Als ich vor Kurzem das ZDF-Politbarometer sah, wurde dort eine für mich erstaunliche Zahl präsentiert. Es wurde gefragt, wie die Bevölkerung die aktuellen Einschränkungen aufgrund der Corona-Situation einschätzt. Die Zustimmung lag bei 95%: 75% hielten die Einschränkungen für angemessen — 20% wünschten sich sogar härtere Maßnahmen. Das ist eine bemerkenswerte Zahl — insbesondere, wenn man bedenkt, wie tief diese Maßnahmen in den Alltag aller Personen in Deutschland eingreifen.
Das Erstaunen resultierte aber auch daher, da ich mich noch an die Zahlen einer eigenen Erhebung erinnern konnte, die wir zum Thema “Einschränkungsbereitschaft durch Informationssicherheitsmaßnahmen” erstellt hatten. Dabei fragten wir, inwiefern Menschen bereit sind, auf Komfort zu verzichten, wenn sie damit den Schutz von Daten und Informationen stärken. Hier lag die Zustimmung bei gerade mal mageren 3%.
Nun sind die Verwendung von komplexen Passwörtern, die Nutzung von mehreren Faktoren bei Anmeldungen und ausgeklügelte Berechtigungssysteme sehr viel weniger einschneidend als die aktuellen Kontaktbeschränkungen. Wieso sind die Zustimmungswerte dennoch so gegensätzlich? Dies liegt an verschiedenen Faktoren, die wir uns auch in der Kommunikation von Informationssicherheit zu Nutze machen sollten:
Betroffenheit
In der Corona-Situation geht es um die eigene Gesundheit und das Überleben seiner Liebsten. Wir stellen uns vor, was der schwere Verlauf einer COVID19-Erkrankung mit unserem Leben machen könnte. Ganz unweigerlich haben wir Angst vor dem Verlust der Leute, die uns am Herzen liegen. Mehr Betroffenheit geht kaum. Die Bereitschaft, seine Verhaltensweisen anzupassen, steigt, je betroffener eine Situation macht.
Natürlich stützen wir unsere Argumentationen auch im Bereich der Informationssicherheit auf Business Impact Analysen, Risikobewertungen oder Schutzbedarfsfeststellungen. Das klingt nicht danach, dass wir auf der emotionalen Ebene angesprochen werden. Macht dies betroffen? Wohl eher weniger. Daher ist es hier wichtig, Bilder zu zeichnen und Geschichten zu erzählen, wie das Berufsleben und der Zustand des eigenen Arbeitgebers aussehen könnte, wenn Informationsrisiken eintreten. Was macht das ganz konkret mit mir, mit meiner lieb gewonnenen Arbeitskollegin und mit unser aller beruflichen Existenz(grundlage)? Diese konkrete, bildhafte Ausgestaltung adressiert viel stärker unsere Emotionen und weckt Betroffenheit.
Anschlussfähigkeit
Um die Überlastung des Gesundheitssystems zu verhindern, ist es notwendig, das exponentielle Wachstum zu verhindern. Exponentielles Wachstum ist jedoch etwas, das wir uns als Menschen in seiner Auswirkung kaum vorstellen können. Also benötigen wir Analogien, um dies greifbarer zu machen. Viele nutzen die Schachbrettaufgabe, die das exponentielle Wachstum sehr schön illustriert. Diese stellt die Frage, wie viel Weizenkörner auf dem letzten Schachbrettfeld liegen, wenn man folgende Regel anwendet: Auf das erste Feld wird ein Weizenkorn gelegt. Die Anzahl wird auf dem nächsten Feld verdoppelt — also 2 Weizenkörner -, und diese Anzahl wiederum auf dem nächsten Feld verdoppelt — 4 Weizenkörner — usw. Für das vierundsechzigste Schachbrettfeld müssten mehr Weizenkörner organisiert werden, als es im ganzen Land aus der Fabel gibt. ProTipp: Falls Ihr Chef ebenfalls kein Gefühl für exponentielles Wachstum hat, verhandeln Sie, dass Sie jeden Monat mit einem Cent Gehalt am ersten Arbeitstag beginnen. Am zweiten Tag verdoppeln Sie das Tagesgehalt. In einem Monat mit 22 Arbeitstagen — wie in diesem März — gehen Sie mit knapp 42.000 Euro nach Hause. Klar: brutto. Da geht einiges ab. :)
Analogien unterhalten und stellen Anschlussfähigkeit her. Sie bleiben im Kopf haften. Auch dieses sollten wir für die Kommunikation von Informationssicherheit nutzen.
Die Macht der Bilder
Ein weiteres schönes Beispiel für das Herstellen von Anschlussfähigkeit sind geschickte Visualisierungen — wie Infografiken oder Animationen. Dieses Beispiel des Bundesgesundheitsministeriums verdeutlicht sehr schön die Wirkmacht jedes Einzelnen, der zu Hause bleibt und räumliche Distanz zu anderen Personen aufbaut.
Dieses Video verdeutlicht, die Wirksamkeit von #WirBleibenZuhause. Durch die Einhaltung der Verhaltensregeln kann jeder und jede einen Beitrag dazu leisten, die Ausbreitung des #Coronavirus zu verlangsamen. pic.twitter.com/EyFr4vp1YK
Hier werden nicht unreflektiert Regeln oder gar die Sanktionen bei Nichteinhaltung thematisiert, sondern Sinne gebildet und Achtsamkeit erzeugt. Dies ist ein schönes Beispiel, da hier die Betrachtenden ganz klar ablesen können, welche positiven Folgen ihr Verhalten haben kann.
