Grundsatzlich kann jeder Form von Information ein bestimmter Wert zugeordnet werden. Die genaue Hohe dieses Wertes hangt von Faktoren wie dem Inhalt der Information, dem Grad der Geheimhaltung der sie unterliegt, ihrem Besitzer etc. ab. In manchen Fallen, v.a. im Geschaftsbereich, kann dieser Wert monetar ausgedruckt werden; in anderen Fallen ist dies nicht moglich. Unklarheit uber die moglichen Konsequenzen fur den Fall, dass solche Information in die falschen Hande gerat, hat zur Entwicklung von Masnahmen gefuhrt, die dies verhindern sollen. Der entsprechende Umgang mit Information – nicht ausschlieslich solcher, die einer besonderen Geheimhaltung unterliegt, sondern generell – auf eine Weise, welche Business Prozesse nicht unnotig behindert, gleichzeitig aber die Information selbst vor unerwunschtem Zugriff schutzt, fallt in den Bereich der Informationssicherheit (engl. ‚Information Security’).
Die Erkenntnis uber die Gefahr einer unerwunschten Verbreitung von Informationen hat dazu gefuhrt, dass Unternehmen grosen Aufwand an Zeit und Geld in die Erstellung eines Informationssicherheitsprogramms investieren. Der hierfur notige Aufwand allein garantiert allerdings nicht die Effizienz eines solchen Programms in seiner Anwendung, d.h. er bedingt nicht, dass die betroffenen Personen auch damit einhergehen und, wenn ja, bis zu welchem Grad sie dies tun. Eine Investition in das Design eines Informationssicherheitsprogramms ohne ausreichende Kenntnis der Auswirkungen, die es auf Personen haben wird, wird mit hoher Wahrscheinlichkeit zu einer Diskrepanz zwischen Konzeption und Anwendung eines solchen Programms fuhren. Im schlimmsten Fall kann dies sogar das gesamte Programm untergraben, namlich dann, wenn die betroffenen Personen den allgemeinen Nutzen des Programms fur sie und das Unternehmen nicht erkennen konnen. In so einem Fall werden sie der Effizienz in der Bearbeitung ihrer alltaglichen Verantwortlichkeiten die hochste Prioritat beimessen, die Informationssicherheit aber vernachlassigen. Dass damit die Verletzung einer Zahl von Informationssicherheitsmasnahmen einhergeht, die eigentlich dem Schutz wertvoller Informationen dienen sollten, ist mit hoher Wahrscheinlichkeit anzunehmen.
Die vorliegende Arbeit unterscheidet zwischen dem Design und der Umsetzung eines Informationssicherheitsprogramms. In diesem grundlegenden Unterschied liegt die Ursache fur die mogliche Kluft zwischen Konzeption und Anwendung eines solchen Programms. Die Frage, die diese Arbeit daher zu beantworten sucht, ist folgende: Wie kann diese Kluft zwischen Konzept und Anwendung reduziert werden oder aber, genauer gesagt, Informationssicherheit den betroffenen Personen, Mitarbeitern wie Managern, so kommuniziert werden, dass diese ihren Wert fur sie personlich wie auch fur das Unternehmen erkennen? Nur durch ein solches Verstandnis, d.h. entsprechendes Bewusstsein, kann das Befolgen eines Informationssicherheitsprogramms erreicht werden, und damit schlieslich auch seine Umsetzung wie vom Design her vorgesehen.
Obwohl die erfolgreiche Umsetzung eines Informationssicherheitsprogramms mit seiner Konzeption und Erstellung zusammenhangt, liegt der Fokus dieser Arbeit nicht auf dem Design eines solchen Programms. Zwar ergeben sich aufgrund des erwahnten Zusammenhangs insofern gewisse Beruhrungspunkte, als einige wichtige Aspekte des Designs eines Informationssicherheitsprogramms aufgezeigt werden, das Hauptaugenmerk dieser Arbeit liegt jedoch auf der Uberwindung moglicher Hindernisse, die sich wahrend der Implementierung von Richtlinien fur Informationssicherheit ergeben und die Effizienz eines entsprechenden Programms schmalern konnen. Dadurch kann die Akzeptanz eines Informationssicherheitsprogramms maximiert werden, da es von den betroffenen Personen als Masnahme gesehen wird, die Information als ein gemeinsames Gut vor unerwunschtem Zugriff schutzt.
[1]
Keith W. Ross,et al.
Computer networking - a top-down approach featuring the internet
,
2000
.
[2]
D. Pinto.
Secrets and Lies: Digital Security in a Networked World
,
2003
.
[3]
William L. Simon,et al.
The Art of Deception: Controlling the Human Element of Security
,
2001
.
[4]
Dorothy E. Denning,et al.
Information Warfare And Security
,
1998
.
[5]
Herbert J. Mattord,et al.
Management of Information Security, 3rd Edition
,
2010
.
[6]
Raj Sharman,et al.
Handbook of Research on Social and Organizational Liabilities in Information Security
,
2008
.
[7]
Ross J. Anderson.
Security engineering - a guide to building dependable distributed systems (2. ed.)
,
2001
.
[8]
Michael E. Whitman.
Enemy at the gate: threats to information security
,
2003,
CACM.
[9]
M. Whitman,et al.
Management Of Information Security
,
2004
.
[10]
William L. Simon,et al.
The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders & Deceivers
,
2005
.
[11]
Mark B. Desman.
Building an Information Security Awareness Program
,
2001
.
[12]
Steven Furnell,et al.
A prototype tool for information security awareness and training
,
2002
.
[13]
Matt Bishop,et al.
Computer Security: Art and Science
,
2002
.
[14]
Evangelos A. Kiountouzis,et al.
Investigating Information Security Awareness: Research and Practice Gaps
,
2008,
Inf. Secur. J. A Glob. Perspect..
[15]
John M. D. Hunter.
The Management of Security
,
2001
.
[16]
Sebastiaan H. von Solms,et al.
Information Security - The Third Wave?
,
2000,
Comput. Secur..
[17]
Gerald Quirchmayr,et al.
A framework for outsourcing IS/IT security services
,
2006,
Inf. Manag. Comput. Secur..
[18]
Steven Furnell,et al.
An Analysis of Information Security Awareness within Home and Work Environments
,
2010,
2010 International Conference on Availability, Reliability and Security.
[19]
Mikko T. Siponen,et al.
A conceptual foundation for organizational information security awareness
,
2000,
Inf. Manag. Comput. Secur..