Informationssicherheit. Mitarbeiter-Awareness bei Verwendung von Schatten-IT im Home-Office

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Problemstellung
1.2 Zielsetzung
1.3 Aufbau der Arbeit

2 Informationssicherheit, IT-Sicherheit, Cyber-Sicherheit
2.1 Abgrenzung der Begrifflichkeiten
2.2 Verhalten und Sicherheits-Awareness von Arbeitnehmer/-innen
2.3 Unautorisierte Hard- und Software (Schatten-IT)
2.4 Risikofaktoren und Probleme im Home-Office
2.5 Home-Office in der Pandemie
2.6 Auswirkungen und Folgen der Pandemie

3 Methodisches Vorgehen
3.1 Forschungsfrage und Hypothesen
3.2 Forschungsdesign – Quantitative Methoden
3.3 Gütekriterien
3.4 Erhebungsinstrument
3.5 Variablen
3.6 Population und Stichprobe
3.7 Durchführung der Studie
3.8 Datenaufbereitung und -auswertung

4 Ergebnisse
4.1 Auswertung und Darstellung der Ergebnisse
4.1.1 Deskriptive Statistik
4.1.2 Inferenzstatistik
4.2 Interpretation der Ergebnisse
4.3 Methodendiskussion

5 Diskussion der Ergebnisse
5.1 Hypothesen
5.2 Forschungsfrage

6 Handlungsempfehlungen für die betriebliche Praxis

7 Kritische Betrachtung

8 Fazit
8.1 Zusammenfassung der wichtigsten Ergebnisse
8.2 Beantwortung der Forschungsfrage
8.3 Ausblick

Anhang

Literaturverzeichnis

Quellenverzeichnis

Abbildungsverzeichnis

Abbildung 1: Geschlecht

Abbildung 2: Histogramm Altersstruktur

Abbildung 3: Boxplot Altersstruktur und Geschlecht

Abbildung 4: Abteilungen

Abbildung 5: Unternehmensgröße in Anzahl Mitarbeitenden

Abbildung 6: Durchschnittliche Home-Office Tage pro Woche und Erfahrung

Abbildung 7: Administrationsrechte Hardware und Software

Abbildung 8: Hardware

Abbildung 9: Grund für eigene Hardware

Abbildung 10: Zufriedenheit Hardware und Software

Abbildung 11: Software

Abbildung 12: Grund für eigene Software

Abbildung 13: Geduld und Risikobereitschaft

Abbildung 14: Kenntnisse IT-Sicherheit

Abbildung 15: Schulung und Schulungswunsch IT-Sicherheit

Abbildung 16: Wahrscheinlichkeit Hacker-Angriff

Abbildung 17: Arten der Angriffe

Abbildung 18: Schatten-IT – Wissen, Definition und Nutzen

Abbildung 19: 1. Hypothese - Fehlerbalkendiagramm

Abbildung 20: 2. Hypothese – Fehlerbalkendiagramm Hardware

Abbildung 21: 2. Hypothese – Fehlerbalkendiagramm Software

Abbildung 22: 3. Hypothese – Fehlerbalkendiagramm

Abbildung 23: 4. Hypothese – Grafische Überprüfung der Voraussetzungen

Abbildung 24: 4. Hypothese – grafische lineare Regression

Tabellenverzeichnis

Tabelle 1: 1. Hypothese – deskriptive Auswertung

Tabelle 2: 1. Hypothese – Welch-Test

Tabelle 3: 1. Hypothese – Effektgröße

Tabelle 4: 2. Hypothese – Hardware – deskriptive Auswertung

Tabelle 5: 2. Hypothese – Hardware – Welch-Test

Tabelle 6: 2. Hypothese – Hardware – Effektgröße

Tabelle 7: 2. Hypothese – Software – deskriptive Auswertung

Tabelle 8: 2. Hypothese – Software – Welch-Test

Tabelle 9: 2. Hypothese – Software – Effektgröße

Tabelle 10: 3. Hypothese – deskriptive Auswertung

Tabelle 11: 3. Hypothese – Welch-Test

Tabelle 12: 3. Hypothese – Effektgröße

Tabelle 13: 4. Hypothese – Regressionswerte

Abkürzungsverzeichnis

Apps Applikationen

AN Arbeitnehmer/-innen

ArbStättV Arbeitsstättenverordnung

BMG Bundesministerium für Gesundheit

BR Betriebsrat

BSI Bundesamt für Sicherheit in der Informationstechnik

CI Confidence Interval

COBIT Control Objectives for Information and Related Technology

Corona-ArbSchV SARS-CoV-2-Arbeitsschutzverordnung

CRM Customer Relationship Management

DAK Deutsche Angestellten-Krankenkasse

DDoS Distributed Denial of Service

DoS Denial of Service

DSGVO Datenschutz-Grundverordnung

ERP Enterprise Resource Planning

FOM Fachhochschule für Oekonomie & Management

H0 Nullhypothese

HA Alternativhypothese

HO Home-Office

HP Hewlett-Packard

HR Human Resources

HW Hardware

IAB Institut für Arbeitsmarkt- und Berufsforschung

IFO Information und Forschung

IKT Informations- und Kommunikationstechnologie

IAO Arbeitswirtschaft und Organisation

ISO/IEC International Organization for Standardization/ International Electrotechnical Commission

ISMS Informationssicherheit Management System

IT Informationstechnologie

ITIL Information Technology Infrastructure Library

KMU kleine und mittlere Unternehmen

MA Mitarbeiter/-innen

MitM Man-in-the-Middle

OCB Organizational Citizenship Behavior

PC Personal Computer

QR Quick Response

QS/QM Qualitätssicherung/Qualitätsmanagement

SARS-CoV-2 Severe acute respiratory syndrome coronavirus type 2

SW Software

TISAX Trusted Information Security Assessment Exchange

1 Einleitung

Das erste Kapitel bildet den Einstieg in die Thematik der Informationssicherheit, mit Fokus auf Schatten-IT im Home-Office. Zu Beginn wird auf die vorhandenen Probleme und Herausforderungen, denen sich Organisationen gegenübersehen, eingegangen. Anschließend wird die daraus resultierende Zielsetzung verdeutlicht und der Aufbau der Arbeit definiert.

1.1 Problemstellung

Der Beginn der Corona-Pandemie hat dazu geführt, dass die Arbeit im Home-Office (HO)¹ stark angestiegen ist. Hintergrund ist zum einen Arbeitnehmer/-innen (AN) zu schützen und zum anderen die Pandemieausbreitung einzudämmen.² In einer Studie des ifo Instituts, durchgeführt im Juli 2020 nach der ersten pandemischen Welle, konnte ein Anstieg der Arbeit im HO um 25 % festgestellt werden.³ Auf Grundlage der Analyse von über 35 Millionen Stellenanzeigen wurde weiterhin ermittelt, dass die Option für HO von März 2019 bis März 2021 um ein dreifaches, auf 12 %, angestiegen ist. Dieser Aufschwung wurde durch den Beginn der Corona-Pandemie im März 2020 ausgelöst. Es ist davon auszugehen, dass Unternehmen in Zukunft voraussichtlich weiter auf HO setzen werden.⁴ Inwiefern es sich hierbei um eine tageweise Möglichkeit oder einen dauerhaften Umzug in das HO handelt, bleibt abzuwarten.⁵ Neben den positiven Aspekten des HO, wie Infektionsschutz, Wegfall von Pendelzeiten und erhöhter Flexibilität, zeigen sich ebenfalls negative Aspekte.⁶ Hierunter zählen bspw. das Leiden der Kommunikation mit Kollegen/-innen, fehlende technische und ergonomische Ausstattung sowie das Trennen von Beruf und Privatleben.⁷ Besonders die technische Ausstattung von AN spielt für Arbeitgeber eine wichtige Rolle, insbesondere wenn es die IT-Sicherheit im HO von AN zu bewahren gilt. Eine Studie von bitkom research bei der 1.067 Unternehmen von Januar bis März 2021 teilnahmen, ergab, dass es bei 59 % der Befragten zu IT-Sicherheitsvorfällen kam, welche auf die Tätigkeit im HO zurückzuführen sind. Die IT-Sicherheitsvorfälle führten in 52 % der Fälle zu Schäden bei den Unternehmen, in 45 % zu keinen Schäden und in 3 % war kein Schadensfall bekannt. Die Schätzung der Unternehmen für Schäden in 2021 beläuft sich auf 223 Milliarden Euro, was eine Steigerung von 358 % zu 2019, vor Beginn der Pandemie, darstellt. Weiterhin gehen die Befragten davon aus, dass Cyber-Attacken weiter zunehmen werden und fordern von der Politik mehr Austausch sowie Unterstützung im Bereich der IT-Sicherheit.⁸ Der Cyber Security Report 2021 von Deloitte und dem Allensbach Institut für Demoskopie greift den Bereich der Politik mit auf. Für die Trendstudie „wurden 404 Führungskräfte aus Unternehmen sowie 104 Abgeordnete aus den Landtagen, dem Bundestag sowie Europaparlament“⁹ befragt. Entgegengesetzt zu der Studie von bitkom research gaben die Probanden an, ein weniger großes bis hin zu einem nicht existierenden zusätzlichen Risiko durch Mitarbeiter/-innen (MA) im HO wahrzunehmen. Dieser Meinung waren 84 % der Abgeordneten sowie 71 % der Führungskräfte.¹⁰ Trotz des geschätzten nicht zusätzlichen Risikos gaben bei der Frage, ob „Zweifel am Risikobewusstsein von Mitarbeitern im Home-Office“¹¹ bestehen an, dass Zweifel vorhanden sind. Dies betraf 22 % der Abgeordneten und 34 % der Führungskräfte.¹² Festgehalten werden kann, dass Politiker/-innen HO und Risikobewusstsein von AN gelassener sehen als Verantwortliche aus der Wirtschaft. In dem Report „Out of Sight & Out of Mind“ von HP Wolf Security wurde eruiert, dass MA, die in das HO gewechselt sind sich neue Geräte, wie beispielsweise Drucker, PC, Laptops oder Router eigenständig angeschafft haben. Von den MA gaben 68 % an, kein signifikantes Augenmerk auf den Security-Aspekt bei der Anschaffung gelegt zu haben. Zudem ließen 43 % ihren PC oder Laptop nicht durch die IT-Abteilung prüfen oder installieren.¹³ Verwenden AN technisches Equipment von dem die IT-Abteilung keine Kenntnis hat, wird von Schatten-IT (engl. Shadow-IT) gesprochen. In der Studie von HP (Hewlett-Packard) wurde sich hauptsächlich auf die Hardware fokussiert, jedoch zählen ebenso Software und Services zu Schatten-IT.¹⁴

1.2 Zielsetzung

Unter Betrachtung der analysierten Daten von bitkom research und HP Wolf Security wird ersichtlich, dass durch die steigenden HO-Möglichkeiten die Risiken für Organisationen zunehmen werden. In der Trendstudie von Deloitte und dem Allensbach Institut für Demoskopie wurden Abgeordnete und Führungskräfte befragt, jedoch keine MA. Im Fokus der Master-Thesis stehen MA die im HO arbeiten. Es soll ermittelt werden, wie hoch das Risikobewusstsein von MA tatsächlich ist. Forschungsschwerpunkt wird dabei auf dem Bereich der Schatten-IT liegen. Hintergrund ist, dass der Begriff HO als Synonym für den gesetzlich definierten Begriff „Telearbeit“ und den nicht gesetzlich definierten Begriff „mobiles Arbeiten“ verwendet wird. Jedoch besteht hierbei ein Unterschied in der Bereitstellung von Equipment.¹⁵ Ziel der bevorstehenden Master-Thesis ist, zu erforschen, inwieweit AN, die im HO arbeiten, sich eigenständig und ohne Wissen der IT-Abteilung Hard- und Software beschafft haben. Weiterhin soll ermittelt werden, inwiefern das Bewusstsein bei AN für die damit einhergehenden Risiken vorhanden ist. Die aus der Zielsetzung resultierende Forschungsfrage lautet:

„Wie hoch ist das Bewusstsein von Arbeitnehmer/-innen, die im Home-Office arbeiten, bei der Verwendung von Schatten-IT und der damit einhergehenden Risiken?“

Nachfolgend soll mit Hilfe der Arbeit versucht werden, die genannte Forschungsfrage zu beantworten.