Dies ist Zugleich ist eine wichtige Maßgabe für die Kommunikation von Informationssicherheit. Nicht das reine Wahrnehmen von Sicherheitsrichtlinien erzeugt eine Veränderung in der Einstellung gegenüber dem Thema. Vielmehr ist die Darstellung des Beitrags jedes Einzelnen erfolgversprechend und nachhaltig. Erzeugen Sie bei Ihren Mitarbeitenden den inneren Monolog: “Was kann ich eigentlich an Schaden verhindern, wenn ich auch nur auf eine einzige gefährliche Phishing-Mail nicht hereinfalle?” Die Schärfung der Sinne wirkt mehr als pure Regulatorik.
Der zeitliche Aspekt
Zugegeben, die ZDF-Umfrage ist aus der letzten Märzwoche. Jetzt — einen Monat später — sinken langsam die Zustimmungswerte für die Maßnahmen, sind aber immer noch auf sehr hohem Niveau bei etwa 70% bis 75%. Dass die Zustimmung auf einem hohen Level bleibt, hängt sicherlich auch damit zusammen, dass diese sehr einschränkenden Maßnahmen in diesem aktuellen Zeitfenster endlich sind. Wir haben Hoffnung auf eine Zukunft mit der Rückkehr zur Normalität.
Diese zeitlich beschränkten Regeln haben wir in der Informationssicherheit an vielen Stellen nicht: Passwörter bleiben lang und komplex, Zugriffsrechte bleiben eingeschränkt, Phishing-Mails erreichen uns wahrscheinlich auch noch in vielen Jahren. Dennoch gibt es auch hier Zeitfenster, die genutzt werden können. So stellen wir beispielsweise aktuell einen größeren Wissensbedarf beim Thema Homeoffice fest. Viele, die jetzt zum ersten Mal in größerem Umfang zu Hause arbeiten fragen sich: Wie kann ich die Unternehmensdaten auch im häuslichen Umfeld schützen? Das erläutern wir in unserem neuen E-Learning-Kurs zu diesem Thema. Nutzen Sie dieses Zeitfenster für Ihre Organisation! Aktuell werden diese Informationen eher als willkommene Unterstützung statt als einschränkende Regeln wahrgenommen. Diesen Kurs stellen wir übrigens aktuell vielen Branchen, die diese Corona-Krise zu bewältigen helfen, kostenlos zur Verfügung.
Sinnbildung statt Regeln
Mittlerweile treten Lockerungen in Kraft, die aus wirtschaftlichen und sozialgesundheitlichen Erwägungen getroffen wurden. Diese werden von der Hoffnung begleitet, dass die letzten Wochen dazu beigetragen haben, dass sich bei vielen Menschen die Einstellung zu dem Thema geändert hat. So haben sicherlich viele von Ihnen aktuell eine höhere Aufmerksamkeit auf das Thema Hygiene oder wägen viel stärker ab, welche Aktionen wirklich notwendig und welche aktuell verzichtbar sind. Menschen verhalten sich von sich aus schützender, weil sie den Sinn verstanden haben, der sich aus einer zurückhaltenden Lebensweise ergibt. Die Hoffnung besteht, dass es geschafft wurde, dass Menschen sich auch ohne strengste Regeln situationsbezogen angemessen verhalten.
Hinzu kommt eine gewisse soziale Kontrolle, die sich mittlerweile etabliert hat. Personen werden angesprochen, die nicht genügend Abstand halten oder indem ein Handschlag nicht erwidert wird. Oder denken Sie an Ihren Kollegen im Nachbarbüro: 50 Jahre, Phil Collins-Fan und Auto-Bild-Abonnent. Wäre das nicht toll, wenn wir das auch hinbekämen, ihn freundlich anzusprechen, wenn der mal wieder seinen Rechner nicht gesperrt hat?
https://secutain.com/wp-content/uploads/2020/04/COVID-INFSEC-Waage3.png10001800David Scribanehttps://mlnhwmuyzoec.i.optimole.com/cMlCb_8-Fw07FlQD/w:auto/h:auto/q:auto/https://secutain.com/wp-content/uploads/2020/08/SECUTAIN-Awarenessexperten-white.pngDavid Scribane2020-04-24 09:45:032020-04-24 12:07:43Kontakteinschränkungen: ja — Komplexe Passwörter: nein
SARS-CoV‑2 (“Corona”) und die damit verbundene Erkrankung COVID-19 führen die Welt, unser Land und unseren Alltag gerade massiv in für die meisten Menschen komplett ungewohnte Situationen. Täglich verschärft sich die Lage, nahezu stündlich werden von öffentlicher Stelle neue Maßnahmen kommuniziert, die uns alle betreffen und die allesamt konsequent ein wichtiges Ziel verfolgen — die Ausbreitungsgeschwindigkeit möglichst klein zu halten. Wir tun dies, um Zeit zu gewinnen, bis ein Gegenmittel gefunden wird und um in der Zwischenzeit unser Gesundheitssystem handlungsfähig zu halten.
