IT-Sicherheit & Datenschutz
Digitale Risiken
IT-Sicherheit und Datenschutz
Risiken für Unternehmen, die durch die Digitalisierung hervorgerufen bzw. verstärkt werden, sind vielfältig und von zentraler Bedeutung für das Kernkompetenzzentrum FIM und die Projektgruppe Wirtschaftsinformatik des Fraunhofer FIT. Der Forschungsbereich hat zwei große Schwerpunkte: IT-Sicherheit und Datenschutz. Digitale Risiken erstrecken sich von klassischen IT-Security-Themen über Data-Privacy-Debatten bis hin zu systemischen Risiken, z.B. im IT-Projektportfolio-Management. Dies umfasst neben Fragestellungen der technischen Umsetzung auch die Betrachtung des Risikofaktors Mensch. Darüber hinaus stellt der Schutz der informationellen Selbstbestimmung des Menschen, insbesondere die Betrachtung des menschlichen Entscheidungsverhaltens im Umgang mit Informations- und Kommunikationssystemen und Daten, einen elementaren Bestandteil der Forschungs- und Ausbildungsaktivitäten dar.
IT-Sicherheit
Im Schwerpunkt IT-Sicherheit ist das Ziel, Schutz- und Steuerungsmaßnahmen für Informations- und Kommunikationssysteme in und zwischen Unternehmen zu gestalten und ökonomisch fundiert zu bewerten. Vor diesem Ziel sollen u.a. Investitionen in die IT-Sicherheit durch die geeignete Kombination quantitativer Methoden des finanzwirtschaftlichen Risikomanagements sowie nicht-monetärer bzw. qualitativer Ansätze analysiert werden, um eine multidimensionale Bewertung und Steuerung von Maßnahmen zur Erhöhung der IT-Sicherheit zu ermöglichen. Auf dieser Basis soll die Ableitung kosten- und nutzeneffizienter Portfolios von proaktiven und reaktiven IT-Sicherheitsmaßnamen unterstützt werden, damit nicht nur Großunternehmen, sondern insbesondere auch mittelständische Unternehmen trotz begrenzter Budgets und Ressourcen ökonomisch sinnvolle IT-Sicherheitsstrategien verfolgen können. Die Entscheidungsunterstützung erfolgt dabei in Form von zu entwickelnden Tools, die eine teilautomatisierte Ableitung und Bewertung von Handlungsalternativen ermöglichen.
Besonders im Fokus des Forschungsbereichs stehen die Themen IT-Sicherheit in Kritischen Infrastrukturen (KRITIS) und der Schutz von Unternehmen vor systemischen Risiken durch IT-basierte Wirtschaftskriminalität in komplexen und interdependenten Wertschöpfungsnetzen. So sind Unternehmen bei der Steuerung der IT-Sicherheit in KRITIS mit Risikoereignissen konfrontiert, die zwar extrem selten eintreten, jedoch ein immenses Schadenspotential aufweisen, da i. d. R. nicht nur die einzelnen Unternehmen, sondern auch ein großer Teil der Wirtschaft und Gesellschaft betroffen sind. Bei der Steuerung von Risiken aus IT-basierter Wirtschaftskriminalität sind insbesondere die zahlreichen und intransparenten Abhängigkeiten zu beachten, die aus der immer stärkeren Einbindung von Unternehmen in globale und zunehmend virtualisierte Wertschöpfungsnetze resultieren. Auch die Motivation der Angreifer auf die IT-Systeme unterscheidet sich im Normalfall. Während KRITIS z.B. ein bevorzugtes Ziel terroristischer Angriffe sein können, ist im Bereich der IT-basierten Wirtschaftskriminalität z.B. die Spionage von Konkurrenten ein möglicher Beweggrund für Angriffe.
