User Interaction with Smartphone Security and Privacy Mechanisms

Language
en
Document Type
Doctoral Thesis
Issue Date
2019-09-23
Issue Year
2019
Authors
Reinfelder, Lena
Editor
Abstract

In the last ten years, smartphones revolutionized the way people are using and accessing the Internet. Today it is possible to go online (almost) anytime and anywhere. Furthermore, smartphones have become an integral part of our world influencing social contacts, media usage and business processes. This growing importance and usage of smartphones also leads to an increased demand in security and privacy measures. While in the private context, the smartphone operating system providers implement security and privacy mechanisms, in the business context organizational IT departments often take the role in providing appropriate additional security measures. In this thesis, we investigate how users in a private context as well as in a business context interact with security mechanisms. First, we consider private smartphone usage with special regard to user interaction with the permission systems and application handling of the different smartphone operating systems of Google and Apple. We examine security and privacy attitudes, behavior of smartphone users as well as the relationship between the different smartphone platforms (Android and iOS) and security and privacy aspects. We apply quantitative as well as qualitative research methods in order to gain these insights by conducting and analyzing online-based surveys and semi-structured interviews. According to our results, we conclude that iOS is considered more secure than Android, which results in a feeling of responsibility for security by Android users. Also, Android users seem to be more security and privacy aware than iOS users mostly because they notice Android permissions. Further, the runtime permission model is perceived as more useful and evokes a more positive emotional attitude than the former Android permission model. With this research, we contribute to a better understanding of the role of the specific security and privacy features, such as permission systems and application handling. In doing so, we facilitate improvements of the current and future development of security and privacy features of mobile systems, such that the systems can be better adjusted with perceptions, concerns and requirements of the users. Second, we investigate interactions of smartphone users with security mechanisms in an organizational context. We first conduct a structured literature review. We base our search on the Dynamic Security Success Model (DSSM), which we develop according to the Organizational Learning Theory and the Information Systems Success Model. The DSSM provides insights into organizational smartphone security processes and reveals research gaps. According to the identified research gaps, we conduct semi-structured interviews with security managers from large-scale German organizations as well as with employees from various companies. We investigate the process of smartphone security development and implementation in organizations and uncover effects of these security mechanisms on the behavior of employees. The results reveal that smartphone security development in organizations lacks organizational structures for including users into this process. This leads to a negative perception of users by security managers and consequently in a control-oriented, rather than a user-oriented approach. The insights gained through our research help organizations to reconsider the role of employees during the development phase of their security solutions as usability of security measures is essential for their effectiveness.

Abstract

In den letzten zehn Jahren haben Smartphones die Art, wie Menschen das Internet nutzen und darauf zugreifen, revolutioniert. Es ist heute möglich, von (nahezu) überall und zu jeder Zeit das Internet zu nutzen. Weiterhin sind Smartphones zu einem Teil unserer Welt geworden, der nicht mehr wegzudenken ist und Einfluss auf soziale Kontakte, Mediennutzung und Geschäftsprozesse nimmt. Die wachsende Bedeutung und Nutzung von Smartphones führt auch zu einer erhöhten Nachfrage von Sicherheits- und Privatsphäremaßnahmen. Während im privaten Kontext die Smartphone-Hersteller Sicherheits- und Privatsphäremechanismen zur Verfügung stellen, sind es im Unternehmenskontext oftmals die IT-Abteilungen der Unternehmen, welche diese Rolle übernehmen und entsprechende zusätzliche Sicherheitsmaßnahmen einsetzen. In der vorliegenden Arbeit wird untersucht, wie Nutzer mit Sicherheitsmaßnahmen sowohl in einem privaten als auch in einem beruflichen Kontext interagieren. Zuerst wird die private Smartphonenutzung betrachtet, insbesondere die Interaktion der Nutzern mit den Berechtigungssystemen und ihren Umgang mit Applikationen der Smartphone-Betriebssysteme von Google und Apple. Die Sicherheits- und Privatsphäreeinstellungen, das Verhalten der Smartphonenutzer sowie die Beziehung zwischen der Art des Smartphones (Android und iOS) und den Sicherheits- und Privatsphäreaspekten werden untersucht. Dazu werden sowohl quantitative als auch qualitative Forschungsmethoden angewendet, indem online-basierte Umfragen und halbstrukturierte Interviews durchführt und analysiert werden. Ausgehend von den Ergebnissen, schließen wir, dass iOS als sicherer als Android wahrgenommen wird, was zu einem Gefühl der Verantwortung für Sicherheit bei Android Nutzern führt. Ebenso scheinen Android Nutzer ein ausgeprägteres Bewusstsein für Sicherheit und Privatsphäre zu haben, als iOS Nutzer. Dieses Bewusstsein ist vor allem der Nutzerwahrnehmung von Android Berechtigungen zuzuschreiben. Weiterhin wird das runtime Berechtigungssystem als nützlicher und als positiver wahrgenommen, im Vergleich zum vorherigen Berechtigungssystem. Mit dieser Forschung leisten wir einen Beitrag zu einem verbesserten Verständnis davon, welche Rolle Sicherheits- und Privatsphärefunktionen spielen, wie z.B. das Berechtigungssystem und der Umgang mit Apps. Somit ermöglichen wir Verbesserungen in der heutigen und zukünftigen Entwicklung von Sicherheits- und Privatsphärefunktionen von mobilen Systemen, wodurch diese besser an Nutzerwahrnehmungen, Bedenken und Anforderungen abgestimmt werden können. Zweitens wird die Interaktion von Smartphonenutzern mit Sicherheitsmechanismen im Unternehmenskontext untersucht. Dazu wird eine strukturierte Literaturanalyse durchgeführt. Die Literatursuche basiert auf dem eigens entwickelten Dynamic Security Success Model (DSSM), welches sich von der Organizational Learning Theorie und dem Information Systems Success Model ableitet. Das DSSM beinhaltet Erkenntnisse über organisationelle Smartphone-Sicherheitsprozesse und identifiziert Forschungslücken. Ausgehend von den identifizierten Forschungslücken, führen wir halb-strukturierte Interviews mit Sicherheitsmanagern aus deutschen Großunternehmen durch, sowie mit Mitarbeitern aus unterschiedlichen Unternehmen. Das Ziel ist es, den Prozess der Smartphone- Sicherheitsentwicklung und Umsetzung in Unternehmen zu untersuchen und Auswirkungen dieser Sicherheitsmaßnahmen auf das Verhalten der Mitarbeiter offen zu legen. Die Ergebnisse offenbaren, dass bei der Entwicklung von Smartphone-Sicherheit in Unternehmen organisationelle Strukturen fehlen, um Nutzer in diesen Prozess einzubinden. Dies führt zu einer negativen Wahrnehmung der Nutzer durch Sicherheitsmanager und in der Konsequenz zu einem kontrollorientierten und nicht einem nutzerorientierten Ansatz. Die Erkenntnisse aus diesen Untersuchungen helfen Unternehmen die Rolle der Mitarbeiter im Entwicklungsprozess von Sicherheitslösungen zu berücksichtigen, da die Benutzbarkeit von Sicherheitsmaßnahmen essentiell für deren Effektivität ist.

DOI
Zugehörige ORCIDs