Fachstelle Human-centered Cybersecurity | ZHAW Institut für Wirtschaftsinformatik IWI

«Die Gestaltung von Cybersicherheit und Datenschutz erfordert die integrierte Betrachtung von Menschen, Technik und Organisation. Nur eine ganzheitliche Perspektive ermöglicht effektive Lösungen.»

Nico Ebert, Leiter Fachstelle Human-centered Cybersecurity

Ganzheitliche Betrachtung von Cybersicherheit und Datenschutz

Wie kann sich eine Organisation besser auf einen Cyberangriff vorbereiten? Wie kann die Awareness des Personals verbessert und dessen Verhalten sicherer gestaltet werden? Wie können Personen ihre persönlichen Daten besser schützen? Und wie kann Technik so gestaltet werden, dass sie Menschen dabei unterstützt, sich sicherer im digitalen Raum zu bewegen?

Wir betrachten Cybersicherheit und Datenschutz als Zusammenspiel von Menschen, Technik und Prozessen. Dazu verbinden wir unterschiedliche Disziplinen: Psychologie, um Verhalten zu verstehen und zu verändern; Management, um Strukturen und Prozesse wirksam zu gestalten; und Technik, um sichere und nutzbare Systeme zu entwickeln. In einem interdisziplinären Team entwickeln wir praxisnahe Ansätze etwa zur Messung von Cybersicherheits-Awareness oder zur Weiterentwicklung von IT-Security-Management-Frameworks. Dabei greifen wir auf etablierte Konzepte aus Behaviour Change, Organizational Learning und Safety zurück. Wir arbeiten eng mit anderen Expert:Innen zusammen, etwa im Cyber Resilience Network Zurich oder im Cybersecurity Lab der ZHAW.

Projektbeispiel – Messung von IT-Sicherheitsverhalten in Organisationen

Die Informationssicherheitskultur in Organisationen wird massgeblich durch das alltägliche Verhalten der Angestellten geprägt. Gemeinsam mit Forschenden der ETH Zürich und der Universität Zürich sowie mit Cybersecurity-Praktikern haben wir einen mehrsprachigen Fragebogen zur Messung des IT-Sicherheitsverhaltens von Angestellten in Organisationen entwickelt. Im Gegensatz zu bisherigen Fragebögen verzichtet dieser bewusst auf die Messung anderer Verhaltensfaktoren (z. B. Wissen oder Einstellungen) und beschränkt sich stattdessen auf 34 konkrete Verhaltensweisen in sechs Kategorien. Der Fragebogen ist zudem bewusst technologieneutral gestaltet und damit gegenüber neuen technologischen Trends robust. Damit bildet er die Grundlage für eine umfassende Verhaltensdiagnose sowie für die Entwicklung von Behavior Change-Massnahmen. Anstelle von breiten Awareness-Kampagnen können so gezielt besonders sicherheitsrelevantes Verhalten adressiert werden (z. B. Trainings zur Förderung von Phishing-Reporting). Der Fragebogen kann je nach Organisation flexibel um weitere Verhaltensweisen ergänzt werden und wurde bereits von mehreren öffentlichen und privaten Organisationen mit mehreren tausend Angestellten erprobt.

Projektbeispiel – Entwicklung eines Zero-Trust-Frameworks für heutige KMU

Kleine und mittlere Unternehmen sind zunehmend von Cyberrisiken betroffen, während ihre Sicherheitsressourcen begrenzt bleiben. Cloud-Dienste, hybride IT, externe Dienstleister und verteilte Identitäten schwächen Perimeter-orientierte Sicherheitsmodelle. Die existierenden Zero-Trust-Frameworks sind nicht an nationale Bedürfnisse angepasst.

Daher haben wir ein Framework entwickelt, das als Entscheidungsgrundlage zur Auswahl und Priorisierung geeigneter Sicherheitsmassnahmen genutzt werden kann.