MedISA
Medical Centre Employee Centered Information Security Awareness
eHAIS-Q
Erweiterter Human Aspects of Information Security Questionnaire (eHAIS-Q, basierend auf Parsons et al., 2017)
Grundlage Der erweiterte Fragebogen basiert auf dem HAIS-Q, entwickelt von Parsons et al. (2017). Der Originalfragebogen misst Verhalten, Wissen und Einstellungen in Bezug auf die Informationssicherheit in sieben Fokusbereichen.
Quelle des Originals
Titel: The Human Aspects of Information Security Questionnaire (HAIS-Q): Two further validation studies DOI: 10.1016/j.cose.2017.01.004
Jahr: 2017
Jahr: 2017
Hinweis zur Anpassung Zwei Itemsaus der Fokusarea "Mobile Endgeräte" wurden im Hinblick auf den aktuellen Stand der Technik leicht modifiziert. Zudem wurden zwei neue Fokusbereiche ergänzt: Präventive Sicherheitsorientierung und Verantwortungsbewusster Informationsaustausch. Der erweiterte HAIS-Q liegt zudem auf Deutsch und Englisch vor.
Jahr 2025
Sprache der Items Deutsch und Englisch
Anzahl an Items 81
Reliabilität (McDonald’s ω) Wissen = 0,94, Einstellung = 0,96, Verhalten = 0,94
Validität Faktorielle, Konvergente und Diskriminante Validität für die deutsche Version belegt
Messinvarianz Skalare Messinvarianz für Deutsch und Englisch belegt
Auswahlgesamtheit für Testung der Gütekriterien 1.182 Personen aus Access-Panels (DACH n = 601; UK n = 581)
Wissen
- Instruktionen
- Die folgenden Aussagen beziehen sich auf Ihr Wissen darüber, wie Sie sich verhalten sollten, um die Leitlinien der Informationssicherheit auf der Arbeit einzuhalten.
- Antwortvorgabe
- „Stimme voll und ganz zu“ bedeutet, dass die Aussage voll und ganz mit den Leitlinien der Informationssicherheit übereinstimmt.„Stimme überhaupt nicht zu“ bedeutet, dass die Aussage überhaupt nicht mit den Leitlinien der Informationssicherheit übereinstimmt.Mit den Angaben dazwischen können Sie Ihre Antworten abstufen. (5-Punkt-Likert-Skala)
| Fokusbereiche | Unterkategorien | Aussagen |
|---|---|---|
| Passwortverwaltung | Verwendung desselben Passworts | Es ist in Ordnung, ein Social-Media-Passwort auch für Arbeits-Accounts zu verwenden. |
| Teilen von Passwörtern | Ich darf mein Arbeitspasswort mit meinen Kolleginnen und Kollegen teilen. | |
| Verwendung eines starken Passworts | Für kurze Arbeitspasswörter muss man eine Kombination aus Buchstaben, Zahlen und Sonderzeichen verwenden. | |
| E-Mail-Nutzung | Klicken auf Links in E-Mails von bekannten Absendern | Ich darf jeden Link in einer E-Mail anklicken, wenn ich den Absender kenne. |
| Klicken auf Links in E-Mails von unbekannten Absendern | Ich darf nicht auf einen Link in einer E-Mail von einem unbekannten Absender klicken. | |
| Öffnen von Anhängen in E-Mails von unbekannten Absendern | Ich darf E-Mail-Anhänge von unbekannten Absendern öffnen. | |
| Internetnutzung | Herunterladen von Dateien | Ich darf alle Dateien auf meinen Arbeitscomputer herunterladen, wenn sie mir helfen, meine Arbeit zu erledigen. |
| Zugriff auf dubiose Websites | Manche Webseiten sollte man bei der Arbeit besser nicht aufrufen. | |
| Eingabe von Informationen online | Ich darf auf jeder Webseite beliebige Informationen eingeben, wenn es mir hilft, meine Arbeit zu erledigen. | |
| Nutzung sozialer Medien | Überprüfen der Privatsphäre-Einstellungen | Die Privatsphäre-Einstellungen von Social-Media-Accounts müssen regelmäßig überprüft werden. |
| Berücksichtigung von Konsequenzen | Ich kann nicht für etwas gekündigt werden, das ich in Social-Media veröffentliche. | |
| Posten über die Arbeit | In sozialen Medien kann ich über meine Arbeit posten, was ich will. | |