1.3 Aufbau der Arbeit

Neben der Einleitung umfasst die Thesis sieben weitere Kapitel. Die Einleitung beinhaltet die Problemstellung, die Zielsetzung als auch den Aufbau der Arbeit. Das zweite Kapitel widmet sich dem theoretischen Bereich der Informationssicherheit, der IT-Sicherheit und der Cyber-Sicherheit. Zunächst werden die drei Begrifflichkeiten abgegrenzt. Darauf aufbauend wird näher auf das Verhalten und Sicherheitsbewusstsein von AN eingegangen sowie der Terminus Schatten-IT definiert. Weiterhin werden generelle Risikofaktoren und Probleme, die im HO entstehen können, aufgezeigt. Es wird dargelegt, welchen Effekt die Pandemie auf das HO hat und welche Auswirkungen und Folgen daraus resultieren. Weitere theoretische Grundlagen werden in Kapitel drei, dem methodischen Vorgehen dargelegt. In Kapitel drei wird auf die Forschungsfrage und Hypothesen eingegangen. Anschließend erfolgt die Darlegung des Forschungsdesign inklusive Gütekriterien, Erhebungsinstrument, Variablen, Population und Stichprobe. Das dritte Kapitel schließt mit der Konkretisierung der Studiendurchführung sowie der Datenaufbereitung und -auswertung ab. Die Auswertung, Darstellung und Interpretation der Ergebnisse inklusive der Methodendiskussion werden im vierten Kapitel dargelegt. Die Resultate aus den aufgestellten vier Hypothesen inkl. Forschungsfrage werden in Kapitel fünf diskutiert. Hieraus werden Handlungsempfehlungen für die betriebliche Praxis in Kapitel sechs abgeleitet. Die kritische Betrachtung wird im siebten Kapitel dargelegt. Abschließend werden in Kapitel acht das Fazit gezogen, die wichtigsten Ergebnisse zusammengefasst, die Forschungsfrage beantwortet und ein Ausblick gegeben.

2 Informationssicherheit, IT-Sicherheit, Cyber-Sicherheit

Das folgende Kapitel thematisiert den Bereich der Informations-, IT- und Cyber-Sicherheit. Die Begrifflichkeiten werden definiert und abgegrenzt. Darauf aufbauend werden im Hinblick auf die Zielsetzung die Gebiete des Verhaltens und Sicherheitsbewusstsein von AN erläutert und das Verständnis für Schatten-IT geschaffen. Weiterhin wird auf den Begriff HO eingegangen, einschließlich der damit einhergehenden Risikofaktoren und möglichen Problematiken. Abschließend wird das HO in Bezug auf die Pandemie betrachtet sowie die Auswirkungen und Folgen aufgezeigt.

2.1 Abgrenzung der Begrifflichkeiten

Im Zusammenhang mit der Suche nach Informationssicherheit tauchen weitere Begriffe wie IT-Sicherheit oder Cyber-Sicherheit auf. In der Literatur wird IT-Sicherheit zum Teil als Überbegriff für alle drei genannten Begriffe verwendet. Jedoch handelt es sich hierbei nicht um einen identischen Terminus.¹⁶ Für die Abgrenzung werden nachfolgend Informationssicherheit, IT-Sicherheit und Cyber-Sicherheit erläutert.

Das Wort Sicherheit bildet die Gemeinsamkeit der drei Begriffe. Das Thema Sicherheit ist allgegenwärtig und hat sich zu einem Begriff entwickelt, dem ein zentraler Wert beigemessen wird.¹⁷ Doch was genau wird unter Sicherheit verstanden? Sicherheit beruht auf dem lateinischen Wort „securus“, welches sorglos oder unbesorgt bedeutet.¹⁸ Sich in der heutigen Zeit keine Sorgen zu machen ist schwierig. Dies beweisen die Medien, die über aktuelle Weltgeschehnisse wie die steigende Inflation¹⁹, den Russland-Ukraine-Konflikt²⁰ oder die andauernde Pandemie²¹ berichten. Zur Vorbeugung von Bedrohungen werden Methoden und Lösungen entwickelt, die darauf abzielen, die Sicherheit zu wahren. Zusammengefasst zielt Sicherheit darauf ab, Personen, Organisationen und die Gesellschaft vor Bedrohungen zu schützen.²²

Die Informationssicherheit befasst sich damit, Informationen abzusichern.²³ Bei Informationen handelt es sich um Daten, die durch Interpretation einen Sinn erhalten.²⁴ Informationen stellen in der heutigen Zeit für Organisationen ein Wirtschaftsgut dar.²⁵ Werden Informationen miteinander verknüpft, entsteht Wissen. Dieses Wissen wird von Organisationen genutzt, um Handlungen abzuleiten, die wiederum dazu führen sollen, auf dem Markt zu bestehen.²⁶ Zu den schützenswerten Informationen zählen sowohl gedruckte als auch elektronische Informationen. Darüber hinaus gehören ebenso Informationen dazu, die Personen in ihren Köpfen abgespeichert haben.²⁷ Das Konzept der Informations- sicherheit verfolgt die Grundsätze der Integrität, der Vertraulichkeit und der Verfügbarkeit. Weitere Aspekte sind Authentizität, Verbindlichkeit, Verlässlichkeit und Zurechenbarkeit.²⁸ Im Mittelpunkt steht somit nicht nur die verwendete Technik, sondern ebenso die Handlungen jedes Einzelnen. Ebenso wie extern auftretende Ereignisse, die sich auf die Organisation auswirken.²⁹ Um ein einheitliches und vergleichbares Qualitätsniveau zu etablieren, existieren diverse Standards die angewendet werden können. Hierzu zählen bspw. branchenunspezifische Standards wie das IT-Grundschutz Kompendium und der BSI-Standard zur Informationssicherheit des BSI (Bundesamt für Sicherheit in der Informationstechnik)³⁰ oder die ISO/IEC 27000 Reihe für ein Informationssicherheit Management System (ISMS).³¹ Zu den branchenspezifischen Standards zählt beispielsweise TISAX (Trusted Information Security Assessment Exchange)³², ein Standard der für die Automobilbranche maßgebend ist.³³ Informationssicherheit befasst sich mit dem Schutz, jegliche Informationen einer Organisation mittels verschiedenster Regelungen und Methoden zu schützen.³⁴

Die IT-Sicherheit hingegen bezieht sich auf die „Informations- und Kommunikationstechnologie (IKT)“³⁵. Unter IKT wird die Technologie verstanden, die dazu beiträgt, Informationen elektronisch zu verwenden, zu verarbeiten und zu speichern. Zur Erfüllung dieser Zwecke kommen sowohl Hardware (HW), Software (SW) als auch IT-Dienstleistungen zum Einsatz.³⁶ Peripheriegeräte wie Drucker, Maus, Tastatur oder andere Geräte wie Laptop/PC, Smartphone und Festplatten werden unter HW eingruppiert. SW umfasst Programme für die Inbetriebnahme und Nutzung von HW. Weiterhin zählen Anwendungssysteme hinzu, die AN im Arbeitsalltag bei ihren Tätigkeiten entlasten, wie bspw. ERP- (Enterprise Resource Planning)³⁷ oder CRM- (Customer Relationship Management)³⁸ Programme.³⁹ Ziel der IT-Sicherheit ist es, die zum Einsatz kommenden Technologien so abzusichern, dass keine ökonomischen Beeinträchtigungen für eine Organisation entstehen. ⁴⁰ Durch den technologischen Wandel getrieben, entwickeln sich die eingesetzten Technologien in einem hohen Tempo weiter.⁴¹ Nicht alle Sicherheitslücken können zeitnah erkannt und geschlossen werden, sodass nicht sämtliche Angriffe verhindert werden können.⁴² Diesbezüglich bedarf es weiterer Handlungen, um Gefahren und Risiken zu minimieren. Hierzu gehören bspw. die Implementierung von Vorbeugemaßnahmen oder Arbeiten nach etablierten Konzepten und Prozessen, wie bspw. „ COBIT (Control Objectives for Information and Related Technology)“⁴³ oder „ ITIL (IT Infrastructure Library)“⁴⁴.⁴⁵

Die Cyber-Sicherheit betrachtet, zusätzlich zu der IT-Sicherheit, den Aspekt der virtuellen Welt.⁴⁶ Die virtuelle Welt ist ebenfalls unter Cyber-Raum oder Cyberspace bekannt. „Cyber“ steht für Steuerung und geht aus der Sprache Altgriechisch hervor.⁴⁷ Der Cyber-Raum beinhaltet „mit dem globalen Internet verbundene IT und IT-Infrastrukturen sowie deren Kommunikation, Anwendungen, Prozesse mit Daten, Informationen und Intelligenzen“⁴⁸. Cyber-Sicherheit hat zur Aufgabe, die vorab genannten Bereiche vor digitalen Angriffen zu schützen.⁴⁹ Arten von digitalen Angriffen sind bspw. Kennwortangriffe, Schadsoftware (Malware), Phishing- und Spear-Phishing-Angriffe, Man-in-the-Middle-Angriffe (MitM) und Denial-of-Sevice-Angriffe (DoS).⁵⁰ Die einzelnen Begrifflichkeiten werden in Kapitel 2.4 näher erläutert.

Betrachtet man alle drei Definitionen, lässt sich erkennen, dass diese nicht dieselbe Bedeutung haben, jedoch eng miteinander verbunden und die Übergänge fließend sind. Ausnahmslos handelt es sich bei allen drei um wichtige Fachgebiete.

2.2 Verhalten und Sicherheits-Awareness von Arbeitnehmer/-innen

Dem Menschen wird ein hoher Stellenwert für die verschiedensten Sicherheitsaspekte im IT-Bereich einer Organisation beigemessen. Grund hierfür ist, dass dieser die IT-Anwendungen abteilungsübergreifend in einer Organisation bedient. Je nach Verhalten und Sensibilisierung kann der Mensch als Schutz dienen oder zu einem Risikofaktor werden.⁵¹

Das Verhalten fällt in den Bereich der Arbeits- und Organisationspsychologie. Anhand realer Gegebenheiten wird das Verhalten sowie das Erleben von AN am Arbeitsplatz zu beschreiben, zu erklären, vorherzusagen und zu prägen versucht.⁵² Das Verhalten kann sich je nach Umgebung und Situation ändern. Es bildet die abhängige Unbekannte in Bezug auf AN in einer Organisation. Je nach Charakterisierung des AN wirkt sich das Verhalten positiv oder negativ auf die Produktivität aus. Die Literatur unterscheidet in produktives, extraproduktives und kontraproduktives Verhalten. Unter produktivem Verhalten bzw. Leistungsverhalten wird aufgefasst, dass AN die Pflichten erfüllen, für die sie von einer Organisation eingestellt wurden.⁵³ Bei extraproduktivem Verhalten, was ebenfalls als OCB (Organizational Citizenship Behavior) bekannt ist, handelt es sich um ein Verhalten, dass über das produktive hinaus geht. Charakteristisch für OCB ist, dass die Beteiligung von AN „fünf Verhaltensweisen: Hilfsbereitschaft, Gewissenhaftigkeit, Unkompliziertheit, Eigeninitiative und Rücksichtnahme“⁵⁴ aufweist. Extraproduktives Verhalten ermöglicht eine profitable Zusammenarbeit von AN.⁵⁵ Kontraproduktives Verhalten liegt vor, wenn der Organisation geschadet wird. Vorausgesetzt wird, dass AN vorsätzlich entgegen dem Interesse der Organisation handeln, um einen Verlust herbeizuführen. Es muss zwangsweise kein Verlust entstehen, es genügt die Absicht.⁵⁶ Extra- und kontraproduktives Verhalten bilden zwei Extreme im Bereich des Verhaltens.⁵⁷

Security Awareness zu Deutsch Sicherheitsbewusstsein, stellt eine Kombination aus Wissen, Verhalten und eine Möglichkeit dieses gemäß der Sicherheitsvorgaben umzusetzen dar. Intention ist es, mittels divergenter Aspekte wie Kommunikation, Psychologie und Schulungen das Verständnis von AN positiv zu beeinflussen. Der Autor Dietmar Pokoyski spricht in diesem Fall von einer „Awareness 2.0“⁵⁸, die sowohl die Unternehmenskultur als auch den AN als Individuum berücksichtigt. Werden Rahmenbedingungen wie Change Management, etablierte Methoden und strategische Ausrichtung bei der Maßnahmenumsetzung für Security Awareness berücksichtigt, ermöglicht dies Organisationen, dass AN loyaler werden und sich zunehmend mit der Organisation identifizieren können. Hierdurch kann das Verantwortungsbewusstsein gegenüber der Security Awareness intensiviert werden.⁵⁹

