Normalerweise ergründen Studien zum Thema Cybersicherheit am Arbeitsplatz, wie sich ganze Gruppen von Menschen verhalten und liefern dabei nur eine Momentaufnahme. TU-Wirtschaftsinformatiker Professor Alexander Benlian untersuchte nun mit zusammen mit zwei internationalen Kollegen das Verhalten einzelner Personen über längere Zeiträume, um Veränderungen zu dokumentieren. Die Studie „Time will tell“ veröffentlichte das Team im renommierten Fachjournal „MIS Quarterly“. Die Ergebnisse geben Hinweise für künftige Forschung – und für Arbeitgeber.
Stellen Sie sich vor, Sie sind morgens im Büro voller Tatendrang und arbeiten konzentriert. Nachmittags hingegen fühlen Sie sich müde und lassen sich womöglich leichter von verdächtigen E-Mails täuschen oder verleiten, Links anzuklicken, die zu einem Einfallstor für Cyberangriffe werden. Genau solche Veränderungen der äußeren Umstände oder Schwankungen im Gemütszustand und Energielevel will die Methode erfassen, die TU-Professor Alexander Benlian (Fachgebiet Information Systems and Electronic Services) jüngst mit zwei Kollegen aus Kanada und den USA empfahl.
Bisherige Studien betrachten meist Momentaufnahmen größerer Menschengruppen, zum Beispiel durch einmalige Querschnittserhebungen. Diese liefern zwar allgemeine Erkenntnisse, etwa, dass manche Mitarbeiter sich weniger an Sicherheitsregeln halten, wenn sie keine Verantwortung tragen oder dass Personen typische Rechtfertigungs-Strategien – etwa: „Es wird schon nichts passieren“ oder „Unsere IT-Fachleute halten sich ja auch nicht daran“ – anwenden, wenn sie Cybersicherheitsregeln missachten. Aber warum verhält sich jemand an einem Tag besonders sicherheitsbewusst, während er am nächsten Tag nachlässiger ist?
Um das besser zu verstehen, haben die Forscher in ihrer Studie 108 Büro-Beschäftigte über einen vierwöchigen Untersuchungszeitraum jeweils montags, mittwochs und freitags befragt – insgesamt 1296 Beobachtungen kamen zusammen. So lässt sich nachvollziehen, ob die Probandinnen und Probanden zum Beispiel montags gewissenhafter mit verdächtigen Links umgehen, die möglicherweise Schadsoftware transportieren oder Phishing-Attacken einleiten als freitags. Interessanterweise fanden die Forscher heraus, dass bei manchen Menschen die Neigung, Sicherheitsregeln zu missachten, zum Ende des Arbeitstages hin zunimmt und sich verstärkt, je weiter die Woche voranschreitet.
Der Ansatz, den das internationale Forschungsteam nun in „MIS Quarterly“ vorstellt, bietet Erklärungen, warum Cybersicherheits-Maßnahmen, die bei Einführung vielversprechend wirkten, an Wirksamkeit verlieren. Damit können die Ergebnisse dazu beitragen, Cybersicherheitsschulungen effektiver zu gestalten und Sicherheitsmaßnahmen zielgerichteter einzusetzen.
Zugleich bietet die Studie auch methodische Impulse für die weitere Forschung. Die beteiligten Wissenschaftler unterstreichen die Notwendigkeit eines idiographischen Ansatzes. Er ermöglicht es, das sich über die Zeit hinweg verändernde Verhalten von Individuen (longitudinal) zu untersuchen. Der hier systematisch angewandte verstärkte Blick auf Prozesse innerhalb einzelner Probandinnen und Probanden sowie auf dynamische Einflussfaktoren kann Wissenschaftlerinnen und Wissenschaftlern helfen, Individuen in ihren Prozessen und Kontexten besser zu verstehen, und im konkreten Fall: Sich zu erschließen, warum Menschen im Umgang mit Daten manchmal nachlässig sind und manchmal nicht.
Über die TU Darmstadt
Die TU Darmstadt zählt zu den führenden Technischen Universitäten in Deutschland und steht für exzellente und relevante Wissenschaft. Globale Transformationen – von der Energiewende über Industrie 4.0 bis zur Künstlichen Intelligenz – gestaltet die TU Darmstadt durch herausragende Erkenntnisse und zukunftsweisende Studienangebote entscheidend mit.
Ihre Spitzenforschung bündelt die TU Darmstadt in drei Feldern: Energy and Environment, Information and Intelligence, Matter and Materials. Ihre problemzentrierte Interdisziplinarität und der produktive Austausch mit Gesellschaft, Wirtschaft und Politik erzeugen Fortschritte für eine weltweit nachhaltige Entwicklung.
Seit ihrer Gründung 1877 zählt die TU Darmstadt zu den am stärksten international geprägten Universitäten in Deutschland; als Europäische Technische Universität baut sie in der Allianz Unite! einen transeuropäischen Campus auf. Mit ihren Partnern der Rhein-Main-Universitäten – der Goethe-Universität Frankfurt und der Johannes Gutenberg-Universität Mainz – entwickelt sie die Metropolregion Frankfurt-Rhein-Main als global attraktiven Wissenschaftsraum weiter.
www.tu-darmstadt.de
Originalpublikation:
Cram, W. A., D'Arcy, J., & Benlian, A. (2024). Time will tell: A case for an idiographic approach for behavioral cybersecurity research. MIS Quarterly, 48(1), 95-136
https://www.researchgate.net/publicati ... _will_tell_The_case_for_a...
Quelle: Technische Universität Darmstadt
Symbolbild: Fabian Albert (Unsplash)