1 3

Online publiziert: 4. Februar 2014© Springer Fachmedien Wiesbaden 2014

C. Buck () · T. EymannLehrstuhl Wirtschaftsinformatik, Universität Bayreuth,Universitätsstraße 30, 95447 Bayreuth, DeutschlandE-Mail: christoph.buck@uni-bayreuth.de

T. EymannE-Mail: torsten.eymann@uni-bayreuth.de

Risikofaktor Mensch in mobilen Ökosystemen

Christoph Buck · Torsten Eymann

HMD (2014) 51:75–83DOI 10.1365/s40702-014-0002-7

Zusammenfassung Smart Mobile Devices und mobile Applikationen durchdrin-gen zunehmend den Alltag von Konsumenten und im Rahmen der fortschreitenden IT-Konsumerisierung auch von Unternehmen. Durch den Trend „innovation first on consumer market“ nutzen Mitarbeiter private Endgeräte oder Applikationen in Unternehmen. Eine veränderte Produktwahrnehmung im Rahmen der tiefgreifenden Ökosystemintegration führt zu einer drastischen konsumentenseitigen Fehlbewer-tung von Risiken bei der (betrieblichen) Nutzung von mobilen Applikationen. Der Risikofaktor Mensch muss explizite Beachtung im Management von IT-Sicherheit erfahren.

Schlüsselwörter Mobile Applikationen · Nutzungsoffene Apps · IT-Sicherheit · Konsumentenverhalten · Kontextentscheidungen · Risikofaktor Mensch

1 Smart Mobile Devices: Nutzerverhalten im Fokus der IT-Sicherheit

Während die Hardwarekomponenten von Smart Mobile Devices (SMD) zunehmend Umweltsensorik implementieren, ist der disruptive Charakter von SMD der ihnen

76 C. Buck, T. Eymann

1 3

zugrunde liegenden Software(-architektur) zuzuschreiben [2].1 Eine maßgebliche Stellung nehmen hierbei mobile Applikationen (Apps), als konstituierendes Merk-mal für SMD und ganzheitlich konzipierte digitale Ökosysteme ein. Apps nutzen Internet- und Cloud-Computing-Anwendungen, um zum Teil stark fragmentierte (Alltags-)Bedürfnisse der Nutzer zu befriedigen. Trotz ihres teilweise sehr geringen Umfangs, greifen Apps mitunter auf weitreichende und sensible Informationen über das SMD und dessen implementiertes digitales Ökosystem zu. Für die IT-Datensi-cherheit von Unternehmen ergeben sich hieraus mehrdimensionale Problemstellun-gen. Damit geraten auch zunehmend die Nutzer in den Fokus der IT-Sicherheit. Die steigende Gewichtung des Risikofaktors Mensch ist im System- und Produktdesign von SMD zu sehen. Hier müssen Konsum- und Nutzungsgewohnheiten sowie Kauf- und Downloadentscheidungen der Anwender aus der Perspektive des Konsumenten, im Kontext des betrieblichen IT-Sicherheitsmanagements Berücksichtigung finden.

2 Wachsende Risiken für die Datensicherheit

Mit der zunehmenden IT-Konsumerisierung verschwimmt die Grenze zwischen Berufs- und Privatleben mehr und mehr [11]. Durch „innovation first on consumer market“ [10], wird die Nutzung von Informationssystemen im Rahmen der betrieb-lichen Tätigkeit maßgeblich von der privaten Nutzung, und in letzter Konsequenz von privaten Nutzungsgewohnheiten, beeinflusst. Abbildung 1 zeigt schematisch das Verschwimmen der angesprochenen Grenzen im Rahmen der Verfügungs- und Nut-zungsdimension anhand von ausgewählten Beispielen.

Der hybriden Nutzung von Endgeräten und Anwendungen stehen nicht zu ver-nachlässigende Risiken gegenüber. Zum einen müssen Risiken auf organisatorischer, buchhalterischer und rechtlicher Ebene berücksichtigt werden, zum anderen kann die IT-Sicherheit von Unternehmen massiv bedroht sein. „IT-Sicherheit hat die Auf-gabe, Unternehmen und deren Werte (Know-How, Kundendaten, Personaldaten) zu schützen und wirtschaftliche Schäden, die durch Vertraulichkeitsverletzungen, Manipulationen oder auch Störungen der Verfügbarkeit von Diensten des Unter-nehmens entstehen können, zu verhindern“ [4]. Aus Eckerts Definition geht hervor, dass (Unternehmens-)Daten die „… zu schützenden Güter informationssicherer bzw. datensicherer Systeme …“ sind.

