Da es experimentell kaum möglich ist, das Sicherheitsverhalten direkt zu beobachten, ist der Einsatz von geeigneten Fragebögen unerlässlich. In einer quantitativen Studie wurde untersucht, ob sich ein etablierter Fragebogen, der Security Behavior Intentions Scale (SeBIS) (Egelman, Harbach & Peer 2016), zur Erhebung des Computersicherheitsverhaltens in kleinen und mittelständischen Unternehmen (KMU) eignet.

Übersetzungsprozess

Der englischsprachige Fragebogen SeBIS besteht aus 16 Fragen, die Themen erfassen wie Passwortvergabe, Gerätesicherheit, das Updateverhalten und das proaktive Bewusstsein der Nutzer. Der Fragebogen wurde zunächst mithilfe der sogenannten Backtranslation-Methode ins Deutsche übersetzt. Dafür wurden die Ausgangsfragen ins Deutsche übertragen und anschließend von zwei Experten der Anglistik zurückübersetzt und auf Bedeutungsgleichheit hin überprüft. In einer Vorstudie mit sieben Teilnehmern aus der Zielgruppe wurde die Verständlichkeit des übersetzten Fragebogens sichergestellt. Eine Besonderheit des Fragebogens bestand darin, dass die Probanden in der Anleitung darauf hingewiesen wurden, ihr berufliches und nicht ihr privates Verhalten zu beurteilen.

Validierungsstudie

Um zu überprüfen, ob der SeBIS-Fragebogen geeignet ist, das Sicherheitsverhalten in kleinen und mittelständischen Unternehmen zu erheben, wurde die übersetzte Version im Rahmen einer Online-Studie mit der Zielgruppe (n = 46) getestet und anschließend statistische Kennzahlen zur Güte des Fragebogens berechnet. Die Daten wurden mittels einer Reliabilitäts- und Hauptkomponentenanalyse untersucht. Die Ergebnisse der Studie weisen auf eine grundsätzliche Eignung des Fragebogens hin. Daneben konnten aber einige Verbesserungsansätze für den Einsatz im Unternehmen abgeleitet werden.

Verbesserungsansätze

Einige Fragen der Skala stellten sich als zu unpräzise heraus, um das Verhalten im beruflichen Umfeld exakt zu erfassen. Ein Beispiel hierfür ist, ob die Befragten Softwareupdates unverzüglich durchführen würden.  Da Mitarbeiter von KMU nicht zwingend für Aktualisierungen selbst zuständig bzw. dazu berechtigt sind, kann die Frage nicht immer Aufschluss über das Sicherheitsverhalten geben. Hier müssten die Rolle des Nutzers bzw. seine Berechtigungen zusätzlich abgefragt werden. Daneben sollten weitere Kontextfaktoren, wie das Betriebssystem, erhoben werden, da diese einen Einfluss auf das Update-Verhalten haben können.

Um die Skala besser an das Sicherheitsverhalten in kleinen und mittleren Unternehmen anzupassen, könnten qualitative Studien wie Interviews oder Contextual Inquiries durchgeführt werden. So können potentiell zusätzliche Verhaltensweisen und Einflussfaktoren gefunden werden, die eine genauere Erfassung des Sicherheitsverhaltens in KMU ermöglichen.

Quellen

Egelman, S., Harbach, M. & Peer, E. (2016). Behavior ever follows inten-tion?: A validation of the security behavior intentions scale (SeBIS). In Pro-ceedings of the 2016 CHI Conference on Human Factors in Computing Systems (S. 5257-5261). ACM.