Projektpartner

  • Universitätsklinikum Schleswig-Holstein, Lübeck

Kalender

Kontaktdaten

Prof. Dr. Michael Meier
Universität Bonn, Institut für Informatik 4: Arbeitsgruppe IT-Sicherheit
Friedrich-Ebert-Allee 144, 53113 Bonn
+49 228 73-54249
mm@cs.uni-bonn.de

IT-Security Awareness Penetration Testing

IT-Sicherheitsbewusstsein, Datenschutz, Penetration Testing, Bewertung von Sicherheit, Sensibilisierung, Risikomanagement

Akronym ITS.APT Förderkennzeichen KIS2KRI001
Beginn 01.01.2015 Ende 31.12.2017
Webseite https://itsec.cs.uni-bonn.de/itsapt/

Angriffe auf IT-Infrastrukturen werden immer häufiger, da sie mit vergleichsweise geringem Aufwand über das Internet möglich sind und die Identität eines Angreifers leicht verschleiert werden kann. Ob der Angriff Erfolg hat, entscheidet oft das individuelle Verhalten der IT-Benutzer, die sich mit einer solchen Attacke konfrontiert sehen. Zur Frage, ob und in welchem Maße das Sicherheitsbewusstsein von IT-Benutzern den Ausgang sicherheitsrelevanter Vorfälle beeinflussen kann, liegen jedoch nur wenige empirische Daten vor. Die Datenerhebung ist nicht nur mit hohen Kosten verbunden, sondern kann auch datenschutz- und arbeitsrechtlich problematisch sein.

Eine Bewertung der IT-Sicherheit bei Betreibern kritischer Infrastrukturen wird üblicherweise durch klassisches „Penetration Testing“ durchgeführt. Bei diesem Vorgang wird die IT-Infrastruktur eines Unternehmens auf Verwundbarkeiten überprüft. Dabei ist das Testfeld jedoch lediglich auf die
technische Infrastruktur beschränkt und lässt den Faktor Mensch bei der IT-Sicherheitsbewertung außen vor.

Das Verbundprojekt „IT-Security Awareness Pene­tration Testing (ITS.APT)“ adressiert derartige Schwierigkeiten mit dem Ziel, diese klassische Methode um den Faktor Mensch zu erweitern, d. h. die Benutzer der IT-Infrastruktur. Im Projekt werden neue Methoden erarbeitet, mit denen IT-Sicherheits-bewusstsein von Benutzern gemessen werden kann. Inwieweit das Sicherheitsbewusstsein von Individuen eine Rolle bei Angriffen auf die IT-Infrastruktur spielt, konnte mit traditionellen wissenschaftlichen Messwerkzeugen bisher nicht praktikabel nachgewiesen werden. Mit einem im Projekt zu definierenden einfach quantifizierbaren Indikator „IT-Sicherheitsbewusstsein“ ließe sich, zum Beispiel im Hinblick auf Kosten und zeitlichen Erhebungsaufwand wesentlich, einfacher arbeiten.

In einem umfassenden Feldtest mit anschließender Evaluation in einem der größten europäischen Zentren für medizinische Versorgung, dem Universitätsklinikum Schleswig-Holstein, wird untersucht, welche Parameter entscheidend für das IT-Sicherheitsbewusstsein der Nutzer sind. In dieser Umgebung sind die Auswirkungen sicherheitsrelevanter Vorfälle besonders gravierend und die Anforderungen an den Datenschutz besonders hoch.

Die angestrebte Innovation umfasst ein Werkzeug zur kosteneffizienten Messung des kollektiven IT-Sicherheitsbewusstseins ganzer Unternehmen und bietet damit neue Erkenntnisse für alle beteiligten Forschungsbereiche: Rechtswissenschaften, Psychologie und Informatik. Auch das IT-Risiko­management von Unternehmen kann so verfeinert werden. Zudem werden neue Ansätze zur Erhöhung des IT-Sicherheitsbewusstseins der Nutzer geschaffen und exemplarisch im Rahmen des Projekts umgesetzt.

> Weitere Informationen

Neuigkeiten (0)

Zu diesem Projekt wurden noch keine Neuigkeiten veröffentlicht.

Publikationen (0)

Diesem Projekt sind noch keine Publikationen zugeordnet.