HMD (2014) 51:75–83 DOI 10.1365/s40702-014-0002-7

Risikofaktor Mensch in mobilen Ökosystemen Christoph Buck · Torsten Eymann

Online publiziert: 4. Februar 2014 © Springer Fachmedien Wiesbaden 2014

Zusammenfassung  Smart Mobile Devices und mobile Applikationen durchdringen zunehmend den Alltag von Konsumenten und im Rahmen der fortschreitenden IT-Konsumerisierung auch von Unternehmen. Durch den Trend „innovation first on consumer market“ nutzen Mitarbeiter private Endgeräte oder Applikationen in Unternehmen. Eine veränderte Produktwahrnehmung im Rahmen der tiefgreifenden Ökosystemintegration führt zu einer drastischen konsumentenseitigen Fehlbewertung von Risiken bei der (betrieblichen) Nutzung von mobilen Applikationen. Der Risikofaktor Mensch muss explizite Beachtung im Management von IT-Sicherheit erfahren. Schlüsselwörter  Mobile Applikationen · Nutzungsoffene Apps · IT-Sicherheit · Konsumentenverhalten · Kontextentscheidungen · Risikofaktor Mensch 1 Smart Mobile Devices: Nutzerverhalten im Fokus der IT-Sicherheit Während die Hardwarekomponenten von Smart Mobile Devices (SMD) zunehmend Umweltsensorik implementieren, ist der disruptive Charakter von SMD der ihnen

C. Buck () · T. Eymann Lehrstuhl Wirtschaftsinformatik, Universität Bayreuth, Universitätsstraße 30, 95447 Bayreuth, Deutschland E-Mail: [email protected] T. Eymann E-Mail: [email protected]

1 3

76

C. Buck, T. Eymann

zugrunde liegenden Software(-architektur) zuzuschreiben [2].1 Eine maßgebliche Stellung nehmen hierbei mobile Applikationen (Apps), als konstituierendes Merkmal für SMD und ganzheitlich konzipierte digitale Ökosysteme ein. Apps nutzen Internet- und Cloud-Computing-Anwendungen, um zum Teil stark fragmentierte (Alltags-)Bedürfnisse der Nutzer zu befriedigen. Trotz ihres teilweise sehr geringen Umfangs, greifen Apps mitunter auf weitreichende und sensible Informationen über das SMD und dessen implementiertes digitales Ökosystem zu. Für die IT-Datensicherheit von Unternehmen ergeben sich hieraus mehrdimensionale Problemstellungen. Damit geraten auch zunehmend die Nutzer in den Fokus der IT-Sicherheit. Die steigende Gewichtung des Risikofaktors Mensch ist im System- und Produktdesign von SMD zu sehen. Hier müssen Konsum- und Nutzungsgewohnheiten sowie Kaufund Downloadentscheidungen der Anwender aus der Perspektive des Konsumenten, im Kontext des betrieblichen IT-Sicherheitsmanagements Berücksichtigung finden. 2 Wachsende Risiken für die Datensicherheit Mit der zunehmenden IT-Konsumerisierung verschwimmt die Grenze zwischen Berufs- und Privatleben mehr und mehr [11]. Durch „innovation first on consumer market“ [10], wird die Nutzung von Informationssystemen im Rahmen der betrieblichen Tätigkeit maßgeblich von der privaten Nutzung, und in letzter Konsequenz von privaten Nutzungsgewohnheiten, beeinflusst. Abbildung 1 zeigt schematisch das Verschwimmen der angesprochenen Grenzen im Rahmen der Verfügungs- und Nutzungsdimension anhand von ausgewählten Beispielen. Der hybriden Nutzung von Endgeräten und Anwendungen stehen nicht zu vernachlässigende Risiken gegenüber. Zum einen müssen Risiken auf organisatorischer, buchhalterischer und rechtlicher Ebene berücksichtigt werden, zum anderen kann die IT-Sicherheit von Unternehmen massiv bedroht sein. „IT-Sicherheit hat die Aufgabe, Unternehmen und deren Werte (Know-How, Kundendaten, Personaldaten) zu schützen und wirtschaftliche Schäden, die durch Vertraulichkeitsverletzungen, Manipulationen oder auch Störungen der Verfügbarkeit von Diensten des Unternehmens entstehen können, zu verhindern“ [4]. Aus Eckerts Definition geht hervor, dass (Unternehmens-)Daten die „… zu schützenden Güter informationssicherer bzw. datensicherer Systeme …“ sind. Die besondere Bedrohung der IT-Sicherheit von Unternehmen durch die Nutzung von SMD muss dementsprechend unter den Gesichtspunkten der Datensicherheit betrachtet werden. Eine Gefährdung der Datensicherheit kann nur vorliegen, wenn durch die Nutzung des adressierten Informationssystems sensible Daten und Informationen preisgegeben werden. Eine Bedrohung der Datensicherheit durch SMD ist aufgrund von „Bring Your Own Device“ (BYOD) definitiv zu bejahen. Die besondere Bedeutung ist in der subtilen Natur der Bedrohung zu sehen. Nicht zwingend die (Einzel-)Informationen auf den Geräten führen zu der massiven Bedrohung der Datensicherheit, sondern die Zusammenführung der hinterlegten Einzelinformationen, sowie das Charakteristikum des „mobilen Zugangs-Ports“ von SMD für multiple Informationssysteme.  Im Folgenden wird bei einer Nutzung von SMD die Nutzung/der Bezug von Apps angenommen.