Firmen, öffentliche Einrichtungen, Organisationen und Vereine reagieren auf diese Maßnahmen. Zum einen, um die genannten Ziele zu unterstützen und gesellschaftlich dazu beizutragen, die Ausbreitung zu verlangsamen. Zum anderen natürlich auch, um die eigene Leistungsfähigkeit aufrecht zu erhalten. Mitarbeiter_innen sollen sich untereinander nicht anstecken, um den gleichzeitigen Ausfall wichtiger Bereiche oder Knowhow-Träger zu vermeiden, um Kundenzusagen einhalten zu können und den Betrieb nicht zum Erliegen zu bringen. Die derzeit überall als Lösungsidee kommunizierte Vorgehensweise ist in diesem Fall das Home-Office.
Allgemeine Herausforderungen werden durch Corona verstärkt.
Die Arbeit im Home-Office ist nicht unumstritten. Viele Firmen verhalten sich daher zögerlich. Führung wird vielerorts noch synonym mit Anwesenheit gesetzt. Und Firmen wie Hewlett Packard sind hier sogar zurückgerudert und haben das Home-Office als Arbeitsform wieder abgewählt. Denn sowohl Themen des Arbeitsschutzes und der Arbeitssicherheit, aber auch Themen wie soziale Isolation und fehlende persönliche Kommunikation sind echte Herausforderungen, auf die es professionelle Antworten braucht. Nicht jede Organisation ist hierfür aufgestellt.
Aber in Ausnahmesituationen wie einer Pandemie durch Corona geraten diese Probleme in den Hintergrund und werden zweitrangig. Der Handlungsdruck steigt massiv und Organisationen, die hier ggf. noch nicht so erfahren sind, müssen in diesen Modus wechseln. Und auch Firmen, die hier für ausgewählte Bereiche bereits Home-Office in Ausnahmefällen tageweise erlaubt hatten, müssen nun komplett in diesen Modus wechseln und viele Mitarbeiter_innen für lange Zeit in diese bisher ungewohnte Form der Arbeitsorganisation schicken.
Ergebnis kann sein, dass eine Vielzahl hier unerfahrener Mitarbeiter_Innen nun für eine lange Zeit in einer für sie ungewohnten Arbeitsform zurecht kommen müssen und sich hier nun ein gutes Stück allein organisieren müssen, um den Job weiterhin bestmöglich machen zu können. Hinzu kommt, dass alle Menschen in Deutschland derzeit verunsichert sind, was als nächstes kommt, wie es weiter geht und was das für die eigene Familie und die eigene Existenz bedeutet.
Welche Gefahr besteht dann? Aufgrund allgemeiner Verunsicherung und Angst, aufgrund fehlender organisationaler Regelungen oder aufgrund fehlender Arbeitsmittel und Arbeitsprozesse für eine Arbeit im Home-Office können einmal erlernte Regeln und Verhaltensweisen der Verarbeitung betrieblicher Informationen vergessen oder ignoriert werden. Im schlimmsten Fall treten diese drei Umstände (Verunsicherung, fehlende Regelungen, fehlende Arbeitsmittel) gleichzeitig auf und potenzieren sich so. Das gefährdet Informationssicherheit.
Schutz von Personen und Informationen.
So wichtig der gesundheitliche Schutz des Individuums und der Gesellschaft nun auch ist, so erlauben uns die aktuellen Maßnahmen rund um Corona nicht, in Bezug auf Informationssicherheit die drei gleichberechtigten Schutzziele aus den Augen zu verlieren.
Denn gerade jetzt dienen viele Maßnahmen rund um Corona dem Schutzziel der Verfügbarkeit informationeller Werte. Daten spielen im betrieblichen Wertschöpfungsprozeß eine zentrale Rolle. So paradox das nun hier klingen mag. Die Entsendung von Mitarbeiter_innen ins Home-Office verfolgt am Ende genau dieses Ziel: der Informationsfluss darf trotz Pandemie nicht zum Erliegen kommen. Daten müssen weiter verarbeitet werden und Wertschöpfung (auch in Daten) muss weiterhin erfolgen, auch (und erst Recht) wenn Mitarbeiter_innen bspw. vorsorglich in häuslicher Quarantäne, aber dennoch gesund und arbeitsfähig sind. Daten bleiben verfügbar und werden weiterhin in Unternehmensbereich A generiert, veredelt, bereitgestellt, damit Bereich B und C damit (weiter)arbeiten können und ihrerseits neue Daten generieren, die verfügbar sein müssen, damit D und E arbeitsfähig bleiben. Auch, wenn A, B, C, D und E ggf. über Monate im Home-Office sind.
Wenn nun aber im Home-Office Mitarbeiter_innen sich in ungewohnter Umgebung wiederfinden, sich erstmalig in dieser Umgebung nun für einen längeren Zeitraum einrichten müssen, darüber hinaus Anweisungen und Regelungen fehlen und dazu noch die permanente Verunsicherung bzgl. der gesellschaftlichen Gesamtsituation zunimmt, dann birgt das zwei Gefahren.
Zum einen können einmal erlernte Verhaltensweisen in Bezug auf Informationssicherheit schlicht in der allgemeinen Anspannung vergessen werden. Menschen befinden sich in dieser Krise in einer Ausnahmesituation. Rationalität ist da nicht mehr zu jedem Zeitpunkt selbstverständlich. Hier hilft es, die Belegschaft jetzt durch geeignete Maßnahmen an die anderen beiden Schutzziele in Bezug auf Informationssicherheit zu erinnern. Das Ziel muss hier sein, die Awareness für Informationssicherheit hoch zu halten.