| Mobile Endgeräte | Physische Sicherung mobiler Geräte | Wenn ich an einem öffentlichen Ort arbeite, muss ich mobile Geräte wie Laptop oder Tablet immer nah bei mir haben. |
| Senden sensibler Informationen über WLAN | Ich darf sensible Arbeitsdateien über ein öffentliches WLAN versenden. | |
| Schultersurfen | Wenn ich an einem vertraulichen Dokument arbeite, muss ich den Bildschirm von Laptop oder Tablet vor fremden Blicken schützen. | |
| Umgang mit Informationen | Entsorgung sensibler Ausdrucke | Ausdrucke mit sensiblen Informationen können auf die gleiche Weise entsorgt werden wie Ausdrucke ohne sensible Informationen. |
| Umgang mit entfernbaren Speichermedien | Wenn man einen USB-Stick an einem öffentlichen Ort finde, sollte man ihn nicht an einen Arbeitscomputer anschließen. | |
| Zurücklassen sensibler Materialien | Ich darf Ausdrucke mit sensiblen Informationen auf dem Schreibtisch liegen lassen, wenn ich mich davon entferne. | |
| Vorfallmeldung | Verdächtiges Verhalten melden | Wenn ich beobachte, wie sich jemand auf der Arbeit verdächtig verhält, sollte ich das melden. |
| Ignorieren von Sicherheitsverhalten durch Kollegen | Ich darf ein mangelndes Sicherheitsverhalten meiner Kolleginnen und Kollegen nicht ignorieren. | |
| Melden aller Vorfälle | Die Meldung von Sicherheitsvorfällen ist freiwillig. | |
| Präventive Sicherheitsorientierung | Schulung & Sensibilisierung | Das Personal muss regelmäßig an Schulungen oder Fortbildungen in Sachen Informationssicherheit teilnehmen. |
| Richtlinienkenntnis | Das Personal muss sich regelmäßig über Vorschriften und Richtlinien der Organisation zur Informationssicherheit auf dem Laufenden halten. | |
| Technische Sicherheitsmaßnahmen | Ich muss daran mitwirken, dass Sicherheitsupdates für Arbeitsgeräte regelmäßig durchgeführt werden. | |
| Verantwortungsbewusster Informationsaustausch | Autorisierter Informationsaustausch | Ich darf mit anderen nur über vertrauliche Informationen sprechen, wenn eine Erlaubnis vorliegt. |
| Lauschschutz | Wenn man über vertrauliche Informationen spricht, muss sichergestellt sein, dass Unbefugte nicht mithören können. | |
| Verantwortungsbewusstsein bei Fehlverhalten | Die versehentliche Preisgabe sensibler Informationen an Unbefugte muss gemeldet werden. |
Einstellung
- Instruktionen
- Die folgenden Aussagen beziehen sich auf Ihre persönliche Einstellung gegenüber den Richtlinien zur Informationssicherheit auf der Arbeit. Bitte sagen Sie uns jetzt, was Sie von diesen Richtlinien halten.
- Antwortvorgabe
- „Stimme voll und ganz zu“ bedeutet, dass die Aussage vollkommen Ihrer persönlichen Einstellung entspricht.„Stimme überhaupt nicht zu“ bedeutet, dass die Aussage rein gar nichts mit Ihrer persönlichen Einstellung zu tun hat.Mit den Angaben dazwischen können Sie Ihre Antworten abstufen. (5-Punkt-Likert-Skala)
| Fokusbereiche | Unterkategorien | Aussagen |
|---|---|---|
| Passwortverwaltung | Verwendung desselben Passworts | Es ist sicher, dasselbe Passwort für Social-Media-Konten und berufliche genutzte Accounts zu verwenden. |
| Teilen von Passwörtern | Arbeitspasswörter sollte man nicht weitergeben. Auch dann nicht, wenn man von einem Kollegen oder einer Kollegin darum gebeten wird. | |
| Verwendung eines starken Passworts | Kurze Arbeitspasswörter, die nur aus Buchstaben bestehen, sind sicher genug. | |
| E-Mail-Nutzung | Klicken auf Links in E-Mails von bekannten Absendern | Es ist stets sicher, Links in einer E-Mail anzuklicken, wenn ich den Absender kenne. |
| Klicken auf Links in E-Mails von unbekannten Absendern | Es kann nicht viel passieren, wenn ich auf einen Link in einer E-Mail von einem unbekannten Absender klicke. | |
