| |
Titel: |
Information Security Awareness Creation für User:innen in großen Unternehmen |
| |
AutorIn: |
Matthias Hofbauer |
| |
Typ: |
Masterarbeit
|
| |
ÖFOS 2012 Code: |
|
| |
Institution: |
Ferdinand Porsche FernFH, Wiener Neustadt, WIMA |
| |
Betreuung: |
Gerald Quirchmayer |
| |
Datum: |
2024 |
| |
Abstract (de): |
Ein Informationssicherheitsvorfall kann für Unternehmen erhebliche, bis hin zu
existenzbedrohenden Schäden verursachen. Da menschliches Fehlverhalten oft das
Ziel von Informationssicherheitsangriffen sind, ist der Faktor Mensch ein entscheidender
Bestandteil um für Informationssicherheit zu sorgen. Ein Security Education Training
and Awareness (SETA)-Programm dient dazu, Mitarbeiter:innen kontinuierlich und
systematisch zu sensibilisieren, um diesen Bedrohungen entgegenzuwirken. In diesem
Kontext wurde zunächst ein SETA-Modell durch eine Literaturrecherche identifiziert
und anschließend im Zuge einer Fallstudie in einer großen Steuerberatungs- und
Wirtschaftsprüfungskanzlei mit etwa 900 Mitarbeiter:innen auf seine Wirksamkeit
geprüft und evaluiert.
Die Ergebnisse zeigen, dass erfolgreiche SETA-Programme spezifisch auf die
Bedürfnisse des Unternehmens zugeschnitten sein müssen und regelmäßig aktualisierte
Inhalte vermitteln sollten. Zudem sollten diese Inhalte kontinuierlich über
diverse Kanäle kommuniziert werden, um eine effektive Informationsverbreitung zu
gewährleisten. Der Prozess sollte über einmalige SETA-Maßnahmen hinausgehen und
sowohl Individualisierungen als auch Motivationsstrategien berücksichtigen, um ein
Universalkonzept zu vermeiden. Zudem ist es entscheidend, ISA-KPIs zu definieren, um
den Prozess effektiv überwachen und steuern zu können. Diese angewandten Maßnahmen
führten zur erfolgreichen Informationssicherheits-Awareness-Bildung der teilnehmenden
Personen, welches sich in einer robusten Phishing-Resilienz und hohen Meldequoten von
Sicherheitsvorfällen manifestierte. |
| |
Abstract (en): |
An information security incident can cause major damage to a business or even lead
to the risk of bankruptcy. Unaware employees are increasingly targeted as the access
point for cyber attackers and play a key role in building security within an organization.
A Security Education, Training, and Awareness (SETA) program is an approach to
enhancing employees information security awareness and mitigate security breaches
caused by human error. This study reviews current literature and implements a case
study within a leading firm of tax professionals, auditors and financial advisory experts
in CEE region, employing approximately 900 individuals.
Findings show essential characteristics of successful SETA programs, which include
tailored security content that is continuously updated and delivered through various
methods and channels. It also emphasizes the need for customization and motivational
techniques within these programs. Additionally, the establishment of Awareness Key
Performance Indicators (KPIs) is important for effectively controlling and measuring the
success of the SETA program. The results demonstrate that these aspects significantly
contribute to organizational resilience against phishing attacks, evidenced by a high
reporting rate of phishing emails. . |
| |
Keywords (de): |
Informationsicherheit, SETA, Awareness, Sicherheitstraining, Security Awareness Maßnahmen |
| |
Keywords (en): |
Information security awareness, SETA, Cybersecurity Education, organizational security, security education |
| |
|
|
| |
|