1

1 3

Risikofaktor Mensch in mobilen Ökosystemen

77

Abb. 1  Verfügungs- und Nutzungsdimension

Durch die omnipräsente Alltagsdurchdringung hat das Informationssystem SMD und App ein besonderes Alleinstellungsmerkmal. So stellen SMD hochpersonalisierte Informationssysteme dar, die durch die Integration von weitreichender Umweltsensorik eine bisher nicht erreichte Datengüte erreichen. Auf mehreren Ebenen der Systemarchitektur werden verifizierte Nutzer- und Profildaten aggregiert und zur weiteren Verarbeitung verwendet. Durch die Ökosystemverankerung wird das Informationssystem mittels verifizierter Nutzerdaten gespeist und durch Nutzungsund App-spezifische Daten angereichert. Verschiedene, nicht zwingend miteinander (funktional) verwandte Daten, können dementsprechend miteinander verknüpft werden. Mehrere einfache, jedoch in ihrer Konsequenz bereits kritische Szenarien können aufgrund der beschriebenen Datengüte in Verbindung mit der hochgradigen Personalisierung gebracht werden. Eine einfache Verknüpfung der Kommunikationsaktivitäten eines Managers mit seinen GPS-Daten und seinen Kalendereinträgen zeichnet ein eindeutiges Bild über dessen Arbeitsalltag. Dies stellt bereits einen klaren Eingriff in dessen Privatsphäre dar. Die beschriebene potentielle Einsichtnahme in kritische Unternehmensinformationen wie bspw. Vertriebsdaten, Termindaten, Ortungsdaten oder Kommunikationsdaten lässt das Gefährdungspotential von SMD erahnen. Die Anwendungsszenarien sind beliebig skalierbar und stehen in direkter Abhängigkeit zu den verwendeten Anwendungen. Während die beschriebenen Bedrohungsklassen nur mittelbar durch die aktive Nutzung beeinflusst werden können, sind weitere Bedrohungsklassen im Nutzungsverhalten des Anwenders begründet. Ursachen dafür können Irrtum, unsachgemäßer Behandlung oder Fehlbedienung sein. Dies wird bei SMD durch eine nur unzureichende Schulung der Bediener (unzureichende spezifische Kenntnisse) verstärkt [8].2 Von besonderer Bedrohungsqualität für Unter Spezifische Kenntnisse werden in der Literatur als Literacy bezeichnet.

