TU Darmstadt / ULB / TUprints

Information Security and Privacy in a Digital World: A Human Challenge

Olt, Christian M. (2022)
Information Security and Privacy in a Digital World: A Human Challenge.
Technische Universität
doi: 10.26083/tuprints-00021138
Ph.D. Thesis, Primary publication, Publisher's Version

[img] Text
Dissertation_Christian Olt.pdf
Copyright Information: CC BY-SA 4.0 International - Creative Commons, Attribution ShareAlike.

Download (1MB)
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: Information Security and Privacy in a Digital World: A Human Challenge
Language: English
Referees: Buxmann, Prof. Dr. Peter ; Benlian, Prof. Dr. Alexander
Date: 2022
Place of Publication: Darmstadt
Collation: 116, XXXVII Seiten
Date of oral examination: 4 April 2022
DOI: 10.26083/tuprints-00021138
Abstract:

Today’s digital world poses diverse information security- and privacy-related threats that yield numerous challenges for individuals and organizations. While threats to information security jeopardize the confidentiality, integrity, and availability of digital information and data in general. Thus, hard- and software failures, misuse of information systems, and adversarial intruders (i.e., “hackers”) are examples for intentional and unintentional threats to information security. Information privacy deals with the expected use (and misuse) of personal information by a service provider. The concerns regarding information privacy thus emerge as a consequence of using software or online services that collect and process personal information. Maintaining information security and privacy is a ubiquitous challenge for individual end-users (i.e., consumers of software and online services), employees in IT-related professions, and decision makers and senior managers in organizations. This dissertation aims to unravel the diverse challenges that humans face in completing the tasks necessary to maintain information security and privacy. In doing so, these challenges need to be identified, and possible opportunities for dealing with them need to be evaluated. To this end, the dissertation addresses self-reliant individual end-users and groups of end-users opposed to organizations, their decision makers, and employees. These research areas offer five research opportunities that the dissertation covers by the means of five empirical studies among end-users and decision makers. All studies made use of a representative sample selection process and ranged from 160 to 446 participants each. In sum, these studies contribute to theory development by promoting new cognitive mechanisms that determine human behavior and validating existing theories in challenging contexts; advance methodological processes and measurement instruments for the social sciences; and guide end-users, practitioners, and public institutions. Each empirical study is the core of a research paper that has undergone a double-blind peer-review process and subsequent revision (in this dissertation, referred to as papers A–E). They were published as research papers in the proceedings of VHB-JOURQUAL3 ranked conferences. The contributions of the five papers advance research regarding the development of measurement instruments (paper A), promoting new cognitive mechanisms that determine human behavior (paper B and paper C), and validating theories in challenging contexts (paper D and paper E). The first research opportunity relates to the conditions under which individuals receive and contemplate security- and privacy-relevant information. This is necessary because individuals must be knowledgeable about threats to security and privacy. Paper A addresses this opportunity, elaborates on end-users’ security fatigue (a recent theoretical concept), and develops a method for empirically investigating individuals’ cognitive ability to elaborate on security recommendations and guidelines. Next, individuals must consider the consequences of their software or online service usage behavior with regard to their personal goals of maintaining information security and privacy. As firms offer new services to protect valuable data against security threats (e.g., online backups that protect against data loss, a threat to the availability of information), the goals of maintaining security and privacy come into conflict with one another. This conflict in goals raises the second research opportunity – namely, to assess this new trade-off that individuals need to confront. Paper B is an empirical study of end-users that evidences the existence of this goal conflict that connects security and privacy theories (i.e., protection motivation theory and privacy calculus), uncovers why end-users refrain from using online security services, and offers insights for providers of online security services. Adding to the perspective of individuals’ knowledge and self-reliant contemplation of security and privacy goals, the influence of other users (hence groups of end-users) on individuals’ usage of security-related and privacy-sensitive software and services presents the third research opportunity. The longitudinal study in paper C uncovers that end-users tend to discount their own information on information privacy and security and instead observe others’ behavior to make usage decisions. This paper connects the theories of privacy calculus and herding, and its findings can help practitioners and decision makers in public institutions to better foresee the population’s overall usage, particularly when new privacy-sensitive software or services are introduced. Turning toward the challenges that organizations face regarding their employees and decision makers, paper D puts the focus on managers’ security awareness. This sheds light on the fourth research opportunity, namely managers’ responsibility toward their organization’s information security and the benefits of managers’ information security knowledge (i.e., awareness), which is rarely considered. Paper D broadens the scope of security awareness, which has previously centered on end-users, to senior managers. The study reveals that managers’ decision-making regarding (for example) information security investments depends on their attitudes toward and knowledge of security risks and appropriate technological and behavioral mitigation strategies. Paper E helps strengthen the weakest link of the “chain of security” in organizations (i.e., employees’ security-related behavior), which is the final research opportunity this dissertation addresses. This empirical study of employees in IT-related professions reveals that individuals perceive a feeling of (psychological) ownership over data that increases their motivation to take security and privacy precautions. Psychological ownership is particularly pronounced for the private use of software or online services due to the perception of exclusive ownership of personal data. This informs practitioners that they would benefit from increasing employees’ accountability when they handle valuable information as a means of fostering employees’ motivation to participate in security-enhancing behavior. All in all, other researchers in these domains as well as end-users, employees, and managers of organizations alike will benefit from the contributions of this dissertation regarding the challenges of information security and privacy.

