Informationssysteme (IS) sind zunehmend in unser tägliches Leben integriert, z.B. durch cloudbasierte Kollaborationsplattformen, Smart Wearables oder soziale Medien. Dies hat zur Folge, dass nahezu jeder Aspekt des persönlichen, sozialen und beruflichen Lebens auf dem ständigen Austausch von Informationen zwischen Nutzenden und Anbietern von Online-Diensten beruht. Dadurch, dass Nutzende und Organisationen diesen Informationssystemen immer mehr persönliche und sensible Informationen anvertrauen, steigen jedoch die Anforderungen an die Gewährleistung von Informationssicherheit, Datenschutz und Privatheit. Der Schutz von Informationsbeständen liegt dabei in der gemeinsamen Verantwortung von Technologieanbietern, Gesetzgebung, Organisationen und denjenigen Personen, die das Informationssystem aktiv nutzen. Die bisherige Forschung hat insbesondere die zentrale Rolle der Nutzenden hervorgehoben, die die “letzte Verteidigungslinie” bilden. Hierbei wurde sich in früheren Forschungsarbeiten zur nutzerzentrierten Informationssicherheit und Privatheit hauptsächlich auf die kognitive Perspektive beschränkt. Darüber hinaus ist es jedoch wichtig, Phänomene der Informationssicherheit und Privatheit in den sozialen, emotionalen und technologischen Kontext der Nutzenden eingebettet zu betrachten. Die vorliegende Dissertation erweitert die bestehende Forschung zu nutzerzentrierter Informationssicherheit und Privatheit um die sozio-emotionale Perspektive. Fünf Studien beleuchten, wie und warum sozio-emotionale Faktoren Informationssicherheit und Privatheit beeinflussen und wie diese Erkenntnisse genutzt werden können, um wirksame Instrumente zur Unterstützung von Nutzenden bei Entscheidungen, die die Informationssicherheit und Privatheit betreffen, zu entwickeln.

Der erste Teil dieser Arbeit untersucht die individuelle Entscheidungsfindung in Bezug auf Informationssicherheit, Privatheit und Datenschutz. Tägliche Nutzerentscheidungen über die Preisgabe von Informationen, wie z. B. einer Phishing-Website sensible Anmeldedaten zu übermitteln oder einer App Zugriff auf das eigene Adressbuch zu genehmigen, haben entscheidende Auswirkungen auf die Sicherheit und Privatheit von Informationsbeständen. Forschung und Praxis haben daher begonnen, Tools und Interventionen zu entwickeln, die sicheres und privatheitbewusstes Verhalten fördern. Unser bisheriges Wissen über die Ausgestaltung und Wirksamkeit solcher Tools und Interventionen ist jedoch über eine vielfältige Forschungslandschaft verteilt. In der ersten Studie dieser Dissertation (Artikel A) wird daher, basierend auf einer Literaturrecherche, dieses Wissen systematisiert. Die Studie stellt eine Taxonomie nutzerorientierter Interventionen zur Steigerung der Informationssicherheit vor und arbeitet entscheidende Defizite der derzeitigen Ansätze heraus, wie z. B. das Fehlen von Tools und Interventionen, die Nutzenden eine langfristige Orientierungshilfe bieten, und ein Ungleichgewicht in Bezug auf die Angriffsvektoren von Cyberangriffen. Darüber hinaus zeigt die Studie auf, dass frühere Arbeiten in diesem Bereich sich vorüberwiegend auf eine kognitive Verarbeitungsperspektive beschränken und den Einfluss von sozialen und emotionalen Faktoren vernachlässigen. In der zweiten Studie (Artikel B) wird untersucht, wie Nutzende Entscheidungen über die Weitergabe persönlicher Informationen von Dritten treffen. Dieses Phänomen wird als Privatheitsinterdependenz bezeichnet. Die bisherige Literatur zeigt, dass Nutzende ein begrenztes Verständnis für die sozialen Auswirkungen ihrer Datenschutzentscheidungen haben. Studie B basiert auf einem theoretischen Modell, welches besagt, dass das Erkennen und Respektieren der Privatheitsrechte anderer für Nutzende stark von der wahrgenommenen Präsenz der anderen im eigenen soziotechnischen Umfeld abhängt. Sie stellt eine Intervention vor, die darauf abzielt, die Präsenz der persönlichen Daten anderer während des Entscheidungsprozesses zu erhöhen, was zu einem signifikanten Rückgang von interdependenten Privatheitsverletzungen führt. Die Ergebnisse zeigen implizit, dass derzeitige Benutzeroberflächen es Nutzenden nicht ermöglichen, fundierte Entscheidungen über die persönlichen Daten ihrer Mitmenschen zu treffen. Dies zeigt einen akuten Handlungsbedarf für Politik und Regulatorik auf. Die dritte Studie (Artikel C) verlagert den Fokus auf individuelle Informationssicherheitsentscheidungen im organisatorischen Kontext. Sie untersucht die Beweggründe von Mitarbeitenden zur Meldung von Cyber-Bedrohungen. Mit dem Ziel, die Akzeptanz von Melde-Tools (z.B. im E-Mail-Programm integrierte Add-ons, die das Melden von verdächtigen E-Mails ermöglichen) auf Mitarbeitendenseite zu maximieren, untersucht die Studie die Auswirkung von zwei Tool-Eigenschaften auf die utilitaristische und hedonistische Motivation der Nutzenden, Sicherheitsvorfälle unternehmensintern zu melden. Die Ergebnisse deuten darauf hin, dass Melde-Tools, die ein Gefühl des sogenannten “warm glow”, d.h. eine Steigerung des Selbstwertgefühls und der persönlichen Zufriedenheit nach der Ausführung einer altruistischen Handlung, hervorrufen, zu einer höheren Akzeptanz des Tools führen als solche, die ausschließlich die utilitaristische Motivation der Nutzer ansprechen. Dies eröffnet einen neuen Blickwinkel auf organisatorische Informationssicherheit als Ganzes und zeigt neue Wege auf, wie Organisationen Nutzende effektiv in die den Schutz der Informationssicherheit einbinden können.