2

1 3

78

C. Buck, T. Eymann

nehmen sind im vorliegenden Kontext der Missbrauch von Ressourcen, Malware, web- und netzwerkbasierten Attacken und vor allem Social-Engineering-Attacken. Fast alle diese Bedrohungen werden vom Anwender selbst auf dem System installiert, bevor sie Schaden anrichten können. Insbesondere sogenannte Social-Engineering-Attacken bewegen den Nutzer gezielt zu einem App-Download oder einer expliziten Zustimmung zur Nutzung von Ressourcen. Hierbei kann die Bandbreite der Bedrohung von klassischer Malware, der Täuschung des Nutzers durch Vorspielen einer falschen Identität (bspw. Kopie einer vertrauenswürdigen App), bis hin zu Greyware (weitreichender Ressourcenzugriff über die App-Funktionalität hinaus) reichen. Durch Social-Engineering-Attacken bewirken die Angreifer eine (explizite) Zustimmung des Nutzers zum Ressourcenbezug, was zur Umgehung von Sicherheitsvorkehrungen und zum weitreichenden Auslesen des Geräts und einer möglichen „Fernsteuerung“ führen kann. Trotz der einzigartigen Datenqualität von SMD und der tiefgreifenden Personalisierung der erhobenen Daten, beziehen Konsumenten weltweit, entgegengesetzt zu Ihrem Wunsch nach Privatsphäre, massiv fragwürdige Apps, deren Zugriffe, Zugriffsrechte und Verwendungen für den durchschnittlichen Anwender nicht transparent und verständlich dargelegt sind. Dieser Widerspruch wird in der Literatur als Privacy Paradox bezeichnet [1]. 3 Kaufverhalten von Apps als Risikofaktor SMD stellen ein soziotechnisches System dar, welches in gesellschaftliche, politische, individuelle und unternehmerische Strukturen eingebettet ist und von Konsumenten mit sehr unterschiedlichem Know-How genutzt wird [4]. Hierbei kann eine weitgehende Überlappung der einzelnen Faktoren beobachtet werden. Durch die weite Verbreitung von SMD kommt es zu einer großen Heterogenität des KnowHows der Nutzer. Hinsichtlich der Datensicherheit müssen bei der Betrachtung von SMD zudem politische Strukturen berücksichtigt werden. So gelten beim Bezug einer App aus einem deutschen App-Store zwar die deutschen Datenschutzgesetze, doch können diese bei einer Speicherung auf einem bspw. amerikanischen Datenserver nicht mehr durchgesetzt werden. Die institutionellen und politischen Rahmenbedingungen wirken sich direkt auf die unternehmerischen Strukturen aus. Von besonderer Bedeutung für die IT-Sicherheit ist im vorliegenden Kontext das Verhalten von Konsumenten im Hinblick auf den Bezug von Apps. Bereits aus der Einbettung des Informationssystems in die verschiedenen Strukturen ergibt sich ein komplexes Bild hinsichtlich der Unternehmenssicherheit. Auf persönlicher Ebene werden sicherheitsrelevante Entscheidungen maßgeblich durch psychologische Faktoren beeinflusst. Ein Zitat des IT-Experten Bruce Schneier fasst die Sicherheitssituation in mobilen Ökosystemen treffend zusammen: „Security is both a feeling and a reality. And they are not the same“ [9]. Security Entscheidungen sind demnach immer eine individuelle Abwägung zwischen Risiken und Kosten. Diese wird maßgeblich beeinflusst von dem Ausmaß des Risikos, der Wahrscheinlichkeit des Eintritts, der Größenordnung der damit verbundenen Kosten, der Effektivität der Gegenmaßnahmen und der Mög-

1 3

Risikofaktor Mensch in mobilen Ökosystemen

79

Abb. 2  Entscheidungskontext mobiler Applikationen [2]