2.3 Unautorisierte Hard- und Software (Schatten-IT)

Die Begrifflichkeiten HW und SW wurden bereits im Bereich der IT-Sicherheit konkretisiert. Dieses Kapitel beschäftigt sich der unautorisierten HW und SW, welche wiederum als Schatten-IT (engl. Shadow IT) bezeichnet wird.⁶⁰ Schatten-IT bildet den Oberbegriff für jegliche genutzte HW, SW oder Consultingleistung im IT-Bereich, die ohne Kenntnisnahme der IT-Abteilung in der Organisation Anwendung finden. Auf Grund der Unkenntnis kann folglich keine Garantie auf Aktualität und Sicherheit des verwendeten Equipments seitens der IT-Abteilung erfolgen.⁶¹ Die Hintergründe für unautorisierte Verwendung können unterschiedlicher Natur sein. Exemplarisch kann genannt werden, dass eine Unzufriedenheit auf Seiten der anderen Abteilungen bzgl. des vorhandenen Equipments herrscht.⁶² Die Weiterentwicklung von HW-/SW-Ausstattung sowie Services schreitet im digitalen Zeitalter in immer kürzeren Abschnitten zunehmend voran.⁶³ Fachbereiche wollen fortschrittlich agieren, um effektiver und effizienter zu arbeiten. IT-Abteilungen stehen somit vor der Komplexität die vorhandene IT-Infrastruktur aufrechtzuerhalten. Zeitgleich sollen innovative Geräte, Programme und Services etabliert werden und überdies den mannigfaltigen Anforderungen des Unternehmens entsprechen.⁶⁴ Risiken, die sich hieraus für das Unternehmen ergeben, sind vielfältig. Beispielhaft können höhere Kosten, Datenverlust, Kontrollverlust oder eine bessere Angriffsfläche für Angreifer genannt werden.⁶⁵ Gleichwohl können Organisation von Schatten-IT profitieren. Innovationssteigerungen, Prozessoptimierungen, gesteigerte Akzeptanz von Veränderungen oder wirtschaftliche Identifizierung von Nutzeranforderungen stellen mögliche Vorteile dar.⁶⁶ Letztendlich bildet Schatten-IT ein komplexes Themengebiet, das zusätzlich zu den täglichen Anforderungen eine Herausforderung, für eine IT-Abteilung darstellt.⁶⁷

2.4 Risikofaktoren und Probleme im Home-Office

Bevor auf die Probleme und Risikofaktoren eingegangen wird, ist zunächst der Begriff HO zu definieren. HO wird als Oberbegriff für „mobiles Arbeiten“ und „Telearbeit“ verwendet. Bei „Telearbeit“ handelt es sich um einen Begriff, der gesetzlich definiert ist, „mobiles Arbeiten“ jedoch nicht.⁶⁸ Die Arbeitsstättenverordnung (ArbStättV) beschreibt einen Telearbeitsplatz als einen Bildschirmarbeitsplatz, der im privaten Bereich eines AN fest installiert ist. Die Vereinbarung über den Zeitraum für den Telearbeitsplatz sowie die Beschäftigungszeit pro Woche bilden weitere Voraussetzungen. Zusätzlich hat der Arbeitgeber Sorge dafür zu tragen, dass das notwendige Equipment wie „Mobiliar, Arbeitsmittel ... [und] Kommunikationseinrichtungen ... bereitgestellt und installiert, § 2 Abs. 7 ArbStättV (kurz: § 2 VII ArbStättV)“ werden. Letztlich sind die genannten Punkte schriftlich festzuhalten und von beiden Parteien zu unterzeichnen, § 2 Abs. 7 ArbStättV (kurz: § 2 VII ArbStättV). Mobiles Arbeiten beschränkt sich hingegen nicht auf den Bildschirmarbeitsplatz im privaten Bereich. Es besteht die Möglichkeit für AN an verschiedenen Orten ihrer beruflichen Tätigkeit nachzugehen, sofern das dafür notwendige Equipment (bspw. Laptop und Smartphone) zur Verfügung steht. Eine allgemeine Definition, wie sie in der ArbStättV für Telearbeit zu finden ist, existiert bisher nicht.⁶⁹ Für den weiteren Verlauf der Arbeit wird HO als Synonym für beide Begrifflichkeiten verwendet.

Neben den positiven Punkten von HO wie bspw. gesteigerte Flexibilität, verbesserte Konzentrationsfähigkeit, Reduktion von Pendelzeiten und Stress, existieren gleichermaßen negative Punkte.⁷⁰ Beispiele sind, dass Grenzen zwischen Privatleben und Arbeit verschwimmen, die Kommunikation mit Kollegen/-innen erschwert wird und das technische Voraussetzungen nicht entsprechend vorhanden sind.⁷¹ Aus den negativen Punkten können wiederum vielfältige Probleme für Organisationen entstehen. Leben mehrere Personen in einem Haushalt, muss sichergestellt werden, dass interne Daten nicht einsehbar sind bzw. mitgehört werden können. Ist kein separates Arbeitszimmer vorhanden, erschwert dies die Situation.⁷² Verfügen AN nicht über das benötigte Sicherheitsbewusstsein und die IT-Kompetenz oder handeln entgegengesetzt der Organisationsvorgaben, führt dies ebenso zu Schwierigkeiten.⁷³ Eine weitere Problematik stellt die technische Ausstattung dar. Ist diese nicht vollumfänglich gegeben bzw. wird nicht durch die Organisation gestellt, verwenden AN privates Equipment⁷⁴ oder beschaffen sich dieses selbstständig.⁷⁵ Unter technischer Ausstattung kann sowohl HW als auch SW verstanden werden. Bei den Problematiken handelt es sich nicht um eine abschließende Aufzählung. Aus Problemen können diverse Risikofaktoren resultieren. Unter einem Risiko wird das Eintreten einer negativen Auswirkung verstanden, je nach Eintrittswahrscheinlichkeit kommt hierdurch eine Bedrohung zustande.⁷⁶ Mögliche Risikofaktoren sind bspw. die Verwendung von unautorisierter HW und SW (Schatten-IT), gepaart mit einem geringen Sicherheitsbewusstsein und einer schwachen IT-Kompetenz. Wird gegen die geltenden IT- und Sicherheitsvorgaben gehandelt, besteht eine erhöhte Wahrscheinlichkeit für IT-Sicherheitsvorfälle.⁷⁷ Hierzu zählen u. a.: Brute-Force-Angriffe, DoS-Angriffe (Denial of Service), Man-in-the-Middle-Angriffe (MitM), Phishing, Ransomware oder Schadsoftware.⁷⁸ Brute-Force-Angriffe sind Attacken zum „Knacken“ von Passwörtern. Mittels SW wird systematisch versucht, die Login-Daten herauszufinden. Die eingesetzten Tools wiederholen die Zusammensetzung möglicher Kombinationen so lange, bis die Attacke erfolgreich war.⁷⁹ Bei einem DoS-Angriff oder DDoS-Angriff (Distributed Denial of Service) wird der Server einer Organisation mittels fälschlichen Datenverkehres überschwemmt. Dies führt zu einer Überlastung der Server und verhindert die Nutzung legaler User.⁸⁰ Das Ziel eines MitM-Angriffs ist es, sich Zugriff zu einer Kommunikation zu beschaffen, um diese zu manipulieren.⁸¹ Phishing fällt in den Bereich des Social Engineering. Hierbei steht der Mensch im Fokus, der mit Hilfe von Manipulation dazu gebracht werden soll, vertrauliche Daten weiterzugeben.⁸² Ransomware versucht mittels Angst und Einschüchterung Personen dazu zu bewegen, Lösegeld zu zahlen. Zumeist werden Daten auf Laptop/PC, durch eine vorab heruntergeladene SW verschlüsselt, sodass die Person nicht mehr darauf zugreifen kann.⁸³ Schadsoftware (z. B. Trojaner) kann zu Systemausfällen oder Datenverlusten führen.⁸⁴

2.5 Home-Office in der Pandemie

Auslöser der COVID-19 Pandemie war die Ausbreitung des neuartigen Coronavirus SARS-CoV-2 (Severe acute respiratory syndrome coronavirus type 2).⁸⁵ Bedingt durch die Pandemie und den ersten Lock-Down im März 2020 wurde HO unvermittelt für eine hohe Anzahl von AN verbindlich.⁸⁶ Hierdurch sollte eine frühe Durchseuchung der Bevölkerung vermieden werden, um so die Wirtschaft weiter aufrecht zu erhalten.⁸⁷ Der im Mai 2021 veröffentlichte Kurzbericht des IAB (Institut für Arbeitsmarkt- und Berufsforschung) zeigt, dass die Möglichkeit zur Nutzung von HO vor Beginn von COVID bei 44 % lag. Dieser Wert stieg um 37 % an. Nach Angaben der befragten Personen, arbeiteten „Im Mai 2020 .. bereits 81 [%] .. mit Homeoffice-Möglichkeit ganz oder teilweise von zu Hause.“^{88 89} Jedoch ergab eine weitere Umfrage des ifo Instituts, die bei ca. 7.800 Unternehmen durchgeführt wurde, dass Stand Februar 2021 die Nutzung von HO noch nicht vollständig wahrgenommen wird. Lediglich 30 % der 56 % Nutzungsmöglichkeit von HO würden ausgeschöpft.⁹⁰ Zu Beginn des Jahres 2021 wurde die erste Version der SARS-CoV-2-Arbeitsschutzverordnung (Corona-ArbSchV) veröffentlich, in der gefordert wird „Beschäftigten im Fall von Büroarbeit oder vergleichbaren Tätigkeiten anzubieten, diese Tätigkeiten in deren Wohnung auszuführen, wenn keine zwingenden betriebsbedingten Gründe entgegenstehen, § 2 Abs. 4 Corona-ArbSchV (kurz: § 2 IV Corona-ArbschV).“ Weiterhin wurde diese Regelung Ende April 2021 in das Infektionsschutzgesetz (IfSG) in § 28b Abs. 7 IfSG (kurz: § 28b VII IfSG) aufgenommen.⁹¹ HO wurde zu einer bedeutenden Maßnahme gegen die Ausbreitung.

2.6 Auswirkungen und Folgen der Pandemie

Die Auswirkungen der Pandemie sind in allen Branchen spürbar.⁹² So konnte bereits zu Beginn der Pandemie festgestellt werden, dass Unternehmen einen Digitalisierungsschub durchliefen. Arbeitsmethoden wurden zunehmend digitalisiert, insbesondere die Verwendung von Kollaborations-Tools stieg lt. einer Studie der DAK Gesundheit um 100 % an. Hierfür wurden Daten aus der Erstbefragung (Dezember 2019 bis Januar 2020) und der Zweitbefragung (April bis Mai 2020) herangezogen.⁹³ Den Digitalisierungsschub bestätigt ebenfalls eine Kurzstudie von Mai 2020 des Frauenhofer-Instituts für Arbeitswirtschaft und Organisation (IAO) bei der Entscheidungsträger/-innen aus 500 Unternehmen befragt wurden.⁹⁴ Die Befragten der DAK-Studie gaben weiterhin an, dass die Produktivität besser sei als im Büro und die Work-Life-Balance gestiegen sei.⁹⁵ Im Falle der Produktivität konnte dies ebenfalls anhand einer Folgeerhebung des IAO im November 2020 bestätigt werden.⁹⁶ So gaben 32,5 % der Befragten an, dass diese gestiegen sei und weitere 6,5 % mit stark gestiegen.⁹⁷ Negativ fällt hierbei auf, dass der Austausch mit Kollegen/-innen sich verschlechtert hat sowie das Trennen „von Beruf und Privatleben“⁹⁸ erschwert wird.⁹⁹ Die Trennung bzw. Entgrenzung wird ebenfalls in der Umfrage des IAO von Dezember 2020 aufgegriffen. Zum damaligen Zeitpunkt konnten bereits 70 % der befragten Personalverantwortlichen nachteilige Effekte bei den AN wahrnehmen.¹⁰⁰ Auffällig ist weiterhin der Mangel des IT-Equipments für die Arbeit im HO, der bei Organisationen zu einem erhöhten Risikopotenzial in Bezug auf die Sicherheit der IT führen kann.¹⁰¹ Mobiles und hybrides Arbeiten¹⁰² werden zukünftig weiter beibehalten oder ausgebaut werden. So gaben 81,2 % der befragten Organisationen an, dass bis 2024 es einem Großteil der im Büro tätigen AN ermöglicht wird, die mobile Arbeit innerhalb Deutschlands zu realisieren. Weiterhin planen 44 % bis 2024 komplett digital zu arbeiten. Um dies zu verwirklichen streben 29,2 % an, dass mobile IT-Equipment weiter auszubauen.¹⁰³

Die zukünftige Form des Arbeitens wird maßgeblich anhand der Bereitschaft für Veränderung und dem Technologieeinsatz von Organisationen bestimmt. Ein mögliches Szenario ist, dass AN nach der Pandemie wieder zurück in das Büro gehen und es keine Veränderung geben wird. Im schlimmsten Fall werden sich weitere Virusvarianten entwickeln, die zu einer erneuten HO-Pflicht seitens der Regierung führen werden. Wird davon ausgegangen, dass die Pandemie überstanden ist und Organisationen die mobile bzw. hybride Arbeitsweise beibehalten, spricht dies für ein positives Szenario. Ein weiteres Szenario könnte sein, dass Organisationen die Zeit genutzt haben, vollumfänglich auf mobiles Arbeiten umzustellen. Neue technologische Lösungen tragen dazu bei, dass Organisationen gestärkt und mit neuem potenziellem Wachstum aus der Pandemie hervorgehen werden.¹⁰⁴

3 Methodisches Vorgehen

Zu Beginn des methodischen Vorgehens erfolgt die Darlegung der Forschungsfrage und der aufgestellten Hypothesen. Es wird das Forschungsdesign abgeleitet und die Güte- kriterien bestimmt. Auf Grundlage des Forschungsdesigns werden ein anwendbares Forschungsinstrument eruiert sowie Variablen, Population und Stichprobe definiert. Darauffolgend wird die Durchführung sowie die Datenaufbereitung und -auswertung erläutert.