Die besondere Bedrohung der IT-Sicherheit von Unternehmen durch die Nutzung von SMD muss dementsprechend unter den Gesichtspunkten der Datensicherheit betrach-tet werden. Eine Gefährdung der Datensicherheit kann nur vorliegen, wenn durch die Nutzung des adressierten Informationssystems sensible Daten und Informationen preis-gegeben werden. Eine Bedrohung der Datensicherheit durch SMD ist aufgrund von „Bring Your Own Device“ (BYOD) definitiv zu bejahen. Die besondere Bedeutung ist in der subtilen Natur der Bedrohung zu sehen. Nicht zwingend die (Einzel-)Informatio-nen auf den Geräten führen zu der massiven Bedrohung der Datensicherheit, sondern die Zusammenführung der hinterlegten Einzelinformationen, sowie das Charakteristi-kum des „mobilen Zugangs-Ports“ von SMD für multiple Informationssysteme.

1 Im Folgenden wird bei einer Nutzung von SMD die Nutzung/der Bezug von Apps angenommen.

Risikofaktor Mensch in mobilen Ökosystemen 77

1 3

Durch die omnipräsente Alltagsdurchdringung hat das Informationssystem SMD und App ein besonderes Alleinstellungsmerkmal. So stellen SMD hochper-sonalisierte Informationssysteme dar, die durch die Integration von weitreichender Umweltsensorik eine bisher nicht erreichte Datengüte erreichen. Auf mehreren Ebe-nen der Systemarchitektur werden verifizierte Nutzer- und Profildaten aggregiert und zur weiteren Verarbeitung verwendet. Durch die Ökosystemverankerung wird das Informationssystem mittels verifizierter Nutzerdaten gespeist und durch Nutzungs- und App-spezifische Daten angereichert. Verschiedene, nicht zwingend miteinan-der (funktional) verwandte Daten, können dementsprechend miteinander verknüpft werden.

Mehrere einfache, jedoch in ihrer Konsequenz bereits kritische Szenarien können aufgrund der beschriebenen Datengüte in Verbindung mit der hochgradigen Persona-lisierung gebracht werden. Eine einfache Verknüpfung der Kommunikationsaktivitä-ten eines Managers mit seinen GPS-Daten und seinen Kalendereinträgen zeichnet ein eindeutiges Bild über dessen Arbeitsalltag. Dies stellt bereits einen klaren Eingriff in dessen Privatsphäre dar. Die beschriebene potentielle Einsichtnahme in kritische Unternehmensinformationen wie bspw. Vertriebsdaten, Termindaten, Ortungsdaten oder Kommunikationsdaten lässt das Gefährdungspotential von SMD erahnen. Die Anwendungsszenarien sind beliebig skalierbar und stehen in direkter Abhängigkeit zu den verwendeten Anwendungen. Während die beschriebenen Bedrohungsklas-sen nur mittelbar durch die aktive Nutzung beeinflusst werden können, sind wei-tere Bedrohungsklassen im Nutzungsverhalten des Anwenders begründet. Ursachen dafür können Irrtum, unsachgemäßer Behandlung oder Fehlbedienung sein. Dies wird bei SMD durch eine nur unzureichende Schulung der Bediener (unzureichende spezifische Kenntnisse) verstärkt [8].2 Von besonderer Bedrohungsqualität für Unter-

2 Spezifische Kenntnisse werden in der Literatur als Literacy bezeichnet.

Abb. 1 Verfügungs- und Nutzungsdimension

78 C. Buck, T. Eymann

1 3

nehmen sind im vorliegenden Kontext der Missbrauch von Ressourcen, Malware, web- und netzwerkbasierten Attacken und vor allem Social-Engineering-Attacken.

