Navigation auf uzh.ch
Navigation auf uzh.ch
Die Messung des Awareness-Standes von Mitarbeitenden ist eine Herausforderung. Die Messung von Klickraten auf Phishing-Mails oder Metriken aus der IT und der IT-Sicherheit sagen über das tatsächliche Verhalten der Menschen in allerlei cybersecurity-relevanten Situationen ziemlich wenig aus.
Die Forschung in diesem Bereich kommt fast ausschliesslich aus der Psychologie und sieht zwei Möglichkeiten der Messung:
> Überwachung der Mitarbeitenden und Beobachtung ihres tatsächlichen Verhaltens, was niemand ausserhalb von Forschungsszenarien machen will
> Die Erfassung von Verhalten via Selbsteinschätzung der Menschen, also durch Fragbögen oder Interviews.
Es gibt zahlreiche geprüfte Fragebögen aus der Psychologie, welche dadurch auffallen, dass sie mehrfach die gleichen Themen auf verschiedenste Weise abfragen, um die bei Fragebögen bekannten Verzerrungen auszubügeln (Schlecht gestellte oder falsch verstandene Fragen, Selbstdarstellung der Befragten und so weiter). Diese Fragebögen haben alle zusätzlich eines gemeinsam: Sie sind sehr lange und werde darum kaum in der Realität angewandt.
Darum wenden wir bei der UZH eine neu entwickelte Messmethode an, welche Fragebögen und Metriken verbindet und damit die Belastung der Mitarbeitenden durch zu lange Fragebögen verringert und in die Vorbereitungszeit der Messung verlagert. Zudem liefert die Messung genauere Ergebnisse, was sich positiv auf die künftig geplanten Massnahmen auswirkt.
Auf lange Sicht hat Cybersecurity Awareness das Ziel, eine Sicherheitskultur zu etablieren.