3.1 Forschungsfrage und Hypothesen

Die Forschungsidee resultiert aus der beschriebenen Problematik (Kapitel 1.1), die daraufhin weist, dass die Thematik von Schatten-IT in Verbindung mit der MA-Awareness im HO für Organisationen von Bedeutung ist und zukünftig einen gewissen Stellenwert einnimmt. Wird weiterhin nach dem Begriff „Schatten-IT“ bei Google Scholar gesucht, werden 441 Ergebnisse angezeigt.¹⁰⁵ Bei Eingabe des englischen Begriffs „Shadow IT“ werden 25.600 Ergebnisse angezeigt.¹⁰⁶ Die Suche zeigt, dass das Forschungsgebiet im Vergleich zu anderen Themen (z. B. Home-Office mit 1.150.000 Ergebnissen¹⁰⁷ ) eine geringere Anzahl von Artikeln aufweist. Auf Grundlage der Trefferanzahl von Google Scholar wird eine explorative Untersuchung durchgeführt und folgende Forschungsfrage abgeleitet:

„Wie hoch ist das Bewusstsein von Arbeitnehmer/-innen, die im Home-Office arbeiten, bei der Verwendung von Schatten-IT und der damit einhergehenden Risiken?“

Generell dient eine Forschungsfrage dazu, Schwierigkeiten, beobachtete Phänomene, in der Praxis auftretende relevante Fragen oder Diskussionen in der Wissenschaft präzise zu beantworten.¹⁰⁸ Die Forschungsfrage bildet die Basis für das Forschungsdesign. Auf das Forschungsdesign wird im nachfolgenden Kapitel 3.1 umfassend eingegangen. Die Forschungsfrage wird ebenso dazu verwendet, dem Leser einen Ausgangspunkt zu bieten. Weiterhin dient sie dazu, den wissenschaftlichen Prozess mit den gewonnenen Erkenntnissen und den daraus abgeleiteten Argumenten reflektieren zu können sowie das gewählte Themengebiet bestmöglich zu erforschen.¹⁰⁹ Die Fragestellung sollte verständlich und verifizierbar konzipiert sein, da aufbauend hierauf der weitere Verlauf des Forschungsprojektes erfolgt.¹¹⁰ Je nachdem wie weit ein Themengebiet bereits untersucht ist, kann das Projekt in verschiedene Untersuchungstypen eingruppiert werden. Explanative Untersuchungen prüfen Hypothesen, die aus der Theorie abgeleitet werden. Bei explorativen Untersuchungen liegt der Schwerpunkt darauf, Objekte zu erfassen, sodass Vorbereitungen für die Bildung von Theorien getroffen werden können. Die deskriptiven Untersuchungen konzentrieren sich auf die Erhebung von Daten zur Beschreibung der Population.¹¹¹

Für die Beantwortung der Forschungsfrage werden Hypothesen aufgestellt. Der Terminus entstammt dem griechischen Wort „hypóthesis“ und bedeutet Unterstellung.¹¹² Hypothesen beinhalten zum einen Erkenntnisse, die bereits verifiziert und zum anderen Annahmen, die noch nicht verifiziert wurden.¹¹³ Es handelt sich somit um eine „wissenschaftlich begründete Vermutung über einen Tatbestand oder über einen Zusammenhang von mindestens zwei Merkmalen“¹¹⁴. Wird eine Hypothese mittels Befunden „und .. empirische[n] Erkenntnisse[n] herausgefordert oder plausibilisiert“¹¹⁵, ist diese wissenschaftlich.¹¹⁶ Sind laut Bortz und Döring die vier Charakteristiken reale empirisch untersuchbare Sachverhalte, allgemeingültige Behauptungen, Aufbau eines mindestens indirekten Bedingungssatzes und dessen Widerlegbarkeit gegeben, sprechen diese „von einer wissenschaftlichen Hypothese“¹¹⁷.¹¹⁸ Eine weitere Voraussetzung ist die Operationalisierung, so dass die für die Hypothese gewählten Begriffe gemessen werden können.¹¹⁹ Die Begriffe werden in der Forschung als Variablen bezeichnet, die den drei Gütekriterien Objektivität, Reliabilität und Validität entsprechen müssen.¹²⁰ Die Gütekriterien sowie Variablen werden in den kommenden Kapiteln 3.3 und 3.5 differenziert dargelegt. Allgemein kann zwischen vier Kategorien von Hypothesen unterschieden werden: „Verteilungs-, Zusammenhangs-, Wirkungs- und Unterschiedshypothesen“¹²¹. Mit der Verteilungshypothese wird eine Behauptung über die Häufigkeit eines Objektes in einer bestimmten Rubrik aufgestellt und untersucht. Für die Zusammenhangshypothese werden mindestens zwei Objekte benötigt. Diese werden in Bezug zueinander gesetzt. Es wird die Aussage getroffen, dass ein Zusammenhang besteht, jedoch nicht von welchem Objekt die Wirkungsrichtung ausgeht. Ist hingegen die Richtung zweifelsfrei erkennbar, wird von einer Wirkungshypothese gesprochen. Der Zusammenhang ist somit gerichtet und nicht mehr ungerichtet, wie bei einer Zusammenhangshypothese. Bei der Unterschiedshypothese wird „eine explizite Aussage über die Verteilung bestimmter Merkmale und deren Ausprägungsniveau bei Objekten, die zu unterschiedlichen Klassen gehören“¹²² getroffen. Sind die Resultate verwendbar, kann die Unterschiedshypothese als Grundlage für die Wirkungshypothese verwendet werden.¹²³

Für die Beantwortung der zuvor definierten Forschungsfrage, wurden vier Untersuchungshypothesen entwickelt. Die Hypothesen eins bis drei werden der Hypothesenart Unterschiedshypothese zugordnet, die vierte der Hypothesenart Zusammenhangshypothese.

Hypothese 1: Das Alter unterscheidet sich nicht zwischen den Schatten-IT Nutzern und den nicht Schatten-IT Nutzern.

Hypothese 2: Die Zufriedenheit unterscheidet sich nicht zwischen den Schatten-IT Nutzern und den nicht Schatten-IT Nutzern.

Hypothese 3: Die Wahrscheinlichkeit für einen Hacker-Angriff unterscheidet sich nicht zwischen den Schatten-IT Nutzern und nicht Schatten-IT Nutzern.

Hypothese 4: Es gibt keinen Zusammenhang zwischen den eingeschätzten Kenntnissen zu IT-Sicherheit und dem eingeschätzten Risiko für einen Hackerangriff.

3.2 Forschungsdesign – Quantitative Methoden

Unter dem Forschungsdesign ist der Aufbau einer empirischen Studie zu verstehen. Das Design orientiert sich an der gestellten Forschungsfrage. Je nach Forschungsfrage können bspw. folgende Konzepte verwendet werden: Aktionsforschung, Dokumentenanalyse, Experiment, Feldforschung, Panel oder Survey. Die Forschungsmethode findet innerhalb des Designs Anwendung.¹²⁴ Es kann zwischen zwei Methoden unterschieden werden, der empirisch-qualitativen oder der empirisch-quantitativen Forschung. Beide Forschungsarten können, je nach Forschungsdesign, einzeln oder simultan verwendet werden.¹²⁵ Empirisch wird aus dem griechischen Wort „empeiria“ abgeleitet und bedeutet Erfahrung oder Kenntnis. Unter der empirischen Forschung ist somit die „erfahrungswissenschaftliche Untersuchung“¹²⁶ zu verstehen.¹²⁷ Nach Mayring können fünf Grundsätze unterschieden werden, anhand derer die qualitative Forschung ausgerichtet ist. Das Fundament einer jeden qualitativen Forschung bilden die Menschen. Zu Beginn einer jeden Untersuchung ist das Fachgebiet vollumfänglich zu definieren. Es ist notwendig, den Mittelpunkt einer Untersuchung zu interpretieren. Weiterhin ist dies in dem „natürlichen, alltäglichen Umfeld“¹²⁸ der Personen durchzuführen. Letztlich ist die Generalisierbarkeit gewonnener Resultate nicht mittels feststehender Verfahren möglich, Resultate sind einzeln und sukzessive zu fundieren.¹²⁹ Qualitative Forschung konzentriert sich somit auf das Konstituieren von Theorien, wohingegen die quantitative Forschung den Fokus „auf die Überprüfung spezifischer Theorien oder der Konstrukte einer Theorie“¹³⁰ legt. Im Gegensatz zur qualitativen Forschung werden für die quantitative Forschung umfangreich Daten erhoben.¹³¹ Die Priorität ist zudem auf die Überprüfung der aufgestellten Hypothesen gerichtet¹³², um diese zu falsifizieren bzw. zu verifizieren.¹³³ Wird eine Hypothese falsifiziert, bedeutet dies, dass sie zurückgewiesen wird. Die Verifizierung bedeutet das Beibehalten der Hypothese.¹³⁴

Aufgrund der im vorherigen Kapitel definierten Forschungsfrage und der vorangegangenen Erläuterungen zu qualitativen und quantitativen Forschungsmethoden ist erkennbar, dass die quantitative Forschungsmethode sich am ehesten für die Beantwortung der Forschungsfrage eignet. Mittels der quantitativen Methode ist die Einholung einer hohen Anzahl von Antworten realisierbar. Hinsichtlich der Zielsetzung gemeingültige Rückschlüsse ziehen zu können, bietet sich das Survey-Konzept an. Die Intention hinter diesem Konzept ist, „Aussagen über eine Grundgesamtheit von Personen zu machen, ohne alle diese Personen untersuchen zu müssen.“¹³⁵

Das Vorgehen innerhalb einer Forschungsmethode wird mittels dreier Schritte definiert. Hierbei handelt es sich um die Schritte: Erheben, Aufbereiten und Auswerten. Die Auswahl der einzelnen Methoden für die Erhebung, Aufbereitung und Auswertung ist durch die gestellte Forschungsfrage bedingt. Grundsätzlich stehen Befragung, Beobachtung und Recherche für die Ermittlung zur Verfügung. Die Aufbereitung erfolgt anhand des Fixierens, des Selegierens und des Strukturierens. Die gewonnenen Daten werden zu Beginn schriftlich niedergelegt (fixiert). Anschließend werden die Daten geprüft, ob all diese für die Beantwortung der Forschungsfrage erforderlich sind. Entsprechend erfolgt eine Selektion (selegiert) und zuletzt werden die Daten strukturiert. Abschließend findet die Auswertung der bearbeiteten Daten statt, je nach Forschungsmethode und Zielsetzung werden unterschiedliche Methoden angewandt.¹³⁶

Die einzelnen Schritte für die Erhebung, Aufbereitung und Auswertung werden in den nachfolgenden Kapiteln eingehend verdeutlicht.

