Auflistung nach Schlagwort "Informationssicherheit"
1 - 10 von 17
Treffer pro Seite
Sortieroptionen
- KonferenzbeitragA user-centred approach to facilitate locating company security policies; Nutzerzentrierter Ansatz zur Vereinfachung des Auffindens von Security Policies(Mensch und Computer 2023 - Tagungsband, 2023) Aldag, Lukas; Ballreich, Fabian; Berens, Benjamin; Volkamer, MelanieEnglish: An important factor for the effectiveness of security awareness measures in companies is awareness and consistency of security policies. As part of a case study, a document was created using a user-centred approach that gives an overview of all relevant individual documents (so-called overview document). In addition, a process for publication was developed and evaluated iteratively. The case study took place at a medium-sized energy company in Germany. General lessons learned are derived from the case study. For example, distributing important documents via e-mail carries the risk that this is perceived as less important or is not perceived at all. Deutsch: Ein wichtiger Faktor für die Effektivität von Security Awareness-Maßnahmen in Unternehmen sind die Bekanntheit und Konsistenz von Security Policies. Im Rahmen einer Case Study wurde mit einem nutzerzentrierten Ansatz ein Dokument, das den Nutzenden eine Übersicht über alle relevanten Einzeldokumente (sog. Übersichtsdokument) gibt und ein Prozess zur Bekanntmachung iterativ entwickelt und evaluiert. Die Case Study fand bei einem mittelgroßen Energieversorgungsunternehmen in Deutschland statt. Aus der Case Study werden allgemeine Lessons Learned abgeleitet. Beispielsweise birgt eine Verteilung von wichtigen Dokumenten über E-Mail die Gefahr, dass diese gar nicht oder als weniger wichtig wahrgenommen wird.
- KonferenzbeitragBenutzerfreundliche IT-Sicherheit: Prozessintegration und Werkzeuge (UPA-Arbeitskreis Usable Security & Privacy)(Mensch und Computer 2017 - Usability Professionals, 2017) Schmitt, Hartmut; Kropp, EdnaSicherheitstechnologien von Software, Apps und Technikprodukten sind oft komplex und zeitaufwändig. Sie werden daher von vielen Nutzern falsch bedient oder umgangen. Der Arbeitskreis Usable Security & Privacy beschäftigt sich mit Ansätzen und Konzepten, die sicherheits- und privatheitsfördernde Verfahren und Technologien stärker an den Zielen und Aufgaben der Nutzer ausrichten. Im Workshop werden gemeinsam mit den Teilnehmern Erfahrungen diskutiert, wie Usability Engineering und Security Engineering stärker miteinander verzahnt werden können, z. B.: Wie können Methoden, Tools und Erkenntnisse aus dem Bereich (Usable) Security & Privacy in den User-Centered-Design-Prozess integriert werden? Welche Evaluationsmethoden und -werkzeuge können im Bereich Usable Security & Privacy genutzt werden?
- TextdokumentEine empirische Kontentanalyse zur Ermittlung von praxisorientierten Optimierungsfeldern zur Resilienz-Erhöhung der IT-Systeme im Sinne der ganzheitlichen Betrachtung der Informationssicherheit(INFORMATIK 2021, 2021) Koza, ErfanDie Informationssicherheit ist in der Analogie zur Digitalisierung kein atomarer Zustand und muss infolge dieser Betrachtung als ein dynamischer, iterativer und inkrementeller Prozess verstanden werden, dessen primäre Zielsetzung in der nachhaltigen und effizienten Sicherung und Aufrechterhaltung der System- und Datensicherheit liegt. Vor dem Hintergrund der progressiven Digitalisierung der Kritischen Infrastrukturen befasst sich das Paper mit der Identifizierung sektoraler und intersektoraler Hemmnisse und kritischer Erfolgsfaktoren, welche für ein effizientes Informationssicherheitsmanagement eine essenzielle Rolle spielen. Ferner wird auch der Fokus auf das Herauskristallisieren von differenzierten Sichtweisen hinsichtlich der Sinnhaftigkeit und Nützlichkeit der gesetzlichen Deklarationen, wie z. B. dem IT-Sicherheitsgesetz, gelegt. Zwecks empirischer Datenerhebung greift das Paper auf die quantitativen Methoden zu, indem eine heterogene Unternehmenslandschaft aus den Sektoren Energie, Wasserwirtschaft und Informations und Kommunikationstechnik sowie dem Gesundheitswesen in die Forschungsstudie integriert wird. Als Resultat werden die empirisch validierten Faktoren sektorübergreifend in einem Kohärenzmodell zusammengetragen und im Sinne der Kausalität in Relation gesetzt.
