Entwicklung und Etablierung eines Awareness- und Trainings-KPI

Für ein Transportunternehmen ist die Informationssicherheit von grosser Bedeutung. Deshalb setzt das Unternehmen Awareness- und Trainingsmassnahmen zur Sensibilisierung und Schulung von Mitarbeitenden ein. Das Bedürfnis zur Messung der Wirksamkeit dieser Massnahmen ist entstanden.

Debora Viecelli, 2022

Bachelor Thesis, Schweizerische Bundesbahnen SBB
Betreuende Dozierende: Emanuel Löffler
Keywords: Informationssicherheit, Awareness, Training, KPI
Views: 14
Die heutigen Auswertungen zu den Awareness- und Trainingsmassnahmen erlauben noch keine Aussage über die Wirksamkeit von spezifischen Massnahmen. Für einige umgesetzte Awareness- und Trainingsmassnahmen sind keine Zielwerte und Massnahmen zur Steigerung der Wirksamkeit definiert. Die Zielsetzung war die Entwicklung und Etablierung von mindestens einem Key Performance Indicator (KPI), um die Wirkung von Awareness- und Trainingsmassnahmen aufzuzeigen, geeignete Massnahmen zur Steigerung der Wirksamkeit abzuleiten und zu ermitteln, ob Awareness und Training in einem KPI gemessen werden können.
Durch eine Literaturrecherche wurden theoretische Grundlagen zu den Themengebieten Informationssicherheit, Awareness, Training sowie KPI und deren Entwicklung erarbeitet. Anschliessend wurde untersucht, welche Daten zur Entwicklung des KPI im Unternehmen zur Verfügung stehen. Aus diesen Daten wurden mögliche KPI identifiziert. Um zu definieren, welcher KPI eingesetzt werden soll, wurden die Anforderungen der Auftraggeberschaft dokumentiert und die Anforderungen von fünf weiteren Stakeholdern erhoben. Dafür wurden Interviews nach problemzentriertem Ansatz durchgeführt.
Aufgrund der gesammelten Erkenntnisse konnten zwei KPIs entwickelt und etabliert werden, welche auf Empfehlungen aus der Literatur basieren und gleichzeitig die Anforderungen der Stakeholder berücksichtigen. Der erste KPI liefert Erkenntnisse über das Meldeverhalten von simulierten Phishing E-Mails, über einen entsprechenden Button in Outlook. Der zweite KPI liefert Erkenntnisse über die Häufigkeit von Fehlverhalten im Umgang mit simulierten Phishing E-Mails. Für die KPIs wurden Massnahmen bei Unter-/Überschreitung der Zielwerte definiert, wobei die «Prüfung der Ursache» als wichtigste Massnahme gesehen wird. In beiden KPIs werden Aspekte von Awareness- sowie Trainingsmassnahmen gemessen. Somit gelingt die Vereinigung der beiden Bereiche in jeweils einem KPI. Die beiden KPIs ermöglichen dem Unternehmen das Beobachten von Trends im Umgang mit simulierten Phishing E-Mails. Dank dieser Erkenntnisse wird es möglich sein Awareness- und Trainingsmassnahmen gezielter einzusetzen und die Wirkung zu beobachten.
Studiengang: Wirtschaftsinformatik (Bachelor)
Fachbereich der Arbeit:
Vertraulichkeit: vertraulich
Art der Arbeit
Bachelor Thesis
Auftraggeber
Schweizerische Bundesbahnen SBB, Bern
Autorinnen und Autoren
Debora Viecelli
Betreuende Dozierende
Emanuel Löffler
Publikationsjahr
2022
Sprache der Arbeit
Deutsch
Vertraulichkeit
vertraulich
Studiengang
Wirtschaftsinformatik (Bachelor)
Standort Studiengang
Olten
Keywords
Informationssicherheit, Awareness, Training, KPI