„Die Neugier steht immer an erster Stelle
eines Problems, das gelöst werden will.“
(Galileo Galilei)
In den 90er Jahren kündigte die US-amerikanische Regierung Clinton die Vernetzung der Welt und den damit verbundenen Aufbau der notwendigen Infrastruktur an, womit sie den Begriff der Informationsgesellschaft in aller Munde katapultierte.[1] Seitdem steht, vornehmlich in den OECD-Ländern, der sozialstrukturelle Wandel von einer Industriegesellschaft in eine Informationsgesellschaft, in der Geschäftsprozesse unteilbar mit Informations- und Kommunikationsprozessen verbunden sind, außer Frage.[2] Neben den klassischen Produktionsfaktoren wie Arbeit, Boden und Kapital zeigt sich, dass für den Erfolg und die Wettbewerbsfähigkeit jedes Unternehmens, die Bedeutung von wissensintensiven Produkten und Dienstleistungen zunehmend steigt.[3] Insbesondere die Handlungsfähigkeit, Informationen aufzunehmen, zu filtern, zu verarbeiten und effizient zu Wissen in Form von wirtschaftlich nutzbaren Innovationen zu entwickeln, gewinnt deutlich an Relevanz.[4]
Die Sicherheit von Informationssystemen wird daher zunehmend systemrelevant und sollte als Ernst zunehmendes Thema eingestuft werden, insbesondere weil Schwachstellen und Gefahren in der digitalen Welt permanent steigen.[5] Organisationen haben keine effektiven Risikomanagement-Systeme, welche mit dieser hohen Geschwindigkeit mithalten könnten,[6] mit der die Informationsfunktion sämtliche Geschäftsprozesse durchdringt, weshalb es als eine conditio sine qua non bezeichnet werden sollte, das Wissen zur Erhöhung der Sicherheit von Informationssystemen ständig zu erweitern.[7] Positive werthaltige wie negative und damit schädigende Informationen entscheiden über den Erfolg einer Organisation und sind, je nach ihrer Relevanz, in besonderem Umfang zu schützen.[8] Die Speicherung, Verarbeitung und Nutzung eines überwiegenden Teils dieser Informationen wie in Adressdatenbanken, Unternehmenskennzahlen, Patentideen oder Gutschriften erfolgt in digitaler Form. Die Gewährleistung der Informationssicherheit rückt damit zu einer Schlüsselaufgabe, welche über den Fortbestand und den Erfolg der Organisation entscheiden kann. Im Vordergrund stehen in dem Zusammenhang Fragen, wie man ein gewünschtes Maß an Informationssicherheit realisieren kann, inwieweit dieses Niveau an Informationssicherheit sich gegenüber Dritten wie Aufsichtsbehörden, Partner und Kunden nachweisen lässt und in welchem Umfang sich Investitionen in die Informationssicherheitsmaßnahmen rentieren. Bei der Festlegung des Niveaus der Informationssicherheit bedarf es der Feststellung, in welchem Umfang die Sicherheit der Informationen sowie die Sicherheit vor den Informationen gewährleistet werden soll. Die daraus resultierenden, komplementären Sichten, Beherrschbarkeit und Verlässlichkeit der Informationssicherheit, bedürfen der organisationsspezifischen Dekretierung zuordenbarer Schutzziele. Sodann sind mögliche Gefahren und Schwachstellen für die Organisation zu ermitteln und deren Relevanz für die Gewährleistung beispielhafter Schutzziele wie der Verfügbarkeit, der Vertraulichkeit, der Integrität, der Zurechenbarkeit und der Revisionsfähigkeit festzulegen. Insbesondere die quantitativ und qualitativ steigende Anzahl von Schwachstellen und Angriffen erfordert schnellere und komplexere Gegenmaßnahmen bei gleichzeitiger umfassender Betrachtung der Sichten der Beherrschbarkeit und Verlässlichkeit.
Technische Aspekte zur Gewährleistung von Informationssicherheit stehen dabei im Fokus vieler IT-Entscheider, allerdings ist sich die Mehrzahl der Autoren einig, dass technische Maßnahmen wie Firewalls, Virusscanner oder Mailscanner umfangreich implementiert wurden.[9] In technische Absicherungsmaßnahmen wurden in der Vergangenheit hohe Beträge investiert,[10] ohne auf das besondere Zusammenspiel von technischen Aspekten und menschlichen Bedürfnissen zu achten. Die Erhöhung der Informationssicherheit sollte zukünftig, nach vorherrschender Meinung, dem soziotechnischen Anspruch genügen, Arbeitssysteme zu entwickeln, „…which are both technically efficient and have social characteristics which lead to high job satisfaction.“[11] Die technische Absicherung ist zur Gewährleistung von Informationssicherheit unbedingt notwendig, jedoch zeigt sich eine breite Akzeptanz dafür, dass „…involvement of humans in information security is equally important and many examples exist where human activity can be linked to security issues“,[12] somit rückt der Mensch in den Mittelpunkt des Interesses wie Abbildung 1 zeigt:[13]
Abbildung 1: Entwicklung der Informationssicherheit
Quelle: Vgl. Dontamsetti/Narayanan (2009), S. 28.