- ZeitschriftenartikelInformationssicherheit – ohne methodische Risikoidentifizierung ist alles Nichts(HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Decker, Karsten M.Informationssicherheit ist kein IT-Problem und kann nicht auf die IT-Abteilung reduziert werden. Eine wirksame Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit muss in der ganzen Organisation verankert werden. Um dieser Herausforderung effizient zu begegnen, ist ein risikobasiertes Vorgehen erforderlich. Dazu muss zunächst der organisatorische Kontext bestimmt werden. Bei der Durchführung des Risikomanagementprozesses ist die Qualität der Risikoidentizfierung ausschlaggebend. Risiken, die hier nicht identifiziert werden, fehlen in der nachfolgenden Risikoanalyse und -bewertung und somit auch bei der Risikohehandlung. Für die methodische Risikoidentifizierung existieren verschiedene Ansätze, von denen zwei vorgestellt werden: der vorwiegend wirkungsorientierte Ereignis-basierte Ansatz und der ursachenorientierte auf Werten, Bedrohungen und Schwachstellen basierte Ansatz. Damit die Umsetzung der Risikoidentifizierung in der Praxis gelingt, müssen verschiedene Voraussetzungen erfüllt sein. Ausschlaggebend ist, dass die oberste Leitung ihre Führungsrolle umfassend und wirksam wahrnimmt. Die zentrale Herausforderung ist, den Umfang der Risikoidentifizierung handhabbar zu halten. Dazu haben sich in der Praxis die Vorgehensweisen der Fokussierung und Vergröberung bewährt. Unabhängig vom gewählten Ansatz zur Risikoidentifizierung ist auf jeden Fall ein fundiertes Beurteilungsvermögen unerlässlich. Mittels des Prozesses der fortlaufenden Verbesserung kann schliesslich ein anfänglich grobes, aber eindeutiges Bild der Informationssicherheitsrisiken Schritt für Schritt verfeinert und den aktuellen Anforderungen und Bedrohungen angepasst werden.AbstractInformation security is not an IT problem and cannot be reduced to the IT department. Effective protection of confidentiality, integrity and availability must be anchored throughout the organization. To address this challenge efficiently, a risk-based approach is required. To this end, the organizational context must first be determined. When applying the risk management process, the quality of risk identification is crucial. Risks that are not identified here are missing in the subsequent risk analysis and risk evaluation and thus also in risk treatment. There are various approaches for methodological risk identification, two of which are presented: the predominantly effect-oriented event-based approach, and the cause-oriented approach based on the consideration of assets, threats and vulnerabilities. In order to implement risk identification in practice, various prerequisites must be fulfilled. It is crucial that top management takes its leadership role comprehensively and effectively. The key challenge is to keep the scope of risk identification manageable. To this end, the approaches of focusing and coarsening have proved successful in practice. Irrespective of the chosen approach to risk identification, a profound assessment capacity is essential. By means of the process of continual improvement, an initially high level but clear picture of the information security risks can be refined step by step and adapted to the current requirements and threats.
- ZeitschriftenartikelInsider Threats – Der Feind in den eigenen Reihen(HMD Praxis der Wirtschaftsinformatik: Vol. 57, No. 3, 2020) Weber, Kristin; Schütz, Andreas E.; Fertig, TobiasEine große Bedrohung für die Informationssicherheit geht von Mitarbeitern aus, die absichtlich der eigenen Organisation schaden wollen. Mitarbeiter besitzen Zugriffsrechte für sensible Informationen und genießen das Vertrauen des Unternehmens. Werden sie allerdings aufgrund persönlicher Motive oder äußerer Umstände zu Whistleblowern, Spionen, Betrügern, Saboteuren, Malicious Enablern oder Datendieben, können sie großen Schaden anrichten. Dieser Artikel untersucht die Motive sogenannter Malicious Insider und stellt die sechs verschiedenen Typen anhand von realen Beispielen der jüngeren Vergangenheit vor. Er zeigt, welche erkennenden, präventiven und reaktiven Maßnahmen Organisationen ergreifen sollten, um die Risiken durch Attacken von böswilligen Insidern zu minimieren. Der Fokus liegt auf den erkennenden Maßnahmen. Durch frühzeitiges Eingreifen werden Mitarbeiter gar nicht erst zu Malicious Insidern. Eine Kombination aus persönlicher Veranlagung (z. B. Introversion, Gier, Kritikunfähigkeit), Stressfaktoren (z. B. Frustration, Unzufriedenheit) und auffälligem Verhalten (z. B. außergewöhnliche Arbeitszeiten oder Reiseziele) weist häufig auf potentielle Täter hin. Employees that intentionally want to harm their organization pose a major threat to information security. Employees have access rights to sensitive information, and their organization trusts them. However, they can substantially harm their organization, if they become Whistleblowers, Spies, Scammers, Saboteurs, Malicious Enablers, or Data Thieves due to different personal motives or external circumstances. This paper analyzes motives of so-called Malicious Insiders. It introduces the six types of Malicious Insiders by showing real cases from the recent past. The paper lays out which recognizing, preventive, and reactive measures organizations can take in order to minimize the risks associated with insider threats. The focus is on recognizing potential Malicious Insiders, because through early intervention, employees might not become malicious first. A combination of personal predispositions (e.g., introversion, greed, inability to accept criticism), stressors (e.g., frustration, dissatisfaction), and concerning behavior (e.g., unusual working hours or travel destinations) often points towards potential offenders.