lichkeit des Abgleiches zwischen verschiedenen Risiken und den mit ihrer Minderung verbundenen Kosten [9]. Während „sorgloses“ Kaufverhalten von App-Konsumenten mit Ignoranz begründet werden kann, werden im Folgenden die kontextualen Besonderheiten aufgezeigt und deren möglicher Einfluss auf die Psychologie von Sicherheit beschrieben [6]. Abbildung 2 zeigt die maßgeblichen kontextualen Einflussfaktoren auf die AppKaufentscheidung in mobilen Ökosystemen. Das SMD ist in diesem Zusammenhang der einzige Zugang zum System. In vielen Fällen spielen eine persönliche Beziehung zum Gerät und das Gerät als Statussymbol und Lifestyle-Artikel eine entscheidende Rolle. In der vorliegenden Betrachtung spielt jedoch der Einfluss des Systemzugangs eine untergeordnete Rolle, da der Fokus auf die (Alltags-)Integration und die vorhandenen Vertrauensbeziehungen gelegt wird [2]. Die (Alltags-)Integration von Apps muss zweidimensional betrachtet werden. Eine Alltagsintegration weisen Apps in dem Maße auf, in dem sie von Konsumenten genutzt werden. Diese Integration schreitet unaufhaltsam voran. Während erste Anwendungen vorwiegend organisatorischer Natur waren, erfüllen Apps zunehmend hochgradig fragmentierte und aus Datenschutzperspektive kritische Aufgaben. Beispiele hierfür sind Onlinebanking und GPS-Informationen. Dementsprechend integrieren Konsumenten Apps mit fortschreitendem Funktionsumfang zunehmend in ihren smarten (Arbeits-)Alltag und machen sich somit immer mehr von ihrem mobilen Ökosystem abhängig. Die hohe Akzeptanz ist der auf den Konsumenten nahezu perfekt abgestimmten technischen Integration geschuldet. Innerhalb mobiler Ökosysteme werden eine Vielzahl von Apps durch den systemeigenen App-Store angeboten und umgehend beziehbar gemacht. Diese hohe User-Experience wird durch die Ökosystemintegration ermöglicht, durch welche Prozessschritte der Transaktion „gefühlt“ umgangen werden können. So erfolgt durch nur wenige „touches“ ein sofortiger Download und das Programm kann ohne Installation sofort genutzt werden. Zeitraubende Programmeinrichtungen werden sofort und automatisch vorgenommen und die komplette Kauftransaktion wird automatisch über das Ökosystem abgewickelt. Die derart tiefe (Alltags-)Integration von SMD wird zudem beeinflusst durch die vorliegenden Vertrauens- und Transaktionsbeziehungen. App-Stores sind klassische mehrseitige Märkte, in denen der Store lediglich die Mittlerfunktion einnimmt und

1 3

80

C. Buck, T. Eymann

Abb. 3  Informationsbedarf und Informationsverarbeitung [7]

die Infrastruktur zur Verfügung stellt. Trotz dieser eindeutigen, rechtlichen Beziehung zwischen Konsument und App-Anbieter, suggerieren App-Stores ein abweichendes Bild. Durch die optische Vereinheitlichung der angebotenen Apps im ökosystemeigenen Store und die Übernahme nahezu aller Transaktionsschritte, kann subjektiv der Eindruck eines einheitlichen App-Angebots des Ökosystemanbieters beim Konsumenten entstehen. Eine derartige Verschiebung der Wahrnehmung kann mit der Projizierung des Vertrauens in den Ökosystemanbieter auf den App-Anbieter erklärt werden. Aus diesen kontextualen Einflussfaktoren ergeben sich Besonderheiten hinsichtlich der Produktwahrnehmung. Apps weisen aus der vorliegenden Betrachtungsperspektive ein zentrales Paradoxon auf. Während die mobilen Applikationen aus Sicherheitsperspektive als Anwendungssoftware, mit zum Teil weitreichenden und kritischen Zugriffsrechten angesehen werden, weisen sie aus Anwender- oder Konsumentensicht nicht die Charakteristika traditioneller Software auf. Das Paradoxon manifestiert sich in der Kaufentscheidung von App-Software. Der Kauf sollte, aufgrund der weitreichenden Informationsasymmetrien, geprägt sein durch extensives Entscheidungsverhalten. Hierbei sollten ausreichend Informationen beschafft und verarbeitet werden um eine kognitiv gesteuerte App-Auswahl zu treffen [7]. Abbildung 3 zeigt die Unterschiede bzgl. des Informationsbedarfes und der Informationsverarbeitung bei extensiven, limitierten und habitualisierten Kaufentscheidungen. Betrachtet man die spezifischen technischen und kontextbezogenen Eigenschaften von Apps, so wird deutlich, warum Konsumenten die datenbezogenen Risiken unterschätzen. Der typische App-Kauf kann als limitierter Kauf beschrieben werden, welcher innerhalb der expliziten Kaufsituation teilweise habitualisierte Einflüsse aufweist [7]. Bei einem solchen limitierten Kauf suchen und analysieren Konsumenten nicht mehr alle zur Verfügung stehenden Informationen, sondern konzentrieren sich auf bestimmte Schlüsselinformationen. Beispiele hierfür sind der Preis, Kundenrezensionen, Bewertungen oder Empfehlungen. Ihre mit dem Kauf verbundene kognitive und emotionale Beteiligung (Involvement) ist gering. Der Akt des Kaufes beruht vielmehr zu großen Teilen auf Erfahrungen und Vorwissen. Dies bedeutet, dass sich die Konsumenten beim Download von Apps mit hoher Wahrscheinlichkeit wenig Gedanken um ihre Privatsphäre und somit um sicherheitsrelevante Fragestellungen machen. Erfahrungen und Vorwissen beruhen bei Apps jedoch nicht auf dem Endprodukt, sondern sind der Ökosystemintegration geschuldet. Es werden zwar immer mehr Apps von Endkunden aus den jeweiligen Stores bezogen, dabei handelt es sich jedoch um verschiedene Softwareprodukte von verschiedenen Anbietern. Diese Anbietervielfalt wird von Konsumenten nicht wahrgenommen. Durch die einheitliche Aufmachung der Apps im App-Store und den vereinfachten, stark verkürzten und hochgradig standardisierten Kaufprozessen enthält die App-Kaufentscheidung eine habitualisierende Komponente. Aufgrund ihrer sozialen Einbettung kann es beim App-Download zu

