Logo des Repositoriums

Auflistung nach Schlagwort "Security Awareness"

1 - 4 von 4
  • Konferenzbeitrag
    A user-centred approach to facilitate locating company security policies; Nutzerzentrierter Ansatz zur Vereinfachung des Auffindens von Security Policies
    (Mensch und Computer 2023 - Tagungsband, 2023) Aldag, Lukas; Ballreich, Fabian; Berens, Benjamin; Volkamer, Melanie
    English: An important factor for the effectiveness of security awareness measures in companies is awareness and consistency of security policies. As part of a case study, a document was created using a user-centred approach that gives an overview of all relevant individual documents (so-called overview document). In addition, a process for publication was developed and evaluated iteratively. The case study took place at a medium-sized energy company in Germany. General lessons learned are derived from the case study. For example, distributing important documents via e-mail carries the risk that this is perceived as less important or is not perceived at all. Deutsch: Ein wichtiger Faktor für die Effektivität von Security Awareness-Maßnahmen in Unternehmen sind die Bekanntheit und Konsistenz von Security Policies. Im Rahmen einer Case Study wurde mit einem nutzerzentrierten Ansatz ein Dokument, das den Nutzenden eine Übersicht über alle relevanten Einzeldokumente (sog. Übersichtsdokument) gibt und ein Prozess zur Bekanntmachung iterativ entwickelt und evaluiert. Die Case Study fand bei einem mittelgroßen Energieversorgungsunternehmen in Deutschland statt. Aus der Case Study werden allgemeine Lessons Learned abgeleitet. Beispielsweise birgt eine Verteilung von wichtigen Dokumenten über E-Mail die Gefahr, dass diese gar nicht oder als weniger wichtig wahrgenommen wird.
  • Zeitschriftenartikel
    IT-Governance, Risiko- und Compliance-Management (IT‑GRC) – Ein Kompetenz-orientierter Ansatz für KMU
    (HMD Praxis der Wirtschaftsinformatik: Vol. 57, No. 5, 2020) Johannsen, A.; Kant, D.
    Kleine und mittlere Unternehmen aller Branchen versuchen sich nach wie vor angemessen mit den Herausforderungen der Globalisierung und der digitalen Transformation auseinanderzusetzen. Sie bilden in diesem Zusammenhang wachsende Kompetenz in der Produktionsautomatisierung (Industrie 4.0) und in digitalen Geschäfts- und Verwaltungsprozessen aus. In Bezug auf IT-GRC bleiben KMU demgegenüber faktisch oft noch unreif. Bestehende Ansätze des IT-Governance‑, Risiko- und Compliance-Managements sind noch zu wenig für KMU ausgestaltet. Der Artikel stellt vor diesem Hintergrund einen zunächst aus der Literatur abgeleiteten, und dann zusammen mit Feedback von 14 IT-GRC Experten aufgestellten, Kompetenz-orientierten Ansatz zur Wahrnehmung, Messung und Steuerung des IT-Governance, Risiko- und Compliance-Managements in KMU vor. Der Ansatz enthält sechs relevante Kompetenzkategorien. Der Beitrag stellt dann zwei abgeleitete, webbasierte Tools zur Messung und Erfassung der Handlungsbedarfe und zur Unterstützung von Management-Maßnahmen vor. Der Ansatz sowie die prototypisch realisierten Tools unterstützen das IT-GRC Management von KMU gemäß ihrem Reifegrad und bedarfsorientiert. Bei der Unterstützung wird der Fokus darauf gelegt, KMU bei der Umsetzung der ständig wachsenden IT-GRC-Anforderungen schlanke und konkrete Methoden, Werkzeuge und Hilfsmittel an die Hand zu geben und die verschiedenen Stakeholder einzubinden. SMEs in all sectors are still trying to deal adequately with the challenges of globalisation and digital transformation. They are building up competence in production automation (Industry 4.0) as well as in the digitalisation of common business models and administrative processes, SMEs are, however, often still immature with regard to IT-governance, IT-security and IT-compliance. Existing approaches for IT-GRC are not suitable and tailored enough towards the needs and realities of SMEs. The article thus presents a literature-based approach for the perception, measurement and control of IT governance, risk and compliance management in SMEs, which includes six relevant categories of competence, and which was formed by also using feedback from 14 IT-GRC experts. The article then introduces two web-based tools for measuring IT-GRC maturity, but also for the management of measures in the relevant areas of competence for SMEs. The approach as well as the prototypically realized tools supports IT-GRC management in SMEs depending on the degree of their IT-GRC maturity. It entails fields of action and result types (recommendations, checklists, sample contracts). In the approach, emphasis is put on the involvement of diverse stakeholders and their points of view, needs-driven and lean methods as well as concrete tools and aids.