Der zweite Teil dieser Arbeit befasst sich mit Informationssicherheit als organisatorisches Phänomen. Neben der individuellen Entscheidungsfindung stehen Unternehmen vor der Herausforderung, eine Informationssicherheitskultur zu etablieren, die beispielsweise das Sicherheitsbewusstsein der Mitarbeitenden, das Engagement der obersten Führungsebene und die abteilungsübergreifende Zusammenarbeit im Bereich Informationssicherheit einschließt. In der vierten Studie (Artikel D) wird ein Messinstrument zur Bewertung des Sicherheitsbewusstseins von Mitarbeitenden vorgestellt. Ergänzend zu der vorherrschenden Methode von Selbstbeurteilungsfragebögen führt die Studie einen Index ein, der auf der Anfälligkeit der Belegschaft für simulierte Social-Engineering-Angriffe basiert. Dieses neuartige Verfahren schließt die Lücke zwischen Absicht und tatsächlichem Verhalten der Mitarbeitenden und ermöglicht es Informationssicherheitsbeauftragten, menschliche Schwachstellen im Unternehmen in Echtzeit zu überwachen. Darüber hinaus deuten die Ergebnisse darauf hin, dass Trainings und Programme zur Steigerung der Informationssicherheit nicht nur das Sicherheitsbewusstsein der Mitarbeitenden, sondern auch ihr tatsächliches Sicherheitsverhalten verbessern. In der fünften Studie (Artikel E) wird abschließend der Einfluss sozio-emotionaler Disruption auf die Informationssicherheitskultur untersucht. Vor dem Hintergrund der COVID-19-Pandemie zeigt die longitudinale Studie neuartige hemmende und unterstützende Einflussfaktoren auf die organisatorische Informationssicherheitskultur auf, die angesichts des globalen sozialen und emotionalen Umbruchs im Laufe des Jahres 2020 entstanden sind. Insbesondere zeigt die Studie, dass solche disruptiven Ereignisse die Informationssicherheitskultur eines Unternehmens negativ oder – kontraintuitiv – positiv beeinflussen können, je nach dem ob bestimmte Voraussetzungen, wie beispielsweise die digitale Reife und wirtschaftliche Stabilität des Unternehmens, erfüllt sind.

Insgesamt zeigt diese Dissertation die Bedeutung sozio-emotionaler Faktoren beim Schutz von Informationsbeständen auf, indem sie ein umfassenderes Verständnis dafür vermittelt, warum und wie solche Faktoren menschliches Verhalten im Zusammenhang mit Informationssicherheit, Datenschutz und Privatheit beeinflussen. Die Studien in dieser Arbeit leisten einen Beitrag zur IS-Forschung, indem sie (1) soziale und emotionale Motive als bisher weitgehend vernachlässigte Triebkräfte für die Entscheidungsfindung von Nutzenden aufdecken, (2) aufzeigen, wie Tools und Interventionen diese Motive einsetzen können, um Nutzende beim Schützen von Informationsbeständen effektiv zu unterstützten, und (3) die Bedeutung externer sozio-emotionaler Faktoren als einen bisher wenig untersuchten Einfluss auf die Informationssicherheit in Organisationen aufzeigen. In der Praxis bietet diese Arbeit umsetzbare Empfehlungen für Designer, die Tools und Interventionen zur Unterstützung der Entscheidungsfindung in Bezug auf Informationssicherheit, Datenschutz und Privatheit entwickeln. Darüber hinaus liefert sie wichtige Erkenntnisse für Informationssicherheits-beauftragte, wie eine starke und widerstandsfähige Informationssicherheitskultur aufgebaut werden kann, und gibt politischen Entscheidungstragenden Einblicke in sozial bedingte Risiken hinsichtlich Datenschutz und Privatheit.