Alternative Abstract:
Alternative AbstractLanguage

Die digitale Welt von heute birgt verschiedene Bedrohungen für die Informationssicherheit und die Privatsphäre, die für End-User und Organisationen zahlreiche Herausforderungen mit sich bringen. Bedrohungen der Informationssicherheit gefährden die Vertraulichkeit, Integrität und Verfügbarkeit von digitalen Informationen und Daten im Allgemeinen. So sind Hard- und Softwarefehler, der unsachgemäße Gebrauch von Informationssystemen und böswillige Eingriffe (z. B. durch "Hacker") Beispiele für beabsichtigte und unbeabsichtigte Bedrohungen der Informationssicherheit. Die Privatsphäre von Informationen befasst sich mit der zu erwartenden Verwertung (und dem missbräuchlichen Gebrauch) persönlicher Informationen durch einen Dienstanbieter. Die Bedenken hinsichtlich der Privatsphäre von Informationen ergeben sich also aus der Nutzung von Software oder Online-Diensten, die personenbezogene Daten erfassen und verarbeiten. Der Schutz der Informationssicherheit und der Privatsphäre ist eine allgegenwärtige Herausforderung für einzelne End-User (d. h. für diejenigen, die Software und Online-Dienste nutzen), für Angestellte in IT-bezogenen Berufen sowie für Führungskräfte in Unternehmen. Diese Dissertation zielt darauf ab, die vielfältigen Herausforderungen zu beleuchten, denen Menschen beim Schutz der Informationssicherheit und Privatsphäre gegenüberstehen. Hierzu werden diese Herausforderungen identifiziert und mögliche Möglichkeiten zu ihrer Bewältigung bewertet. Zu diesem Zweck befasst sich die Dissertation mit eigenverantwortlichen einzelnen End-Usern sowie Gruppen von End-Usern im Gegensatz zu Organisationen, deren Führungskräften und Angestellten. Diese Themenfelder bieten fünf Forschungsbereiche, die in der Dissertation anhand von fünf empirischen Studien unter End-Usern und Führungskräften untersucht werden. Alle Studien beruhen auf einer repräsentativen Stichprobenauswahl und umfassen jeweils zwischen 160 und 446 Probanden. Insgesamt tragen diese Studien zur Theorieentwicklung bei, indem sie neue kognitive Mechanismen, die das menschliche Verhalten bestimmen, fördern und bestehende Theorien in kritischen Kontexten prüfen und methodische Verfahren und Messinstrumente für die Sozialwissenschaften weiterentwickeln. Weiterhin dienen sie End-Usern, Fachleuten und öffentlichen Einrichtungen als Ratgeber. Jede Studie ist der Kern eines Forschungsbeitrags, der ein Doppelblindverfahren zur Begutachtung und eine anschließende Überarbeitung durchlaufen hat (in dieser Dissertation werden diese Beiträge als Paper A–E bezeichnet) bezeichnet. Sie sind in als wissenschaftliche Beiträge in den Tagungsbänden verschiedener Konferenzen mit VHB-JOURQUAL3 Ranking veröffentlicht. Gemeinsam tragen diese Studien wesentlich zur Entwicklung von Messinstrumenten (Paper A), zur Förderung neuer kognitiver Mechanismen, die das menschliche Verhalten bestimmen (Paper B und Paper C), und zur Bewertung von Theorien in anspruchsvollen Kontexten (Paper D und Paper E) bei. Der erste der fünf Forschungsbereiche befasst sich mit den Bedingungen, unter denen Menschen sicherheits- und privatsphärenrelevante Informationen erhalten und diese berücksichtigen sollen. Dies ist allgemein notwendig, da Personen über die Bedrohungen ihrer Sicherheit und Privatsphäre aufgeklärt werden sollten. Paper A befasst sich mit dieser Thematik, führt in ein neues theoretisches Konzept, die sogenannte Security Fatigue ein und entwickelt eine Methode zur empirischen Untersuchung der kognitiven Leistungsfähigkeit von Personen, während sie die Bedeutung von Sicherheitsempfehlungen und -richtlinien abwägen. Hierauf aufbauend erwägen Einzelpersonen bei der Nutzung von Software oder Online-Diensten die Konsequenzen ihres Verhaltens im Hinblick auf ihre persönlichen Ziele. Diese Ziele umfassen insbesondere das Wahren der Informationssicherheit und Privatsphäre. Da Unternehmen regelmäßig neue Dienste, auch zum Schutz wertvoller Daten vor Sicherheitsbedrohungen anbieten (bspw. Online-Backups zum Schutz vor Datenverlust), stehen die Ziele der Wahrung