1 3

Risikofaktor Mensch in mobilen Ökosystemen

81

einem reaktiven Kaufverhalten kommen, welches teilweise automatisch abläuft [7]. Reaktives Kaufverhalten kann stimuliert werden durch bspw. Empfehlungen oder die Forderung des sozialen Umfeldes nach der App-Nutzung oder dem einfachen Testen einer App. Die hohe Fragmentierung des Funktionsumfanges einer einzelnen App führt beim Konsumenten zur „Verniedlichung“ der potentiellen Risiken und zu einer Habitualisierungsneigung beim Bezug. Die Habitualisierungsneigung kann mit dem Wunsch nach „Vertrautheit mit Produkten des täglichen Bedarfs“ [7] erklärt werden. Die „Verniedlichung“ einer App als „kleiner Alltagshelfer“ und die damit einhergehende Habitualisierung führen zu einer Anpassung der Risikoneigung. Habitualisierung kann als Lernprozess aufgefasst werden. Bei Apps wird in der Regel zu Anfang, also nach Eintritt in das mobile Ökosystem, ein höheres Engagement hinsichtlich des Software-Downloads angenommen. Mit wiederholten, positiven Erfahrungen, tritt eine kognitive Entlastung ein und der habitualisierte Kaufprozess verfestigt sich [7]. Durch die Habitualisierung des Kaufprozesses wird das wahrgenommene Kaufrisiko abnehmen. Diese Verminderung des Kaufrisikos wird beim Kauf von Apps durch ein mehrdimensional aufgebautes Vertrauenskonstrukt unterstützt. Um das Risiko eines Fehlkaufes zu verringern, versuchen Konsumenten Informationen aus ihrer Umgebung zu beziehen. Bei Apps ist diese Umgebung gekennzeichnet durch eine „digitale Parallelwelt“. Hierbei müssen zwei Formen des Vertrauens unterschieden werden: Das Organisationsvertrauen und das Systemvertrauen. Das Organisationsvertrauen kann definiert werden als „zukunftsbezogene Tendenz eines Individuums, sich auf das Verhalten einer Organisation zu verlassen und trotz der bestehenden Verhaltensunsicherheit ein Risiko der riskanten Vorleistung zu tragen“ [7]. Die riskante Vorleistung stellt in diesem Kontext die Preisgabe persönlicher Daten dar. Die relevante Organisation ist der Marktplatz über den die App gekauft wird. Nur in seltenen Fällen werden sich Konsumenten dabei intensiv mit dem Anbieter der App auseinandersetzen. Die Einschätzung des Marktplatzes wird in diesen Fällen auf die Anbieter ausstrahlen, und ein Transfer des Organisationsvertrauens vom Marktplatz auf den Herausgeber der App findet statt. Ein derartiges mobiles Ökosystem suggeriert den Konsumenten Sicherheit. Durch die Vereinheitlichung der Softwareangebote von verschiedenen, unabhängigen Anbietern, die Möglichkeit des direkten Bezuges und der direkten Nutzung, die barrierefreie Abwicklung und vermeintlich soziale Reputationsfaktoren wird den Konsumenten Vertrautheit suggeriert. Dies führt wiederum zu Vertrauen in das Produkt und die Transaktion. Die vorangegangenen Ausführungen zeigen den Wandel der Softwarewahrnehmung bei Apps vom Investitionsgut, charakterisiert durch extensive Kaufentscheidungsprozesse, hin zum „fast moving consumer good“, welches durch limitierte und habitualisierte Kaufentscheidungsprozesse geprägt ist. Dementsprechend steht die Motivation, sich über mögliche Risiken zu informieren, in einem umgekehrten Zusammenhang zur Höhe des wahrgenommenen Risikos [5]. Die veränderte Produktwahrnehmung führt im Umkehrschluss zu einer veränderten Wahrnehmung der Schwere der Risiken, welche durch schadhafte Apps und Social-EngineeringAttacken für das Unternehmen entstehen können. Diese veränderte Wahrnehmung, maßgeblich beeinflusst durch den mobilen Ökosystemkontext, führt zwangsläufig zu einer veränderten Risikowahrnehmung.