Zum anderen sollten vor allem Firmen, die hier in Bezug auf Home-Office komplett oder in Teilen Neuland betreten, Ihre Belegschaft für Informationssicherheit im Home-Office sensibilisieren. Es reicht nicht aus, die Verfügbarkeit von Informationen durch Home-Office wie beschrieben aufrecht zu erhalten. Die beiden anderen Schutzziele, nämlich die Vertraulichkeit von Informationen und die Integrität von Informationen müssen im Home-Office genau so beachtet, gelebt und befolgt werden, wie es im “normalen” Unternehmensalltag der Fall ist. Corona entbindet niemanden von gesetzlichen und/oder vertraglichen Verpflichtungen. Es muss aktiv vermieden werden, dass Mitarbeiter_Innen jetzt anfangen, sich in WhatsApp-Gruppen zu organisieren, Dienste wie DropBox zum Datenaustausch zu verwenden, Telefonate mit vertraulichen (bspw. Personaldaten, Kundendaten) in Anwesenheit von Familienmitgliedern im Klartext und nicht pseudonymisiert zu führen oder vertrauliche Dokumente offen herumliegen zu lassen. Hier ist dringend angeraten, Mitarbeiter_Innen jetzt in dieser Phase initial in Bezug auf die wesentlichen Grundlage der Informationssicherheit zu sensibilisieren, wenn dies noch nicht geschehen ist.
Und für alle Organisationen, die aktuell in dieser epochalen Krise der allgemeinen Daseinsfürsorge dienen, ist dieses Training kostenfrei. SECUTAIN unterstützt damit aktiv die gemeinsame Anstrengung im Kampf gegen Corona und hilft kritischen Infrastrukturen (KRITIS) bei ihrer aktuell überlebenswichtigen Arbeit.
https://secutain.com/wp-content/uploads/2020/03/Corona.jpg9001927Carsten Gotterthttps://mlnhwmuyzoec.i.optimole.com/cMlCb_8-Fw07FlQD/w:auto/h:auto/q:auto/https://secutain.com/wp-content/uploads/2020/08/SECUTAIN-Awarenessexperten-white.pngCarsten Gottert2020-03-13 13:35:072020-03-30 08:43:50Homeoffice: Wenn auf einmal alles anders ist, die Regeln aber bleiben.
Vor wenigen Tagen haben wir den “Ändere Dein Passwort”-Tag begangen. Viele sagen: vielleicht zum letzten Mal. Die Wirksamkeit von erzwungenen Passwortwechseln wird bezweifelt — und ja: das kann diskutiert werden. Strategien, wie das Ändern einer einzigen Zahl im neuen Passwort oder die Tendenz zu eher trivialen, merkbaren Passwörtern sprechen dafür, dass das regelmäßige Ändern des Passworts wenig wirksam ist.
Dennoch: In den letzten Monaten wurden Milliarden von Anmeldeinformationen veröffentlicht. Die Collections 1–5 sind die bislang größten Bibliotheken mit Anmeldedaten. Und wöchentlich kommen neue Leaks hinzu. Dies ist eine permanente Gefahr, dass Zugänge von Angreifern übernommen werden und Zugriff auf Ihre sensiblen Unternehmensinformationen genommen wird.
Was heißt das eigentlich für Sie?
Awareness für starke Passwörter
Nutzen Sie diese Situation, um für stärkere Passwörter zu werben. Sind die Passwörter lediglich in gehashter Form in den Leaks verfügbar, sind Passwortstärke und Einzigartigkeit ein wichtiger Faktor. Klären Sie Ihre Beschäftigten über diese Gefahr auf und versuchen Sie, so Verständnis und Einsicht für Passwortwechsel zu erzeugen. In unserem Awareness-Clip erläutern wir, was starke Passwörter ausmacht:
Wir bieten Ihnen unterschiedliche Maßnahmen an, um mehr Achtsamkeit für das Thema Passwörter zu erlangen: E-Learnings, Webinare, Präsenzschulungen etc.
Gezielter Passwortwechsel in Gefahrensituationen
Bei jedem Leak sollten Sie sich fragen: “Sind Daten von meiner Firma betroffen?” oder “Sind bereits Anmeldedaten von uns im Darknet im Umlauf?”
Die pure Anzahl der unterschiedlichen Leaks führt dazu, dass es kaum möglich ist, den Überblick zu bewahren und die konkrete Gefahrensituation einzuschätzen. Daher bieten wir Ihnen ein Darknet Monitoring an, das permanent tausende von Quellen im Darknet danach durchsucht, ob Anmeldedaten Ihrer Firma angeboten werden. So erhalten Sie einen guten Überblick über Zugänge, die bereits heute nicht mehr sicher sind. Darüber hinaus erhalten Sie ab sofort E‑Mail-Benachrichtigungen, sobald neue Anmeldeinformationen Ihrer Firma im Darknet angeboten werden. Sie können dann gezielt Gegenmaßnahmen für die betroffenen Konten ergreifen und die Awareness für dieses Thema hoch halten.