3.3 Gütekriterien

Gütekriterien dienen in der empirischen Forschung dazu, die zur Anwendung kommenden Forschungsinstrumente so zu gestalten, dass sie qualitativen Anforderungen genügen.¹³⁷ Gütekriterien werden in drei Hauptgütekriterien und vier Nebengütekriterien unterschieden. Objektivität, Reliabilität und Validität bilden die Hauptgütekriterien. Normierung, Vergleichbarkeit, Ökonomie und Nützlichkeit stellen die Nebengütekriterien dar.¹³⁸

Unter Objektivität ist zu verstehen, dass die erzielten Resultate einer Messung beliebig oft durch unterschiedliche Tester wiederholt werden können, ohne ein abweichendes Ergebnis zu erzeugen. Wird ein abweichendes Ergebnis erzielt, so ist die Untersuchung nicht objektiv bzw. unabhängig von dem Tester. Die Objektivität wird in drei Arten unterschieden: Durchführung, Auswertung und Interpretation.¹³⁹ Das zweite Hauptgütekriterium bildet die Reliabilität und gibt an, wie zuverlässig und exakt das verwendete Instrument die erzeugten Werte misst.¹⁴⁰ Die äußeren Einwirkungen auf physikalische Instrumente können auf ein Minimum reduziert werden, wohingegen bei psychologischen Instrumenten es nur schwer möglich ist. Hintergrund ist, dass bei psychologischen Instrumenten eine geringe Möglichkeit besteht, die äußeren Einwirkungen zu kontrollieren und zu systematisieren.¹⁴¹ Validität, das letzte und wichtigste Hauptgütekriterium, befasst sich mit dem „Grad der Genauigkeit .., ob eine Untersuchung das erfasst, was sie erfassen soll“¹⁴². Validität bedingt, dass keine Fehler bei der Messung eintreten, was nahezu unmöglich ist.¹⁴³ Weiterhin ist die Validität in die Punkte Augenschein-, Inhalts-, Kriteriums- und Konstruktvalidität zu unterscheiden. Die Augenscheinvalidität ist die Begründung von einem Nichtfachmann, dass ein Test Anspruch auf Gültigkeit hat. Inhaltsvalidität ist gegeben, wenn „das interessierende Merkmal repräsentativ“¹⁴⁴ dargelegt wird. Kriteriumsvalidität liegt vor, sobald ein gewonnener Wert auf ein Handeln, das nicht während des Tests entstanden ist, hochgerechnet werden kann. Ist es möglich „Zusammenhangsstrukturen zwischen den Testitems und den interessierenden .. Merkmalen“¹⁴⁵ theoretisch zu begründen, besteht eine Konstruktvalidität.¹⁴⁶

Die Sicherstellung der Objektivität kann auf Grund des quantitativen Forschungsdesigns realisiert werden. Bei der Auswahl des Forschungsinstruments, der anschließenden Durchführung sowie der abschließenden Aufbereitung, Auswertung und Interpretation ist auf eine Standardisierung zu achten. Die Gewährleistung der Reliabilität wird marginal sein. Die Ursache hierfür ist, dass kein Messinstrument in physikalischer Form Anwendung finden wird, sondern ein psychologisches. Äußere Einwirkungen während der Durchführung können weder kontrolliert noch systematisiert werden. Bei der Validität ist darauf zu achten, dass die in der Forschungsfrage definierten interessierenden Merkmale Bewusstsein von AN, Home-Office, Verwendung von Schatten-IT und Risiko, mittels verschiedener Fragen zielgerichtet evaluiert werden können. Die Schwierigkeit bei der Fragebogenerstellung liegt darin, für alle vier Merkmale möglichst konkrete Fragen zu definieren, um Fehler bei der Messung zu vermeiden.

Das erste Nebengütekriterium stellt die Normierung dar. Hierfür ist es notwendig, dass Normwerttabellen vorliegen, die darüber Aufschluss geben, wo das spezifische Testergebnis einzugruppieren ist.¹⁴⁷ Für die Generierung von Normtabellen, „muss als Bezugsgruppe eine größere Eichstichprobe untersucht werden, die für die .. Zielgruppe ... repräsentativ ist“¹⁴⁸.¹⁴⁹ Die Vergleichbarkeit zielt darauf ab, anhand von simultanen Testformen „einen Vergleich des Tests mit sich selbst“¹⁵⁰ zu ermöglichen. Sinnvoll ist die Vergleichbarkeit bei Untersuchungen, bei denen Probanden mehrfach getestet werden oder mit vielen Probanden zusammen durchgeführt wird. Die Ökonomie eines Tests wird mittels fünf Merkmalen verhältnismäßige Durchführungszeit, einen geringen Materialverbrauch, eine unkomplizierte Handhabung, eine Durchführbarkeit innerhalb einer Gruppe sowie eine mühelose Auswertung definiert. Eine Nützlichkeit liegt dann vor, wenn ein Bedürfnis in der Praxis vorhanden ist, welches es erfordert gewisse Handlungsweisen zu bestimmen oder vorherzusagen.¹⁵¹

Aufgrund des begrenzten Umfangs der Master-Thesis ist nicht vorgesehen vorab eine größere Eichstichprobe durchzuführen. Eine Generierung einer Normwerttabelle ist nicht möglich. Weiterhin ist nicht beabsichtigt, die oben definierte Vergleichbarkeit anhand der genannten Punkte durchzuführen. Die ökonomischen Faktoren können innerhalb des Forschungsumfangs alle, bis auf die Durchführung innerhalb einer Gruppe, erreicht werden. Die Nützlichkeit ist gegeben, da es sich bei Mitarbeiter-Awareness bei Verwendung von Schatten-IT im HO um ein aktuelles Themenfeld handelt, das durch die Pandemie einen zusätzlichen Anstoß erhalten hat.

3.4 Erhebungsinstrument

In dem Kapitel des Forschungsdesigns wurde sich für das Erhebungsinstrument „Survey“ entschieden. Survey, zu Deutsch Umfrage, zielt darauf ab, anhand einer Zufallsstichprobe Werte mittels einer standardisierten Befragung zu erheben.¹⁵² Befragungen können als persönliches Interview, postalisch, telefonisch oder online ausgeführt werden.¹⁵³ Im weiteren Verlauf wird ausschließlich auf das Instrument Online-Befragung eingegangen. Begründet wird dies mit der Zielsetzung, eine möglichst große Stichprobe innerhalb der vorgegebenen Bearbeitungsfrist erschließen und analysieren zu können. Es kann zwischen drei Arten von Online-Befragungen unterschieden werden. E-Mail- und SMS-Befragungen werden in die textbasierte Befragung eingruppiert. Befragungen, die im Internet bzw. Intranet durchgeführt werden, zählen zu den Web-Surveys. Werden Befragungen mittels Applikationen (Apps) oder sonstigen Diensten realisiert, zählen diese zu den Sonderformen. ¹⁵⁴ Zu den Vorteilen einer Online-Befragung zählen geringere Kosten, automatisiertes Filtern, Verwalten des Befragungszeitraums, Rücklaufkontrolle, Überblick über die Anzahl der Datensätze und Ausstiegszeitpunkte.¹⁵⁵ Beherrschbarkeit der Technik, geringere Verbindlichkeit (Selbstdarstellung im Internet), Repräsentativität (Grundgesamtheit), Mehrfachteilnahme und unkontrollierbare Befragungssituationen zählen zu den Nachteilen.¹⁵⁶ Zusätzlich zu den Anforderungen an das Forschungsdesign, werden Anforderungen an die Gestaltung eines qualitativ hochwertigen Fragebogens gestellt. Ausschlaggebend sind Aufbau und Inhalt des Fragebogens sowie die Formulierung der verwendeten Fragen.¹⁵⁷ Die Konstruktion wird in der Literatur als dramaturgischer Aufbau definiert.¹⁵⁸ Zu Beginn ist darauf zu achten, dass das Interesse möglicher Probanden geweckt wird. Einleitende Informationen in die Thematik, Rahmenbedingungen sowie der verfolgte Zweck schaffen die Basis. Anschließend ist mit einfachen Fragen zu starten, die die folgenden Punkte erfüllen: Verstehen der Fragen, Beantwortung, ohne lange zu überlegen, Verbindung zur beschriebenen Thematik und zu dem Probanden aufweisen. Aufbauend folgt der Hauptteil, der Schwerpunkt liegt hier auf der Erhebung der Daten, die für die Beantwortung der Forschungsfrage benötigt werden. Dieser Bereich ist in thematisch zueinander passenden Sektionen zu gliedern. Die Aufteilung in Sektionen zielt darauf ab, die Befragungssituation aufzulockern. Zur Abrundung werden erneut simple Fragen gestellt und persönliche Daten, die Personen betreffen erhoben. Abschließend wird dem Probanden für die Teilnahme gedankt sowie die Möglichkeit zu Kontaktaufnahme gegeben.¹⁵⁹

Die Umfrage besteht aus acht Sektionen. Die Begrüßung der Teilnehmenden und generelle Informationen zu der Befragung und Thematik werden auf der Startseite beschrieben. Die zweite Seite beinhaltet eine Frage, die den beruflichen Status erfasst und dient der Selektion. Hintergrund ist, dass somit ausschließlich Probanden teilnehmen, die der Zielgruppe angehören. Der dritte Abschnitt umfasst einfache Fragen, die dazu dienen, sich in die Befragung einzufinden. Abgefragt wird der Bezug zu HO und ob HW und SW installiert/angeschlossen werden kann. Aufbauend hierauf wird die Verwendung von HW und SW abgefragt. Es ist auszuwählen, ob diese von der Organisation gestellt werden, keine Anwendung finden oder ob die die verwendet werden, eigenständig angeschafft wurde und von der IT der Organisation freigeben bzw. nicht freigegeben wurden. Weiterhin wird nach dem Grund für die eigenständig angeschaffte HW und SW gefragt. Der fünfte Abschnitt umfasst neun Fragen. Inhalte sind diverse Einschätzungen zu Geduld, Risiko, Zufriedenheit, Sicherheitskenntnissen und -vorfällen in Bezug auf IT. Der sechste Abschnitt stellt spezifische Fragen zu Schatten-IT. Hintergrund für die im Verlauf späte Fragestellung nach Schatten-IT ist, dass hierdurch die Gefahr der sozialen Erwünscht gemindert werden soll. Unter der sozialen Erwünscht wird eine Antwortverzerrung verstanden. Die Antwort entspricht nicht der Einstellung / Meinung des Befragten, sondern wird durch den Befragten angepasst, um der Einstellung / Meinung des Interviewers oder der Gesellschaft zu entsprechen.¹⁶⁰ Wäre der Begriff Schatten-IT bereits zu Beginn verwendet worden, hätte dieser direkt erläutert werden müssen, damit ein einheitliches Verständnis geschaffen wird. Hierdurch würde nicht mehr gewährleistet, dass die Teilnehmenden die Fragen zur Verwendung von HW und SW sowie die Einschätzungen neutral beantworten.¹⁶¹ Abschnitt sieben beinhaltet demographischen Daten. Abgeschlossen wird die Befragung auf der achten Seite mit Bedankung und Verabschiedung. Weiterhin besteht die Möglichkeit zur Kontaktaufnahme. Der Fragebogen inkl. der finalen Fragen ist in Anhang 1 ersichtlich.

Für die Formulierung von Fragen und Antworten existieren unterschiedlichste Format-optionen. Fragen können in geschlossen, halboffen oder offen differenziert werden. Bei geschlossenen Fragen sind bereits Antwortoptionen gegeben und es ist ausschließlich die Auswahl derer möglich. Halboffene Fragen ermöglichen es, zusätzlich zu der vorangegangenen Auswahlmöglichkeit der geschlossenen Frage, eine eigene Antwortmöglichkeit hinzuzufügen. Sind Fragen offen gestellt, ist hier eine eigene Antwort zu formulieren.¹⁶²

Insgesamt umfasst der Fragenbogen 25 Fragen. Es handelt sich um geschlossene oder halboffene Fragen. Die Fragen zwei und drei beziehen sich auf die letzten zwei bis drei Jahre, um damit die Situation im HO während der Pandemie zu ermitteln. Die Fragen 10 und 11 lehnen sich an die Haushaltsbefragung 2020 zum Thema Klimwandel in Deutschland des ZEW – Leibniz Centre for European Economic Research an. Die Fragen 12 und 13 wurden aus diesem Fragebogen übernommen.¹⁶³ Frage 18 orientiert sich an den Ergebnissen der Bitkom Umfrage „Wirtschaftsschutz 2021“, speziell anhand der Fragestellung Cyber-Angriffe und des Schadens.¹⁶⁴ Die letzte Frage bezieht sich auf die Größenordnung von KMU (kleine und mittlere Unternehmen) der Europäischen Kommission,¹⁶⁵ die um drei weitere Größenordnungen ergänzt wurde.