1 3

82

C. Buck, T. Eymann

Durch eine derartige Unterbewertung können weitere Risikofaktoren erklärt werden. So ist ein positiver Framing-Effekt durch die ganzheitliche Ökosystemimplementierung zu nennen. Auch können aktivierende Einflüsse von Motiven und Emotionen beim App-Kauf nachteilige Trade-Offs hinsichtlich der Sicherheit durch Urteilsheuristiken und kognitive Verzerrungen erklären [9]. Die empfundene Wahrscheinlichkeit eines Fehlkaufes (im Hinblick auf die Sicherheit) des Konsumenten kann durch die Verfügbarkeitsheuristik beeinflusst werden. Aufgrund des habitualisierten Kaufes greifen Konsumenten nicht auf objektive Daten bzgl. der Sicherheit(-seinstellungen) einer App zurück, sondern bewerten die Wahrscheinlichkeit des schadhaften Eintritts anhand verfügbarer Erlebnisse und Erinnerungen. Hierbei überbewerten Konsumenten ihre positiven App-Erfahrungen bzgl. vergangener App-Downloads. Mögliche Fehleinschätzungen können besonders schwerwiegende Folgen für Unternehmen haben. Insbesondere, da sich die Erfahrung der Nutzer auf den Kauf im Rahmen des Ökosystems und eben nicht auf den schlussendlichen Transaktionspartner beziehen. Im Hinblick auf den Security-Trade-Off muss zudem die Affektheuristik beachtet werden. Die Affektheuristik ist ein Fall von Ersetzung einer schwierigen durch eine leichtere Frage. Beim App-Download befinden sich Konsumenten in einem Entscheidungsprozess im Rahmen eines komplexen Informationssystems. Die komplexe Fragestellung nach den sicherheitsrelevanten Einstellungen und den Auswirkungen kann ersetzt werden durch bspw. die einfachere Frage, „kann ein derart kleines Programm überhaupt Schaden anrichten?“. Weitere Erklärungen des vorliegenden Privacy Paradoxes können kognitive Verzerrungen liefern. Interessante Implikationen zeigen im Rahmen des App-Downloads die Optimismusverzerrung und die Kontrollverzerrung. Zum einen schätzen Konsumenten den Eintritt negativer Ereignisse im persönlichen Umfeld immer geringer ein als das vorliegende Mittel („Mir passiert so etwas nicht“) und zum anderen werden Risiken unterbewertet, die Konsumenten vermeintlich (gefühlt) kontrollieren können („Ich habe alles im Griff und gehe keine zu hohen Risiken ein“). Der Kontext des mobilen Ökosystems beeinflusst die Kaufentscheidung von Konsumenten bzgl. Apps. Hierbei nehmen die gezeigten kontextualen Besonderheiten Einfluss auf den „sorglosen“ Bezug von Apps, welcher aufgrund der unterbewussten Beeinflussung [3] nicht als ignorant gekennzeichnet werden kann. 4 Angepasstes Risikomanagement und zukünftiger Forschungsbedarf Durch kontextuale Besonderheiten von Apps in mobilen Ökosystemen wandelt sich die Wahrnehmung von Software hin zum Konsumgut. Durch eine tiefe (Alltags-)Integration und komplexe Vertrauensbeziehungen findet eine falsche Bewertung der Nutzer hinsichtlich App-spezifischer Risiken statt. Unternehmen müssen derartige IT-Risiken und vor allem deren Ursprung im Verhalten der Nutzer auf dem Konsumentenmarkt verstehen und berücksichtigen. Im Rahmen von BYOD-Lösungen sollte eine grundlegende Richtung der Unternehmensführung vorgegeben werden. Um einen maximalen Grad an Sicherheit sicherstellen zu können, sollten mobile Endgeräte von Unternehmen ausgegeben und im Rahmen eines Device Managements kontrolliert werden. Hierdurch kann das IT-Ma-

