Gamified IT-Security Awareness (GITSA)

Forschungslaufzeit: 1.5.2023 bis 31.4.2027

Noch immer ist der Mensch die zugrundeliegende Ursache für die meisten erfolgreichen Angriffe auf IT-Infrastruktur in Unternehmen; 91% der erfolgreichen Angriffe über das Internet beginnen bei den Mitarbeiter*innen. Seien es Ransomware, Trojaner oder finanzieller Schaden durch erfolgreiches Spear-Phishing bzw. CEO Fraud – all diese Angriffe benötigen menschliches Zutun, um erfolgreich zu sein. In der überwiegenden Anzahl der Fälle geschieht dies auch im besten Glauben und Vertrauen der betroffenen Mitarbeiter*innen, ohne dem Unternehmen bewusst schaden zu wollen.

Eine Frau arbeitet an ihrem Computer in einem I T Labor

Abseits aller technischen Maßnahmen und Lösungen kann man diesem Problem aktuell im Wesentlichen nur durch Schulungen sowie Awareness-bildende Maßnahmen begegnen, wobei verpflichtende regelmäßige Trainings zur IT-Sicherheit in vielen Unternehmen (gerade in Bereichen der kritischen Infrastruktur) bereits gut etabliert sind. Diese IT-Security Trainings werden von den Mitarbeiter*innen häufig nur mit überschaubarer Begeisterung und Beteiligung absolviert und eher als lästige Pflichtübung denn als wichtiger Pfeiler der IT-Security Strategie wahrgenommen.

Ein noch weniger weit verbreiteter Ansatz, Akzeptanz und Nachhaltigkeit dieser Schulungen zu erhöhen, ist, sie mit Gamification Elementen anzureichen, d.h. spielerische Konzepte und Belohnungssysteme einfließen zu lassen. 
Die im Projekt entwickelte Plattform samt individuellen Challenges soll im Rahmen des Projekts und auch nach Projektende Unternehmen zur Durchführung interner Awareness-Schulungen für unterschiedlichste Zielgruppen angeboten werden, sowie auch in der Lehre an der FH Campus Wien in unterschiedlichen Studiengängen eingesetzt werden. Eine schnelle Konfiguration für unterschiedliche Anwender*innengruppen sowie Mehrmandantenfähigkeit ist daher inhärenter Teil der zu implementierenden Lösung.

Forschungsziele

  • Strukturierte Erhebung und Klassifizierung der häufigsten Anwender*innenfehler, die zu IT-Security-kritischen Vorfällen geführt haben
  • Konzept und Entwicklung einer generischen, erweiterbaren und schnell deploybaren Plattform für die Abhaltung von Awareness-Schulungen für unterschiedliche Zielgruppen
  • Evaluierung und Entwicklung der nötigen organisatorischen und juristischen (insbesondere im Hinblick auf die DSGVO) Rahmenbedingungen, um solche Schulungen bestmöglich durchführen zu können
  • Konzept, Entwicklung, Deployment und praktische Evaluierung von entsprechenden Challenges unter Berücksichtigung der gewonnenen Erkenntnisse aus Ziel 1
  • Evaluierung, inwieweit eine solche Plattform auch in der Lehre (Master IT-Security, Bachelor CSDC,…) unterstützen kann, insbesondere auch in Hinblick auf den anhaltenden Trend zum Remote Unterricht (Beispielweise für Aufgaben im Bereich White-Hat-Hacking/Penetration Testing)
  • Entwicklung von Metriken für die Erfolgsmessung nach Awareness Training

Fördergeber*in

Logo mit drei roten verbundenen Punkten und dem Wortlaut F F G Forschung wirkt.

Österreichische Forschungsförderungsgesellschaft (FFG)
COIN Aufbau, 9. Ausschreibung "FH – Forschung für die Wirtschaft"

Forschungsbereiche

Digital Innovation and Transformation

Inclusive, Social and Secure Society

Ziele für nachhaltige Entwicklung der UNO

Schriftzug SDG 4 Hochwertige Bildung

Hochwertige Bildung

Schriftzug SDG 9 Industrie, Innovation und Infrastruktur

Industrie, Innovation und Infrastruktur

Kompetenzzentrum

Kompetenzzentrum für IT-Security

Projektteam

Studiengänge