Vielleicht wäre es eine Idee, dass der “Ändere Dein Passwort”-Tag zukünftig der “Prüfe Dein Passwort”-Tag wird.
https://mlnhwmuyzoec.i.optimole.com/cMlCb_8-Fw07FlQD/w:auto/h:auto/q:auto/https://secutain.com/wp-content/uploads/2020/08/SECUTAIN-Awarenessexperten-white.png00David Scribanehttps://mlnhwmuyzoec.i.optimole.com/cMlCb_8-Fw07FlQD/w:auto/h:auto/q:auto/https://secutain.com/wp-content/uploads/2020/08/SECUTAIN-Awarenessexperten-white.pngDavid Scribane2020-02-12 07:49:122020-02-12 07:52:56War das wirklich der letzte “Ändere Dein Passwort”-Tag?
Kontakteinschränkungen: ja — Komplexe Passwörter: nein
/in Uncategorized /von David ScribaneAls ich vor Kurzem das ZDF-Politbarometer sah, wurde dort eine für mich erstaunliche Zahl präsentiert. Es wurde gefragt, wie die Bevölkerung die aktuellen Einschränkungen aufgrund der Corona-Situation einschätzt. Die Zustimmung lag bei 95%: 75% hielten die Einschränkungen für angemessen — 20% wünschten sich sogar härtere Maßnahmen. Das ist eine bemerkenswerte Zahl — insbesondere, wenn man bedenkt, wie tief diese Maßnahmen in den Alltag aller Personen in Deutschland eingreifen.
Das Erstaunen resultierte aber auch daher, da ich mich noch an die Zahlen einer eigenen Erhebung erinnern konnte, die wir zum Thema “Einschränkungsbereitschaft durch Informationssicherheitsmaßnahmen” erstellt hatten. Dabei fragten wir, inwiefern Menschen bereit sind, auf Komfort zu verzichten, wenn sie damit den Schutz von Daten und Informationen stärken. Hier lag die Zustimmung bei gerade mal mageren 3%.
Nun sind die Verwendung von komplexen Passwörtern, die Nutzung von mehreren Faktoren bei Anmeldungen und ausgeklügelte Berechtigungssysteme sehr viel weniger einschneidend als die aktuellen Kontaktbeschränkungen. Wieso sind die Zustimmungswerte dennoch so gegensätzlich? Dies liegt an verschiedenen Faktoren, die wir uns auch in der Kommunikation von Informationssicherheit zu Nutze machen sollten:
Betroffenheit
In der Corona-Situation geht es um die eigene Gesundheit und das Überleben seiner Liebsten. Wir stellen uns vor, was der schwere Verlauf einer COVID19-Erkrankung mit unserem Leben machen könnte. Ganz unweigerlich haben wir Angst vor dem Verlust der Leute, die uns am Herzen liegen. Mehr Betroffenheit geht kaum. Die Bereitschaft, seine Verhaltensweisen anzupassen, steigt, je betroffener eine Situation macht.
Natürlich stützen wir unsere Argumentationen auch im Bereich der Informationssicherheit auf Business Impact Analysen, Risikobewertungen oder Schutzbedarfsfeststellungen. Das klingt nicht danach, dass wir auf der emotionalen Ebene angesprochen werden. Macht dies betroffen? Wohl eher weniger. Daher ist es hier wichtig, Bilder zu zeichnen und Geschichten zu erzählen, wie das Berufsleben und der Zustand des eigenen Arbeitgebers aussehen könnte, wenn Informationsrisiken eintreten. Was macht das ganz konkret mit mir, mit meiner lieb gewonnenen Arbeitskollegin und mit unser aller beruflichen Existenz(grundlage)? Diese konkrete, bildhafte Ausgestaltung adressiert viel stärker unsere Emotionen und weckt Betroffenheit.
Anschlussfähigkeit
Um die Überlastung des Gesundheitssystems zu verhindern, ist es notwendig, das exponentielle Wachstum zu verhindern. Exponentielles Wachstum ist jedoch etwas, das wir uns als Menschen in seiner Auswirkung kaum vorstellen können. Also benötigen wir Analogien, um dies greifbarer zu machen. Viele nutzen die Schachbrettaufgabe, die das exponentielle Wachstum sehr schön illustriert. Diese stellt die Frage, wie viel Weizenkörner auf dem letzten Schachbrettfeld liegen, wenn man folgende Regel anwendet: Auf das erste Feld wird ein Weizenkorn gelegt. Die Anzahl wird auf dem nächsten Feld verdoppelt — also 2 Weizenkörner -, und diese Anzahl wiederum auf dem nächsten Feld verdoppelt — 4 Weizenkörner — usw. Für das vierundsechzigste Schachbrettfeld müssten mehr Weizenkörner organisiert werden, als es im ganzen Land aus der Fabel gibt. ProTipp: Falls Ihr Chef ebenfalls kein Gefühl für exponentielles Wachstum hat, verhandeln Sie, dass Sie jeden Monat mit einem Cent Gehalt am ersten Arbeitstag beginnen. Am zweiten Tag verdoppeln Sie das Tagesgehalt. In einem Monat mit 22 Arbeitstagen — wie in diesem März — gehen Sie mit knapp 42.000 Euro nach Hause. Klar: brutto. Da geht einiges ab. :)
Analogien unterhalten und stellen Anschlussfähigkeit her. Sie bleiben im Kopf haften. Auch dieses sollten wir für die Kommunikation von Informationssicherheit nutzen.
