Einsatz von Gamification zur Erhöhung der IT-Sicherheit in Organisationen

Ansprechpartner: Denitsa Kirova

Die IT-Sicherheit ist eine Systemeigenschaft, welche durch eine Reihe von Kriterien konkretisiert wird. Die in der Literatur am häufigsten verwendeten Kriterien (auch IT-Sicherheitseigenschaften genannt) sind die Verfügbarkeit, Vertraulichkeit und die Integrität (Dhillon und Backhouse 2000; Eckert 2013, S. 6 ff.). Die Gewährleistung der IT-Sicherheit ist aktuell eine Basisvoraussetzung für die Erreichung der Ziele jeder Organisation.

Organisationen werden als komplexe, sozio-technische Systeme verstanden (Cartelli 2007), in welchen Menschen und Maschinen zunehmend intensiver miteinander interagieren. Um ein gewünschtes Niveau an IT-Sicherheit in einer Organisation her- und sicherzustellen, werden folglich Verfahren benötigt, welche sowohl den technischen als auch den sozialen „Teil“ des Systems berücksichtigen (Dhillon und Backhouse 2000; Kayworth und Whitten 2010).

Zu Beginn des Jahres 2000 wurde die IT-Sicherheit als ein Problem der IT-Abteilung betrachtet (Dhillon und Backhouse 2000). Die meisten traditionellen Verfahren zur Gewährleistung der IT-Sicherheit, welche in der Regel vor dieser Zeit stammen, wie z. B. Checklisten, Standards und Reifegradmodelle, nehmen eine technische Sicht auf das IT-Sicherheitsproblem vor (Siponen 2005). Zunehmend wird aber die Wichtigkeit des menschlichen Faktors in diesem Bereich erkannt. Der Mensch gilt als das „schwächste Glied“ in einem IT-Sicherheitssystem (Aurigemma und Panko 2012). Studien aus dem letzten Jahr zeigen, dass menschliches Fehlverhalten einer der Hauptgründe für den Anstieg von IT-Sicherheitsvorfällen ist (Ponemon 2015; BSI 2015). Dazu gehören z. B. Fehler in der Bedienung von IT-Systemen sowie mangelndes Wissen und Bewusstsein bezüglich der IT-Sicherheit. Diesen „Lücken“ in der organisationalen IT-Sicherheit wird durch unterschiedliche Maßnahmen, wie z. B. Schulungen und Sensibilisierungsprogramme, begegnet. Das Ziel dieser Maßnahmen ist, ein Verhalten, das mit den IT-Sicherheitszielen und -prinzipien der Organisation konform ist, zu „erzeugen“ (Kayworth und Whitten 2010). Auch wenn Schulungen und Sensibilisierungsprogramme bereits Bestandteil der IT-Sicherheitskonzepte von Organisationen sind, zeigen die Ergebnisse der oben genannten Studien, dass sie wenig effektiv sind. Das bedeutet, es werden Verfahren zur Entwicklung und Implementierung von Schulungs- und Sensibilisierungsprogrammen benötigt, welche effektiv und erfolgsversprechend sind.

Gamification ist ein Ansatz zur Förderung bestimmtes Verhalten, wie z. B. gesteigertes Engagement oder erhöhte Produktivität (Robson et al. 2016). Er beschreibt die Anwendung von Spielgestaltungselementen in einem spielfremden Kontext (Deterding et al. 2011). Er wird seit etwa 2010 in der Lehre und für Marketing Zwecke eingesetzt und untersucht (Hamari, Koivisto und Sarsa 2014; Roselli und Rossano 2015). Im Bereich der IT-Sicherheitsausbildung werden Spiele bzw. spielebasierte Anwendungen, vor allem im US-amerikanischen Raum, bereits seit 1999 verwendet. Diese Anwendungen werden zum größten Teil von Verteidigungs- und militärischen Einrichtungen entwickelt und in diesen eingesetzt, um IT-Sicherheitsexperte auszubilden (Pastor, Díaz und Castro 2010). Während aktuell die Integration von Gamification in universitären Programmen für Informatik-Studenten sowie die Verbesserung von „gamified“ Anwendungen (Nagarajan et al. 2012) in der Forschung untersucht werden, fehlen Untersuchungen zum Einsatz von Gamification zur Erhöhung der IT-Sicherheit im organisationalen Kontext.

