SECUTAIN-Blog

Wenn auf SPAM und SCAM geantwortet wird

Dass E-Mails nach wie vor ein Einfallstor für Angriffe auf unse­re Daten sind, ist kein Geheimnis. Seit Jahren erfreut sich die­ses Medium unge­bro­che­ner Beliebtheit bei Kriminellen. Das bestä­ti­gen Lageberichte, Studien, Security-Ticker und die eige­ne Erfahrung. Tagein, tag­aus. Landauf, land­ab. Man meint, dass zu die­sem Thema bereits alles geschrie­ben ist. Eine denk­bar schlech­te Voraussetzung, um Awareness in die­sem Bereich zu schaf­fen, wenn bereits mit dem Erwähnen des Wortes SPAM alle die Augen rol­len. Wie kann man ein so abge­grif­fe­nes Thema attrak­tiv, über­ra­schend, unter­halt­sam und sogar span­nend prä­sen­tie­ren? Zwei Ansätze, die im Grunde auf dem glei­chen Prinzip basie­ren, stel­len wir Ihnen hier ein­mal vor:

James Veitch
Der Autor und Comedian James Veitch war von SPAM-Mails genervt — wie wir alle. Insbesondere stör­te ihn der Aufwand, der bei ihm erzeugt wird, um ech­te Mails von SPAM zu tren­nen. Er über­leg­te, die­sen Ball ein­mal zurück­zu­spie­len und begann auf SPAM-Mails zu ant­wor­ten, um bei den SPAM-Versendern einen mög­lichst hohen Aufwand für die Beantwortung sei­ner Antworten zu gene­rie­ren. SPAM soll­te sich für die Versender nicht mehr loh­nen. Es ent­spon­nen sich mona­te­lan­ge Mail-Dialoge, die absurd, schräg und wahn­sin­nig komisch sind:

Teil 1: This is what hap­pens when you reply to SPAM email:

Teil 2: More adven­tures in reply­ing to SPAM:

Viertausendhertz

Auch der Podcaster Christian Conradi vom Podcastlabel Viertausendhertz ant­wor­te­te auf eine SCAM-Mail — also auf eine Mail, mit der ver­sucht wird, den Empfänger her­ein­zu­le­gen, indem er bei­spiels­wei­se ani­miert wird, Geld zu über­wei­sen. Diese Mails ken­nen Sie bestimmt auch: Erbschaftsankündigungen, Renditeversprechen, Flirtangebote. Christian Conradi stell­te sich jedoch die Frage: Was wäre, wenn die­se Mails doch einen wah­ren Kern haben und begann — genau wie James Veitch — auf eine Mail zu ant­wor­ten. Das Ergebnis ist jedoch ein gänz­lich ande­res. Denn anstatt absur­der Dialogen gerät der Hörer hier in eine Geschichte, bei der irgend­wann nicht mehr klar ist, was nun eigent­lich die Wahrheit ist und wer wen anlügt. Ist alles Geldmacherei oder schwebt hier wirk­lich die Protagonistin in Lebensgefahr? “Hello Sir” ist eine fes­seln­de, drei­tei­li­ge Reportage, die her­vor­ra­gend pro­du­ziert ist und ein Musterbeispiel dafür ist, wie span­nend sich dem Thema Informationssicherheit genä­hert wer­den kann.

Link zur Folge 1 — “Die Antwort”: https://viertausendhertz.de/sf19/

Link zur Folge 2 — “Der Anruf”: https://viertausendhertz.de/sf20/

Link zur Folge 3 — “Die Wahrheit”: https://viertausendhertz.de/sf21/

Wie sage ich es meinem Digital Native?

Junge Arbeitnehmer sind die begehr­tes­ten. So sagt man. Sie sind zeit­lich fle­xi­bel, belast­bar, form­bar und haben häu­fig noch nicht die Ansprüche an eine rie­si­ge Bezahlung. Etwas ande­res ist ihnen häu­fig sehr viel wich­ti­ger: Sie gehö­ren zur Generation der digi­tal Natives – also die Personen, die von klein auf mit digi­ta­len Medien umge­hen und die Nutzung des Internets jeder­zeit und über­all eine Selbstverständlichkeit ist. Persönliche Gedanken wer­den mit der gan­zen Welt geteilt. Immer online. Alle Daten. Auf allen Geräten. Überall.

Nun ist die­ser Anspruch häu­fig nur schwer auf die Arbeitswelt über­trag­bar. Hier gibt es oft vor­ge­ge­be­ne Geräte aus vor­ge­ge­be­nen Gerätekategorien. Beschränkte Zugriffe, ein­ge­schränk­te Dienste, Berechtigungsstrukturen und schon gar nicht den hei­ßen Shice von der letz­ten Keynote. Also genau das Gegenteil von dem, was die­se Generation so kennt.