von Informationssicherheit und Privatsphäre im Widerspruch zueinander. Aus diesem möglichen Widerspruch ergibt sich der zweite Forschungsbereich, nämlich die Untersuchung dieses neuen Zielkonflikts, den Einzelpersonen abwägen. Paper B baut auf einer empirischen Studie unter End-Usern auf und verbindet Sicherheits- und Privatsphäre-Theorien (Protection Motivation Theory und Privacy Calculus) und gibt Anregungen für Unternehmen, die solche Onlinedienste zum Schutz vor Sicherheitsbedrohungen anbieten. Neben den Perspektiven der Expertise von End-Usern und der eigenverantwortlichen Abwägung der Ziele der Informationssicherheit und Privatsphäre eröffnet der soziale Einfluss anderer Menschen (also Gruppen von Einzelpersonen) auf Individuen den dritten Forschungsbereich. Vor diesem Hintergrund deckt die Längsschnittstudie in Paper C auf, dass End-User ihre eigene Expertise und ihr Wissen über Privatsphäre und Informationssicherheit in bestimmten Situationen zurückstellen. Stattdessen beobachten sie das Nutzungsverhalten Anderer, um eine Nutzungsentscheidung zu treffen. Dieser Forschungsbeitrag verbindet dabei die Theorien des Privacy Calculus und des Herding und hilft Praktikern und Entscheidungsträgern in öffentlichen Einrichtungen dabei, die Nutzung in der Bevölkerung insgesamt besser einzuschätzen, insbesondere wenn neuartige Software oder Onlinedienste eingeführt werden, die die Privatsphäre betreffen. Unterdessen befasst sich Paper D mit den Herausforderungen, denen sich Organisationen in Bezug auf ihre Angestellten sowie ihre Führungskräfte gegenübersehen, und stellt das Sicherheitsbewusstsein von Führungskräften in den Mittelpunkt. Dieser Beitrag beleuchtet den vierten Forschungsbereich, nämlich die Verantwortung von Führungskräften für die Informationssicherheit in ihrem Unternehmens und die Vorteile ihres eigenen Sicherheits-bewusstseins, die bisher kaum berücksichtigt wurden. Paper D erweitert somit den bisher auf End-User ausgerichteten Forschungsbereich des Sicherheitsbewusstseins auf die Personengruppe der Führungskräfte. Die Studie zeigt, dass beispielsweise ihre Investitionsentscheidungen im Bereich der Informationssicherheit von ihrer Haltung und ihrer Expertise über Sicherheitsrisiken und geeignete technologische und verhaltensbezogene Schutzstrategien abhängen. Paper E trägt dazu bei, das schwächste Glied in der Sicherheitskette eines Unternehmens zu stärken (d. h. das sicherheitsrelevante Handeln der Angestellten), was den letzten Forschungsbereich dieser Dissertation darstellt. Diese empirische Studie unter Angestellten in IT-nahen Berufen zeigt, dass das Empfinden von (psychologischem) Eigentum an den Daten die Motivation erhöht, Sicherheitsmaßnahmen zu ergreifen und Vorkehrungen für die Privatsphäre zu treffen. Das Empfinden des psychologischen Eigentums ist bei der privaten Nutzung von Software oder Onlinediensten aufgrund der Wahrnehmung des exklusiven Eigentums an persönlichen Daten besonders ausgeprägt. Dies zeigt den Praktikern, dass es für sie von Vorteil wäre, die Verantwortlichkeit der Angestellten beim Umgang mit wertvollen Informationen zu erhöhen, um die Motivation der Angestellten für sicherheitsförderndes Verhalten zu fördern. Insgesamt werden sowohl andere Wissenschaftlerinnen und Wissenschaftler aus diesen Bereichen sowie End-User, Angestellte und Führungskräfte in Organisationen von den Beiträgen dieser Dissertation zu den Herausforderungen der Informationssicherheit und Privatsphäre profitieren.

German
Status: Publisher's Version
URN: urn:nbn:de:tuda-tuprints-211380
Classification DDC: 000 Generalities, computers, information > 004 Computer science
300 Social sciences > 330 Economics
Divisions: 01 Department of Law and Economics > Betriebswirtschaftliche Fachgebiete
01 Department of Law and Economics > Betriebswirtschaftliche Fachgebiete > Information Systems
Profile Areas > Cybersecurity (CYSEC)
Date Deposited: 27 May 2022 08:03
Last Modified: 10 Aug 2022 09:05
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/21138
PPN: 496550152
Export:
Actions (login required)
View Item View Item