Direkt zum Inhalt

Human Factors in Cybersecurity

Human Factors in Cybersecurity

Daten gelten als Währung des 21. Jahrhunderts. Es verwundert daher nicht, dass Kriminelle versuchen, an sensible Daten von Privatpersonen und Unternehmen zu gelangen. Schätzungen zufolge zielen mehr als 90% der Attacken direkt auf den Menschen ab, wodurch laut Forbes für das Jahr 2019 weltweit Kosten in Höhe von knapp 2 Billionen Dollar entstehen. Cyberkriminelle nutzen dabei die „Schwachstelle Mensch“ über sogenannte Social Engineering-Attacken aus.

Beispielsweise werden mittels Phishing-Mails Menschen dazu verleitet, Passwörter und andere persönliche Daten preiszugeben. Umso wichtiger ist es also, neben technischen Vorkehrungen insbesondere auch den Faktor Mensch mitzudenken. Dies gilt für Privatpersonen, BürgerInnen, MitarbeiterInnen in privaten Unternehmen bishin zur öffentlichen Verwaltung und Infrastrukturbetreibern.

 

 

Das Center for Technology Experience bietet im Bereich HCISec folgende Services an:

Social Vulnerability Assessments

Messung und Bewertung der individuellen und organisationellen Vulnerabilität mittels spezieller Testverfahren. Dazu zählen simulierte Phishing Attacken sowie Profiling aufgrund zentraler psychologischer Einfluss- und Risikofaktoren (z.B., Persönlichkeit, Kognitive Verarbeitungsstile, Vorwissen, …). Nutzen: eine möglichst realistische und umfassende Einschätzung, wie gut einzelne Personen bzw. Unternehmen auf Social Engineering-Attacken vorbereitet sind.

Awareness Trainings

Neben effektiven technologischen Schutzmaßnahmen spielen vor allem maßgeschneiderte Trainings zur Steigerung der individuellen Awareness eine wichtige Abwehrstrategie dar. Dazu zählen die Auswahl und die Anpassung von Trainingsinhalten auf Basis individueller Faktoren, die didaktische Aufbereitung sowie spezifische persuasive Ansätze (z.B., Gamification, Simulation, Personalisierung, …). Nutzen: Vorbereitung und das Erlernen bzw. Einüben geeigneter Verhaltensweisen von MitarbeiterInnen für einen besseren Umgang mit Social Engineering Attacken.

BASIEREND AUF DEN BEIDEN SERVICES BEINHALTET UNSER PORTFOLIO FOLGENDE LEISTUNGSELEMENTE:

  • Bewertung der Vulnerabilität: Technische Durchführung und qualifizierte Auswertung von simulierten Phishing Attacken sowie Wissens-Checks.
  • Sammlung typischer sicherheitsrelevanter Vorkommnisse: Explorative Anforderungsanalysen im Unternehmenskontext.
  • Profiling: Konzeption und Durchführung von Online-Befragungen und objektiven Persönlichkeitstests zur Erstellung von individuellen Profilen.
  • Erstellung von Spielkonzepten: Für maßgeschneiderte Awareness-Trainings und prototypische Umsetzungen.
  • Mapping aufgrund individueller und organisationeller Faktoren: Auswahl und Zusammenstellung von maßgeschneiderten Awareness-Trainings über E-Learning.
  • Evaluierungen über die Zeit: Messungen zur Effektivität von Trainingsmaßnahmen und Änderungen der individuellen sowie organisationellen Vulnerabilität.
  • Compliance by Design: Interaktionsdesigns, Interface-Prototypen und Prozessentwürfe zur Sicherstellung von Regelkonformität ohne Zwang.
  • Sensibilisierung: Workshops zur Einführung in die Thematik mit Angestellten, ArbeiterInnen und Führungskräften.

Entsprechend Ihrer konkreten Fragestellungen und Zielsetzungen, die wir gerne gemeinsam mit Ihnen definieren, können unsere Leistungen unterschiedlich kombiniert werden. Auch individuelle auf Ihre Bedürfnisse zugeschnittene Lösungen können mit uns und weiteren Partnern erarbeitet werden. Wir empfehlen vor der Entwicklung von Awareness-Methoden oder Design-Konzepten ein Assessment Ihrer Organisation. Statistisch signifikante Assessments erfordern eine Mindestgröße der Stichprobe bzw. der beteiligten MitarbeiterInnen und Organisationseinheiten. Für Workshops empfehlen wir Gruppengrößen zwischen 3-10 TeilnehmerInnen. Wir sind jederzeit bereit, unser Leistungsportfolio gemeinsam mit Ihnen zu erweitern und sind offen für Kooperationen: Aufbau eines erweiterten Social Engineering Frameworks oder auch gemeinsame Produktentwicklungen von Spielen und E-Learning-Angeboten.