- ZeitschriftenartikelOk, gegen Cupids Pfeil hilft keine Firewall – Sichere(s) Daten durch ganzheitlichen Kompetenzaufbau(HMD Praxis der Wirtschaftsinformatik: Vol. 61, No. 1, 2024) Finster, Rebecca; Kronschläger, Thomas; Grogorick, Linda; Robra-Bissantz, SusanneIn einer ständig präsenten digitalen Umgebung, die Technologie als zentrales Angebot nutzt, gewinnt Online-Dating immer mehr an Popularität. Ein Großteil der jüngeren Bevölkerung hat Erfahrung damit. Doch diese Entwicklung bringt neue Herausforderungen in Bezug auf Datenschutz und Informationssicherheit mit sich. Online-Dating-Plattformen (z. B. OkCupid ) und -Apps (z. B. Tinder ) führen zur Entstehung von Cyberintimität und eröffnen Risiken, wie Social Engineering, bei denen Menschen beeinflusst werden, um vertrauliche Informationen preiszugeben. Diese Bedrohungen könnten nicht nur persönliche Leben beeinträchtigen, sondern auch die Sicherheit von Unternehmen gefährden. Opfer von Social Engineering könnten in der vermeintlich privaten Online-Dating-Umgebung unbeabsichtigt sensible Informationen enthüllen und dadurch Unternehmensnetzwerke gefährden. Daher ist es von großer Bedeutung, digitale Fähigkeiten in Kompetenzbereichen wie Information Security Awareness und Kommunikation zu stärken und eine kritische Herangehensweise an online geteilte Informationen zu entwickeln. Diese Untersuchung analysiert die Verbindung zwischen Informationssicherheit und Online-Dating durch eine interdisziplinäre hermeneutische Analyse. Dabei liegt der Fokus auf der Rolle von Kommunikation und anderen digitalen Kompetenzen im Kontext von Informationssicherheit und Social Engineering und verdeutlicht die Wichtigkeit von Informationssicherheit über das Berufsleben hinaus. In an ever-present digital environment that revolves around technology, online dating is gaining significant popularity. A large portion of the younger population has experience in this area. However, this trend brings with it new data privacy and information security challenges. Online dating platforms (e.g. OKCupid ) and apps (e.g. Tinder ) contribute to the emergence of cyber intimacy and introduce risks such as social engineering, where individuals are manipulated to gain confidential information. These threats can affect not only personal lives, but also the security of businesses. Victims of social engineering may inadvertently reveal sensitive information in supposedly private online dating situations, putting corporate networks at risk. As a result, it is critical to improve digital skills in competence areas such as information security awareness and communication, while adopting a critical approach to information shared online. A study explores the nexus between information security and online dating through an interdisciplinary hermeneutic analysis. Special emphasis is placed on the role of language, data protection, and other digital competences in the context of information security and social engineering and emphasizes the importance of information security beyond professional life.