Diesem Thema hat sich vor Kurzem eine Studie, die von der Firma Centrify in Auftrag gegeben worden ist, ange­nom­men. Die ermit­tel­ten Werte unter­stüt­zen die vor­ge­nann­te These: So pos­ten 13% der 18 bis 24-jäh­­ri­gen Arbeitnehmer Gedanken über sozia­le Netzwerke. 21% küm­mern sich nicht dar­um, ob ihre Äußerungen im Internet dem Arbeitgeber scha­den kön­nen. Im Gegenteil: 18% geben offen zu, dass ihre Posts die Sicherheit gefähr­den kön­nen. Nur 14% füh­len sich ver­ant­wort­lich für den Schutz der Daten. 44% sehen die­se Rolle bei der IT (was für ein Trugschluss!), 21% bei ihrem Chef (schon bes­ser – aber auch nicht gut).

Dieses Verhalten führt zu eini­gen Ängsten bei den Entscheidern gegen­über der jun­gen Arbeitnehmer-Generation. So befürch­ten 35% der Entscheider, dass die­se Generation von Arbeitnehmern für Datenlecks ver­ant­wort­lich ist, dass sie zu leicht­fer­tig Informationen teilt (30%) und sich zu sehr auf die Technologie ver­lässt (35%).

Dies hat zwei Aspekte: Technische Maßnahmen & Awareness.

Was zur Technik zu sagen wäre:
Das Umgehen von Sicherheitsrichtlinien wird Beschäftigten häu­fig leicht gemacht. So wird bei 40% der Beschäftigten kein Passwortwechsel erzwun­gen, was dazu führt, dass 14% ein Passwort nut­zen, das älter als ein Jahr ist. 14% benut­zen das glei­che Passwort für pri­va­te und dienst­li­che Anmeldungen. Ein Bewusstsein für Sicherheit ent­steht auch dann, wenn Menschen hin und wie­der auf­ge­for­dert wer­den, etwas dafür zu tun (Passwortwechsel) oder wohl­do­siert an ent­spre­chen­de Grenzen sto­ßen. Wohldosiert wohl­ge­merkt.

Was zur Awareness zu sagen wäre:
Warum ver­hal­ten sich jun­ge Arbeitnehmer so, wie sie es tun? Nur, wenn sich damit aus­ein­an­der­ge­setzt wird, kann nach­hal­ti­ge und erfolg­rei­che Awarenesskommunikation statt­fin­den. Jedoch nur 39% der Entscheider sagen, dass sie genug tun, um die Anforderungen die­ser Generation zu ver­ste­hen. Viele ver­sa­gen auch in ihrer Rolle als Vorbildfunktion in Punkto Informationssicherheit: 14% der Entscheider kli­cken auf ver­däch­ti­ge Links – nur 9% in der jun­gen Generation. Das Weitergeben von Passworten ist lei­der in bei­den Gruppen recht beliebt: 16% der Jungen bzw. 15% der Entscheider. Erschreckende Zahlen mit einem hohen Risiko, die nur mit wirk­sa­mer Awarenesskommunikation abge­senkt wer­den kön­nen.

Was sagt uns das alles nun?
Der Anspruch, den jun­ge Arbeitnehmer an ihren IT-Arbeitsplatz stel­len, ist geprägt durch den pri­va­ten Umgang mit IT-Technologien. Der offe­ne Umgang mit Informationen und neu­en Technologien passt häu­fig nicht in den Kontext von Organisationen, die ihre Informationen schüt­zen wol­len. Arbeitgeber, die jedoch gewis­se Freiheiten nicht zuge­ste­hen, wer­den für jun­ge Arbeitnehmer unat­trak­tiv.

Um die­se Generation von der Notwendigkeit des Schutzes für das Überleben und selbst­be­stimm­te und erfolg­rei­che Handeln von Organisationen zu über­zeu­gen, bedarf es einer Ansprache, die die­se Generation ver­steht, akzep­tiert und in Handlungen umsetzt. Verständnis weckt man nicht durch das Wiederholen von Sicherheitsvorgaben, das Verweisen auf Richtlinien oder das Verhängen von dis­zi­pli­na­ri­schen Konsequenzen (84% der Unternehmen tun das). Es geht dar­um, an der Lebenswirklichkeit jun­ger Arbeitnehmer anzu­do­cken, Betroffenheit zu erzeu­gen, mög­li­che Konsequenzen von Einstellungen zu Informationen dar­zu­stel­len und die jun­ge Generation zu moti­vie­ren, an dem Schutz Ihrer Informationen und der Informationen des Arbeitgebers aktiv mit­zu­wir­ken.