Für die Messung und spätere Auswertung der Antworten können vier Skalenniveautypen klassifiziert werden: „ Nominal-, Ordinal-, Intervall- und Ratioskala.“¹⁶⁶ Mittels Nominalskala können Daten ausschließlich auf Gleich- oder Ungleichheit getestet werden. Die Ordinalskala gewährt ergänzend eine Sortierung der Daten. Intervall- und Ratioskalen beinhalten zusätzlich zu den bereits genannten Kriterien die Möglichkeit, die Abstände zwischen den einzelnen Werten zu bestimmen. Unterschied ist, dass bei der Intervallskala die Abstände lediglich angegeben werden können. Wohingegen die Ratioskala diese berechnen kann und einen „absoluten Nullpunkt“¹⁶⁷ besitzt. Intervall- und Ratioskala weisen ein metrisches Skalenniveau auf.¹⁶⁸

Der Fragebogen enthält Fragen sowohl mit nominalen, ordinalen als auch metrischen Skalenniveaus. Die Skalen auf Seite fünf, im Bereich der Einschätzung, umfassen sechs Ausprägungen, mit dem Ziel, die Antworttendenzen zu reduzieren.

Unter Antworttendenzen werden Effekte verstanden, die zu Verzerrungen bei der Beantwortung von Fragen führen können, die durch die Vorgabe der Antwortmöglichkeiten ausgelöst werden. Sind beispielsweise Skalen mit fünf Ausprägungen vorhanden, wird bei der Tendenz zur Mitte die mittlere Möglichkeit ausgewählt. Um dies zu verhindern werden „Skalen ohne Mitte“¹⁶⁹ verwendet. Ein Ausschluss von Messfehlern kann hier jedoch ebenfalls nicht gewährleistet werden.¹⁷⁰ Neben der Tendenz zur Mitte existieren weitere Messfehler, auf die innerhalb der Thesis nicht weiter eingegangen wird.

3.5 Variablen

Bei Variablen handelt es sich um Merkmale, die mittels Fragen erhoben werden. Je nach Fragestellung können Variablen diverse Ausprägungen aufweisen. Hervorzuheben ist, dass die Fragestellung „mindestens zwei Antwortmöglichkeiten zulassen“¹⁷¹ muss. Die Antwortmöglichkeiten bzw. Ausprägungen werden ebenso als Werte bezeichnet.¹⁷² Variablen können in verschiedene Arten gegliedert werden. Sind die erhobenen Werte weder mess- noch zählbar wird von qualitativen Variablen gesprochen, ansonsten von einer quantitativen Variablen.¹⁷³ Liegt eine diskrete Variable vor, weisen die Ausprägungen eine beschränkte Menge auf. Variablen die stetig sind, weisen hingegen eine endlose Menge an Ausprägungen auf.¹⁷⁴ Eine weitere Differenzierung kann in abstrakte und konkrete Variablen erfolgen. Abstrakte Variablen sind nicht direkt beobachtbar (bspw. Intelligenz), konkrete hingegen schon (bspw. Reaktionszeit).¹⁷⁵

Die 25 Fragen des Fragebogens können in 63 Variablen gegliedert werden. Alle Fragen enthalten mindestens zwei Ausprägungen. Es sind sowohl quantitative Variablen (z. B. Alter) als auch qualitative Variablen (z. B. beruflicher Status) vorhanden. Eine diskrete Variable ist bspw. Anzahl an HO Tagen pro Woche und eine stetige die verwendete SW im beruflichen Alltag. Zu den abstrakten Variablen zählen bspw. Kenntnisse zu IT-Sicherheit und zu den konkreten das Geschlecht. Die Variablen und Ausprägungen des Fragebogens sind in Anhang 2 hinterlegt.

3.6 Population und Stichprobe

Die Population stellt die Grundgesamtheit aller interessierenden Elemente dar. Mittels wissenschaftlicher Studien wird das Ziel verfolgt, allgemeingültige Aussagen über diese zu treffen. Vollerhebungen bieten die Möglichkeit, alle Elemente der beschriebenen Grundgesamtheit zu erheben. Ist die Grundgesamtheit überschaubar, ist eine Vollerhebung sinnvoll. Ist diese jedoch nicht bekannt, wird die Teilerhebung anhand von Stichproben angewendet. Bei Teilerhebungen wird eine Gruppe von Element untersucht, die der Population angehören. Die Stichproben können entweder nach der probabilistischen oder nicht-probabilistischen Methode ausgewählt werden. Bei der probabilistischen Methode erfolgt die Stichprobenziehung „nach einem statistischen Zufallsverfahren“¹⁷⁶. Das nicht-probabilistische Verfahren kann wiederum in zwei weitere nicht-zufällige Arten gegliedert werden. Bei der ersten Art werden die Stichproben gezielt aus der Grundgesamtheit entnommen. Hingegen erfolgt bei der zweiten Art die Auswahl unsystematisch.¹⁷⁷ „Ein Beispiel ... sind Ad-hoc-Stichproben. Hier setzt sich die Stichprobe aus Mitgliedern der Population zusammen, die gerade verfügbar sind.“¹⁷⁸ Der Stichprobenumfang bezeichnet die Stichprobenanzahl, die für die Studie benötigt bzw. verwendet wird. Damit bei nicht-probalistischen Verfahren im späteren Verlauf eine repräsentative Aussage über die Grundgesamtheit getroffen werden kann, ist der Stichprobenumfang von Bedeutung. Die Repräsentativität gibt Aufschluss darüber, wie genau die Stichprobe die Grundgesamtheit reflektiert. Hierbei ist der Stichprobenfehler nicht zu vernachlässigen. Es handelt sich um einen Standardfehler, der berechnet werden kann und bei Zufallsstichproben auftritt. Umso größer die vorhandene Stichprobe, desto eher können eindeutige Ergebnisse erzielt und Standardfehler minimiert werden.¹⁷⁹

Die Population der geplanten Erhebung umfasst erwerbstätige Personen in Deutschland, die die Möglichkeit hatten bzw. haben während der Pandemie im HO zu arbeiten. Laut statistischem Bundesamt lag der Durchschnitt der Erwerbstätigkeit „Im Februar 2022 ... [bei] rund 45,0 Millionen Personen“¹⁸⁰.¹⁸¹ Eine repräsentative Telefonumfrage von Bitkom Research ergab, dass „die Hälfte aller Erwerbstätigen ... vollständig oder teilweise im Homeoffice“¹⁸² arbeitet.¹⁸³ Es würde sich somit um rund 22,5 Millionen Personen handeln. Jedoch ist eine exakte Bestimmung der Population utopisch und würde Ressourcen binden, die nicht mehr im Verhältnis stehen. Dementsprechend handelt es sich bei der Erhebung der Daten um eine Teilerhebung. Weiterhin ist es unrealisierbar mittels eines statistischen Zufallsverfahrens Personen aus der unbekannten Population zu entnehmen. Zum Tragen kommt somit ein nicht-probalistisches Verfahren. Darüber hinaus wird eine Online-Befragung durchgeführt, bei der es nicht vorgesehen ist, jede einzelne Person gezielt zu entnehmen. Infolgedessen wird eine Ad-hoc-Stichprobe erhoben.

3.7 Durchführung der Studie

Für die Durchführung der Online-Studie ist zunächst ein passendes Programm auszuwählen. Auf dem Markt existieren verschiedenste Programme, die gegen eine Gebühr oder frei verfügbar erhältlich sind. Als Beispiele können genannt werden: „SurveyMonkey, LimeSurvey, Qualtrics, QuestBack“¹⁸⁴ und SoSci Survey. Folgende Punkte sollten bei einer Entscheidung berücksichtigt werden: Bedienungsfreundlichkeit, Möglichkeit für einen ausreichend großen Stichprobenumfang, Vielzahl an Optionen von Fragetypen, Filterführung, Darstellungsmöglichkeiten auch im Hinblick auf verwendete HW während der Umfrage, aktueller Datenstand während der Durchführung und Auslesen der Daten am Ende.¹⁸⁵

Bevor der Fragebogen in das Feld geht, ist ein Pretest durchzuführen. Bei einem Pretest handelt es sich um einen empirischen Check, bei dem „die inhaltliche, methodische und technische Überprüfung “¹⁸⁶ des Fragebogens sichergestellt wird.¹⁸⁷ Punkte, die gecheckt werden, sind bspw.: Sind die Fragen verständlich? Sind die Fragen zu schwierig? Sind genügend Antwortmöglichkeiten vorhanden? Ist der Fragebogen logisch aufgebaut für die Befragten? Wie viel Zeit wird für die Beantwortung benötigt?¹⁸⁸ Ist der Pretest abgeschlossen, sind die gewonnenen Erkenntnisse zu prüfen und einzuarbeiten. Anschließend kann der Fragebogen im Feld gestartet werden.¹⁸⁹

Die Online-Befragung wurde mittels des Online-Tools “SoSci Survey” aufgesetzt. Es handelt sich hierbei um eine Open-Source Software¹⁹⁰. Die Erstellung der Umfrage, der Pretest sowie die nachfolgende Veröffentlichung und Durchführung wurden mit der Software-Version 3.2.55 durchgeführt.¹⁹¹ Bekanntheit, Funktionsvielfalt, Handhabung und Übersichtlichkeit führten zur Entscheidung für dieses Online-Tool. Für den Pretest wurden zehn Personen ausgewählt, die der Zielgruppe angehören. Von diesen haben acht Personen teilgenommen und ihr Feedback hinterlassen.

Der Befragungszeitraum startete am 28.02.2022 und endet am 27.03.2022. Die Umfrage dauerte vier Wochen und wurde am ersten Tag über folgende Kanäle publiziert: Private Kontakte, soziale Netzwerke insbesondere auf LinkedIn und Xing für den beruflichen Kontext sowie über Facebook und Instagram. Des Weiteren wurde SurveyCircle für die Gewinnung weiterer Teilnehmer/-innen genutzt. Bei SurveyCircle handelt es sich um eine gebührenfreie Online-Forschungsplattform, über die Studienteilnehmer/-innen für Forschungsprojekte rekrutiert werden können.¹⁹² Ein Erinnerung erfolgte am 22.03.2022 auf LinkedIn. In Anhang 3 ist der Text für die Einladung und die Erinnerung beispielhaft der LinkedIn Beiträge hinterlegt.

3.8 Datenaufbereitung und -auswertung

Die Datenaufbereitung befasst sich mit den Informationen, die nach der Beendigung der Umfrage vorliegen, sogenannte Rohdaten. Diese sind entsprechend aufzubereiten, um anschließend eine qualitativ hochwertige Auswertung durchführen zu können. Die Aufbereitung der Daten durchläuft fünf Schritte: Erstellen, Kommentieren, Anonymisieren, Bereinigen und Transformieren. Erstellen umfasst bspw. die Digitalisierung, Kommentieren das Codieren der Variablen, Anonymisieren das unkenntlich machen von personenbezogenen Daten. Die Bereinigung das Bearbeiten von fehlenden Daten und die Transformation das Zusammenfassen von Daten. Wird diesem Vorgehen zu wenig Beachtung geschenkt, kann es dazu kommen, dass Daten eine ungenügende Qualität aufweisen und Resultate nicht zuverlässig sind. Dies gilt für quantitative sowie qualitative Daten.¹⁹³ Mittels folgender Aspekte ist es möglich, die Datenqualität quantitativ erhobener Daten sicherzustellen: „1. Vollständigkeit, Einheitlichkeit ..., 3. Ausschluss doppelter Werte ..., 4. Sachgerechte Behandlung von fehlenden Werten, 5. Erkennung und Behandlung von Ausreißerwerten ... sowie 6. Plausibilität der Antwortmuster.“^{194 195}

Nach Abschluss der Umfrage wurden die Rohdaten als Excel-Datei aus „SoSci Survey“ exportiert und bereinigt. Entfernt wurde ein Datensatz des Administrators, 72 unvollständige Datensätze, 43 Datensätze, die nicht der Zielgruppe angehörten und vorab mit der Filterfrage aussortiert wurden. Weiterhin wurden 18 Datensätze ausgeschlossen, bei denen kein HO in den letzten zwei Jahren stattgefunden hatte. In Anbetracht der durchschnittlichen Bearbeitungszeit von sechs Minuten und der unplausiblen Antwortmuster, wurde ein Datensatz entfernt, der innerhalb einer Minute durchgeführt wurde. Weiterhin fehlte bei dem Datensatz 835 die Antwort für die Variable „A007 Administrationsrechte Software“, diese wurde mit dem Wert „weiß nicht“ ergänzt. Letztlich bleiben von insgesamt 519 Datensätze 384 übrig, die für die Auswertung geeignet sind. Bei den Variablen B002_08a, B004_08a, B005_01 und B006_01 handelt es sich um die Antworten der halboffenen Fragen. Die qualitativen Antworten wurden gesichtet und werden in die Auswertung mit einbezogen. Die Codierung der 63 Variablen wurde durch „SoSci Survey“ übernommen. Für die unkompliziertere Auswertung im weiteren Verlauf wurden Messwerte von 36 Variablen umcodiert.