  • Zeitschriftenartikel
    Mensch und Technik in der angewandten Forschung
    (HMD Praxis der Wirtschaftsinformatik: Vol. 57, No. 3, 2020) Müller, Nicholas H.; Schütz, Andreas E.; Fertig, Tobias
    Empirische Erkenntnisse der Grundlagenforschung in den Alltag zu überführen, ist eine der elementaren Herausforderungen der angewandten Forschung. Insbesondere im Zusammenhang der Mensch-Technik-Interaktionsforschung werden Erkenntnisse der Ingenieurs‑, Kognitions- und Sozialwissenschaften interdisziplinär kombiniert und in nutzbringende Kontexte überführt. Der vorliegende Artikel betrachtet ausgewählte Themengebiete aus dem Forschungsgebiet Human-Computer-Interaction: Roboter und künstliche Intelligenz, Virtual und Augmented Reality sowie Datensicherheit im Hinblick auf IoT-Geräte. In den einzelnen Abschnitten wird ein Überblick über die Themengebiete gegeben und die aktuelle Forschung, sowie Herausforderungen für die Anwendung der Technologien betrachtet. Den verschiedenen Herausforderungen müssen Forscher dabei mit Interdisziplinarität und Praxisbezug begegnen. Transferring empirical findings from basic research into everyday life is one of the fundamental challenges of applied science. Especially in the research of human-technology interaction, findings from engineering, cognitive and social sciences are combined in an interdisciplinary way and transferred into useful contexts. This article gives an overview of selected topics from the domain of Human-Computer Interaction: Robots and Artificial Intelligence, Virtual and Augmented Reality as well as data security with regard to IoT devices. Latest research and challenges for the application of the technologies are considered in the corresponding sections. Researchers have to address the various challenges with interdisciplinarity and practical relevance.
  • Zeitschriftenartikel
    Spear Phishing 2.0: Wie automatisierte Angriffe Organisationen vor neue Herausforderungen stellen
    (HMD Praxis der Wirtschaftsinformatik: Vol. 57, No. 3, 2020) Franz, Anjuli; Benlian, Alexander
    Vom ursprünglichen „Phishing = Passwort + Fishing“ wandelt sich das Angriffsmuster durch neue Technologien zum boomenden Geschäftsmodell der cyberkriminellen Szene. Schadsoftware wie „Emotet“ zeigt, dass automatisierte Spear Phishing-Angriffe Realität geworden sind und immense Schäden verursachen. Der Mitarbeiter rückt damit in den Fokus von IT-Sicherheitsmaßnahmen. Das Ziel dieses Beitrags ist es, einen Rundumblick zur aktuellen und zukünftigen Bedrohungslage durch Spear Phishing zu geben und konkrete Handlungsempfehlungen abzuleiten. Zur Messung der Security Awareness im organisatorischen Umfeld wird die Kennzahl „Employee Security Index“ vorgestellt, welche das Sicherheitsbewusstsein von Mitarbeitern gegenüber Phishing-Angriffen standardisiert messbar macht. Es wurde ein Feldexperiment in einer deutschen Organisation durchgeführt, um die Verwundbarkeit der Belegschaft gegenüber Spear Phishing und die Wirksamkeit verschiedener Trainingsmaßnahmen zu untersuchen. Die erhobenen Daten werden mithilfe des „Employee Security Index“ bewertet. Insgesamt verdeutlichen die Ergebnisse, dass neben technischen und organisatorischen Schutzmaßnahmen sowohl eine Schulung der Mitarbeiter als auch ein Umdenken nutzerverbundener Prozesse unabdingbar ist. From the original “Phishing = Password + Fishing”, new technology allows attack patterns to change and make Phishing a booming business of the cybercriminal scene. Malware, such as “Emotet”, shows that automated Spear Phishing attacks have become reality and cause immense damage. This puts the employee in the focus of IT security measures. The aim of this paper is to provide an overview of the current and future threat posed by Spear Phishing and to derive guidance for IT security management. We introduce the “Employee Security Index”, an index to measure security awareness against Phishing attacks in the organizational environment in a standardized way. A field experiment was conducted in a German organization in order to investigate the vulnerability of its workforce to Spear Phishing and the effectiveness of various training measures. The data collected is evaluated using the “Employee Security Index”. Overall, the results of this paper make it clear that, in addition to technical and organizational protective measures, both employee training and a rethinking of user-related processes are indispensable.