Die Macht der Bilder
Ein weiteres schönes Beispiel für das Herstellen von Anschlussfähigkeit sind geschickte Visualisierungen — wie Infografiken oder Animationen. Dieses Beispiel des Bundesgesundheitsministeriums verdeutlicht sehr schön die Wirkmacht jedes Einzelnen, der zu Hause bleibt und räumliche Distanz zu anderen Personen aufbaut.
Hier werden nicht unreflektiert Regeln oder gar die Sanktionen bei Nichteinhaltung thematisiert, sondern Sinne gebildet und Achtsamkeit erzeugt. Dies ist ein schönes Beispiel, da hier die Betrachtenden ganz klar ablesen können, welche positiven Folgen ihr Verhalten haben kann.
Dies ist Zugleich ist eine wichtige Maßgabe für die Kommunikation von Informationssicherheit. Nicht das reine Wahrnehmen von Sicherheitsrichtlinien erzeugt eine Veränderung in der Einstellung gegenüber dem Thema. Vielmehr ist die Darstellung des Beitrags jedes Einzelnen erfolgversprechend und nachhaltig. Erzeugen Sie bei Ihren Mitarbeitenden den inneren Monolog: “Was kann ich eigentlich an Schaden verhindern, wenn ich auch nur auf eine einzige gefährliche Phishing-Mail nicht hereinfalle?” Die Schärfung der Sinne wirkt mehr als pure Regulatorik.
Der zeitliche Aspekt
Zugegeben, die ZDF-Umfrage ist aus der letzten Märzwoche. Jetzt — einen Monat später — sinken langsam die Zustimmungswerte für die Maßnahmen, sind aber immer noch auf sehr hohem Niveau bei etwa 70% bis 75%. Dass die Zustimmung auf einem hohen Level bleibt, hängt sicherlich auch damit zusammen, dass diese sehr einschränkenden Maßnahmen in diesem aktuellen Zeitfenster endlich sind. Wir haben Hoffnung auf eine Zukunft mit der Rückkehr zur Normalität.
Diese zeitlich beschränkten Regeln haben wir in der Informationssicherheit an vielen Stellen nicht: Passwörter bleiben lang und komplex, Zugriffsrechte bleiben eingeschränkt, Phishing-Mails erreichen uns wahrscheinlich auch noch in vielen Jahren. Dennoch gibt es auch hier Zeitfenster, die genutzt werden können. So stellen wir beispielsweise aktuell einen größeren Wissensbedarf beim Thema Homeoffice fest. Viele, die jetzt zum ersten Mal in größerem Umfang zu Hause arbeiten fragen sich: Wie kann ich die Unternehmensdaten auch im häuslichen Umfeld schützen? Das erläutern wir in unserem neuen E-Learning-Kurs zu diesem Thema. Nutzen Sie dieses Zeitfenster für Ihre Organisation! Aktuell werden diese Informationen eher als willkommene Unterstützung statt als einschränkende Regeln wahrgenommen. Diesen Kurs stellen wir übrigens aktuell vielen Branchen, die diese Corona-Krise zu bewältigen helfen, kostenlos zur Verfügung.
Sinnbildung statt Regeln
Mittlerweile treten Lockerungen in Kraft, die aus wirtschaftlichen und sozialgesundheitlichen Erwägungen getroffen wurden. Diese werden von der Hoffnung begleitet, dass die letzten Wochen dazu beigetragen haben, dass sich bei vielen Menschen die Einstellung zu dem Thema geändert hat. So haben sicherlich viele von Ihnen aktuell eine höhere Aufmerksamkeit auf das Thema Hygiene oder wägen viel stärker ab, welche Aktionen wirklich notwendig und welche aktuell verzichtbar sind. Menschen verhalten sich von sich aus schützender, weil sie den Sinn verstanden haben, der sich aus einer zurückhaltenden Lebensweise ergibt. Die Hoffnung besteht, dass es geschafft wurde, dass Menschen sich auch ohne strengste Regeln situationsbezogen angemessen verhalten.
Hinzu kommt eine gewisse soziale Kontrolle, die sich mittlerweile etabliert hat. Personen werden angesprochen, die nicht genügend Abstand halten oder indem ein Handschlag nicht erwidert wird. Oder denken Sie an Ihren Kollegen im Nachbarbüro: 50 Jahre, Phil Collins-Fan und Auto-Bild-Abonnent. Wäre das nicht toll, wenn wir das auch hinbekämen, ihn freundlich anzusprechen, wenn der mal wieder seinen Rechner nicht gesperrt hat?
Homeoffice: Wenn auf einmal alles anders ist, die Regeln aber bleiben.
/in Awareness, Informationssicherheit /von Carsten GottertCorona verlangt nach Handeln.
SARS-CoV‑2 (“Corona”) und die damit verbundene Erkrankung COVID-19 führen die Welt, unser Land und unseren Alltag gerade massiv in für die meisten Menschen komplett ungewohnte Situationen. Täglich verschärft sich die Lage, nahezu stündlich werden von öffentlicher Stelle neue Maßnahmen kommuniziert, die uns alle betreffen und die allesamt konsequent ein wichtiges Ziel verfolgen — die Ausbreitungsgeschwindigkeit möglichst klein zu halten. Wir tun dies, um Zeit zu gewinnen, bis ein Gegenmittel gefunden wird und um in der Zwischenzeit unser Gesundheitssystem handlungsfähig zu halten.