Nachdem die Aufbereitung der Daten durchgeführt ist, folgt die Datenauswertung. Es wird das Ziel verfolgt, die gestellte Forschungsfrage mittels der erhobenen Daten zu beantworten. Weiterhin erfolgt die Testung der entwickelten Hypothesen.¹⁹⁶ Die Analyse der quantitativen Daten wird bei einer explorativen Untersuchung in zwei Gebiete unterteilt. Zum einen in die deskriptive Statistik und zum anderen in die Inferenzstatistik.¹⁹⁷ Die deskriptive oder beschreibende Statistik wird dazu verwendet, die vorhandenen Daten mittels diverser Kennzahlen und deren grafischer Aufbereitung zu veranschaulichen. Es gilt zu beachten, dass das gewonnene Wissen sich einzig auf die erhobenen Daten bezieht. Gegensätzlich hierzu befasst sich die Inferenzstatistik, auch unter schließend oder induktiv bekannt, damit von einer vorhandenen Stichprobe auf die Grundgesamtheit zu schließen.¹⁹⁸

Die Analyse wurde mit der Statistik-Programmiersprache R durchgeführt. Hierfür wurde die Software R (Version 4.1.3, 2022-03-10) und die graphische Benutzeroberfläche RStudio (Version 2022.02.1+461) inkl. diverser R-Pakete verwendet.

[...]

---

¹ Home-Office wird auch als mobiles Arbeiten oder Telearbeit bezeichnet, wobei hierbei rechtliche Unterschiede existieren. Aus Gründen der besseren Lesbarkeit wird der umgangssprachliche Begriff „Home-Office“ verwendet.

² Vgl. Presse- und Informationsamt der Bundesregierung, Corona-Schutz, 2021, o. S.; Bundesministerium für Gesundheit (BMG), Alltag und Fitness, 2021, o. S.

³ Vgl . ifo Institut (Hrsg.), HO, 2020, S. 1 f.

⁴ Vgl. Alipour, J.-V., et al., Stellenanzeigen, 2021, S. 46 ff.

⁵ Vgl . Manager Magazin (Hrsg.), Arbeitswelt, 2021, o. S.

⁶ Vgl. Gillies, C., Bexten, J., Philipp, S., Zuhause, 2022, o. S.

⁷ Vgl. AVANTGRADE EXPERTS GmbH, 5 Nachteile, 2021, o. S.

⁸ Vgl. Bitkom e.V. (Hrsg.), Wirtschaftsschutz, 2021, S. 8 ff.

⁹ Wirnsperger, P. J., von Spreti, M., Deloitte, 2021, S. 2.

¹⁰ Vgl. Wirnsperger, P. J., von Spreti, M., Deloitte, 2021, S. 17.

¹¹ Wirnsperger, P. J., von Spreti, M., Deloitte, 2021, S. 18.

¹² Vgl. Wirnsperger, P. J., von Spreti, M., Deloitte, 2021, S. 18.

¹³ Vgl. HP Wolf Security, Wolf, 2021, S. 2 ff.

¹⁴ Vgl. Zimmermann, S., Schatten-IT, 2018, S. V.

¹⁵ Vgl. Deutsche Bundestag Wissenschaftliche Dienste, Sachstand, 2017, S. 4 f.

¹⁶ Vgl. Wegener, C., Milde, T., Dolle, W., Informationssicherheit, 2016, S. 3.

¹⁷ Vgl . Endreß, C., Petersen, N., Sicherheitsbegriff, 2012, o. S.

¹⁸ Vgl . Földes, C. (Hrsg.), Germanistik, 2011, S. 189.

¹⁹ Vgl. Zinnecker, S., Isermann, R., Inflation, 2022, o. S.

²⁰ Vgl. Münchrath, J., Ukraine-Konflikt, 2022, o. S.

²¹ Vgl. Klöckner, J., Sorge Lockdown, 2022, o. S.

²² Vgl. Frevel, B., Grundbedürfnis, 2016, S. 3 ff.

²³ Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI 200-1, 2017, S. 8.

²⁴ Vgl . North, K., Daten, 2021, S. 36 f.

²⁵ Vgl . Wegener, C., Milde, T., Dolle, W., Informationssicherheit, 2016, S. 1.

²⁶ Vgl. North, K., Daten, 2021, S. 36 ff.

²⁷ Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI 200-1, 2017, S. 8.

²⁸ Vgl. ISO/IEC 27000, Information technology, 2018, S. 4.

²⁹ Vgl. Liedtke, T., I-Sicherheit, 2022, S. 8 f.

³⁰ Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI) (Hrsg.), IT-Grundschutz, 2022, o. S.

³¹ Vgl. ISO/IEC 27000, Information technology, 2018, S. 18 f.

³² Gleich, F., TISAX, 2021, S. 5.

³³ Vgl. Gleich, F., TISAX, 2021, S. 9.

³⁴ Vgl. Liedtke, T., I-Sicherheit, 2022, S. 22 ff.

³⁵ Eckert, C., IT-Sicherheit ,2013, S. 1.

³⁶ Vgl. Schonscheck, O., Platten, W., Basistechnologie, 2017, o. S.

³⁷ Vgl. Kurbel, K., ERP, 2021, S. 1 ff.

³⁸ Vgl. Abts, D., Mülder, W., Wirtschaftsinformatik, 2017, S. 319.

³⁹ Vgl . Abts, D., Mülder, W., Wirtschaftsinformatik, 2017, S. 25.

⁴⁰ Vgl. Eckert, C., IT-Sicherheit, 2013, S. 1 f.

⁴¹ Vgl. Rump, J., Eilers, S. (Hrsg.), Digitalisierungspotenziale, 2022, S. 23 ff.

⁴² Vgl. Liedtke, T., I-Sicherheit, 2022, S. 19.

⁴³ Liedtke, T., I-Sicherheit, 2022, S. 201.

⁴⁴ Lie dtke, T., I-Sicherheit, 2022, S. 200.

⁴⁵ Vgl. Liedtke, T., I-Sicherheit, 2022, S. 195 ff.

⁴⁶ Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI 200-1, 2017, S. 8.

⁴⁷ Vgl. Pohlmann, N., Cyber-Raum, 2022, o. S.

⁴⁸ Pohlmann, N., Cyber-Sicherheit, 2019, S. 2.

⁴⁹ Vgl. Pohlmann, N., Cyber-Sicherheit, 2019, S. 2.

⁵⁰ Vgl. Bundeskriminalamt (BKA), Cybercrime, 2022, o. S.

⁵¹ Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI) (Hrsg.), Faktor Mensch, 2022, o. S.

⁵² Vgl. Langer, M., Bajwa, N. u. H., König, C. J. (Hrsg.), 21. Jahrhundert, 2021, S. 3 f.; Wiese, B. S., Stertz, A. M., Überblick, 2019, S. 1.

⁵³ Vgl . Nerdinger, F. W., Blickle, G., Schaper, N., Arbeitsverhalten, 2014, S. 442 ff.

⁵⁴ Dahm, M. H. (Hrsg.), OCB, 2021, S. 117.

⁵⁵ Vgl. Dahm, M. H. (Hrsg.), OCB, 2021, S. 117 f.

⁵⁶ Vgl . von Rosenstiel, L., Nerdinger, F. W., Grundlagen, 2013, S. 387 f.

⁵⁷ Vgl. Nerdinger, F. W., Blickle, G., Schaper, N., Arbeitsverhalten, 2014, S. 442 f.

⁵⁸ Helisch, M., Pokoyski, D. (Hrsg.), Security Awareness, 2009, S. 6.

⁵⁹ Vgl. Helisch, M., Pokoyski, D. (Hrsg.), Security Awareness, 2009, S. 1 ff.

⁶⁰ Vgl. TechTarget Inc., ComputerWeekly.de, Shadow IT, 2014, o. S.

⁶¹ Vgl. Zimmermann, S., Schatten-IT, 2018, S. 37.

⁶² Vgl. Urbach, N., Ahlemann, F., Zeitalter, 2016, S. 67 f.

⁶³ Vgl. Laitenberger, O., IT-Organisation, 2021, o. S.

⁶⁴ Vgl. Vanson Bourne, Nexthink, Digital Employee Experience, 2021, S. 2 ff.

⁶⁵ Vgl. Raza, M., Hertvik, J., Shadow Risks, 2020, o. S.

⁶⁶ Vgl. Pratt, M. K., Shadow Opportunities, 2021, o. S.

⁶⁷ Vgl. Cobb, S., Herausforderung, 2022, o. S.

⁶⁸ Vgl. Deutsche Bundestag Wissenschaftliche Dienste, Sachstand, 2017, S. 4 f.

⁶⁹ Vgl. Rump, J., Eilers, S. (Hrsg.), Mobiles Arbeiten, 2019, S. 85 f.

⁷⁰ Vgl. Wittig, C., Vorteile, 2018, S. 12.

⁷¹ Vgl. Institut für Arbeitsmarkt- und Berufsforschung (IAB), Nachteile, 2019, S. 6.

⁷² Vgl. Peters, M., Compliance Home-Office, 2021, o. S.

⁷³ Vgl. Kaspersky Lab, Kasperksy Study, 2020, S. 7 f.

⁷⁴ Vgl. IDG Tech Media GmbH, BYOD, 2021, o. S.

⁷⁵ Vgl. HP Wolf Security, Wolf, 2021, S. 1.

⁷⁶ Vgl. Vanini, U., Rieg. R., Risikomanagement, 2021, S. 41 ff.

⁷⁷ Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI) (Hrsg.), Lage der IT-Sicherheit, 2021, S. 66.

⁷⁸ Vgl. Oodrive, Top 10, 2022, o. S.

⁷⁹ Vgl. Swinhoe, D., Maier, F., Brute-Force, 2022, o. S.

⁸⁰ Vgl . Schreider, T., DoS, 2020, S. 65.

⁸¹ Vgl. Tommasi, F., Catalano, C., Taurino, I., MitM, 2021, S. 1.

⁸² Vgl. Beißel, S., Schadsoftware, 2016, S. 253 f.

⁸³ Vgl. Abassi, R., Ransomware, 2019, S. 1.

⁸⁴ Vgl. Beißel, S., Schadsoftware, 2016, S. 251 f.

⁸⁵ Vgl . Robert Koch-Institut (Hrsg.), COVID-19, 2021, o. S.

⁸⁶ Vgl. Sinn, H.-W., Lockdown,2020, S. 25 ff.

⁸⁷ Vgl. Straubhaar, T., kontrollierte Infizierung, 2020, o. S.

⁸⁸ I nstitut für Arbeitsmarkt- und Berufsforschung (IAB), IAB-Kurzbericht, 2021, S. 2 f.

⁸⁹ Vgl. Institut für Arbeitsmarkt- und Berufsforschung (IAB), IAB-Kurzbericht, 2021, S. 2 f.

⁹⁰ Vgl. ifo Institut (Hrsg.), HO-Potenzial, 2021, S. 2.

⁹¹ Vgl. Bundesanzeiger Verlag, Bundesanzeiger, 2021, S. 805.

⁹² Vgl. Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft (EY), Branchen, 2020, o. S.

⁹³ Vgl. DAK Gesundheit, Sonderanalyse, 2020, S. 4 ff.

⁹⁴ Vgl. Hofmann, J., Piele, A., Piele, C., New Normal, 2020, S. 6 ff.