Es geht nicht um das Verteufeln alles Neuen, son­dern um Aufklärung über mög­li­che Angriffsvektoren, mög­li­che Folgen für die Firma und das Privatleben. Die tech­ni­kaf­fi­ne Generation hat häu­fig bereits eine gute Vorstellung vom Internet und sei­nen Gefahren. Darauf kann man in Sensibilisierungsmaßnahmen, die auf die­se Generation zuge­schnit­ten sind, gut auf­bau­en. Informierte, sen­si­bi­li­sier­te Beschäftigte kön­nen auf Basis die­ses Wissens selbst sehr gute Entscheidungen tref­fen. Richtlinien wer­den in die­sem Falle als Unterstützung und hilf­rei­chen Leitfaden ange­se­hen.

10 Punkte für nachhaltige Awareness

Dass neben allen tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen, die Organisationen für die Wahrung der Informationssicherheit auf­brin­gen, der Mensch ein ent­schei­den­der Faktor ist, ist Ihnen bestimmt schon bewusst. Ansonsten wären Sie wahr­schein­lich nicht auf unse­rer Webseite gelan­det.

Damit Beschäftigte die­se ent­schei­den­de Funktion auch wahr­neh­men kön­nen, sind Sensibilisierungs- und Schulungsmaßnahmen sinn­voll — und im Kontext des Datenschutzes sogar gesetz­lich vor­ge­schrie­ben. Doch wie kön­nen die­se Maßnahmen so gestal­tet wer­den, dass die nach­hal­tig wir­ken, Menschen invol­vie­ren und inter­es­sie­ren? Wie schaf­fe ich es, dass Informationssicherheit das Flurthema wird? Was hat das alles mit unse­rer Unternehmenskultur zu tun?

In unse­rem nächs­ten Webinar möch­ten wir Ihnen 10 Punkte vor­stel­len, die aus unse­rer Erfahrung wich­tig sind, damit awa­ren­ess­bil­den­de Maßnahmen für Informationssicherheit eine mög­lichst wir­kungs­vol­le Entfaltung erfah­ren. Das ein­stün­di­ge Webinar fin­det am 2. Oktober 2018 um 11 Uhr statt und ist für Sie kos­ten­los. Sie kön­nen sich gleich hier auf der Seite anmel­den oder fin­den die Anmeldung hier.

Darüber hin­aus ist die­ses Webinar Teil des Europäischen Cybersecurity Monats (ECSM), an dem sich SECUTAIN betei­ligt.

SECUTAIN auf Veranstaltungen 2018

In 2018 fin­den noch eini­ge sehr span­nen­de Veranstaltungen rund um das Thema “Informationssicherheit” statt. Wir freu­en uns, zu die­sen Veranstaltungen einen fach­li­chen Beitrag leis­ten und ent­spre­chen­de Vorträge hal­ten zu dür­fen:

 

  • 04. bis 05. September: D-A-CH Security 2018 (Gelsenkirchen) / Vortragstitel “Neue Narrative für Informationssicherheit”
  • 20. September: cybics Konferenz (Bochum) / Vortragstitel “Security Awareness 4.0”
  • 21. bis 23. November: 17. SECUTA (Garmisch Partenkirchen) / Vortragstitel “Awareness & Sensibilisierung für Informationssicherheit”
  • 20. bis zum 23. November:  DOAG 2018 Konferenz + Ausstellung (Nürnberg) / Vortragstitel “Awareness für Informationssicherheit”

 

Wir wür­den uns freu­en, Sie dort tref­fen zu dür­fen.

Ambidextrie und Informationssicherheit: Awareness durch organisationale Beidhändigkeit

Das CIO-Magazin hat auf seiner Website  jüngst einen Artikel ver­öf­fent­licht, in dem sich für die Notwendigkeit von „Ambidextrie“ (Beidhändigkeit) in der Unternehmensführung aus­ge­spro­chen wird — gera­de in Zeiten der Digitalisierung. Denn in die­sen Zeiten — so die These — stel­le die Digitale Transformation eine Organisation und damit das Management sel­bi­ger vor neue Herausforderungen. Man müs­se als Management “beid­hän­dig” agie­ren. Auf der einen Seite per­ma­nent an der Optimierung bestehen­der Modelle (Exploitation) wir­ken und auf der ande­ren Seite die inno­va­ti­ve stra­te­gi­sche Komponente der Organisation för­dern (Exploration). Nur wenn dies ins Management der Organisation über­ge­he, wären Firmen in der Lage, die Herausforderungen der digi­ta­len Transformation und die damit ver­bun­de­nen Phasen von Unsicherheit und Innovation neben den klas­si­chen Aufgaben des Führens sta­bi­ler Prozesse aus­zu­ta­rie­ren.