- KonferenzbeitragResilience by Usable Security(Mensch und Computer 2015 – Workshopband, 2015) Wohlgemuth, Sven
- ZeitschriftenartikelRisiken der Industrie 4.0 – Eine Strukturierung von Bedrohungsszenarien der Smart Factory(HMD Praxis der Wirtschaftsinformatik: Vol. 52, No. 5, 2015) Hertel, MichaelDie zunehmende Automatisierung und Digitalisierung von Produktionsabläufen durch Vernetzung eingebetteter Systeme und deren Anbindung an webbasierte Dienste verspricht flexible, individualisierbare und gleichzeitig wirtschaftlich effiziente Fertigungsmöglichkeiten. Sogenannte cyber-physische Produktionssysteme schaffen hierbei die Verbindung von physischer und virtueller Welt, wodurch zugleich komplexe Abhängigkeiten zwischen Produktion, Informationsnetzen und Menschen über die gesamte Wertschöpfung hinweg entstehen. Demnach können lokal auftretende Risiken eine Bedrohung für unternehmensübergreifende Produktionsprozesse darstellen. Die technischen Möglichkeiten der Industrie 4.0 erfordern daher eine Anpassung des Sicherheitsmanagements an die vernetzte und hochautomatisierte Fertigung unter Berücksichtigung des Schutzes der Informations- und Betriebssicherheit. Vor diesem Hintergrund wird im vorliegenden Beitrag ein Strukturierungsansatz vorgestellt, mit dem Bedrohungsszenarien der Smart Factory systematisch analysiert werden können. Hierbei erfolgt eine Strukturierung von sicherheitsrelevanten Bedrohungen, beeinträchtigten Schutzzielen, Ausbreitungseffekten und Sicherheitsmaßnahmen. Des Weiteren wird die Anwendbarkeit des Strukturierungsansatzes anhand von zwei realen Beispielen von Unternehmen der Fertigungsautomatisierung aufgezeigt. Abschließend werden allgemeine Handlungsempfehlungen für das Sicherheitsmanagement abgeleitet.AbstractThe radical automation and digitization of production caused by networked embedded systems and connected web-based services promises flexible, customizable and at the same time economically efficient manufacturing processes. So-called cyber-physical production systems enable the transition between physical and virtual world. However, they also induce complex dependencies between production, information networks and humans along the entire value chain. Accordingly, local risks that arise in these areas may threaten whole cross-company production processes. Consequently, the industrial application of technical concepts such as cyber-physical systems and the Internet of Things, which is summarized as the term “Industrial Internet” (in Germany “Industry 4.0”), requires an integration of safety and security management in connected and highly automated production environments considering both information security and operational safety. Against this background, the paper at hand presents a structuring approach which enables the systematic analysis of threat scenarios in smart factories. At this, a structuring of threats, affected protection goals, propagation effects and countermeasures is conducted. Furthermore, the applicability of our structuring approach is demonstrated by two real-world examples from manufacturing automation companies. Finally, general recommendations for the management of safety and security are derived.
- KonferenzbeitragDie Rolle der Social Media im Information Security Management(Workshop Gemeinschaften in Neuen Medien 2011, 2011) Humpert-Vrielink, Frederik
- KonferenzbeitragSicherheit von Lernmanagement-Systemen an tertiären Bildungseinrichtungen in der DACH-Region(Sicherheit 2024, 2024) Belz, Ann-Marie; Suleder, Julian; Mayer, AndreasSpätestens seit der Corona-Pandemie ist die digitale Lehre an allen Hochschulen omnipräsent. Dreh- und Angelpunkt sind hierbei Lernmanagement-Systeme (LMS), welche als webbasierte Plattformen zur Erstellung, Bereitstellung und Verwaltung von Lernmaterialien, sowie zur Beurteilung und der Kommunikation mit den Lernenden dienen. LMS sind komplexe Anwendungen, die oftmals eng in die Infrastruktur der jeweiligen Hochschule integriert sind. Gleichzeitig sind Hochschulen häufig Opfer von Cyberangriffen. Vergangene Fälle zeigen, dass Angriffe auch über Schwachstellen in LMS durchgeführt werden. Aus diesem Grund werden in diesem Beitrag 888 LMS von Hochschulen in Deutschland, Österreich und der Schweiz strukturiert erfasst und bezüglich der IT-Sicherheit analysiert. Unsere Studie zeigt, dass – Stand September 2023 – 34 % der LMS mindestens über eine bekannte Schwachstelle verfügen und 16 % ein TLS-Rating von „B“ oder schlechter aufweisen. Zudem wird untersucht, wie sich das Sicherheitsniveau der Instanzen gegenüber August 2022 verändert hat. Gefundene Schwachstellen werden im Rahmen eines Responsible Disclosure an die betroffenen Hochschulen gemeldet.