Fachstelle Human-centered Cybersecurity | ZHAW Institut für Wirtschaftsinformatik IWI

«Cybersicherheit und Datenschutz können nicht allein durch Technik und Recht sichergestellt werden, sondern werden vor allem durch Menschen geprägt. Nur wenn der Human Factor berücksichtigt wird, entstehen effektive Lösungen.»

Nico Ebert, Leiter Fachstelle Human-centered Cybersecurity

Cybersicherheit, Datenschutz und Faktor Mensch

Wie kann sich eine Organisation besser auf einen Cyberangriff vorbereiten? Wie kann die Awareness des Personals verbessert und dessen Verhalten sicherer gestaltet werden? Wie können Personen ihre persönlichen Daten besser schützen? Und wie kann Technik so gestaltet werden, dass sie Menschen dabei unterstützt, sich sicherer im digitalen Raum zu bewegen?

In einem interdisziplinären Team mit Hintergrund in Informatik, Organisation und Psychologie entwickeln wir innovative Lösungen im Bereich Cybersicherheit und Datenschutz (z.B. zur Messung von Cybersicherheits-Awareness oder zur Gestaltung von IT-Security-Management-Frameworks). Im Mittelpunkt stehen dabei Einzelne ebenso wie Organisationen. Wir nutzen etablierte Methoden – zum Beispiel aus den Bereichen Behavior Change, Organizational Learning oder Safety – und arbeiten eng mit anderen Expert:Innen zusammen, etwa im Cyber Resilience Network for the Canton of Zurich oder im Cybersecurity Lab der ZHAW.

Projektbeispiel – Messung von IT-Sicherheitsverhalten in Organisationen

Die Informationssicherheitskultur in Organisationen wird massgeblich durch das alltägliche Verhalten der Angestellten geprägt. Gemeinsam mit Forschenden der ETH Zürich und der Universität Zürich sowie mit Cybersecurity-Praktikern haben wir einen mehrsprachigen Fragebogen zur Messung des IT-Sicherheitsverhaltens von Angestellten in Organisationen entwickelt. Im Gegensatz zu bisherigen Fragebögen verzichtet dieser bewusst auf die Messung anderer Verhaltensfaktoren (z. B. Wissen oder Einstellungen) und beschränkt sich stattdessen auf 34 konkrete Verhaltensweisen in sechs Kategorien. Der Fragebogen ist zudem bewusst technologieneutral gestaltet und damit gegenüber neuen technologischen Trends robust. Damit bildet er die Grundlage für eine umfassende Verhaltensdiagnose sowie für die Entwicklung von Behavior-Change-Massnahmen. Anstelle von breiten Awareness-Kampagenen können so gezielt besonders sicherheitsrelevante Verhalten adressiert werden (z. B. Trainings zur Förderung von Phishing-Reporting). Der Fragebogen kann je nach Organisation flexibel um weitere Verhaltensweisen ergänzt werden und wurde bereits von mehreren öffentlichen und privaten Organisationen mit mehreren tausend Angestellten erprobt.