Hmm. Klingt ziem­lich theo­re­tisch. Was meint das denn nun kon­kret? Was hat SECUTAIN damit zu tun? Und was bedeu­tet das in unse­rem Falle für das Thema „Awareness für Informationssicherheit”?

SECUTAIN hat das Konzept der orga­ni­sa­tio­na­len Ambidextrie nach O’Reilly III und Tushman seit 2016 als einen wesent­li­chen theo­re­ti­schen Ansatz erkannt und in sei­ne stra­te­gi­sche Ausrichtung und damit unse­ren grund­le­gen­den Beratungs- und Schulungsansatz inte­griert.

Lassen Sie uns erst ein­mal ver­ste­hen, wo wir Ambidextrie im Kontext Informationssicherheit sehen. Die Exploitation (als best­mög­li­che Nutzung und ste­te Verfeinerung) sehen wir in eta­blier­ten und in einer Organisation inte­grier­ten Best-Practice-Organisationsansätzen. ISO 27001 ist so ein Beispiel. Organisationen füh­ren ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 ein, ori­en­tie­ren sich dabei an einem Referenzmodell und arbei­ten als Firma nun in einem klas­si­schen Management-System-Ansatz dar­an, dass die­ses ISMS stets bes­ser gelebt und stets stei­gen­den / ver­än­der­ten Rahmenbedingungen ange­passt wird. Sie sor­gen so nicht nur dafür, die Re-Zertifizierung zu bestehen, son­dern auch als Firma stets bes­ser zu wer­den und den Reifegrad der Organisation erhö­hen.


Hier kommt SECUTAIN das ers­te Mal ins Spiel: MitarbeiterInnen müs­sen die­ses ISMS natür­lich ken­nen und ver­ste­hen. Eine anschau­li­che, unter­halt­sa­me und anschluss­fä­hi­ge Unterweisung in der Anwendung die­ses ISMS ist also nicht nur ein Erfolgsfakor (und bei einer ISO 27001 gefor­dert), son­dern auch Notwendigkeit, damit das System tat­säch­lich gelebt wird. 

Was aber, wenn Dinge pas­sie­ren, die das ISMS nicht abfängt? Also Dinge, für die ein ISMS aktu­ell nicht gedacht ist, die ein ISMS nicht erken­nen kann oder die ein ISMS auch im höchs­ten Reifegrad nie­mals erken­nen kön­nen wird? 

Hier kommt die explo­ra­ti­ve Seite ins Spiel. Und die­se sehen wir ganz eng ver­zahnt mit der Sensibilisierung und der Achtsamkeit einer Belegschaft für Informationssicherheit. Hier wird der all­ge­gen­wär­ti­ge Ruf nach Awareness, nach Sensibilisierung und nach Achtsamkeit deut­lich und inhal­t­­lich-theo­­re­­tisch begrün­det.

Dazu ein Beispiel: Wenn Ihre Firma Opfer eines Social Enginieering Angriffs wird und die Human Hacker rich­tig gut sind (und glau­ben Sie uns, die gibt es — bei­spiels­wei­se unter unse­ren SECUTAIN-Partnern), dann ken­nen die­se nicht nur die übli­chen „Alarm-Auslöser“ eines guten ISMS. Ein Human Hacker wird immer dar­auf ach­ten, „unter dem Radar“ ihres ISMS zu flie­gen, um kei­nen Alarm aus­zu­lö­sen. Ein Human Hacker wird „über Bande spie­len“ und sie dort erwi­schen, wo kein Alarmsensor steht. Hier braucht es Neugier und Aufgeschlossenheit der Belegschaft einer Organisation. Es braucht aber auch ein neu­es Verständnis von Scham oder Umgang mit Fehlern. Und es braucht Mut, Dinge aus­zu­spre­chen, die man sonst viel­leicht nicht sagen wür­de, weil man sich nicht lächer­lich machen mag. MitarbeiterInnen sol­len einen Sinn dafür ent­wi­ckeln, wenn irgend­was faul ist, wenn sich etwas komisch anfühlt, wenn etwas auf den ers­ten Blick ISMS-kon­­form erscheint, auf den zwei­ten Blick aber zwei­feln lässt. Hierzu braucht es die Eigenschaften einer explo­ra­ti­ven Organisation, die inno­va­tiv mit Themen umge­hen kann, für die bestehen­de Regelungen und Prozesse kei­ne Vorgehensweise bie­ten. Hier braucht es wei­te­re Sinne — genau das, was Sensibilisierung (lat. sen­sus: der Sinn) ja bezwe­cken soll.

Wir von SECUTAIN ver­fol­gen daher immer das Ziel, Exploitation und Exploration glei­cher­ma­ßen zu för­dern. Damit Sie eine ste­tig bes­ser wer­den­de und acht­sa­me Organisation haben.