1 3

Risikofaktor Mensch in mobilen Ökosystemen

83

nagement lediglich „sichere“ Apps für die Nutzung zulassen und somit den Gebrauch von Mal- und Greyware unterbinden. Über technische Lösungen hinaus sollten Unternehmen massiv in die Schulung aller Mitarbeiter bzgl. der diskutierten Risiken investieren um deren Literacy und Sensibilisierung zu erhöhen. Literatur   1. Acquisti A, Grossklags J (2003) Losses, gains, and hyperbolic discounting: an experimental approach to information security attitudes and behavior, 1–27. http://www.cpppe.umd.edu/rhsmith3/papers/ Final_session6_acquisti.grossklags.pdf. Zugegriffen: 12 Dez. 2013   2. Buck C, Eymann T (2013) Das Privacy Paradox bei mobilen Applikationen: Kontextuale Besonderheiten mobiler Applikationen. In: Goltz U, Ehrich H-D (Hrsg) Informatik 2013. Informatik angepasst an Mensch, Organisation und Umwelt; [Beiträge der 43. Jahrestagung der Gesellschaft für Informatik e. V. (GI)] S. 1985–2000). Ges. für Informatik, Bonn   3. Dijksterhuis A, Smith PK, van Baaren RB, Wigboldus DHJ (2005) The unconscious consumer: effects of environment on consumer behavior. J Consum Psychol 15(3):193–202   4. Eckert C (2012) IT-Sicherheit: Konzepte, Verfahren, Protokolle (7., überarb. und erw. Aufl). Oldenbourg, München   5. Grazioli S, Jarvenpaa SL (2000) Perils of internet fraud: an empirical investigation of deception and trust with experienced internet consumers. IEEE T Syst Man Cyb: Part A 30(4):395–410   6. von Hippel W, Trivers R (2011) The evolution and psychology of self-deception. Behav Brain Sci 34:1–34   7. Kroeber-Riel W, Gröppel-Klein A (2013) Konsumentenverhalten (10. Aufl). Franz Vahlen, München   8. Nachenberg C (2011) A window into mobile device security: examining the security approaches employed in Appleʼs iOS and Googleʼs Android, 1–23. http://www.symantec.com/content/en/us/ about/media/pdfs/symc_mobile_device_security_june2011.pdf. Zugegriffen: 12 Dez. 2013   9. Schneier B (2008) The psychology of security. https://www.schneier.com/essay-155.pdf. Zugegriffen: 12 Dez. 2013 10. Terryn W (2011) Consumerization. Fer, Mauritius 11. Weiß F, Leimeister JM (2013) Consumerization: IT-Innovationen aus dem Konsumentenumfeld als Herausforderung für die Unternehmens-IT. Wirtschaftsinformatik 54(6):351–354

1 3