⁹⁵ Vgl. DAK Gesundheit, Sonderanalyse, 2020, S. 15 ff.

⁹⁶ Vgl. Hofmann, J., Piele, A., Piele, C., Entgrenzungseffekte, 2021, S. 2 ff.

⁹⁷ Vgl. Hofmann, J., Piele, A., Piele, C., Produktivität, 2021, S. 2.

⁹⁸ DAK Gesundheit, Sonderanalyse, 2020, S. 16.

⁹⁹ Vgl. DAK Gesundheit, Sonderanalyse, 2020, S. 15 ff.

¹⁰⁰ Vgl. Hofmann, J., Piele, A., Piele, C., Entgrenzungseffekte, 2021, S. 2 ff.

¹⁰¹ Vgl. Bundesministerium für Wirtschaft und Energie (BMWi), Lehren, 2021, S. 7.

¹⁰² Mischung aus mobiler Arbeit und Arbeit im Büro des Unternehmens.

¹⁰³ Vgl. Hofmann, J., Piele, A., Piele, C., Ausgestaltung, 2021, S. 3 ff.

¹⁰⁴ Vgl. Pfnür, A., Eberhardt, M., Herr, T. (Hrsg.), Wandel, 2022, S. 103 ff.

¹⁰⁵ Vgl. Google Scholar, Suche „Schatten-IT“, 2022, o. S.

¹⁰⁶ Vgl. Google Scholar, Suche “Shadow IT”, 2022, o. S.

¹⁰⁷ Vgl. Google Scholar, Suche “Home-Office”, 2022, o. S.

¹⁰⁸ Vgl. Blanz, M., Frage, 2015, S. 42.

¹⁰⁹ Vgl. Töpfer, A., Forschungsfrage, 2012, S.155 f.

¹¹⁰ Vgl. Hofäcker, D., Stegl, M., Forschung, 2021, S. 25 f.

¹¹¹ Vgl. Döring, N., Bortz, J., Explorativ, 2016, S. 165.

¹¹² Vgl. Decker, O., Quantitativ, 2018, S. 245 f.

¹¹³ Vgl. Häder, M., Sozialforschung, 2019, S. 35 ff.

¹¹⁴ Häder, M., Sozialforschung, 2019, S. 35.

¹¹⁵ Hug, T., Poscheschnik, G., empirisch forschen, 2020, S. 69.

¹¹⁶ Vgl. Hug, T., Poscheschnik, G., empirisch forschen, 2020, S. 69.

¹¹⁷ Bortz, J., Döring, N., Hypothese, 2006, S. 4.

¹¹⁸ Vgl. Bortz, J., Döring, N., Hypothese, 2006, S. 4.

¹¹⁹ Vgl. Hussy, W., Schreier, M., Echterhoff, G., Operationalisierung, 2013, S. 31 f.

¹²⁰ Vgl . Goldenstein, J., Hunoldt, M., Walgenbach, P., Quantitativ, 2018, S. 111.

¹²¹ Töpfer, A., Forschungsfrage, 2012, S. 199.

¹²² Töpfer, A., Forschungsfrage, 2012, S. 204.

¹²³ Vgl. Töpfer, A., Forschungsfrage, 2012, S. 201 ff.

¹²⁴ Vgl. Hug, T., Poscheschnik, G., empirisch forschen, 2020, 89 ff.

¹²⁵ Vgl. Goldenstein, J., Hunoldt, M., Walgenbach, P., Quantitativ, 2018, S. 6 ff.; Klandt, H., Heidenreich, S., Forschungsdesign, 2017, S. 100 f.

¹²⁶ Hofäcker, D., Stegl, M., Forschung, 2021, S. 18.

¹²⁷ Vgl. Hofäcker, D., Stegl, M., Forschung, 2021, S. 18 f.

¹²⁸ Mayring, P., Qualitativ, 2016, S. 22.

¹²⁹ Vgl. Mayring, P., Qualitativ, 2016, S. 19 ff.

¹³⁰ Goldenstein, J., Hunoldt, M., Walgenbach, P., Quantitativ, 2018, S. 110

¹³¹ Vgl. Goldenstein, J., Hunoldt, M., Walgenbach, P., Quantitativ, 2018, S. 7.

¹³² Vgl . Goldenstein, J., Hunoldt, M., Walgenbach, P., Quantitativ, 2018, S. 92.

¹³³ Vgl. Hussy, W., Schreier, M., Echterhoff, G., Operationalisierung, 2013, S. 33.

¹³⁴ Vgl. Hussy, W., Schreier, M., Echterhoff, G., Operationalisierung, 2013, S. 33.

¹³⁵ Hug, T., Poscheschnik, G., empirisch forschen, 2020, S. 94.

¹³⁶ Vgl. Hug, T., Poscheschnik, G., empirisch forschen, 2020, 101 ff.

¹³⁷ Vgl. von der Assen, C., Psychologie, 2016, S. 135.; Bortz, J., Döring, N., Hypothese, 2006, S. 195.

¹³⁸ Vgl. Lienert, G. A., Raatz, U., Forderungen, 1998, S. 7.

¹³⁹ Vgl. Sedlmeier, P., Renkewitz, F., Gütekriterien, 2018, S. 80 f.

¹⁴⁰ Vgl. Bühner, M., Güte, 2021, S. 598.

¹⁴¹ Vgl. Sedlmeier, P., Renkewitz, F., Gütekriterien, 2018, S. 81 f.

¹⁴² von der Assen, C., Psychologie, 2016, S. 136.

¹⁴³ Vgl. Stier, W., Validität, 1996, S. 56 f.

¹⁴⁴ Moosbrugger, H., Kelava, A. (Hrsg.), Normtabellen, 2020, S. 32.

¹⁴⁵ Moosbrugger, H., Kelava, A. (Hrsg.), Normtabellen, 2020, S. 33.

¹⁴⁶ Vgl. Moosbrugger, H., Kelava, A. (Hrsg.), Normtabellen, 2020, S. 30 ff.

¹⁴⁷ Vgl. Pospeschill, M., Testtheorie, 2022, S. 28 f.

¹⁴⁸ Moosbrugger, H., Kelava, A. (Hrsg.), Normtabellen, 2020, S. 22.

¹⁴⁹ Vgl. Moosbrugger, H., Kelava, A. (Hrsg.), Normtabellen, 2020, S. 21 f.

¹⁵⁰ Lienert, G. A., Raatz, U., Forderungen, 1998, S. 12.

¹⁵¹ Vgl. Bühner, M., Güte, 2021, S. 634.

¹⁵² Vgl. Schnell, R., Interviews, 2019, S. 3.

¹⁵³ Vgl. Schnell, R., Interviews, 2019, S. 307.

¹⁵⁴ Vgl. Schweiger, W., Beck, K. (Hrsg.), Online-Survey, 2019, S. 550 f.

¹⁵⁵ Vgl. Jackob, N., Schoen, H., Zerback, T. (Hrsg.), Sozialforschung, 2009, S. 26 ff.; Welker, M., et. al. (Hrsg.), Survey Vorteile, 2021, S. 158 ff.

¹⁵⁶ Vgl. Möhring, W., Schlütz, D. (Hrsg.), Befragung Nachteile, 2013, S. 210 f.; Scholl, A., Die Befragung, 2018, S. 58.; Welker, M., et. al. (Hrsg.), Survey Vorteile, 2021, S. 158 ff.

¹⁵⁷ Vgl. Möhring, W., Schlütz, D., Befragung, 2019, S. 69.

¹⁵⁸ Vgl. Mayer, H. O., Interview und Befragung, 2013, S. 95 f.; Möhr ing, W., Schlütz, D., Befragung, 2019, S. 112.

¹⁵⁹ Vgl. Föhl, U., Friedrich. C., Onlinefragebogen, 2022, S. 84 ff.; Möhring, W., Schlütz, D., Befragung, 2019, S. 112 ff.; Porst, R., Fragebogen, 2014, S. 21 ff.

¹⁶⁰ Vgl. Wolter, F., soziale Erwünschtheit, 2012, S. 36 ff.

¹⁶¹ Vgl. Möhring, W., Schlütz, D., Befragung, 2019, S. 60 f.

¹⁶² Vgl. Schumann, S., Repräsentativ, 2019, S. 59 ff.

¹⁶³ Vgl. Osberghaus, D., et al., Klimawandel, 2020, S. 59.

¹⁶⁴ Vgl . Bitkom e.V. (Hrsg.), Wirtschaftsschutz, 2021, S. 6.

¹⁶⁵ Vgl. Kommission der Europäischen Gemeinschaften, Kommission, 2003, S. 41.

¹⁶⁶ S chumann, S., Repräsentativ, 2019, S. 21.

¹⁶⁷ Vgl. Mayer, H. O., Interview und Befragung, 2013, S. 71.

¹⁶⁸ Vgl. Föhl, U., Friedrich. C., Onlinefragebogen, 2022, S. 38.

¹⁶⁹ Kallus, K. W., Erstellung von Fragebogen, 2016, S. 55.

¹⁷⁰ Vgl. Kallus, K. W., Erstellung von Fragebogen, 2016, S. 55.

¹⁷¹ Scholl, A., Die Befragung, 2018, S. 164.

¹⁷² Vgl. Schöneck, N. M., Voß, W., Variable, 2013, S. 50 f.; Scholl, A., Die Befragung, 2018, S. 164.

¹⁷³ Vgl . Töpfer, A., Forschungsfrage, 2012, S. 229.

¹⁷⁴ Vgl. Schöneck, N. M., Voß, W., Variable, 2013, S. 51.

¹⁷⁵ Vgl . Hussy, W., Schreier, M., Echterhoff, G., Operationalisierung, 2013, S. 38 f.

¹⁷⁶ Döring, N., Bortz, J., Explorativ, 2016, S. 294.

¹⁷⁷ Vgl. Döring, N., Bortz, J., Explorativ, 2016, S. 292 ff.; Decker, O., Quantitativ, 2018, S. 248 ff.

¹⁷⁸ Decker, O., Quantitativ, 2018, S. 249.

¹⁷⁹ Vgl. Baur, N., Blasius, J. (Hrsg.), Stichprobenumfang, 2014, S. 286 ff.; Döring, N., Bortz, J., Explorativ, 2016, S. 294 ff. und 385.

¹⁸⁰ Statistisches Bundesamt (Hrsg.), Pressemitteilung Nr. 139, 2022, o. S.

¹⁸¹ Vgl. Statistisches Bundesamt (Hrsg.), Pressemitteilung Nr. 139, 2022, o. S.

¹⁸² Bitkom e. V. (Hrsg.), Presseinformation New Work, 2022, o. S.

¹⁸³ Vgl. Bitkom e. V. (Hrsg.), Presseinformation New Work, 2022, o. S.

¹⁸⁴ Herzing, J. M. E., Software Survey, 2019, S. 9.

¹⁸⁵ Vgl. Föhl, U., Friedrich. C., Onlinefragebogen, 2022, S. 101 ff.

¹⁸⁶ Föhl, U., Friedrich. C., Onlinefragebogen, 2022, S. 119.

¹⁸⁷ Vgl. Schnell, R., Interviews, 2019, S. 123.

¹⁸⁸ Vgl. Converse, J. M., Presser, S., Survey Questions, 1986, S. 54 f. zitiert nach Schnell, R., Interviews, 2019, S. 123.

¹⁸⁹ Vgl. Föhl, U., Friedrich. C., Onlinefragebogen, 2022, S. 119 ff.

¹⁹⁰ Bei Open-Source Software handelt es sich um Programme, die frei zugänglich sind.

¹⁹¹ Vgl. SoSci Survey GmbH, Umfrage-Tool, 2022, o. S.

¹⁹² Vgl. SurveyCircle, Online-Plattform, 2022, o. S.

¹⁹³ Vgl. Döring, N., Bortz, J., Explorativ, 2016, S. 580 f.

¹⁹⁴ Döring, N., Bortz, J., Explorativ, 2016, S. 585 zitiert nach Schendera, C. FG, Statistik verstehen, 2015, S. 266.

¹⁹⁵ Vgl . Schendera, C. FG, Statistik verstehen, 2015, S. 265 f.

¹⁹⁶ Vgl. Döring, N., Bortz, J., Explorativ, 2016, S. 598.

¹⁹⁷ Vgl. Joas, H., Mau, S. (Hg.), Sozialforschung, 2020, S. 78 f.

¹⁹⁸ Vgl . Bourier, G., beschreibende Statistik, 2018, S. 1 ff.