Aktuelles

16. August 2015

Die Arbeitsgruppe IT-Sicherheit der Abteilung Informatik IV der Rheinischen Friedrich-Wilhelms-Universität Bonn bietet Abschlussarbeiten aus dem Gebiet der IT-Sicherheit-Awareness an.

Überblick

Motivation

Angriffe auf IT-Infrastrukturen werden immer häufiger, da sie mit vergleichsweise geringem Aufwand über das Internet möglich sind und die Identität eines Angreifers leicht verschleiert werden kann. Ob der Angriff Erfolg hat, entscheidet oft das individuelle Verhalten der IT-Benutzer, die sich mit einer solchen Attacke konfrontiert sehen. Zur Frage, ob und in welchem Maße das Sicherheitsbewusstsein von IT-Benutzern den Ausgang sicherheitsrelevanter Vorfälle beeinflussen kann, liegen jedoch nur wenige empirische Daten vor. Die Datenerhebung ist nicht nur mit hohen Kosten verbunden, sondern kann auch datenschutz- und arbeitsrechtlich problematisch sein.

Eine Bewertung der IT-Sicherheit bei Betreibern kritischer Infrastrukturen wird üblicherweise durch klassisches „Penetration Testing“ durchgeführt. Bei diesem Vorgang wird die IT-Infrastruktur eines Unternehmens auf Verwundbarkeiten überprüft. Dabei ist das Testfeld jedoch lediglich auf die technische Infrastruktur beschränkt und lässt den Faktor Mensch bei der IT-Sicherheitsbewertung außen vor.

Ziele und Vorgehen

Das Verbundprojekt „IT-Security Awareness Penetration Testing (ITS.APT)“ adressiert derartige Schwierigkeiten mit dem Ziel, diese klassische Methode um den Faktor Mensch zu erweitern, d. h. die Benutzer der IT-Infrastruktur. Im Projekt werden neue Methoden erarbeitet, mit denen IT-Sicherheitsbewusstsein von Benutzern gemessen werden kann. Inwieweit das Sicherheitsbewusstsein von Individuen eine Rolle bei Angriffen auf die IT-Infrastruktur spielt, konnte mit traditionellen wissenschaftlichen Messwerkzeugen bisher nicht praktikabel nachgewiesen werden. Mit einem im Projekt zu definierenden einfach quantifizierbaren Indikator „IT-Sicherheitsbewusstsein“ ließe sich, zum Beispiel im Hinblick auf Kosten und zeitlichen Erhebungsaufwand wesentlich, einfacher arbeiten.

ITS.APT-Testfeld

In einem umfassenden Feldtest mit anschließender Evaluation wird untersucht, welche Parameter entscheidend für das IT-Sicherheitsbewusstsein der Nutzer sind. In kritischen Infrastrukturen sind die Auswirkungen sicherheitsrelevanter Vorfälle besonders gravierend und die Anforderungen an den Datenschutz besonders hoch.

Innovation und Perspektive

Die angestrebte Innovation umfasst ein Werkzeug zur kosteneffizienten Messung des kollektiven IT-Sicherheitsbewusstseins ganzer Unternehmen und bietet damit neue Erkenntnisse für alle beteiligten Forschungsbereiche: Rechtswissenschaften, Psychologie und Informatik. Auch das IT-Risikomanagement von Unternehmen kann so verfeinert werden. Zudem werden neue Ansätze zur Erhöhung des IT-Sicherheitsbewusstseins der Nutzer geschaffen und exemplarisch im Rahmen des Projekts umgesetzt.

Partner

Enno Rey Netzwerke GmbH, Heidelberg

Universität Duisburg-Essen – Fachgebiet Allgemeine Psychologie: Kognition, Duisburg

Westfälische Wilhelms-Universität Münster: Institut für Informations-, Telekommunikations- und Medienrecht

Rheinische Friedrich-Wilhelms-Universität Bonn: Institut für Informatik – AG IT-Sicherheit

Universitätsklinikum Schleswig-Holstein, Lübeck

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel

publikationen

IT-Sicherheitsbewusstsein Messbar Machen

Franziska Boehm, Tim Hey & Robert Ortner

Vortrag

IT-Security Awareness Penetration Testing - Overview

Arnold Sykosch

Poster

How IT Security Awareness Should be Tested

Arnold Sykosch, Matthias Wübbeling

Abstract + Talk