Jonas Hielscher
Human Centered Security, Fakultät für Elektrotechnik und Informationstechnik, Ruhr-Universität Bochum
Titel des Promotionsprojekts: IT-Sicherheitslösungen und Risikomanagement in Organisationen
IT-Sicherheitsexpert*innen fordern immer stärker und öffentlich wahrnehmbar, dass Mitarbeiter*innen in Organisationen im Umgang mit potentiellen Bedrohungen besser geschult werden müssen. Mitarbeiter*innen sollen auf der Hut sein vor neuen Bedrohungen, stets wachsam und nach Möglichkeit auch noch aktiv in der Verteidigung von Unternehmen mitwirken. So real das Wachstum erfolgreicher Angriffe auf Unternehmen ist, so irreal ist die Annahme der Expert*innen, dass die Breite der Mitarbeiter*innen das auch tatsächlich leisten kann.
Systematisch wird verkannt, dass IT-Sicherheit für die meisten nur eine Nebenaufgabe ist, die häufig in Konflikt mit der eigentlichen Beschäftigungstätigkeit ist. Daraus folgt, dass Sicherheitsanforderungen und Werkzeuge, die schlecht umgesetzt werden, die Produktivität von Mitarbeiter*innen negativ beeinflussen kann.
Ein klassisches Beispiel sind Krankenhäuser, in denen Mitarbeiter*innen sich an den Computern und anschließend in einem Portal und dann einer Anwendung anmelden müssen – und das alles mit unterschiedlichen und nach Möglichkeit komplexen Passwörtern. Wenn alleine dieser Anmeldeprozess eine Minute oder länger dauert und zwar jedes Mal, wenn einfach nur eine Information eines/einer Patient*in eingesehen werden soll, schwindet entweder die Zeit der Mitarbeiter*innen für die Behandlung oder die Sicherheitsmaßnahmen, die die Produktivität mindern, werden umgangen, z.B. in dem man sich nach dem Verlassen des Arbeitsplatzes gar nicht mehr abmeldet.
In der Promotion wird zunächst untersucht, auf welche Arten sich Sicherheitsmaßnahmen negativ auf die Produktivität auswirken. Ziel ist es dabei, die Systematik dahinter zu verstehen. Dazu werden Mitarbeiter*innen und Expert*innen in Unternehmen befragt und geprüft, wie in der Unternehmenspraxis Sicherheitsmaßnahmen umgesetzt werden und Einfluss auf die Produktivität nehmen. Darüber hinaus gilt es, Lösungsansätze zu finden, wie Sicherheit und Produktivität besser miteinander vereinbart werden können. Mit möglichen innovativen neuen Ansätzen soll es möglich sein, die „Last“ der IT-Sicherheit wieder von den Mitarbeiter*innen zu nehmen, während die Gesamtsicherheit der Organisation wieder wächst.
Betreut von: Prof. M. Angela Sassse
E-Mail: jonas.hielscher@ruhr-uni-bochum.de
Website: https://www.hcs.ruhr-uni-bochum.de/lehrstuhl/mitarbeiter/hielscher/
Veröffentlichungen:
Jonas Hielscher, Annette Kluge, Uta Menges, and M. Angela Sasse. 2021.
“Taking out the Trash”: Why Security Behavior Change requires Intentional
Forgetting. In New Security Paradigms Workshop (NSPW ’21), October 25–
28, 2021, Virtual Event, USA. ACM, New York, NY, USA, 15 pages.
https://doi.org/10.1145/3498891.3498902