TU Darmstadt / ULB / TUprints

IT Security in the Age of Digitalization – Toward an Understanding of Risk Perceptions and Protective Behaviors of Private Individuals and Managers in Organizations

Sonnenschein, Katja Rabea :
IT Security in the Age of Digitalization – Toward an Understanding of Risk Perceptions and Protective Behaviors of Private Individuals and Managers in Organizations.
Technische Universität, Darmstadt
[Ph.D. Thesis], (2018)

[img]
Preview
Text
Sonnenschein-IT Security in the Age of Digitalization_v1.pdf - Accepted Version
Available under CC-BY-SA 4.0 International - Creative Commons Attribution Share-alike 4.0.

Download (1MB) | Preview
Item Type: Ph.D. Thesis
Title: IT Security in the Age of Digitalization – Toward an Understanding of Risk Perceptions and Protective Behaviors of Private Individuals and Managers in Organizations
Language: English
Abstract:

Nowadays, information technology (IT) has become an integral part of our everyday life. In both the private and business context, we extensively use different IT systems for data production, data organization, data analysis, and communication with others. Due to the extensive usage of IT, the amount of digitalized personal and organizational information is rapidly and incessantly rising — making both private individuals and organizations attractive targets for attackers. The necessity to effectively protect sensitive data from IT security incidents is highly discussed in practice and research, it attracts high media attention, and our society should be actually aware of the importance of IT security in today’s digital world. However, recent reports demonstrate that organizations as well as private individuals — even though they are afraid of the rapid evolution of IT security risks — still often refrain from adopting the necessary IT security safeguards. To better prepare our society for the ongoing risks arising from extensive IT usage, a better understanding of how IT security is perceived by private individuals and managers is required. Motivated by the findings and theoretical underpinnings from previous research, this thesis addresses several research questions with respect to IT security perceptions and behaviors of private individuals and managers in organizations. By conducting four studies — one among private individuals and three among managers in organizations — the thesis not only contributes to the current research but also provides useful recommendations for practice. Suppliers of IT and IT security products as well as managers in customer organizations can especially learn from the findings of the studies. First, research paper A is focused on the private context and analyzes the gender differences in mobile users’ IT security perceptions and protective behaviors. Drawing on Gender Schema Theory and Protection Motivation Theory, a mixed-method study (survey, experiment, and interviews) under laboratory conditions is conducted. The results show that IT security perceptions of females and males are based on different downstream beliefs and indicate that females are more likely to translate their intention to take precautionary actions into actual behavior than males. The studies presented in research papers B, C, and D are conducted within the business context and focus on the IT security perceptions and behaviors of managers in organizations. Research paper B analyzes top managers’ IT security awareness. Since previous research predominantly investigated IT security awareness at the employee level, a comprehensive conceptualization of IT security awareness at the management level is currently missing. To address this research gap, a structured literature review and expert interviews are performed in order to develop and test a comprehensive conceptualization — including both individual and organizational factors — of top managers’ IT security awareness. Within research paper C, managers’ willingness to pay for IT security is in the focus of the investigation. Previous research largely neglected that various IT security safeguards might be differently evaluated by organizations, for example, due to different IT security requirements. By drawing on Kano’s Theory, the study takes into account that — depending on the organization’s individual IT security requirements — the implementation of IT security safeguards can also be associated with disadvantages. Based on interviews and an empirical study among managers, the study reveals that IT security safeguards are differently evaluated and that these different evaluations are associated with different levels of managers’ willingness to pay. Finally, research paper D analyzes managers’ Status Quo-Thinking in risk perception. Based on Prospect Theory, Status Quo Bias research, and an empirical study among managers, the findings indicate that managers’ risk evaluations and decisions to adopt new technologies are highly dependent on their assessments of the systems currently used in the organization. Moreover, the results implicate that the impact of Status Quo-Thinking on managers’ risk assessments and intentions to adopt new technologies is stronger the less experienced a manager is with a new technology, probably resulting in an incorrect risk assessment and inappropriate adoption behavior. Implications for research and practice are discussed in more detail within each research paper and summarized in the final chapter of the thesis.