| Öffnen von Anhängen in E-Mails von unbekannten Absendern | Es ist riskant, einen E-Mail-Anhang von einem unbekannten Absender zu öffnen. | |
| Internetnutzung | Herunterladen von Dateien | Es kann riskant sein, Dateien auf einen Arbeitscomputer herunterzuladen. |
| Zugriff auf dubiose Websites | Nur weil man bei der Arbeit auf eine Webseite zugreifen kann, bedeutet das noch lange nicht, dass diese auch sicher ist. | |
| Eingabe von Informationen online | Wenn es mir hilft, meine Arbeit zu erledigen, spielt es keine Rolle, welche Informationen ich auf einer Webseite eingebe. | |
| Nutzung sozialer Medien | Überprüfen der Privatsphäre-Einstellungen | Es ist sinnvoll, die Privatsphäre-Einstellungen von Social-Media-Accounts regelmäßig zu überprüfen. |
| Berücksichtigung von Konsequenzen | In sozialen Medien kann ich bedenkenlos Dinge posten, die ich sonst nicht öffentlich sagen würde. | |
| Posten über die Arbeit | Es ist riskant, in Social-Media bestimmte Dinge über die eigene Arbeit zu posten. | |
| Mobile Endgeräte | Physische Sicherung mobiler Geräte | Wenn ich an einem öffentlichen Ort arbeite, ist es sicher, mobile Geräte wie Laptop oder Tablet für einen Moment unbeaufsichtigt zu lassen. |
| Senden sensibler Informationen über WLAN | Es ist riskant, sensible Arbeitsdateien über ein öffentliches WLAN zu versenden. | |
| Schultersurfen | Es ist riskant, vertrauliche Dokumente auf mobilen Geräten wie Laptop oder Tablet zu öffnen, wenn Fremde den Bildschirm einsehen können. | |
| Umgang mit Informationen | Entsorgung sensibler Ausdrucke | Ausdrucke mit sensiblen Informationen kann man bedenkenlos im Papierkorb entsorgen. |
| Umgang mit entfernbaren Speichermedien | Wenn ich einen USB-Stick an einem öffentlichen Ort finde, kann nicht viel passieren, wenn ich ihn an einen Arbeitscomputer anschließe. | |
| Zurücklassen sensibler Materialien | Es ist riskant, Ausdrucke mit sensiblen Informationen unbeaufsichtigt auf dem Schreibtisch liegen zu lassen. | |
| Vorfallmeldung | Verdächtiges Verhalten melden | Es kann nichts Schlimmes passieren, wenn man verdächtiges Verhalten von anderen auf der Arbeit nicht weiter beachtet. |
| Ignorieren von Sicherheitsverhalten durch Kollegen | Es macht nichts, wenn ich über mangelndes Sicherheitsverhalten meiner Kolleginnen und Kollegen hinwegsehe. | |
| Melden aller Vorfälle | Es ist riskant, Sicherheitsvorfälle zu ignorieren, auch wenn ich sie für unerheblich halte. | |
| Präventive Sicherheitsorientierung | Schulung & Sensibilisierung | Es ist sinnvoll, dass das Personal regelmäßig an Schulungen oder Fortbildungen in Sachen Informationssicherheit teilnimmt. |
| Richtlinienkenntnis | Es ist angemessen, sich regelmäßig über Vorschriften und Richtlinien der Organisation zur Informationssicherheit auf dem Laufenden zu halten. | |
| Technische Sicherheitsmaßnahmen | Es ist wichtig, Sicherheitsupdates für Arbeitsgeräte regelmäßig durchzuführen. | |
| Verantwortungsbewusster Informationsaustausch | Autorisierter Informationsaustausch | Es ist wichtig, mit Unbefugten nicht über vertrauliche Informationen zu sprechen. |
| Lauschschutz | Es ist riskant, über vertrauliche Informationen zu sprechen, wenn Unbefugte mithören können. | |
| Verantwortungsbewusstsein bei Fehlverhalten | Es ist wichtig zu melden, falls sensible Informationen versehentlich an Unbefugte preisgegeben werden. |
Verhalten
- Instruktionen
- Die folgenden Aussagen beziehen sich nun auf Ihr tatsächliches Verhalten zur Informationssicherheit auf der Arbeit. Sagen Sie uns jetzt bitte, wie Sie sich im Arbeitsalltag verhalten.
