@phdthesis{, author = {Hofmeier, Manfred}, title = {Operation Digital Butterfly : Ein Serious-Game-basierter Ansatz zur Identifikation und Analyse von Intentionalen Bedrohungen durch Innentäter und Innentäterinnen (Malicious Insider Threats)}, editor = {}, booktitle = {}, series = {}, journal = {}, address = {}, publisher = {}, edition = {}, year = {2024}, isbn = {}, volume = {}, number = {}, pages = {}, url = {}, doi = {}, keywords = {Serious Games, Insider Threats}, abstract = {Bedrohungen durch böswillige Innentäter und Innentäterinnen (Malicious Insider Threats) stellen eine besondere Herausforderung dar: Es muss von einem großen Dunkelfeld ausgegangen werden, Cyberangriffe durch Innentäter sind schwer zu entdecken, aufzuklären oder abzuwehren und das Schadenspotenzial ist besonders hoch. Gleichzeitig existiert zu böswilligen Innentätern und Innentäterinnen nur eingeschränkt empirisches Wissen. Um diesen Mangel sowie eine eingeschränkte Betrachtung, die sich auf die eigene Organisation beschränkt, zu adressieren, können kreative Ansätze hilfreich sein, die zwar fiktive aber dennoch plausible und realitätsnahe Rollen und Angriffsszenarien erzeugen. Die vorliegende Arbeit beleuchtet das Thema Innentäter in interorganisationalen Zusammenhängen mit Hilfe eines spielbasierten Ansatzes. Dazu wurde, entsprechend dem Design Science Paradigma, ein Serious Game im Tabletop-Format entwickelt, das explizit relevante externe Akteure mit einschließt: "Operation Digital Butterfly". Das Serious Game ist dabei aber nicht nur Ergebnis, etwa als Instrument zur Erhöhung von Awareness oder zum Aufzeigen von Schwachstellen, sondern dient vor allem als Instrument, um Rollen und Angriffsszenarien sowie Gegenmaßnahmen zu erheben. So kann das Wissen über Malicious Insider Threats erweitert werden. In elf Entwicklungsiterationen mit Spieldurchführung und Validierung wurde das Serious Game entwickelt. Dabei kamen als spielbegleitende Validierungsmethoden quantitative Eingangs- und Ausgangsbefragungen, strukturierte teilnehmende Beobachtungen sowie Gruppendiskussionen zum Einsatz. Ziel der Validierung ist es, die Spielbarkeit und den Nutzen zu evaluieren, besonders in Bezug auf die Fähigkeit, plausible und realitätsnahe Bedrohungsszenarien zu erzeugen, aber auch in Bezug auf einen Lernerfolg unter den Spielteilnehmern und Spielteilnehmerinnen, genauer gesagt auf eine Steigerung der Informationssicherheitsawareness und positive Einstellungsentwicklung gegenüber Informationssicherheitsrichtlinien. Als Grundlage für die Entwicklung und um die Analyse der Spielergebnisse zu flankieren, wurden elf Experteninterviews mit Informationssicherheitsverantwortlichen aus der Praxis geführt. Themen der Interviews sind Erfahrungen der Verantwortlichen mit Innentätern bzw. Innentäterinnen sowie eingesetzte Maßnahmen zur Innentäterprävention und -mitigation. In den elf Spieldurchführungen konnten insgesamt 40 verwertbare Bedrohungsszenarien gewonnen werden, die daraufhin in zwei Inhaltsanalysen untersucht wurden. Während eine Inhaltsanalyse dabei auf die Bildung einer Typologie für Malicious Insider Threats abzielt, die über die bisherigen Typologien hinausgeht, extrahiert eine weitere Inhaltsanalyse Risikofaktoren für solche Bedrohungen. Die Analysen dienen dabei der Validierung des Nutzens der Spielergebnisse. Das primäre Ergebnis der vorliegenden Forschung ist das Serious Game "Operation Digital Butterfly" als Artefakt, das in Bezug auf Spieldesign mit Gütekriterien, Lerneffekt und Eignung als Erhebungsinstrument validiert ist und der Öffentlichkeit zur Verfügung gestellt wird. Das Spiel ist spielbar, macht Spaß und Ablauf und Spielregeln sind verständlich. Insgesamt leistet die vorliegende Arbeit einen wichtigen Beitrag für die Innentäterforschung, indem sie ein Instrument zur Identifikation von Bedrohungen durch böswillige Innentäter und Innentäterinnen bereitstellt, eine neue Typologie erarbeitet sowie Risikofaktoren identifiziert und beschreibt.}, note = {}, school = {Universität der Bundeswehr München}, }