• Home
  • Seit 1998 unabhängiger IT- und Tech Kanal, Forum mit über 1 Million registrierter Usern
• Board
  • Seit 1998 unabhängiger IT- und Tech Kanal, Forum mit über 1 Million registrierter Usern
• Nachrichten
  • Topnews
  • Interviews
  • Glossen
  • Reportagen
  • Kurioses
  • RSS-Feed
  • Twitter
  • Newsletter
• NewsPresso
  • Newsübersicht
  • Regeln
  • Highscore
  • RSS-Feed
• Internet
  • Denkanstösse
  • Wissenswertes
  • Filesharing
  • Zeitreise
• IT-Sicherheit
  • Rechtliches
  • Anonymität
  • Cybercrime / Cyberwar
  • Verschlüsselung
  • Netzsperren
  • Emailadressen verschlüsseln
  • IT-Forensik
  • Linux-Server
  • Passwörter
  • Spam
  • WLAN
• Hard- und Software
  • Zeitreise - PC und N-books
  • Tools
• Games
  • Zeitreise - Games
• Mobile
  • Zeitreise - Mobile Endgeräte
• Ansichtssache
  • Kommentiere und bewerte die Fundstücke.

DeepSec 2010: Security Awareness

Den "Night Talk" am Abend des ersten Vortragstages der IT-Sicherheitskonferenz DeepSec übernahm außerplanmäßig Stefan Schumacher. Dieser führt als Sicherheitsberater unter Anderem sogenannte "Security Awareness Campaigns" durch, die Nutzer für die Sicherheit sensibilisieren sollen. Dies machte er auch zum Thema seines Vortrags.

Bei den von Schumacher durchgeführten Weiterbildungsmaßnahmen werden die Mitarbeiter über IT-Sicherheit geschult. Um dies sinnvoll zu vermitteln, so Schumacher, spielten die verschiedensten Fachgebiete - er nannte Projekt Management, Psychologie, Sozialwissenschaften und Erziehungswissenschaften - eine Rolle. Daneben müssen die Berater natürlich auch über gutes technisches Fachwissen verfügen. 

Obwohl derartige Schulungen immer an den speziellen Betrieb angepasst sein müssten, gebe es einige Grundsätze, die auf quasi jeden Betrieb zuträfen. Es habe sich herausgestellt, so Schumacher, dass es nicht funktioniere, nur einige Vorgesetzte zum Thema IT-Sicherheit zu schulen und zu hoffen, dass diese sinnvolle Verhaltensweisen an die Kollegen weitergeben. Dieses sogenannte "Champion-Modell" habe sich in der Vergangenheit als ineffektiv erwiesen. Es sei aber dringend notwendig, dass das Management in entsprechende Maßnahmen einbezogen werde und sich an die Regeln halte. Dann nämlich könnte die Vorbildfunktion der Vorgesetzten durchaus einen positiven Effekt haben.

Eine der Schwierigkeiten, so Schumacher, sei es, dass die IT-Abteilung eines Unternehmens für die konsequente Umsetzung sinnvoller Sicherheitsregeln mit allen anderen Abteilungen zusammenarbeiten müsse. Häufig seien aber diese eher technisch interessierten und ausgebildeten Mitarbeiter nicht besonders kommunikativ, so dass es sich schwierig gestalte, eine derartige Kooperation zu erreichen.

Schumacher erklärte, um Inhalte - darunter auch die angesprochenen Sicherheitsregeln - gut vermitteln zu können, müsse man berücksichtigen, dass Menschen mit unterschiedlichem Hintergrund die Realität auch unterschiedlich wahrnehmen. Diese sogenannte "gefühlte" Realität mache es oftmals schwer, menschliches Verhalten vorauszusagen. Somit könnten auch mögliche Fehlerquellen bei bestimmten technischen Maßnahmen teilweise nur schwer im Voraus erkannt werden. Zudem hätten Techniker und die Mitarbeiter anderer Abteilungen oftmals eine sehr unterschiedliche Sicht der Dinge. Es herrsche ein Interessenkonflikt: die Admins wollen primär ein hohes Sicherheitsniveau, die Nutzer wollen möglichst bequem und effizient ihre Arbeit erledigen können. Schumacher sagte, es gebe allerdings Strategien, um diese Problematik zu überwinden. Es müsse viel kommuniziert werden, man müsse versuchen, sich in die Lage der Anderen zu versetzen ("Empathie") und es sollten gemeinsame Ziele - insbesondere der Erfolg des Projekts oder Unternehmens - betont werden. 

Anschließend sprach Schumacher über den Aufbau einer erfolgreichen "Security Awareness Campaign". Als Erstes, so der Experte, müsse man die Benutzer motivieren, sich für Sicherheit zu interessieren, denn ohne Motivation könne es auch keinen Lernerfolg geben. Schumacher sprach in diesem Zusammenhang kurz über verschiedene Formen der Motivation und darüber, wie sich diese am besten nutzen lassen. So sei die sogenannte intrinsische Motivation, die aus den eigenen Zielen und Wünschen einer Person entsteht, verlässlicher als die durch äußere Faktoren - wie Belohnungen - hervorgerufene extrinsische Motivation. In jedem Fall, so Schumacher, sei für die Motivation der Mitarbeiter eine optimale Kommunikation erforderlich. Zudem dürfe man nicht vergessen, dass ein Lernerfolg stets eine gewisse Zeit in Anspruch nehme, insbesondere, wenn bereits verinnerlichte Verhaltensweisen geändert werden müssten.

Neben der Motivation muss jemand, der eine erfolgreiche Sicherheits-Schulung durchführen will, sich laut Schumacher bemühen, den Blickwinkel des Benutzers einzunehmen. So lassen sich Probleme leichter identifizieren und die Benutzer bekommen das Gefühl, dass ihre Sorgen und Wünsche ernst genommen werden. Daher sollte man sich auch bemühen, prägnante Beispiele aus dem realen Leben zu verwenden. Dadurch lassen sich Erklärungen leichter nachvollziehen als wenn diese auf eine rein wissenschaftliche und womöglich realitätsferne Art vermittelt werden.

Den Benutzern müsse vermittelt werden, dass "ihr System wichtig ist und Fehler ernsthaften Schaden anrichten können", erklärte Schumacher. Allerdings müsse man dann auch sinnvolle Handlungsanweisungen geben und den Benutzern klarmachen, wie sie derartige Fehler vermeiden könnten. Fühlen sich die Mitarbeiter nämlich permanent unsicher, werden sie leichter zu manipulieren und damit beispielsweise zu leichten Opfern von Social-Engineering-Kampagnen.

Schumacher betonte daher die Wichtigkeit der Entwicklung sogenannter "Security Guidelines", also verbindlicher und detaillierter Sicherheitsregeln. Diese müssten "präzise und gut erklärt" sein und es müssten klare strategische Ziele definiert werden. Es müssten zudem klare Zuständigkeiten definiert werden und die Mitarbeiter müssten einen Ansprechpartner für ihre Fragen, Probleme und Anregungen haben.

Bei all diesen Maßnahmen sieht Schumacher, wie er erklärte, vor allem ein Problem - eines, das heutzutage vielen Menschen bekannt vorkommen dürfte: Geisteswissenschaftler seien oftmals nicht an Technik interessiert, so dass die sinnvolle Vermittlung technischer Sachverhalte nur unzureichend dokumentiert und erforscht sei. Er hoffe, so der Experte, dass sich dies in Zukunft ändern wird. 

Annika Kremer am Dienstag, 30.11.2010 16:08 Uhr

Tags: deepsec