- Antwortvorgabe
- „Stimme voll und ganz zu“ bedeutet, dass die Aussage vollkommen mit Ihrem tatsächlichen Verhalten übereinstimmt.„Stimme überhaupt nicht zu“ bedeutet, dass die Aussage rein gar nichts mit Ihrem tatsächlichen Verhalten zu tun hat.Mit den Angaben dazwischen können Sie Ihre Antworten abstufen. (5-Punkt-Likert-Skala)
| Fokusbereiche | Unterkategorien | Aussagen |
|---|---|---|
| Passwortverwaltung | Verwendung desselben Passworts | Für Social-Media-Konten und beruflich genutzte Accounts verwende ich jeweils ein eigenes Passwort. |
| Teilen von Passwörtern | Ich teile meine Arbeitspasswörter mit meinen Kolleginnen und Kollegen. | |
| Verwendung eines starken Passworts | Für kurze Arbeitspasswörter verwende ich eine Kombination aus Buchstaben, Zahlen und Sonderzeichen. | |
| E-Mail-Nutzung | Klicken auf Links in E-Mails von bekannten Absendern | Ich klicke noch lange nicht auf jeden Link in einer E-Mail, nur weil ich den Absender kenne. |
| Klicken auf Links in E-Mails von unbekannten Absendern | Wenn eine E-Mail eines unbekannten Absenders interessant erscheint, klicke ich einen Link darin an. | |
| Öffnen von Anhängen in E-Mails von unbekannten Absendern | Ich öffne keine E-Mail-Anhänge, wenn ich den Absender nicht kenne. | |
| Internetnutzung | Herunterladen von Dateien | Auf meine Arbeitscomputer lade ich alle Dateien herunter, die mir helfen, meine Arbeit zu erledigen. |
| Zugriff auf dubiose Websites | Wenn ich bei der Arbeit ins Internet gehe, besuche ich jede Webseite, die ich besuchen will. | |
| Eingabe von Informationen online | Ich bewerte, wie sicher Webseiten sind, bevor ich dort Informationen eingebe. | |
| Nutzung sozialer Medien | Überprüfen der Privatsphäre-Einstellungen | Ich überprüfe die Privatsphäre-Einstellungen meiner Social-Media-Accounts nicht regelmäßig. |
| Berücksichtigung von Konsequenzen | Ich veröffentliche nichts in Social-Media, bevor ich nicht die negativen Folgen bedacht habe. | |
| Posten über die Arbeit | In sozialen Medien poste ich über meine Arbeit, was ich will. | |
| Mobile Endgeräte | Physische Sicherung mobiler Geräte | Wenn ich an einem öffentlichen Ort arbeite, lasse ich mobile Geräte wie Laptop oder Tablet unbeaufsichtigt. |
| Senden sensibler Informationen über WLAN | Ich versende sensible Arbeitsdateien über ein öffentliches WLAN. | |
| Schultersurfen | Wenn ich an einem vertraulichen Dokument arbeite, stelle ich sicher, dass Fremde den Bildschirm des mobilen Geräts wie Laptop oder Tablet nicht einsehen können. | |
| Umgang mit Informationen | Entsorgung sensibler Ausdrucke | Wenn Ausdrucke mit sensiblen Informationen entsorgt werden müssen, sorge ich dafür, dass sie geschreddert oder vernichtet werden. |
| Umgang mit entfernbaren Speichermedien | Ich würde einen USB-Stick, den ich an einem öffentlichen Ort finde, nicht an einen Arbeitscomputer anschließen. | |
| Zurücklassen sensibler Materialien | Ich lasse Ausdrucke mit sensiblen Informationen auf dem Schreibtisch liegen, wenn ich nicht vor Ort bin. | |
| Vorfallmeldung | Verdächtiges Verhalten melden | Wenn ich beobachten würde, wie sich jemand auf der Arbeit verdächtig verhält, würde ich etwas dagegen unternehmen. |
| Ignorieren von Sicherheitsverhalten durch Kollegen | Falls ich bemerke, dass meine Kollegin oder mein Kollege die Sicherheitsvorschriften nicht beachtet, werde ich nichts dagegen unternehmen. | |
| Melden aller Vorfälle | Wenn ich einen Sicherheitsvorfall bemerke, würde ich ihn melden. | |
| Präventive Sicherheitsorientierung | Schulung & Sensibilisierung | Ich nehme regelmäßig an Schulungen oder Fortbildungen in Sachen Informationssicherheit teil. |
| Richtlinienkenntnis | Ich informiere mich regelmäßig über die Vorschriften und Richtlinien zur Informationssicherheit in meiner Organisation. | |
| Technische Sicherheitsmaßnahmen | Ich achte darauf, dass verfügbare Sicherheitsupdates auf meinen Arbeitsgeräten installiert werden. | |
| Verantwortungsbewusster Informationsaustausch | Autorisierter Informationsaustausch | Es kommt vor, dass ich ohne Erlaubnis mit anderen über vertrauliche Informationen spreche. |
| Lauschschutz | Manchmal spreche ich über vertrauliche Informationen, obwohl andere mithören können. | |
| Verantwortungsbewusstsein bei Fehlverhalten | Falls ich sensible Informationen versehentlich an Unbefugte preisgebe, werde ich dies melden. |