Firmen, öffentliche Einrichtungen, Organisationen und Vereine reagieren auf diese Maßnahmen. Zum einen, um die genannten Ziele zu unterstützen und gesellschaftlich dazu beizutragen, die Ausbreitung zu verlangsamen. Zum anderen natürlich auch, um die eigene Leistungsfähigkeit aufrecht zu erhalten. Mitarbeiter_innen sollen sich untereinander nicht anstecken, um den gleichzeitigen Ausfall wichtiger Bereiche oder Knowhow-Träger zu vermeiden, um Kundenzusagen einhalten zu können und den Betrieb nicht zum Erliegen zu bringen. Die derzeit überall als Lösungsidee kommunizierte Vorgehensweise ist in diesem Fall das Home-Office.
Allgemeine Herausforderungen werden durch Corona verstärkt.
Die Arbeit im Home-Office ist nicht unumstritten. Viele Firmen verhalten sich daher zögerlich. Führung wird vielerorts noch synonym mit Anwesenheit gesetzt. Und Firmen wie Hewlett Packard sind hier sogar zurückgerudert und haben das Home-Office als Arbeitsform wieder abgewählt. Denn sowohl Themen des Arbeitsschutzes und der Arbeitssicherheit, aber auch Themen wie soziale Isolation und fehlende persönliche Kommunikation sind echte Herausforderungen, auf die es professionelle Antworten braucht. Nicht jede Organisation ist hierfür aufgestellt.
Aber in Ausnahmesituationen wie einer Pandemie durch Corona geraten diese Probleme in den Hintergrund und werden zweitrangig. Der Handlungsdruck steigt massiv und Organisationen, die hier ggf. noch nicht so erfahren sind, müssen in diesen Modus wechseln. Und auch Firmen, die hier für ausgewählte Bereiche bereits Home-Office in Ausnahmefällen tageweise erlaubt hatten, müssen nun komplett in diesen Modus wechseln und viele Mitarbeiter_innen für lange Zeit in diese bisher ungewohnte Form der Arbeitsorganisation schicken.
Ergebnis kann sein, dass eine Vielzahl hier unerfahrener Mitarbeiter_Innen nun für eine lange Zeit in einer für sie ungewohnten Arbeitsform zurecht kommen müssen und sich hier nun ein gutes Stück allein organisieren müssen, um den Job weiterhin bestmöglich machen zu können. Hinzu kommt, dass alle Menschen in Deutschland derzeit verunsichert sind, was als nächstes kommt, wie es weiter geht und was das für die eigene Familie und die eigene Existenz bedeutet.
Welche Gefahr besteht dann? Aufgrund allgemeiner Verunsicherung und Angst, aufgrund fehlender organisationaler Regelungen oder aufgrund fehlender Arbeitsmittel und Arbeitsprozesse für eine Arbeit im Home-Office können einmal erlernte Regeln und Verhaltensweisen der Verarbeitung betrieblicher Informationen vergessen oder ignoriert werden. Im schlimmsten Fall treten diese drei Umstände (Verunsicherung, fehlende Regelungen, fehlende Arbeitsmittel) gleichzeitig auf und potenzieren sich so. Das gefährdet Informationssicherheit.
Schutz von Personen und Informationen.
So wichtig der gesundheitliche Schutz des Individuums und der Gesellschaft nun auch ist, so erlauben uns die aktuellen Maßnahmen rund um Corona nicht, in Bezug auf Informationssicherheit die drei gleichberechtigten Schutzziele aus den Augen zu verlieren.
Denn gerade jetzt dienen viele Maßnahmen rund um Corona dem Schutzziel der Verfügbarkeit informationeller Werte. Daten spielen im betrieblichen Wertschöpfungsprozeß eine zentrale Rolle. So paradox das nun hier klingen mag. Die Entsendung von Mitarbeiter_innen ins Home-Office verfolgt am Ende genau dieses Ziel: der Informationsfluss darf trotz Pandemie nicht zum Erliegen kommen. Daten müssen weiter verarbeitet werden und Wertschöpfung (auch in Daten) muss weiterhin erfolgen, auch (und erst Recht) wenn Mitarbeiter_innen bspw. vorsorglich in häuslicher Quarantäne, aber dennoch gesund und arbeitsfähig sind. Daten bleiben verfügbar und werden weiterhin in Unternehmensbereich A generiert, veredelt, bereitgestellt, damit Bereich B und C damit (weiter)arbeiten können und ihrerseits neue Daten generieren, die verfügbar sein müssen, damit D und E arbeitsfähig bleiben. Auch, wenn A, B, C, D und E ggf. über Monate im Home-Office sind.
Wenn nun aber im Home-Office Mitarbeiter_innen sich in ungewohnter Umgebung wiederfinden, sich erstmalig in dieser Umgebung nun für einen längeren Zeitraum einrichten müssen, darüber hinaus Anweisungen und Regelungen fehlen und dazu noch die permanente Verunsicherung bzgl. der gesellschaftlichen Gesamtsituation zunimmt, dann birgt das zwei Gefahren.
Zum einen können einmal erlernte Verhaltensweisen in Bezug auf Informationssicherheit schlicht in der allgemeinen Anspannung vergessen werden. Menschen befinden sich in dieser Krise in einer Ausnahmesituation. Rationalität ist da nicht mehr zu jedem Zeitpunkt selbstverständlich. Hier hilft es, die Belegschaft jetzt durch geeignete Maßnahmen an die anderen beiden Schutzziele in Bezug auf Informationssicherheit zu erinnern. Das Ziel muss hier sein, die Awareness für Informationssicherheit hoch zu halten.