Fast alle diese Bedrohungen werden vom Anwender selbst auf dem System ins-talliert, bevor sie Schaden anrichten können. Insbesondere sogenannte Social-Engi-neering-Attacken bewegen den Nutzer gezielt zu einem App-Download oder einer expliziten Zustimmung zur Nutzung von Ressourcen. Hierbei kann die Bandbreite der Bedrohung von klassischer Malware, der Täuschung des Nutzers durch Vorspie-len einer falschen Identität (bspw. Kopie einer vertrauenswürdigen App), bis hin zu Greyware (weitreichender Ressourcenzugriff über die App-Funktionalität hinaus) reichen. Durch Social-Engineering-Attacken bewirken die Angreifer eine (explizite) Zustimmung des Nutzers zum Ressourcenbezug, was zur Umgehung von Sicher-heitsvorkehrungen und zum weitreichenden Auslesen des Geräts und einer mögli-chen „Fernsteuerung“ führen kann.

Trotz der einzigartigen Datenqualität von SMD und der tiefgreifenden Persona-lisierung der erhobenen Daten, beziehen Konsumenten weltweit, entgegengesetzt zu Ihrem Wunsch nach Privatsphäre, massiv fragwürdige Apps, deren Zugriffe, Zugriffsrechte und Verwendungen für den durchschnittlichen Anwender nicht trans-parent und verständlich dargelegt sind. Dieser Widerspruch wird in der Literatur als Privacy Paradox bezeichnet [1].

3 Kaufverhalten von Apps als Risikofaktor

SMD stellen ein soziotechnisches System dar, welches in gesellschaftliche, politi-sche, individuelle und unternehmerische Strukturen eingebettet ist und von Konsu-menten mit sehr unterschiedlichem Know-How genutzt wird [4]. Hierbei kann eine weitgehende Überlappung der einzelnen Faktoren beobachtet werden. Durch die weite Verbreitung von SMD kommt es zu einer großen Heterogenität des Know-Hows der Nutzer. Hinsichtlich der Datensicherheit müssen bei der Betrachtung von SMD zudem politische Strukturen berücksichtigt werden. So gelten beim Bezug einer App aus einem deutschen App-Store zwar die deutschen Datenschutzgesetze, doch können diese bei einer Speicherung auf einem bspw. amerikanischen Daten-server nicht mehr durchgesetzt werden. Die institutionellen und politischen Rahmen-bedingungen wirken sich direkt auf die unternehmerischen Strukturen aus.

Von besonderer Bedeutung für die IT-Sicherheit ist im vorliegenden Kontext das Verhalten von Konsumenten im Hinblick auf den Bezug von Apps. Bereits aus der Einbettung des Informationssystems in die verschiedenen Strukturen ergibt sich ein komplexes Bild hinsichtlich der Unternehmenssicherheit. Auf persönlicher Ebene werden sicherheitsrelevante Entscheidungen maßgeblich durch psychologische Fak-toren beeinflusst.

Ein Zitat des IT-Experten Bruce Schneier fasst die Sicherheitssituation in mobilen Ökosystemen treffend zusammen: „Security is both a feeling and a reality. And they are not the same“ [9]. Security Entscheidungen sind demnach immer eine individu-elle Abwägung zwischen Risiken und Kosten. Diese wird maßgeblich beeinflusst von dem Ausmaß des Risikos, der Wahrscheinlichkeit des Eintritts, der Größenordnung der damit verbundenen Kosten, der Effektivität der Gegenmaßnahmen und der Mög-

Risikofaktor Mensch in mobilen Ökosystemen 79

1 3

lichkeit des Abgleiches zwischen verschiedenen Risiken und den mit ihrer Minde-rung verbundenen Kosten [9].

Während „sorgloses“ Kaufverhalten von App-Konsumenten mit Ignoranz begrün-det werden kann, werden im Folgenden die kontextualen Besonderheiten aufgezeigt und deren möglicher Einfluss auf die Psychologie von Sicherheit beschrieben [6].