Alternative Abstract:
Alternative AbstractLanguage
Informationstechnologien (IT) sind längst integraler Bestandteil unseres alltäglichen Lebens. Sowohl im privaten als auch im beruflichen Kontext wird eine Vielzahl verschiedener IT-Systeme genutzt, um Daten zu produzieren, zu organisieren und zu analysieren sowie um mit Anderen zu kommunizieren. Infolge der stetig zunehmenden Integration von IT-Systemen in unseren privaten und beruflichen Alltag, wachsen die Anzahl und der Umfang digitalisierter Informationen rapide und stetig. Dies ist zwar mit Vorteilen verbunden, führt aber gleichzeitig dazu, dass Privatpersonen und Unternehmen zu attraktiven Zielen für Angreifer werden. Das Thema IT-Sicherheit genießt eine hohe Aufmerksamkeit in Forschung und Praxis, ist nahezu täglicher Bestandteil der medialen Berichterstattung und die Gesellschaft sollte sich längst über das Ausmaß der Bedrohungen durch IT-Sicherheitsrisiken bewusst sein. Dennoch zeigen aktuelle Statistiken, dass sowohl Unternehmen als auch Privatpersonen häufig darauf verzichten die erforderlichen Sicherheitsmaßnahmen umzusetzen. Um unsere Gesellschaft in Zukunft besser auf die kontinuierlich wachsende Gefahr vorbereiten zu können, wird ein tiefer gehendes Verständnis der Wahrnehmung von IT-Sicherheit durch Privatpersonen und Manager in Unternehmen benötigt. Motiviert durch die theoretischen Grundlagen und die Ergebnisse vorheriger Forschung, werden in dieser Arbeit verschiedene Forschungsfragen im Hinblick auf die Wahrnehmung von IT-Sicherheit adressiert – einerseits aus der Perspektive von Privatpersonen und andererseits aus der Perspektive von Managern. Insgesamt wurden vier Studien durchgeführt und publiziert: eine Studie unter Privatpersonen und drei Studien unter Managern. Die Ergebnisse tragen zum aktuellen Stand der Forschung bei, liefern eine Basis für zukünftige Untersuchungen und ermöglichen das Ableiten wertvoller Handlungsempfehlungen für Privatpersonen und Praktiker. Insbesondere IT- und IT-Sicherheitsanbieter sowie Manager in Kundenunternehmen können von den Erkenntnissen profitieren. Im Rahmen des ersten Forschungsartikels (Forschungspapier A) werden die Wahrnehmung von IT-Sicherheit und das daraus resultierende Verhalten unter Privatpersonen untersucht. Dabei steht, basierend auf den theoretischen Grundlagen der „Protection Motivation Theory“ und der „Gender Schema Theory“, die Analyse von geschlechterspezifischen Unterschieden im Fokus der Untersuchung. Die Ergebnisse der Studie (Fragebogen, Experiment und Interview) unter Smartphone-Nutzern zeigen, dass die Wahrnehmung von IT-Sicherheit bei Männern und Frauen auf unterschiedlichen kognitiven Prozessen basieren kann. Darüber hinaus weist die Studie darauf hin, dass Männer – im Gegensatz zu Frauen – dazu tendieren, sich nicht entsprechend ihrer Intention zu verhalten und häufig davon absehen entsprechende Sicherheitsmaßnahmen auch tatsächlich umzusetzen. Die Studien der anderen drei Forschungsartikel (Forschungspapier B, C und D) wurden im Unternehmenskontext durchgeführt. Forschungspapier B analysiert das Bewusstsein für IT-Sicherheit von Topmanagern. Da die bestehende Forschung überwiegend das IT-Sicherheitsbewusstsein von Mitarbeitern untersucht, fehlt es derzeit an einer umfassenden Konzeptualisierung auf Ebene des Topmanagements. Um diese Forschungslücke zu schließen, wurde zunächst eine strukturierte Literaturrecherche durchgeführt und auf deren Basis eine Konzeptualisierung des IT-Sicherheitsbewusstseins von Topmanagern entwickelt, die sowohl individuelle als auch unternehmensbezogene Faktoren umfasst. Anschließend wurde die entwickelte Konzeptualisierung mithilfe von Experteninterviews validiert und angepasst. In Forschungspapier C steht die Zahlungsbereitschaft für IT-Sicherheitsmaßnahmen im Fokus. In der bestehenden Forschung wurde bisher nur unzureichend berücksichtigt, dass IT-Sicherheitsmaßnahmen – z. B. aufgrund von individuellen IT-Sicherheitsanforderungen eines Unternehmens – von verschiedenen Managern unterschiedlich bewertet werden können. Um dies zu adressieren, wurde die in der Marketingforschung etablierte „Kano Theorie“ herangezogen und auf den IT-Sicherheitskontext angepasst. Die Ergebnisse der Interviews und der empirischen Studie unter Managern in Unternehmen lassen erkennen, dass IT-Sicherheitsmaßnahmen von verschiedenen Managern unterschiedlich bewertet werden können und dass diese unterschiedlichen Bewertungen zu divergierenden Zahlungsbereitschaften führen. Schließlich wird in Forschungspapier D, basierend auf den theoretischen Grundlagen der „Prospect Theory“ und bestehender „Status Quo Bias“-Forschung, das Status-Quo-Denken von Managern bei der Risikowahrnehmung untersucht. Die Ergebnisse der empirischen Studie unter Managern in Unternehmen zeigen, dass die Risikobewertung und die Entscheidung eine neue Technologie zu adoptieren stark von der Wahrnehmung der derzeitig genutzten IT-Systeme beeinflusst wird. Darüber hinaus weisen die Ergebnisse darauf hin, dass dieses Status-Quo-Denken einen stärkeren Einfluss auf die Bewertung einer Technologie und die damit verbundene Adoptionsintention hat, je weniger Erfahrung ein Manager mit der betrachteten Technologie aufweist. Die Unsicherheit, welche mit fehlender Erfahrung einhergeht, kann dazu führen, dass Manager ihre verfügbaren Erfahrungen mit bereits bestehenden Technologien heranziehen. Dies kann wiederum eine verzerrte Risikowahrnehmung und das Treffen nachteiliger Entscheidungen mit sich bringen. Die praktischen und theoretischen Implikationen werden in jedem Forschungspapier ausführlich diskutiert und im letzten Kapitel der vorliegenden Arbeit zusammengefasst.German
Place of Publication: Darmstadt
Classification DDC: 000 Allgemeines, Informatik, Informationswissenschaft > 004 Informatik
300 Sozialwissenschaften > 330 Wirtschaft
600 Technik, Medizin, angewandte Wissenschaften > 650 Management
Divisions: 01 Law and Economics > Betriebswirtschaftliche Fachgebiete
01 Law and Economics > Betriebswirtschaftliche Fachgebiete > Information Systems
Date Deposited: 27 Apr 2018 07:01
Last Modified: 27 Apr 2018 07:01
URN: urn:nbn:de:tuda-tuprints-73038
Referees: Buxmann, Prof. Dr. Peter and Benlian, Prof. Dr. Alexander
Refereed: 6 March 2018
URI: http://tuprints.ulb.tu-darmstadt.de/id/eprint/7303
Export:
Actions (login required)
View Item View Item

Downloads

Downloads per month over past year