Zum anderen sollten vor allem Firmen, die hier in Bezug auf Home-Office komplett oder in Teilen Neuland betreten, Ihre Belegschaft für Informationssicherheit im Home-Office sensibilisieren. Es reicht nicht aus, die Verfügbarkeit von Informationen durch Home-Office wie beschrieben aufrecht zu erhalten. Die beiden anderen Schutzziele, nämlich die Vertraulichkeit von Informationen und die Integrität von Informationen müssen im Home-Office genau so beachtet, gelebt und befolgt werden, wie es im “normalen” Unternehmensalltag der Fall ist. Corona entbindet niemanden von gesetzlichen und/oder vertraglichen Verpflichtungen. Es muss aktiv vermieden werden, dass Mitarbeiter_Innen jetzt anfangen, sich in WhatsApp-Gruppen zu organisieren, Dienste wie DropBox zum Datenaustausch zu verwenden, Telefonate mit vertraulichen (bspw. Personaldaten, Kundendaten) in Anwesenheit von Familienmitgliedern im Klartext und nicht pseudonymisiert zu führen oder vertrauliche Dokumente offen herumliegen zu lassen. Hier ist dringend angeraten, Mitarbeiter_Innen jetzt in dieser Phase initial in Bezug auf die wesentlichen Grundlage der Informationssicherheit zu sensibilisieren, wenn dies noch nicht geschehen ist.
Wir helfen Ihnen gern bei dieser Aufgabe. Unser Online-Kurs zu "Informationssicherheit im Homeoffice" bereitet Ihre Beschäftigten optimal auf diese Herausforderungen vor.
Und für alle Organisationen, die aktuell in dieser epochalen Krise der allgemeinen Daseinsfürsorge dienen, ist dieses Training kostenfrei. SECUTAIN unterstützt damit aktiv die gemeinsame Anstrengung im Kampf gegen Corona und hilft kritischen Infrastrukturen (KRITIS) bei ihrer aktuell überlebenswichtigen Arbeit.
War das wirklich der letzte “Ändere Dein Passwort”-Tag?
/in Uncategorized /von David ScribaneVor wenigen Tagen haben wir den “Ändere Dein Passwort”-Tag begangen. Viele sagen: vielleicht zum letzten Mal. Die Wirksamkeit von erzwungenen Passwortwechseln wird bezweifelt — und ja: das kann diskutiert werden. Strategien, wie das Ändern einer einzigen Zahl im neuen Passwort oder die Tendenz zu eher trivialen, merkbaren Passwörtern sprechen dafür, dass das regelmäßige Ändern des Passworts wenig wirksam ist.
Dennoch: In den letzten Monaten wurden Milliarden von Anmeldeinformationen veröffentlicht. Die Collections 1–5 sind die bislang größten Bibliotheken mit Anmeldedaten. Und wöchentlich kommen neue Leaks hinzu. Dies ist eine permanente Gefahr, dass Zugänge von Angreifern übernommen werden und Zugriff auf Ihre sensiblen Unternehmensinformationen genommen wird.
Was heißt das eigentlich für Sie?
Awareness für starke Passwörter
Nutzen Sie diese Situation, um für stärkere Passwörter zu werben. Sind die Passwörter lediglich in gehashter Form in den Leaks verfügbar, sind Passwortstärke und Einzigartigkeit ein wichtiger Faktor. Klären Sie Ihre Beschäftigten über diese Gefahr auf und versuchen Sie, so Verständnis und Einsicht für Passwortwechsel zu erzeugen. In unserem Awareness-Clip erläutern wir, was starke Passwörter ausmacht:
Wir bieten Ihnen unterschiedliche Maßnahmen an, um mehr Achtsamkeit für das Thema Passwörter zu erlangen: E-Learnings, Webinare, Präsenzschulungen etc.
Gezielter Passwortwechsel in Gefahrensituationen
Bei jedem Leak sollten Sie sich fragen: “Sind Daten von meiner Firma betroffen?” oder “Sind bereits Anmeldedaten von uns im Darknet im Umlauf?”
Die pure Anzahl der unterschiedlichen Leaks führt dazu, dass es kaum möglich ist, den Überblick zu bewahren und die konkrete Gefahrensituation einzuschätzen. Daher bieten wir Ihnen ein Darknet Monitoring an, das permanent tausende von Quellen im Darknet danach durchsucht, ob Anmeldedaten Ihrer Firma angeboten werden. So erhalten Sie einen guten Überblick über Zugänge, die bereits heute nicht mehr sicher sind. Darüber hinaus erhalten Sie ab sofort E‑Mail-Benachrichtigungen, sobald neue Anmeldeinformationen Ihrer Firma im Darknet angeboten werden. Sie können dann gezielt Gegenmaßnahmen für die betroffenen Konten ergreifen und die Awareness für dieses Thema hoch halten.
Mehr Informationen zu unserem Darknet-Monitoring und die Möglichkeit, einen kostenlosen Report über die Gefahrenlage Ihrer Firma zu erhalten, finden Sie hier.
Vielleicht wäre es eine Idee, dass der “Ändere Dein Passwort”-Tag zukünftig der “Prüfe Dein Passwort”-Tag wird.