Lernlabor Cybersicherheit

»Sicherheitsfaktor Mensch«

Ob CEO-Fraud, Datendiebstahl oder Ransomware: Bei der Mehrheit aller IT-Angriffe auf deutsche Unternehmen sind Mitarbeitende beteiligt. Der Mensch stellt als Einfallstor für Cyberangriffe ein erhebliches Sicherheitsrisiko dar. Gleichzeitig gehört der »Sicherheitsfaktor Mensch« zu den am wenigsten adressierten Elementen der IT-Sicherheit.

Mit dem Lernlabor Cybersicherheit hat das Fraunhofer IAO gemeinsam mit der Hochschule Heilbronn sowie der Fraunhofer Academy einen innovativen Lernort geschaffen mit dem Ziel, für Menschen IT-Sicherheit erlebbar zu machen und so die Sicherheitsrisiken zu adressieren, die mit dem »Faktor Mensch« verbunden sind.

Leistungen

Um komplexe Angriffe und Abwehrtechnologien der IT-Sicherheit für breite Zielgruppen erleb- und erfahrbar zu machen, hat das Fraunhofer IAO eine immersive Simulationsumgebung geschaffen. Diese erlaubt einen Blick hinter die Kulissen, um die jeweiligen Teilnehmenden zu befähigen, zukünftig selbst Gefahren zu erkennen und die Tricks derer, die uns angreifen, kompromittieren, erpressen oder unser Firmenwissen entwenden wollen, zu durchschauen.

Im Lernlabor demonstrieren die Expertinnen und Experten, was hinter Begriffen wie Open Source Intelligence (OSINT) und Social Engineering steckt und wie diese Methoden von Angreifern mit technischen Komponenten verknüpft werden.

Teilnehmende können in unserer IT-Sicherheits-Erlebnis-Umgebung Angriffsstrategien mit Demonstratoren und in Rollenspielen selbst ausprobieren.

Folgende Leistungen können Unternehmen in Anspruch nehmen:

Analysen: Wir analysieren, wo der Faktor Mensch in Unternehmen eine besondere Rolle spielt und wie mit präventiven und reaktiven Maßnahmen das Risiko und Schadenspotenzial von IT-Angriffen gesenkt werden kann.
Weiterbildungsangebote: Wir qualifizieren Fach- und Führungskräfte hinsichtlich IT-Sicherheit mit dem Schwerpunkt »Faktor Mensch«. Diese Angebote werden speziell auf die für das jeweilige Unternehmen relevanten Mitarbeitergruppen und Themen zugeschnitten und umfassen folgende Themen:
- Board Training
- Betrugsprävention
- Social-Engineering-Resilienz
- Zielgruppengerechte Ansprache von Mitarbeitenden und Gestaltung von umsetzbaren IT-Sicherheitsrichtlinien
- Erlebbarkeit von IT-Sicherheit und Security Champions
- Shop Floor Security
- Reaktive IT-Sicherheit: Fire Drills, Notfallvorsorge
Online-Trainings
Workshops: Auch für Bürgerinnen und Bürger – von Schülerinnen und Schülern bis zu Seniorinnen und Senioren – werden zielgruppengerechte Angebote entwickelt, die vor Angriffen wie Schock-Anrufen, Polizisten- und Enkeltrick sowie Pig Butchering schützen.

Forschungsthemen

Seit vielen Jahren spezialisieren wir uns auf IT-Themen mit dem Menschen im Mittelpunkt. Im Rahmen des Lernlabors fokussieren wir insbesondere auf die folgenden Aspekte:

Verhaltensorientierte Forschung im Bereich IT-Sicherheit

Unter Verwendung von empirischen Methoden untersuchen wir, wie sich Menschen im Bereich IT-Sicherheit verhalten. Wir ermitteln die Ursachen und Gründe für ihre Verhaltensweisen und untersuchen, wie diese positiv beeinflusst werden können.

Menschengerechte Gestaltung von IT-Sicherheitstechnologien, -richtlinien und -maßnahmen

Wir untersuchen, wie man IT-Sicherheit so gestalten kann, dass sie eine positive User Experience erzeugt, Marktbedürfnisse erfüllt und Nutzeranforderungen gerecht wird. Aufbauend auf empirischen Erkenntnissen werden interdisziplinäre Methoden eingesetzt und entwickelt, um eine menschengerechte Gestaltung zu ermöglichen.

Entwicklung neuer, zielgruppengerechter Lehr- und Lernformate

Es werden Lehr- und Lernformate entwickelt, die eine aktive Beteiligung der Lernenden ermöglichen, praktische Versuche und Erlebnisse umfassen, um Grundprinzipen und Verständnis der Thematik und Theorie zu fördern. Darauf aufbauend werden Kompetenzen zur praktischen Lösung von Problemen vermittelt, sowie kritisches Denken und Reflektion und die Problemlösungsfähigkeiten der Lernenden gefördert

Stärkung von Kompetenzaufbau und nachhaltiger Verhaltensänderung in Unternehmen

Es wird erforscht, welche Veränderungen in IT und Prozessen in Unternehmen erforderlich sind, um eine nachhaltige Verhaltensänderung von Miterarbeitenden zu unterstützen und wie dies optimal mit Weiterbildungen verbunden werden kann. Dazu gehört eine Verzahnung von externer Weiterbildung mit Lernschritten im Unternehmenskontext für die Umsetzung des Gelernten in sichere Routinen. Dafür werden wissenschaftliche Erkenntnisse bzw. Expertinnen und Experten zu Verhaltensänderung mit einbezogen.

