Sensible Daten besser schützen
Ein neues Verbundprojekt, an dem auch die Universität Duisburg-Essen beteiligt ist, bezieht den menschlichen Faktor in die Sicherheitsbewertung der Informationstechnologie (IT) ein.
(RP) Wenig Aufwand, großer Effekt: Hackerangriffe auf sensible Schaltstellen des weltweiten Datennetzes nehmen zu und richten große Schäden an, sei es in Filmservern oder im Versorgungssystem. Ein erfolgreicher Angriff auf einen Betreiber einer Kritischen Infrastruktur (KRITIS) kann verheerende Folgen haben. Wer vorbeugen möchte, hat bislang nur die Möglichkeit, die technische Infrastruktur der Informationstechnologie (IT) seines Unternehmens auf Verwundbarkeit überprüfen lassen.
Ein neues Verbundprojekt, an dem auch die Universität DuisburgEssen (UDE) beteiligt ist, bezieht zusätzlich den menschlichen Faktor in die IT-Sicherheitsbewertung ein. Das IT-Sicherheitsbewusstsein der Nutzer ist zum Beispiel bei Phishing-Versuchen gefragt. Dabei ahmen Betrüger vertrauenswürdige elektronische Nachrichten etwa von Banken oder Versandhäusern nach. Die Nutzer werden dann auf gefälschte Seiten gelockt und unter ei- nem Vorwand sensible Daten abgefragt, die etwa erlauben, das Konto zu plündern oder einen Trojaner zu installieren. Wie man den Faktor Mensch besser in die IT-Sicher- heitsstrategie einbeziehen und für Cyberangriffe sensibilisieren kann, wird in den nächsten drei Jahren im Verbundprojekt „IT-Security Awareness Penetration Testing (ITS.APT)“ erforscht, das vom Bundesministerium für Bildung und Forschung (BMBF) mit 2,24 Millionen Euro gefördert wird. Auf die UDE entfallen 590.000 Euro.
Es sollen neue Methoden erarbeitet werden, mit denen das IT-Sicherheitsbewusstsein von Nutzern gemessen und bei Bedarf erhöht werden kann. Die Forscher betreten mit dem Vorhaben Neuland. Matthias Brand: „Unser Projekt wird uns nicht nur in den beteiligten Fachdisziplinen, von den Rechtswissenschaften über die Psychologie bis hin zur Informatik, voranbringen. Auch die Schulungen in Unternehmen mit kritischen IT-Infrastrukturen werden davon profitieren.“Das Forschungsvorhaben wird getragen durch das UDE-Fachgebiet für Allgemeine Psychologie: Kognition, die Arbeitsgruppe IT-Sicherheit des Instituts für Informatik der Universität Bonn, das Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münster, das Unabhängige Landeszen- trum für Datenschutz SchleswigHolstein in Kiel, die Enno Rey Netzwerke GmbH aus Heidelberg und das Universitätsklinikum Schleswig-Holstein.
Hier soll untersucht werden, welche charakteristischen Elemente erforderlich sind, um ein Instrument zu entwickeln, mit dem man das kollektive IT-Sicherheitsbewusstsein kosteneffizient und nutzerzentriert messen kann. In dieser Umgebung sind die Auswirkungen sicherheitsrelevanter Vorfälle besonders gravierend und die Anforderungen an den Datenschutz besonders hoch.
Die Erkenntnisse sollen in spezielle Trainings für Nutzer einfließen. Eine abschließende Validierung wird schließlich zeigen, ob das entwickelte Instrumentarium tatsächlich das IT-Sicherheitsniveau verbessert. Weitere Informationen unter https:// itsec.cs.uni-bonn.de/itsapt/ im Internet.