Abbildung 2 zeigt die maßgeblichen kontextualen Einflussfaktoren auf die App-Kaufentscheidung in mobilen Ökosystemen. Das SMD ist in diesem Zusammenhang der einzige Zugang zum System. In vielen Fällen spielen eine persönliche Beziehung zum Gerät und das Gerät als Statussymbol und Lifestyle-Artikel eine entscheidende Rolle. In der vorliegenden Betrachtung spielt jedoch der Einfluss des Systemzugangs eine untergeordnete Rolle, da der Fokus auf die (Alltags-)Integration und die vor-handenen Vertrauensbeziehungen gelegt wird [2]. Die (Alltags-)Integration von Apps muss zweidimensional betrachtet werden.

Eine Alltagsintegration weisen Apps in dem Maße auf, in dem sie von Konsumen-ten genutzt werden. Diese Integration schreitet unaufhaltsam voran. Während erste Anwendungen vorwiegend organisatorischer Natur waren, erfüllen Apps zunehmend hochgradig fragmentierte und aus Datenschutzperspektive kritische Aufgaben. Bei-spiele hierfür sind Onlinebanking und GPS-Informationen. Dementsprechend inte-grieren Konsumenten Apps mit fortschreitendem Funktionsumfang zunehmend in ihren smarten (Arbeits-)Alltag und machen sich somit immer mehr von ihrem mobi-len Ökosystem abhängig.

Die hohe Akzeptanz ist der auf den Konsumenten nahezu perfekt abgestimmten technischen Integration geschuldet. Innerhalb mobiler Ökosysteme werden eine Viel-zahl von Apps durch den systemeigenen App-Store angeboten und umgehend bezieh-bar gemacht. Diese hohe User-Experience wird durch die Ökosystemintegration ermöglicht, durch welche Prozessschritte der Transaktion „gefühlt“ umgangen wer-den können. So erfolgt durch nur wenige „touches“ ein sofortiger Download und das Programm kann ohne Installation sofort genutzt werden. Zeitraubende Programmein-richtungen werden sofort und automatisch vorgenommen und die komplette Kauf-transaktion wird automatisch über das Ökosystem abgewickelt.

Die derart tiefe (Alltags-)Integration von SMD wird zudem beeinflusst durch die vorliegenden Vertrauens- und Transaktionsbeziehungen. App-Stores sind klassische mehrseitige Märkte, in denen der Store lediglich die Mittlerfunktion einnimmt und

Abb. 2 Entscheidungskontext mobiler Applikationen [2]

80 C. Buck, T. Eymann

1 3

die Infrastruktur zur Verfügung stellt. Trotz dieser eindeutigen, rechtlichen Beziehung zwischen Konsument und App-Anbieter, suggerieren App-Stores ein abweichendes Bild. Durch die optische Vereinheitlichung der angebotenen Apps im ökosystem-eigenen Store und die Übernahme nahezu aller Transaktionsschritte, kann subjektiv der Eindruck eines einheitlichen App-Angebots des Ökosystemanbieters beim Kon-sumenten entstehen. Eine derartige Verschiebung der Wahrnehmung kann mit der Projizierung des Vertrauens in den Ökosystemanbieter auf den App-Anbieter erklärt werden. Aus diesen kontextualen Einflussfaktoren ergeben sich Besonderheiten hin-sichtlich der Produktwahrnehmung.

Apps weisen aus der vorliegenden Betrachtungsperspektive ein zentrales Para-doxon auf. Während die mobilen Applikationen aus Sicherheitsperspektive als Anwendungssoftware, mit zum Teil weitreichenden und kritischen Zugriffsrech-ten angesehen werden, weisen sie aus Anwender- oder Konsumentensicht nicht die Charakteristika traditioneller Software auf. Das Paradoxon manifestiert sich in der Kaufentscheidung von App-Software. Der Kauf sollte, aufgrund der weitreichenden Informationsasymmetrien, geprägt sein durch extensives Entscheidungsverhalten. Hierbei sollten ausreichend Informationen beschafft und verarbeitet werden um eine kognitiv gesteuerte App-Auswahl zu treffen [7]. Abbildung 3 zeigt die Unterschiede bzgl. des Informationsbedarfes und der Informationsverarbeitung bei extensiven, limitierten und habitualisierten Kaufentscheidungen.