Entwicklung von Evaluationsmetriken

Wir erforschen, wie sich der Erfolg von neuen Lehr- und Lernformen nachweisen und messen lässt. Das Ziel ist es nachweislich zu demonstrieren, dass die entwickelten Konzepte und Lernangebote in der Lage sind, mit dem »Faktor Mensch« verbundene Sicherheitsrisiken signifikant reduzieren.

Ausstattung

Unser Labor verfügt über eine breite Palette hochmoderner Demonstratoren, die IT-Sicherheit in realistischen Umgebungen erlebbar machen. Diese verbinden eindrucksvoll den Einsatz von Methoden des Social Engineerings mit technischen Angriffskomponenten unter Einsatz neuester Technologien wie Künstlicher Intelligenz.

Einige der Demonstratoren sind dynamisch an unterschiedliche Einsatzszenarien anpassbar und können als mobile IT-Sicherheits-Erlebnis-Umgebungen für Weiterbildungen in Unternehmen eingesetzt werden.

Expertinnen und Experten

Das Team des Lernlabors ist interdisziplinär aufgestellt und verbindet fundierte Kenntnisse in den Bereichen IT-Sicherheit, Psychologie und Didaktik. Die Teammitglieder:

Dr. Heiko Roßnagel ist Leiter des Teams Identitätsmanagement. Er verfügt über umfangreiche Erfahrung aus zahlreichen nationalen und internationalen Forschungsprojekten und war Koordinator der EU-Projekte LIGHTest und FutureID. Er hat an der Technischen Universität Darmstadt Informatik studiert und an der Goethe-Universität in Wirtschaftswissenschaften promoviert. Seine aktuellen Forschungsinteressen liegen im Bereich IT-Sicherheit und Identitätsmanagement mit einem Fokus auf menschliche Faktoren, Wirtschaftlichkeit und Marktakzeptanz.

Mrudula Arunkumar ist Kognitionspsychologin mit mehrjähriger Erfahrung in der Verhaltensforschung. Sie hat an Instituten wie dem Max-Planck-Institut für Psycholinguistik und der Friedrich-Schiller-Universität Jena gearbeitet und experimentelle Forschung zum Verständnis von Lernprozessen bei Menschen in verschiedenen Kulturen durchgeführt. Derzeit beschäftigt sie sich am Fraunhofer IAO mit menschlichen Lernprozessen und Verhaltensänderung im Bereich der Cybersicherheit.

Dr. Christian Schunck ist Physiker mit langjähriger Forschungserfahrung in Deutschland, den USA (Berkeley, MIT) und Italien (Universität Rom). Seit über 15 Jahren arbeitet er im Bereich digitales Identitätsmanagement und IT-Sicherheit. Er beschäftigt sich mit organisatorischer IT-Sicherheit, OT-Sicherheit, sowie KI und dem Faktor Mensch in der IT-Sicherheit.

Prof. Dr. Jochen Günther ist Professor für Wirtschaftsinformatik an der Hochschule Heilbronn. Er ist zertifizierter »Project Management Professional« (PMP) nach dem Standard des PMI sowie SCRUM Master nach SCRUM Alliance. Bis 2016 war er als Projektleiter und stellvertretender Abteilungsleiter am Fraunhofer IAO in Stuttgart tätig und leitete zudem das Competence Center Videokommunikation der Fraunhofer-Gesellschaft.

Kontakt zu Jochen Günther

Weitere Informationen

https://www.cybersicherheit.fraunhofer.de (cybersicherheit.fraunhofer.de)
Lernlabor "Sicherheitsfaktor Mensch" von Prof. Jochen Günther

Vorteile

Nachhaltige Lerneffekte

Durch Erlebbarkeit wird das Risikobewusstsein der Mitarbeitenden nachhaltig verändert und neue Verhaltensweisen verinnerlicht.

Umsetzbare Richtlinien

Mit unseren Ansätzen konzipierte Sicherheitsrichtlinien werden von Mitarbeitenden auch umgesetzt und gelebt. Nur so können Sie Ihr Unternehmen effektiv schützen.

Zielgerichtete Prävention

Falls es zu einem IT-Sicherheitsvorfall kommt, sind Ihre Mitarbeitenden und Ihr Unternehmen vorbereitet. Sie können die richtigen Maßnahmen zur Abwehr und Schadensbegrenzung schnell und zielgerichtet ergreifen.

Selbstbewusste Führungskräfte
Führungskräfte werden befähigt, den Status der IT-Sicherheit in ihrem Zuständigkeitsbereich selbst einschätzen und auf eventuelle Missstände reagieren zu können