Wissenschaftler erklären warum Cybersicherheits-Maßnahmen, die bei Einführung vielversprechend wirkten, an Wirksamkeit verlieren. ((Quelle. AI/Amrulqays Maarof/Pixabay)

 

Stellen Sie sich vor, Sie sind morgens im Büro voller Tatendrang und arbeiten konzentriert. Nachmittags hingegen fühlen Sie sich müde und lassen sich womöglich leichter von verdächtigen E-Mails täuschen oder verleiten, Links anzuklicken, die zu einem Einfallstor für Cyberangriffe werden. Genau solche Veränderungen der äußeren Umstände oder Schwankungen im Gemütszustand und Energielevel will die Methode erfassen, die TU- Professor Alexander Benlian (Fachgebiet Information Systems and Electronic Services) jüngst mit zwei Kollegen aus Kanada und den USA empfahl.

 

Bisherige Studien betrachten meist Momentaufnahmen größerer Menschengruppen, zum Beispiel durch einmalige Querschnittserhebungen. Diese liefern zwar allgemeine Erkenntnisse, etwa, dass manche Mitarbeiter sich weniger an Sicherheitsregeln halten, wenn sie keine Verantwortung tragen oder dass Personen typische Rechtfertigungs-Strategien – etwa: „Es wird schon nichts passieren“ oder „Unsere IT-Fachleute halten sich ja auch nicht daran“ – anwenden, wenn sie Cybersicherheitsregeln missachten. Aber warum verhält sich jemand an einem Tag besonders sicherheitsbewusst, während er am nächsten Tag nachlässiger ist?

 

Um das besser zu verstehen, haben die Forscher in ihrer Studie 108 Büro- Beschäftigte über einen vierwöchigen Untersuchungszeitraum jeweils montags, mittwochs und freitags befragt – insgesamt 1296 Beobachtungen kamen zusammen. So lässt sich nachvollziehen, ob die Probandinnen und Probanden zum Beispiel montags gewissenhafter mit verdächtigen Links umgehen, die möglicherweise Schadsoftware transportieren oder Phishing- Attacken einleiten als freitags. Interessanterweise fanden die Forscher heraus, dass bei manchen Menschen die Neigung, Sicherheitsregeln zu missachten, zum Ende des Arbeitstages hin zunimmt und sich verstärkt, je weiter die Woche voranschreitet.

 

Der Ansatz, den das internationale Forschungsteam nun in „MIS Quarterly“ vorstellt, bietet Erklärungen, warum Cybersicherheits-Maßnahmen, die bei Einführung vielversprechend wirkten, an Wirksamkeit verlieren. Damit können die Ergebnisse dazu beitragen, Cybersicherheitsschulungen effektiver zu gestalten und Sicherheitsmaßnahmen zielgerichteter einzusetzen.

 

Zugleich bietet die Studie auch methodische Impulse für die weitere Forschung. Die beteiligten Wissenschaftler unterstreichen die Notwendigkeit eines idiographischen Ansatzes. Er ermöglicht es, das sich über die Zeit hinweg verändernde Verhalten von Individuen (longitudinal) zu untersuchen. Der hier systematisch angewandte verstärkte Blick auf Prozesse innerhalb einzelner Probandinnen und Probanden sowie auf dynamische Einflussfaktoren kann Wissenschaftlerinnen und Wissenschaftlern helfen, Individuen in ihren Prozessen und Kontexten besser zu verstehen, und im konkreten Fall: Sich zu erschließen, warum Menschen im Umgang mit Daten manchmal nachlässig sind und manchmal nicht.

 

Originalbeitrag:

Cram, W. A., D'Arcy, J., & Benlian, A. (2024). Time will tell: A case for an idiographic approach for behavioral cybersecurity research. MIS Quarterly, 48(1), 95-136

https://www.researchgate.net/publication/378402995_Time_will_tell_The_case_for_an_idiographic_approach_to_behavioral_cybersecurity_research

 

Siehe auch:

https://www.tu-darmstadt.de/