Das Forschungsprojekt am Lehrstuhl für Betriebswirtschaftslehre, insbesondere Informationsmanagement (B*IMA) an der FernUniversität in Hagen beschäftigt sich mit der Fragestellung, wie Gamification in einer Organisation einzusetzen ist, um die IT-Sicherheitskompetenz der Organisationsmitglieder zu erhöhen und dadurch positiv zur Her- und Sicherstellung des gewünschten IT-Sicherheitsniveaus beizutragen. Dabei wird untersucht, welche Organisationsbereiche von dem Einsatz betroffen sind, und wie der Integrationsprozess auf den betroffenen Bereichen zu gestalten ist.

Dem Forschungsvorhaben liegt ein konstruktionsorientierter Ansatz (Design Science) zugrunde (Hevner et al. 2004). Die Untersuchung erfolgt aus der Perspektive des Business Engineering, das alle relevanten Bereiche, welche den Einsatz neuer Technologien in einer Organisation hervorrufen und betreffen, modellhaft abbildet (Baumöl und Jung 2014).


Literatur

Aurigemma, Salvatore und Raymond Panko. 2012. A Composite Framework for Behavioral Compliance with Information Security Policies. In: Proceedings of the Annual Hawaii International Conference on System Sciences, 3248–3257. IEEE.

Baumöl, Ulrike und Reinhard Jung. 2014. Rekursive Transformation: Entwicklung der Business Engineering-Landkarte. In: Wirtschaftsinformatik in Wissenschaft und Praxis: Festschrift für Hubert Österle, hg. von Walter Brenner und Thomas Hess, 41–49. Berlin, Heidelberg: Springer.

BSI. 2015. Cyber-Sicherheits-Umfrage 2015: Ergebnisse. Bonn.

Cartelli, Antonio. 2007. Socio-Technical Theory and Knowledge Construction: Towards New Pedagogical Paradigms? Issues in Informing Science and Information Technology 4: 1–14.

Deterding, Sebastian, Rilla Khaled, Lennart E. Nacke und Dan Dixon. 2011. Gamification: Toward a Definition. In: CHI 2011 Workshop Gamification: Using Game Design Elements in Non-Game Contexts. Vancouver: ACM.

Dhillon, Gurpreet und James Backhouse. 2000. Information System Security Management in the New Millennium. Communications of the ACM 43, Nr. 7: 125–128.

Eckert, Claudia. 2013. IT-Sicherheit: Konzepte - Verfahren - Protokolle. 8. Aufl. München: Oldenbourg Wissenschaftsverlag GmbH.

Hamari, Juho, Jonna Koivisto und Harri Sarsa. 2014. Does Gamification Work? - A Literature Review of Empirical Studies on Gamification. In: Proceedings of the 47th Hawaii International Conference on System Sciences, 3025–3034. IEEE.

Hevner, Alan R., Salvatore T. March, Jinsoo Park und Sudha Ram. 2004. Design Science in Information Systems Research. MIS Quarterly 28, Nr. 1: 75–105.

Kayworth, Tim und Dwayne Whitten. 2010. Effective Information Security Requires a Balance of Social and Technology Factors. MIS Quarterly Executive 9, Nr. 4: 163–175.

Nagarajan, Ajay, Jan M. Allbeck, Arun Sood und Terry L. Janssen. 2012. Exploring Game Design for Cybersecurity Training. In: Proceedings of the 2012 IEEE International Conference on Cyber Technology in Automation, Control, and Intelligent Systems, 256–262. Bangkok: IEEE.

Pastor, Vicente, Gabriel Díaz und Manuel Castro. 2010. State-of-the-art Simulation Systems for Information Security Education, Training and Awareness. In: Education Engineering (EDUCON), 2010 IEEE, 1907–1916. Madrid: IEEE.

Ponemon. 2015. 2014: A Year of Mega Breaches.

Robson, Karen, Kirk Plangger, Jan H. Kietzmann, Ian McCarthy und Leyland Pitt. 2016. Game on: Engaging Customers and Employees through Gamification. Business Horizons 59, Nr. 1: 29–36.

Roselli, Teresa und Veronica Rossano. 2015. Focus on: Gamification and Serious Game for Learning. Journal of e-Learning and Knowledge Society (Je-LKS) 11, Nr. 3: 7–12.

Siponen, Mikko T. 2005. An Analysis of the Traditional IS Security Approaches: Implications for Research and Practice. European Journal of Information Systems 14, Nr. 3: 303–315.

Tim-Phillip Buchelt | 04.07.2018