnen ist somit ein entscheidender Faktor zum Schutz eines Unternehmens.

Ziel

Das Ziel dieser Arbeit ist die Erstellung, Erläuterung und Analyse einer Methode, mit der es jedem Unternehmen gelingen kann, Awareness-Konzepte zu erstellen. Dazu werden verschiedene sicherheitsrelevante Bedrohungen in einem Katalog gesammelt und hinsichtlich der Wirksamkeit der Sicherheitsmaßnahmen betrachtet.

Zusammenfassend ist das Ziel dieser Bachelorarbeit, die entworfene Methode darzulegen und auf ihre Effektivität zu überprüfen. In diesem Kontext wurde in Kooperation mit einem Unternehmen die Methode ausgetestet und die Ergebnisse analysiert.

Ergebnis

Im Rahmen dieser Bachelorarbeit wurde eine Vielfalt an Bedrohungen analysiert. Aufgrund dessen wird deutlich, dass ein hohes Sicherheitsbewusstsein bei AnwenderInnen benötigt wird. Mit den Angaben aus Bedrohungskatalog und Maßnahmenkatalog können anschließend mittels der entwickelten Methode und den Angaben des Unternehmens verschiedene Konzepte hinsichtlich der Awareness konzipiert werden.

Nach der Erstellung der Methode wurde diese in einem Unternehmen praktisch angewandt. Schlussendlich hängt die Informationssicherheit im Unternehmen vom Awareness-Bewusstsein jeder/jedes einzelnen MitarbeiterIn ab.