Datenschutz
Der zweite große Schwerpunkt im Forschungsbereich ist das Thema Datenschutz. In einer immer stärker vernetzten Welt und vor dem Hintergrund sich stetig verschärfender Gesetzgebung wie der 2018 in Kraft getretenen EU-Datenschutzgrundverordnung muss über den Schutz von Daten neu nachgedacht werden. Mit den technologischen Neuerungen der letzten Jahre steigt das Volumen an Daten, welches Unternehmen über ihre Kunden sammeln. Damit steigt auch das Potential erfolgsrelevante Erkenntnisse aus Datenanalysen zu generieren stetig, zumal heutzutage freigiebig und unbedarft (mobil) kommuniziert und damit eine ständige passive Datenerhebung ermöglicht wird. Aktuelle Forschungsergebnisse zeigen aber auch, dass Kunden oftmals große Bedenken bezüglich des Datenschutzes und der Nutzung ihrer Daten haben. Die Kundenbedürfnisse sollten daher mit den Dimensionen „rechtliche Anforderungen“, „technische Umsetzbarkeit“ und „Monetarisierbarkeit von Daten“ in einen ökonomisch sinnigen Einklang gebracht werden. Im Sinne einer nachhaltigen, wertorientierten Unternehmensstrategie sollten dabei die Auszahlungen für Datenschutz-Maßnahmen in einem optimalen Verhältnis zu den erwarteten zahlungswirksamen Verlusten durch Datenschutz-Risiken wie Umsatzeinbrüche durch Reputationsschäden oder Strafzahlungen stehen. Zusätzlich zur Wahrnehmung von Datenschutz mit Fokus auf der Risikominimierung kann Datenschutz und Respekt vor der Privatsphäre auch als Chance und insbesondere als Ansatzpunkt für die Erweiterung klassischer Wertversprechen gesehen werden. Datenschutz kann durch Vertrauensgewinn und gute Reputation Treiber für neue Geschäftsmodelle sein. Weitere detaillierte Informationen zu dem Thema finden Sie in folgender Datenschutzbroschüre.
Neugierig geworden?
Unsere Tätigkeiten
Das Kernkompetenzzentrum FIM beschäftigt sich mit relevanten Realweltproblemen sowohl in öffentlich geförderten Grundlagenforschungsprojekten als auch in angewandten Forschungsprojekten mit Praxispartnern. Dabei erarbeitet es gemeinsam mit seinen Partnern einzigartige und neuartige Lösungen auf Basis seiner Einblicke in den aktuellen Stand der Forschung, seiner praktischen Erfahrung sowie der Interdisziplinarität und Begeisterung seines Teams. Ausgewählte Projekte sind:
- PlasIs (2021 – 2023):
Plattform zur Entwicklung sicherer Lösungen für das Industrial Internet of Things (IIoT)
Projektziel: Entwicklung einer IIoT-Sicherheitsmanagement-Plattform mit software-gestützten, (teil-)automatisierten Beratungs-, Anforderungs- und Prüfwerkzeugen, welche Nutzer strukturiert bei der Entwicklung sicherer IIoT-Lösungen unterstützt - SiZero (08/2020 – 05/2023):
Sicherer Zugriff auf kritische Infrastruktur via Zero Trust Architektur
Projektziel: Entwicklung einer innovativen IT-Sicherheitslösung für kritische Infrastruktur basierend auf einer Zero Trust Architektur - MAI ILQ (2018 – 2021):
Inline Produktions- und Qualitätskontrolle bei der Fräsbearbeitung von metallischen und CFK-Produktionsanwendungen
Projektziel: Data Analytics und IoT-basierte Wertsteigerung in der spanenden Bearbeitung mittels unternehmensübergreifendem, souveränem Datenaustausch ohne Know-how-Verletzung als Basis für KI-basierte Industrie-4.0-Produktionsprozesse und Inline Qualitätskontrolle - SIS 4.0 (2018 – 2022):
Sichere Industrie 4.0 in Schwaben (gefördert durch das Bayerische Staatsministerium für Wirtschaft, Landesentwicklung und Energie)
Projektziel: Erforschung innovativer Sicherheitslösungen für die Transformation zur Industrie 4.0. Dabei sollen unter besonderer Berücksichtigung von Sicherheitsanforderungen geeignete Lösungen für die Planung, Durchführung und Optimierung von digitalisierten Entwicklungs-, Produktions- und Logistikprozessen sowie für die Gestaltung digitaler und datenbasierter Services und Geschäftsmodelle basierend auf Industrie 4.0-Technologien entwickelt werden. - Oberfranken 4.0 (2016 – 2020):