Betrachtet man die spezifischen technischen und kontextbezogenen Eigenschaf-ten von Apps, so wird deutlich, warum Konsumenten die datenbezogenen Risiken unterschätzen. Der typische App-Kauf kann als limitierter Kauf beschrieben werden, welcher innerhalb der expliziten Kaufsituation teilweise habitualisierte Einflüsse auf-weist [7]. Bei einem solchen limitierten Kauf suchen und analysieren Konsumenten nicht mehr alle zur Verfügung stehenden Informationen, sondern konzentrieren sich auf bestimmte Schlüsselinformationen. Beispiele hierfür sind der Preis, Kundenre-zensionen, Bewertungen oder Empfehlungen. Ihre mit dem Kauf verbundene kogni-tive und emotionale Beteiligung (Involvement) ist gering. Der Akt des Kaufes beruht vielmehr zu großen Teilen auf Erfahrungen und Vorwissen. Dies bedeutet, dass sich die Konsumenten beim Download von Apps mit hoher Wahrscheinlichkeit wenig Gedanken um ihre Privatsphäre und somit um sicherheitsrelevante Fragestellungen machen.

Erfahrungen und Vorwissen beruhen bei Apps jedoch nicht auf dem Endprodukt, sondern sind der Ökosystemintegration geschuldet. Es werden zwar immer mehr Apps von Endkunden aus den jeweiligen Stores bezogen, dabei handelt es sich jedoch um verschiedene Softwareprodukte von verschiedenen Anbietern. Diese Anbietervielfalt wird von Konsumenten nicht wahrgenommen. Durch die einheitliche Aufmachung der Apps im App-Store und den vereinfachten, stark verkürzten und hochgradig stan-dardisierten Kaufprozessen enthält die App-Kaufentscheidung eine habitualisierende Komponente. Aufgrund ihrer sozialen Einbettung kann es beim App-Download zu

Abb. 3 Informationsbedarf und Informationsverarbeitung [7]

Risikofaktor Mensch in mobilen Ökosystemen 81

1 3

einem reaktiven Kaufverhalten kommen, welches teilweise automatisch abläuft [7]. Reaktives Kaufverhalten kann stimuliert werden durch bspw. Empfehlungen oder die Forderung des sozialen Umfeldes nach der App-Nutzung oder dem einfachen Testen einer App.

Die hohe Fragmentierung des Funktionsumfanges einer einzelnen App führt beim Konsumenten zur „Verniedlichung“ der potentiellen Risiken und zu einer Habituali-sierungsneigung beim Bezug. Die Habitualisierungsneigung kann mit dem Wunsch nach „Vertrautheit mit Produkten des täglichen Bedarfs“ [7] erklärt werden. Die „Verniedlichung“ einer App als „kleiner Alltagshelfer“ und die damit einhergehende Habitualisierung führen zu einer Anpassung der Risikoneigung. Habitualisierung kann als Lernprozess aufgefasst werden. Bei Apps wird in der Regel zu Anfang, also nach Eintritt in das mobile Ökosystem, ein höheres Engagement hinsichtlich des Software-Downloads angenommen. Mit wiederholten, positiven Erfahrungen, tritt eine kognitive Entlastung ein und der habitualisierte Kaufprozess verfestigt sich [7].

Durch die Habitualisierung des Kaufprozesses wird das wahrgenommene Kaufri-siko abnehmen. Diese Verminderung des Kaufrisikos wird beim Kauf von Apps durch ein mehrdimensional aufgebautes Vertrauenskonstrukt unterstützt. Um das Risiko eines Fehlkaufes zu verringern, versuchen Konsumenten Informationen aus ihrer Umgebung zu beziehen. Bei Apps ist diese Umgebung gekennzeichnet durch eine „digitale Parallelwelt“. Hierbei müssen zwei Formen des Vertrauens unterschieden werden: Das Organisationsvertrauen und das Systemvertrauen. Das Organisations-vertrauen kann definiert werden als „zukunftsbezogene Tendenz eines Individuums, sich auf das Verhalten einer Organisation zu verlassen und trotz der bestehenden Ver-haltensunsicherheit ein Risiko der riskanten Vorleistung zu tragen“ [7]. Die riskante Vorleistung stellt in diesem Kontext die Preisgabe persönlicher Daten dar. Die rele-vante Organisation ist der Marktplatz über den die App gekauft wird. Nur in seltenen Fällen werden sich Konsumenten dabei intensiv mit dem Anbieter der App auseinan-dersetzen. Die Einschätzung des Marktplatzes wird in diesen Fällen auf die Anbieter ausstrahlen, und ein Transfer des Organisationsvertrauens vom Marktplatz auf den Herausgeber der App findet statt. Ein derartiges mobiles Ökosystem suggeriert den Konsumenten Sicherheit. Durch die Vereinheitlichung der Softwareangebote von verschiedenen, unabhängigen Anbietern, die Möglichkeit des direkten Bezuges und der direkten Nutzung, die barrierefreie Abwicklung und vermeintlich soziale Reputa-tionsfaktoren wird den Konsumenten Vertrautheit suggeriert. Dies führt wiederum zu Vertrauen in das Produkt und die Transaktion.

