[03.02.2015] Wenig Aufwand, großer Effekt: Hackerangriffe auf sensible Schaltstellen des weltweiten Datennetzes nehmen zu und richten große Schäden an, sei es in Filmservern oder im Versorgungssystem. Ein erfolgreicher Angriff auf einen Betreiber einer Kritischen Infrastruktur (KRITIS) kann verheerende Folgen haben. Wer vorbeugen möchte, hat bislang nur die Möglichkeit, die technische IT-Infrastruktur seines Unternehmens auf Verwundbarkeit überprüfen lassen. Ein neues Verbundprojekt, an dem auch die Universität Duisburg-Essen (UDE) beteiligt ist, bezieht zusätzlich den menschlichen Faktor in die IT-Sicherheitsbewertung ein.

Das IT-Sicherheitsbewusstsein der Nutzer ist zum Beispiel bei Phishing-Versuchen gefragt. Dabei ahmen Betrüger vertrauenswürdige elektronische Nachrichten etwa von Banken oder Versandhäusern nach. Die Nutzer werden dann auf gefälschte Seiten gelockt und unter einem Vorwand sensible Daten abgefragt, die etwa erlauben, das Konto zu plündern oder einen Trojaner zu installieren. Wie man den Faktor Mensch besser in die IT-Sicherheitsstrategie einbeziehen und für Cyberangriffe sensibilisieren kann, wird in den nächsten drei Jahren im Verbundprojekt „IT-Security Awareness Penetration Testing (ITS.APT)“ erforscht, das vom Bundesministerium für Bildung und Forschung (BMBF) mit 2,24 Mio. Euro gefördert wird. Auf die UDE entfallen 590.000 Euro.

Es sollen neue Methoden erarbeitet werden, mit denen das IT-Sicherheitsbewusstsein von Nutzern gemessen und bei Bedarf auch erhöht werden kann. Die Forscher betreten mit dem Vorhaben Neuland. UDE-Psychologieprof. Matthias Brand: „Unser Projekt wird uns nicht nur in den beteiligten Fachdisziplinen, von den Rechtswissenschaften über die Psychologie bis hin zur Informatik, voranbringen. Auch die Schulungen in Unternehmen mit kritischen IT-Infrastrukturen werden davon profitieren.“

Das Forschungsvorhaben wird getragen durch das UDE-Fachgebiet für Allgemeine Psychologie: Kognition, die Arbeitsgruppe IT-Sicherheit des Instituts für Informatik der Universität Bonn, das Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münster, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein in Kiel, die Enno Rey Netzwerke GmbH aus Heidelberg und das Universitätsklinikum Schleswig-Holstein.

Hier soll untersucht werden, welche charakteristischen Elemente erforderlich sind, um ein Instrument zu entwickeln, mit dem man das kollektive IT-Sicherheitsbewusstsein kosteneffizient und nutzerzentriert messen kann. In dieser Umgebung sind die Auswirkungen sicherheitsrelevanter Vorfälle besonders gravierend und die Anforderungen an den Datenschutz besonders hoch. Die Erkenntnisse sollen in spezielle Trainings für Nutzer einfließen. Eine abschließende Validierung wird schließlich zeigen, ob das entwickelte Instrumentarium tatsächlich das IT-Sicherheitsniveau verbessert.

Weitere Informationen: https://itsec.cs.uni-bonn.de/itsapt/
Prof. Dr. Matthias Brand, T. 0203/379-2541, matthias.brand@uni-due.de

Redaktion: Beate H. Kostka, Tel. 0203/379-2430