Die Wirtschaftsinformatik ist vornehmlich technik- und aufgabenorientiert, wodurch der Mensch als Element des Informationssystems vernachlässigt wurde.[14] Nach Konrad Zuse ist eine gute Datenverarbeitung nur dann gegeben, wenn „…die Zusammenarbeit zwischen dem Menschen und der Maschine möglichst eng ist.“[15] Allerdings ist die menschliche Schwachstelle bei der Gewährleistung von Informationssicherheit „…the most difficult to manage because you cannot control what is in people‘s heads and what they will be willing to talk about inadvertently or otherwise.“[16] Lösungen zur Erhöhung der Informationssicherheit erweisen sich regelmäßig als limitierte Bausteine „…because humans can be so unpredictable and imperfect…“,[17] wodurch die wissenschaftliche Mehrheit zu dem Schluss kam: „…it is becoming increasingly evident that 'the human factor is the Achilles heel of information security'…”[18] und einige Wissenschaftler sich zudem auf die Aussage einigen: „The weakest link the security chain is still the human factor“.[19] Dabei besteht eine breite Einigkeit, dass der menschliche Faktor bei der Betrachtung von Schwachstellen für die Informationssicherheit oft übersehen wird und unter keinen Umständen unterschätzt werden sollte.[20] Nicht selten unbeachtet bleibt dabei, dass Informationssysteme letztlich „…auf die Absichten des Menschen zurückzuführen sind und das Menschen ein wesentliches Element, wenn nicht sogar das wichtigste Element...“[21] dieser Systeme sind. Übereinstimmend wird von diversen Autoren dargestellt, dass die Sicherheit von Informationssystemen nicht allein durch technische Maßnahmen gewährleistet werden kann, vielmehr ist dafür eine gesamthafte Betrachtung der Technologie, des Menschen und der Prozesse notwendig,[22] wobei der Fokus der Entwicklungen vorrangig auf technischen Aspekten lag.[23] Nach Reason gibt es gegen die "... heimtückische Verkettung latenter menschlicher Fehler, die in jeder größeren Organisation zwangsläufig vorkommen", keine technologische Abhilfe. Deshalb sieht er institutionelle und soziale Faktoren als diejenigen an, die unsere Sicherheit am stärksten bedrohen.[24] Nach umfangreichen Recherchen wurde das Interesse des Autors auf die Fragestellung, welche Zusammenhänge zwischen Menschen und technischen, rechtlichen, organisatorischen sowie wirtschaftlichen Aspekten einer Organisation bestehen und inwieweit dadurch die Sicherheit von Informationen erhöht respektive reduziert wird, gelenkt. Als Maxime sollten im Folgenden das reaktive sowie das proaktive Denken und Handeln vorgezogen, welches auf Prozessbeherrschung gerichtet ist und somit den unternehmerischen Erfolg herbeiführt, welcher als Konsequenz vorangegangener Prozesse betrachtet wird.[25] Die überwiegende Anzahl der analysierten Fachmeinungen hält es für unerlässlich, zur Gewährleistung der Informationssicherheit, detaillierte Informationen und Erkenntnisse zur menschlichen Persönlichkeit zu generieren. Nach vorherrschender Meinung erfolgt die Erfassung der menschlichen Persönlichkeit durch Theorien zur Persönlichkeit, welche hypothetische Aussagen über die Struktur und Funktionsweise der individuellen Persönlichkeit liefern. Diese Aussagen können zum einen Erkenntnisse über den Aufbau, die Struktur und die Zusammenhänge der Persönlichkeit und zum anderen, basierend auf dem Wissen über die Persönlichkeit, können Vorhersagen über Verhaltensweisen und Lebensereignisse getroffen werden.[26] Zur adäquaten Einschätzung menschlicher Stärken und Schwächen kann die Persönlichkeitspsychologie als probates Mittel betrachtet werden, welche Interdependenzen zwischen der Sicherheit von Informationssystemen und der menschlichen Persönlichkeit aufzeigt. Die Feststellung des Aufbaus, der Struktur sowie der Zusammenhänge zur Persönlichkeit sollte, für bestimmte Typen von Menschen, zu konkreten praktischen Handlungsempfehlungen und zur Schaffung eines Rahmenwerks zur Gewährleistung von Informationssicherheit führen. Die Möglichkeit, Vorhersagen über Verhaltensweisen einer...