User interaction with smartphone security and privacy mechanisms Interaktion von Nutzern mit Sicherheits- und Privatsph¨aremechanismen von Smartphones Der Rechts- und Wirtschaftswissenschaftlichen Fakult¨at/ dem Fachbereich Wirtschafts- und Sozialwissenschaften der Friedrich-Alexander-Universit¨atErlangen-N¨urnberg zur Erlangung des Doktorgrades Dr. rer. pol. vorgelegt von Lena Reinfelder M.Sc. aus Forchheim Als Dissertation genehmigt von der Rechts- und Wirtschaftswissenschaftlichen Fakult¨at/ vom Fachbereich Wirtschafts- und Sozialwissenschaften der Friedrich-Alexander-Universit¨atErlangen-N¨urnberg Promotionstermin: 09. Juli 2019 Tag der mundlichen¨ Prufung¨ : 02. Juli 2019 Vorsitzender des Promotionsorgans: Prof. Dr. Markus Beckmann Gutachter: Prof. Dr. Freimut Bodendorf Prof. Dr. Felix Freiling Abstract In the last ten years, smartphones revolutionized the way people are using and accessing the Internet. Today it is possible to go online (almost) anytime and anywhere. Further- more, smartphones have become an integral part of our world influencing social contacts, media usage and business processes. This growing importance and usage of smartphones also leads to an increased demand in security and privacy measures. While in the private context, the smartphone operating system providers implement security and privacy mechanisms, in the business context organizational IT departments often take the role in providing appropriate additional security measures. In this thesis, we investigate how users in a private context as well as in a business context interact with security mechanisms. First, we consider private smartphone usage with special regard to user interaction with the permission systems and application handling of the different smartphone operating systems of Google and Apple. We examine security and privacy attitudes, behavior of smartphone users as well as the relationship between the different smartphone platforms (Android and iOS) and security and privacy aspects. We apply quantitative as well as qualitative research methods in order to gain these insights by conducting and analyzing online-based surveys and semi-structured interviews. According to our results, we conclude that iOS is considered more secure than Android, which results in a feeling of responsibility for security by Android users. Also, Android users seem to be more security and privacy aware than iOS users mostly because they notice Android permissions. Further, the runtime permission model is perceived as more useful and evokes a more positive emotional attitude than the former Android permission model. With this research, we contribute to a better understanding of the role of the specific security and privacy features, such as permission systems and application handling. In doing so, we facilitate improvements of the current and future development of security and privacy features of mobile systems, such that the systems can be better adjusted with perceptions, concerns and requirements of the users. Second, we investigate interactions of smartphone users with security mechanisms in an organizational context. We first conduct a structured literature review. We base our search on the Dynamic Security Success Model (DSSM), which we develop according to the Organizational Learning Theory and the Information Systems Success Model. The DSSM provides insights into organizational smartphone security processes and reveals research gaps. According to the identified research gaps, we conduct semi-structured interviews with security managers from large-scale German organizations as well as with employees from various companies. We investigate the process of smartphone security development and implementation in organizations and uncover effects of these security mechanisms on the behavior of employees. The results reveal that smartphone security development in organizations lacks organizational structures for including users into this process. This leads to a negative perception of users by security managers and consequently in a control-oriented, rather than a user-oriented approach. The insights gained through our research help organizations to reconsider the role of employees during the development phase of their security solutions as usability of security measures is essential for their effectiveness. Zusammenfassung In den letzten zehn Jahren haben Smartphones die Art, wie Menschen das Internet nutzen und darauf zugreifen, revolutioniert. Es ist heute m¨oglich, von (nahezu) uberall¨ und zu jeder Zeit das Internet zu nutzen. Weiterhin sind Smartphones zu einem Teil unserer Welt geworden, der nicht mehr wegzudenken ist und Einfluss auf soziale Kontakte, Mediennutzung und Gesch¨aftsprozesse nimmt. Die wachsende Bedeutung und Nutzung von Smartphones