Vigilant Employees

Bachelor Studiengang IT Security

Pascal Pizzini

Betreuer: FH (Prof) Mag. Dr. Simon Tjoa

Ausgangslage

Veränderungen in Gesellschaft, Umwelt und Technologie führen zu unbekannten Bedrohungen, sowie neuen Varianten bekannter Bedrohungen. Durch IT-Sicherheitsmaßnahmen passt sich die Informationssicherheit an technische Schwächen und Gefahren an. Technische Systeme sind leicht zu überwachen und zu warten, aber Unternehmen bestehen immer noch hauptsächlich aus Menschen, die Computer und Systeme bedienen. Dieser Umstand und die daraus resultierende Gefährdung durch den Menschen als Schwachpunkt der Unternehmenssicherheit wird seit Beginn des neuen Jahrtausends in wissenschaftlichen Arbeiten und Rahmenwerken behandelt.

Die Schaffung eines Bewusstseins für Informationssicherheit wird in guten Praktiken und auch in Standards angesprochen. Aus eigener praktischer Erfahrung und aus der Forschung zu diesem Thema ging hervor, dass im Allgemeinen die Entwicklung und Etablierung von Information Security Awareness als Wichtig erachtet wird. Das Sicherheitsbewusstsein muss jedoch mit den aufkommenden Gefahren wachsen, welches durch Erkennung der Bedrohungslage und Behandlung der daraus resultierenden Risiken erreicht werden kann.

Ziel

Diese Bachelorarbeit zielt darauf ab, mehrere Arbeiten und Ansätze in den Bereichen des Risikomanagements, der Threat Intelligence, sowie der Informationssicherheit zu untersuchen, um herauszufinden, ob sich Threat Intelligence als wesentlicher Richtungsgeber für Enterprise Security Risk Management eignet, indem ein Risk Assessment eines Unternehmens durchgeführt, sowie dessen Threat Landscape berücksichtigt wird und die Resultate innerhalb der Information Security behandelt werden, mit dem Ziel das Awareness-Level aller Mitarbeiter zu erhöhen und Risiken für das Unternehmen minimieren zu können.

Ergebnis

Als Vorbereitung zum Verständnis des Hauptziels dieser Arbeit, werden die Leser*innen durch themenrelevantes Wissen geführt. Da die Grundidee erfolgversprechend wirkt hat sich aus den intensiven Recherchen eine Umsetzung des zu behandelten Konzepts gebildet. Das Drei-Phasen-Model in welchem in Phase Eins die Unternehmensanalyse, in Phase 2 die Gefahrenanalyse und in Phase 3 die Ausarbeitung und Aufbereitung der Ergebnisse zur weiteren Verarbeitung in der Information Security im Fokus stehen.