(gefördert durch die Europäische Union und die Oberfrankenstiftung)
Projektziel: Kleine und mittelständische Unternehmen, insbesondere auch im nordbayerischen Raum, mit einem breiten Spektrum von Serviceleistungen dabei zu unterstützen, zukunftsweisende Entwicklungen vor dem Hintergrund der „Industrie 4.0“ kennenzulernen und für innovative Lösungen in der eigenen Produktion und Logistik einzusetzen. Eine beispielgebende Anwenderfabrik mit hochmodernen Industrie-4.0-Demonstratoren und -Anwendungen am Campus der Universität Bayreuth soll dabei den Wissens- und Technologietransfer zwischen Forschung und Praxis fördern. Eines der Hauptziele ist hierbei Entwicklung neuer Ansätze zur Verbesserung des IT-Sicherheitsmanagements im Industrie-4.0-Kontext, die Unternehmen befähigen sollen, die IT-Sicherheit für neue Produktionsverfahren, Produkte und Dienstleistungen im Bereich Industrie 4.0 zu gewährleisten. - GESINE (2012 – 2015):
(gefördert durch das Bundesministerium für Wirtschaft und Energie (BMWi))
Projektziel: Entwicklung eines praxistauglichen Sicherheitskonzepts, welches Unternehmen belastbare Aussagen zur Einhaltung von Gesetzen und Richtlinien sowie der Sicherheit ihrer elektronischen Geschäftsprozesse liefert. - eRep (2006 – 2009):
(gefördert durch die Europäische Kommission)
Projektziel: Ermitteln, was zu relevanten Informationen über Reputation gezählt werden kann. Wie können diese Informationen repräsentiert, generiert und verteilt werden? Und wie gehen schließlich Agenten mit diesen Informationen um? Darüber hinaus sollen die Anforderungen an ein unterstützendes Reputationssystem aus technischer Sicht analysiert werden und zudem der Frage nachgegangen werden, inwiefern bereits bestehende Systeme diese Anforderungen erfüllen. Eine Beurteilung des erreichbaren Automatisierungsgrads und die Umsetzung und Simulation in einem verteilten System runden dieses interdisziplinäre Projekt ab.
Studien
Folgende Studien, Whitepaper und Bücher entstanden aus Forschungsarbeiten und in Zusammenarbeit mit Praxispartnern:
Datenschutz: Notwendige Bürokratie oder Wettbewerbsvorteil im Umgang mit digitalen Kundendaten?
Wissenschaftliche Publikationen
Zu diesem Kompetenzbereich haben wir folgende Forschungsarbeiten in wissenschaftlichen Zeitschriften und internationalen Konferenzen veröffentlicht:
Managing the Inevitable : A Maturity Model to Establish Incident Response Management Capabilitiesin: Computers & Security, 2023 | Bitzer, MichaelHäckel, BjörnLeuthe, DanielOtt, JoshuaStahl, BastianStrobel, Jacqueline | |
IT Availability Risks in Smart Factory Networks : Analyzing the Effects of IT Threats on Production Processes Using Petri Netsin: Information Systems Frontiers, 2022 | Berger, Stephanvan Dun, ChristopherHäckel, Björn | |
Security First, Security by Design, or Security Pragmatism : Strategic Roles of It Security in Digitalization Projectsin: Computers & Security, 2022 | Ollig, PhilippGuggenmos, FlorianStahl, Bastian | |
COVID-19 Infection Tracing with Mobile Apps : Acceptance and Privacy Concernsin: Proceedings of the 42nd International Conference on Information Systems (ICIS), Austin, USA, 2021 | Fortagne, Marius ArvedReith, RiccardoDiel, SörenBuck, ChristophLis, BettinaEymann, Torsten | |
Self-Sovereign Identity : Grundlagen, Anwendungen und Potenziale portabler digitaler Identitäten2021 | Strüker, JensUrbach, NilsGuggenberger, TobiasLautenschlager, JonathanRuhland, NicolasSchlatt, VincentSedlmeir, JohannesStoetzer, Jens-ChristianVölter, Fabiane | |