fuhrt¨ auch zu einer erh¨ohten Nachfrage von Sicherheits- und Privatsph¨aremaßnahmen. W¨ahrend im privaten Kontext die Smartphone-Hersteller Sicherheits- und Privatsph¨aremechanismen zur Verfugung¨ stellen, sind es im Unternehmenskontext oftmals die IT-Abteilungen der Unternehmen, welche diese Rolle ubernehmen¨ und entsprechende zus¨atzliche Sicherheitsmaßnahmen ein- setzen. In der vorliegenden Arbeit wird untersucht, wie Nutzer mit Sicherheitsmaßnahmen sowohl in einem privaten als auch in einem beruflichen Kontext interagieren. Zuerst wird die private Smartphonenutzung betrachtet, insbesondere die Interakti- on der Nutzer mit den Berechtigungssystemen und ihren Umgang mit Applikatio- nen der Smartphone-Betriebssysteme von Google und Apple. Die Sicherheits- und Privatsph¨areeinstellungen, das Verhalten der Smartphonenutzer sowie die Beziehung zwischen der Art des Smartphones (Android und iOS) und den Sicherheits- und Pri- vatsph¨areaspekten werden untersucht. Dazu werden sowohl quantitative als auch qua- litative Forschungsmethoden angewendet, indem online-basierte Umfragen und halb- strukturierte Interviews durchfuhrt¨ und analysiert werden. Ausgehend von den Ergebnis- sen, schließen wir, dass iOS sicherer als Android wahrgenommen wird, was zu einem Gefuhl¨ der Verantwortung fur¨ Sicherheit bei Android Nutzern fuhrt.¨ Ebenso scheinen Android Nutzer ein ausgepr¨agteres Bewusstsein fur¨ Sicherheit und Privatsph¨are zu haben, als iOS Nutzer. Dieses Bewusstssein ist vor allem der Nutzerwahrnehmung von Android Berech- tigungen zuzuschreiben. Weiterhin wird das runtime Berechtigungssystem als nutzlicher¨ und als positiver wahrgenommen, im Vergleich zum vorherigen Berechtigungssystem. Mit dieser Forschung leisten wir einen Beitrag zu einem verbesserten Verst¨andnis davon, welche Rolle Sicherheits- und Privatsph¨arefunktionen spielen, wie z.B. das Berechti- gungssystem und der Umgang mit Apps. Somit erm¨oglichen wir Verbesserungen in der heutigen und zukunftigen¨ Entwicklung von Sicherheits- und Privatsph¨arefunktionen von mobilen Systemen, wodurch diese besser auf Nutzerwahrnehmungen, Bedenken und Anforderungen abgestimmt werden k¨onnen. Zweitens wird die Interaktion von Smartphonenutzern mit Sicherheitsmechanismen im Unternehmenskontext untersucht. Dazu wird eine strukturierte Literaturanalyse durch- gefuhrt.¨ Die Literatursuche basiert auf dem eigens entwickelten Dynamic Security Success Model (DSSM), welches sich von der Organizational Learning Theorie und dem In- formation Systems Success Model ableitet. Das DSSM beinhaltet Erkenntnisse uber¨ organisationelle Smartphone-Sicherheitsprozesse und identifiziert Forschungslucken.¨ Aus- gehend von den identifizierten Forschungslucken,¨ fuhren¨ wir halb-strukturierte Interviews mit Sicherheitsmanagern aus deutschen Großunternehmen durch, sowie mit Mitarbei- tern aus unterschiedlichen Unternehmen. Das Ziel ist es, den Prozess der Smartphone- Sicherheitsentwicklung und Umsetzung in Unternehmen zu untersuchen und Auswirkun- gen dieser Sicherheitsmaßnahmen auf das Verhalten der Mitarbeiter offen zu legen. Die Ergebnisse offenbaren, dass bei der Entwicklung von Smartphone-Sicherheit in Unterneh- men organisationelle Strukturen fehlen, um Nutzer in diesen Prozess einzubinden. Dies fuhrt¨ zu einer negativen Wahrnehmung der Nutzer durch Sicherheitsmanager und in der Konsequenz zu einem kontrollorientierten und nicht einem nutzerorientierten Ansatz. Die Erkenntnisse aus diesen Untersuchungen helfen Unternehmen die Rolle der Mitarbeiter im Entwicklungsprozess von Sicherheitsl¨osungen zu berucksichtigen,¨ da die Benutzbarkeit von Sicherheitsmaßnahmen essentiell fur¨ deren Effektivit¨at ist. Acknowledgments This thesis would not have been possible without quite a number of people. First of all, I want to thank my doctoral advisors Felix Freiling and Zinaida Benenson for giving me the chance to work at the chair of IT-Security Infrastructures at the Department of Computer Science at the FAU Erlangen-N¨urnberg. They supported me during various projects and helped me to overcome challenges regarding my research topic. In addition, I want to thank Freimut Bodendorf for his collaboration, which allowed me to work at the lab of Felix Freiling, while at the same time working on my thesis at the faculty of business, economics and law. He provided me with feedback on my work at numerous doctoral seminars. Furthermore, I would like to thank my colleagues at the lab, who provided me with support for content issues and even more important, who made me feel welcome. Last but not least, I want to thank my family, my parents and my brother Samuel, for supporting me in every condition of my life. And most importantly, I want to thank my husband Daniel (who I married, with whom I renovated an entire house,