Die vorangegangenen Ausführungen zeigen den Wandel der Softwarewahrneh-mung bei Apps vom Investitionsgut, charakterisiert durch extensive Kaufentschei-dungsprozesse, hin zum „fast moving consumer good“, welches durch limitierte und habitualisierte Kaufentscheidungsprozesse geprägt ist. Dementsprechend steht die Motivation, sich über mögliche Risiken zu informieren, in einem umgekehrten Zusammenhang zur Höhe des wahrgenommenen Risikos [5]. Die veränderte Pro-duktwahrnehmung führt im Umkehrschluss zu einer veränderten Wahrnehmung der Schwere der Risiken, welche durch schadhafte Apps und Social-Engineering-Attacken für das Unternehmen entstehen können. Diese veränderte Wahrnehmung, maßgeblich beeinflusst durch den mobilen Ökosystemkontext, führt zwangsläufig zu einer veränderten Risikowahrnehmung.

82 C. Buck, T. Eymann

1 3

Durch eine derartige Unterbewertung können weitere Risikofaktoren erklärt wer-den. So ist ein positiver Framing-Effekt durch die ganzheitliche Ökosystemimplemen-tierung zu nennen. Auch können aktivierende Einflüsse von Motiven und Emotionen beim App-Kauf nachteilige Trade-Offs hinsichtlich der Sicherheit durch Urteilsheu-ristiken und kognitive Verzerrungen erklären [9]. Die empfundene Wahrscheinlich-keit eines Fehlkaufes (im Hinblick auf die Sicherheit) des Konsumenten kann durch die Verfügbarkeitsheuristik beeinflusst werden. Aufgrund des habitualisierten Kaufes greifen Konsumenten nicht auf objektive Daten bzgl. der Sicherheit(-seinstellungen) einer App zurück, sondern bewerten die Wahrscheinlichkeit des schadhaften Eintritts anhand verfügbarer Erlebnisse und Erinnerungen. Hierbei überbewerten Konsumen-ten ihre positiven App-Erfahrungen bzgl. vergangener App-Downloads. Mögliche Fehleinschätzungen können besonders schwerwiegende Folgen für Unternehmen haben. Insbesondere, da sich die Erfahrung der Nutzer auf den Kauf im Rahmen des Ökosystems und eben nicht auf den schlussendlichen Transaktionspartner beziehen.

Im Hinblick auf den Security-Trade-Off muss zudem die Affektheuristik beachtet werden. Die Affektheuristik ist ein Fall von Ersetzung einer schwierigen durch eine leichtere Frage. Beim App-Download befinden sich Konsumenten in einem Entschei-dungsprozess im Rahmen eines komplexen Informationssystems. Die komplexe Fra-gestellung nach den sicherheitsrelevanten Einstellungen und den Auswirkungen kann ersetzt werden durch bspw. die einfachere Frage, „kann ein derart kleines Programm überhaupt Schaden anrichten?“.

Weitere Erklärungen des vorliegenden Privacy Paradoxes können kognitive Ver-zerrungen liefern. Interessante Implikationen zeigen im Rahmen des App-Downloads die Optimismusverzerrung und die Kontrollverzerrung. Zum einen schätzen Konsu-menten den Eintritt negativer Ereignisse im persönlichen Umfeld immer geringer ein als das vorliegende Mittel („Mir passiert so etwas nicht“) und zum anderen werden Risiken unterbewertet, die Konsumenten vermeintlich (gefühlt) kontrollieren können („Ich habe alles im Griff und gehe keine zu hohen Risiken ein“).