Auf dem Weg zum vertrauensvollen, unternehmensübergreifenden automatisierten Datenaustausch von Maschinen : Identifikation von schützenswertem Wissen im Zeitalter von Industrie 4.0in: HMD Praxis der Wirtschaftsinformatik, 2021 | Adler, LeonFrank, AndreasGimpel, HennerHeger, SebastianNüske, NiclasStarke, JoachimWaldmann, DanielaWöhl, Moritz | |
Disentangling the Concept of Information Security Properties : Enabling Effective Information Security Governancein: Proceedings of the 29th European Conference on Informations Systems (ECIS), Marrakech, Morocco, 2021 | Bitzer, MichaelBrinz, NicolasOllig, Philipp | |
Never Trust, Always Verify : A Multivocal Literature Review on Current Knowledge and Research Gaps of Zero-trustin: Computers & Security, 2021 | Buck, ChristophOlenberger, ChristianSchweizer, AndréVölter, FabianeEymann, Torsten | |
Pandemic Containment with Digital Measures : Acceptance and Privacy Aspects of Contact Tracing Appsin: Proceedings of the 29th European Conference on Information Systems (ECIS), Marrakech, Morocco, 2021 | Reith, RiccardoFortagne, Marius ArvedDiel, SörenBuck, ChristophLis, BettinaEymann, Torsten | |
Approaching Digital Transformation : Development of a Multi-Dimensional Maturity Modelin: Proceedings of the 28th European Conference on Information Systems (ECIS), Marrakech, Morocco, 2020 | Berger, StephanBitzer, MichaelHäckel, BjörnVoit, Christian | |
Estimating the Impact of IT Security Incidents in Digitized Production Environmentsin: Decision Support Systems, 2020 | Bürger, OlgaHäckel, BjörnKarnebogen, PhilipTöppel, Jannick | |
Integrating Privacy Concerns Into the Unified Theory of Acceptance and Use of Technology to Explain the Adoption of Fitness Trackersin: International Journal of Innovation and Technology Management, 2020 | Reith, RiccardoBuck, ChristophLis, BettinaEymann, Torsten | |
Tracking Fitness or Sickness : Combining Technology Acceptance and Privacy Research to Investigate the Actual Adoption of Fitness Trackersin: Proceedings of the 53rd Hawaii International Conference on System Sciences (HICSS), Honolulu, USA, 2020 | Reith, RiccardoBuck, ChristophLis, BettinaEymann, Torsten | |
Value of data meets IT security : assessing IT security risks in data-driven value chainsin: Electronic Markets, 2020 | Bitomsky, LauraBürger, OlgaHäckel, BjörnTöppel, Jannick | |
Assessing IT Availability Risks in Smart Factory Networksin: Business Research, 2019 | Häckel, BjörnHänsch, FlorianHertel, MichaelÜbelhör, Jochen | |
How Privacy Affects the Acceptance of Mobile Payment Solutionsin: Proceedings of the 27th European Conference on Information Systems (ECIS), Uppsala, Sweden, 2019 | Reith, RiccardoBuck, ChristophWalther, DennisLis, BettinaEymann, Torsten | |
An Experiment Series on App Information Privacy Concernsin: Proceedings of the 26th European Conference on Information Systems (ECIS), Portsmouth, UK, 2018 | Buck, ChristophBurster, SimoneEymann, Torsten | |
Privacy as a Part of the Preference Structure of Users App Buying Decisionin: Leimeister, Jan Marco: Proceedings der 13. Internationalen Tagung Wirtschaftsinformatik (WI 2017), St. Gallen, 2017 | Buck, ChristophStadler, FlorianEymann, TorstenSuckau, Kristin | |
Dealing with Privacy and Security Risks : App Consumers in Mobile Ecosystemsin: Dennis Kundisch ; Leena Suhl ; Lars Beckmann (Hrsg.): MKWI 2014 Multikonferenz
Wirtschaftsinformatik, Univ., Paderborn, 2014 | Buck, ChristophHorbel, ChrisEymann, Torsten | |
Das Privacy Paradox bei mobilen Applikationen : Kontextuale Besonderheiten mobiler Applikationenin: Informatik 2013 : Informatik angepasst an Mensch, Organisation und Umwelt. Workshop RiskKom – Risikokommunikation im Kontext von IT-Sicherheit. Proceedings, Köllen, Bonn, 2013 | Eymann, TorstenBuck, Christoph |