Der Kontext des mobilen Ökosystems beeinflusst die Kaufentscheidung von Kon-sumenten bzgl. Apps. Hierbei nehmen die gezeigten kontextualen Besonderheiten Einfluss auf den „sorglosen“ Bezug von Apps, welcher aufgrund der unterbewussten Beeinflussung [3] nicht als ignorant gekennzeichnet werden kann.

4 Angepasstes Risikomanagement und zukünftiger Forschungsbedarf

Durch kontextuale Besonderheiten von Apps in mobilen Ökosystemen wan-delt sich die Wahrnehmung von Software hin zum Konsumgut. Durch eine tiefe (Alltags-)Integration und komplexe Vertrauensbeziehungen findet eine falsche Bewertung der Nutzer hinsichtlich App-spezifischer Risiken statt.

Unternehmen müssen derartige IT-Risiken und vor allem deren Ursprung im Ver-halten der Nutzer auf dem Konsumentenmarkt verstehen und berücksichtigen. Im Rahmen von BYOD-Lösungen sollte eine grundlegende Richtung der Unterneh-mensführung vorgegeben werden. Um einen maximalen Grad an Sicherheit sicher-stellen zu können, sollten mobile Endgeräte von Unternehmen ausgegeben und im Rahmen eines Device Managements kontrolliert werden. Hierdurch kann das IT-Ma-

Risikofaktor Mensch in mobilen Ökosystemen 83

1 3

nagement lediglich „sichere“ Apps für die Nutzung zulassen und somit den Gebrauch von Mal- und Greyware unterbinden.

Über technische Lösungen hinaus sollten Unternehmen massiv in die Schulung aller Mitarbeiter bzgl. der diskutierten Risiken investieren um deren Literacy und Sensibilisierung zu erhöhen.

Literatur

1. Acquisti A, Grossklags J (2003) Losses, gains, and hyperbolic discounting: an experimental approach to information security attitudes and behavior, 1–27. http://www.cpppe.umd.edu/rhsmith3/papers/Final_session6_acquisti.grossklags.pdf. Zugegriffen: 12 Dez. 2013

2. Buck C, Eymann T (2013) Das Privacy Paradox bei mobilen Applikationen: Kontextuale Besonder-heiten mobiler Applikationen. In: Goltz U, Ehrich H-D (Hrsg) Informatik 2013. Informatik angepasst an Mensch, Organisation und Umwelt; [Beiträge der 43. Jahrestagung der Gesellschaft für Informatik e. V. (GI)] S. 1985–2000). Ges. für Informatik, Bonn

3. Dijksterhuis A, Smith PK, van Baaren RB, Wigboldus DHJ (2005) The unconscious consumer: effects of environment on consumer behavior. J Consum Psychol 15(3):193–202

4. Eckert C (2012) IT-Sicherheit: Konzepte, Verfahren, Protokolle (7., überarb. und erw. Aufl). Olden-bourg, München

5. Grazioli S, Jarvenpaa SL (2000) Perils of internet fraud: an empirical investigation of deception and trust with experienced internet consumers. IEEE T Syst Man Cyb: Part A 30(4):395–410

6. von Hippel W, Trivers R (2011) The evolution and psychology of self-deception. Behav Brain Sci 34:1–34

7. Kroeber-Riel W, Gröppel-Klein A (2013) Konsumentenverhalten (10. Aufl). Franz Vahlen, München 8. Nachenberg C (2011) A window into mobile device security: examining the security approaches

employed in Appleʼs iOS and Googleʼs Android, 1–23. http://www.symantec.com/content/en/us/about/media/pdfs/symc_mobile_device_security_june2011.pdf. Zugegriffen: 12 Dez. 2013

9. Schneier B (2008) The psychology of security. https://www.schneier.com/essay-155.pdf. Zugegrif-fen: 12 Dez. 2013

10. Terryn W (2011) Consumerization. Fer, Mauritius11. Weiß F, Leimeister JM (2013) Consumerization: IT-Innovationen aus dem Konsumentenumfeld als

Herausforderung für die Unternehmens-IT. Wirtschaftsinformatik 54(6):351–354