SECUTAIN-Blog

Kontakteinschränkungen: ja — Komplexe Passwörter: nein

Als ich vor Kurzem das ZDF-Politbarometer sah, wur­de dort eine für mich erstaun­li­che Zahl prä­sen­tiert. Es wur­de gefragt, wie die Bevölkerung die aktu­el­len Einschränkungen auf­grund der Corona-Situation ein­schätzt. Die Zustimmung lag bei 95%: 75% hiel­ten die Einschränkungen für ange­mes­sen — 20% wünsch­ten sich sogar här­te­re Maßnahmen. Das ist eine bemer­kens­wer­te Zahl — ins­be­son­de­re, wenn man bedenkt, wie tief die­se Maßnahmen in den Alltag aller Personen in Deutschland eingreifen.

Das Erstaunen resul­tier­te aber auch daher, da ich mich noch an die Zahlen einer eige­nen Erhebung erin­nern konn­te, die wir zum Thema “Einschränkungsbereitschaft durch Informationssicherheitsmaßnahmen” erstellt hat­ten. Dabei frag­ten wir, inwie­fern Menschen bereit sind, auf Komfort zu ver­zich­ten, wenn sie damit den Schutz von Daten und Informationen stär­ken. Hier lag die Zustimmung bei gera­de mal mage­ren 3%.

Nun sind die Verwendung von kom­ple­xen Passwörtern, die Nutzung von meh­re­ren Faktoren bei Anmeldungen und aus­ge­klü­gel­te Berechtigungssysteme sehr viel weni­ger ein­schnei­dend als die aktu­el­len Kontaktbeschränkungen. Wieso sind die Zustimmungswerte den­noch so gegen­sätz­lich? Dies liegt an ver­schie­de­nen Faktoren, die wir uns auch in der Kommunikation von Informationssicherheit zu Nutze machen sollten:

Betroffenheit

In der Corona-Situation geht es um die eige­ne Gesundheit und das Überleben sei­ner Liebsten. Wir stel­len uns vor, was der schwe­re Verlauf einer COVID19-Erkrankung mit unse­rem Leben machen könn­te. Ganz unwei­ger­lich haben wir Angst vor dem Verlust der Leute, die uns am Herzen lie­gen. Mehr Betroffenheit geht kaum. Die Bereitschaft, sei­ne Verhaltensweisen anzu­pas­sen, steigt, je betrof­fe­ner eine Situation macht.

Natürlich stüt­zen wir unse­re Argumentationen auch im Bereich der Informationssicherheit auf Business Impact Analysen, Risikobewertungen oder Schutzbedarfsfeststellungen. Das klingt nicht danach, dass wir auf der emo­tio­na­len Ebene ange­spro­chen wer­den. Macht dies betrof­fen? Wohl eher weni­ger. Daher ist es hier wich­tig, Bilder zu zeich­nen und Geschichten zu erzäh­len, wie das Berufsleben und der Zustand des eige­nen Arbeitgebers aus­se­hen könn­te, wenn Informationsrisiken ein­tre­ten. Was macht das ganz kon­kret mit mir, mit mei­ner lieb gewon­ne­nen Arbeitskollegin und mit unser aller beruf­li­chen Existenz(grundlage)? Diese kon­kre­te, bild­haf­te Ausgestaltung adres­siert viel stär­ker unse­re Emotionen und weckt Betroffenheit.

Anschlussfähigkeit

Um die Überlastung des Gesundheitssystems zu ver­hin­dern, ist es not­wen­dig, das expo­nen­ti­el­le Wachstum zu ver­hin­dern. Exponentielles Wachstum ist jedoch etwas, das wir uns als Menschen in sei­ner Auswirkung kaum vor­stel­len kön­nen. Also benö­ti­gen wir Analogien, um dies greif­ba­rer zu machen. Viele nut­zen die Schachbrettaufgabe, die das expo­nen­ti­el­le Wachstum sehr schön illus­triert. Diese stellt die Frage, wie viel Weizenkörner auf dem letz­ten Schachbrettfeld lie­gen, wenn man fol­gen­de Regel anwen­det: Auf das ers­te Feld wird ein Weizenkorn gelegt. Die Anzahl wird auf dem nächs­ten Feld ver­dop­pelt — also 2 Weizenkörner -, und die­se Anzahl wie­der­um auf dem nächs­ten Feld ver­dop­pelt — 4 Weizenkörner — usw. Für das vier­und­sech­zigs­te Schachbrettfeld müss­ten mehr Weizenkörner orga­ni­siert wer­den, als es im gan­zen Land aus der Fabel gibt. ProTipp: Falls Ihr Chef eben­falls kein Gefühl für expo­nen­ti­el­les Wachstum hat, ver­han­deln Sie, dass Sie jeden Monat mit einem Cent Gehalt am ers­ten Arbeitstag begin­nen. Am zwei­ten Tag ver­dop­peln Sie das Tagesgehalt. In einem Monat mit 22 Arbeitstagen — wie in die­sem März — gehen Sie mit knapp 42.000 Euro nach Hause. Klar: brut­to. Da geht eini­ges ab. :)

Analogien unter­hal­ten und stel­len Anschlussfähigkeit her. Sie blei­ben im Kopf haf­ten. Auch die­ses soll­ten wir für die Kommunikation von Informationssicherheit nutzen.

Die Macht der Bilder

Ein wei­te­res schö­nes Beispiel für das Herstellen von Anschlussfähigkeit sind geschick­te Visualisierungen — wie Infografiken oder Animationen. Dieses Beispiel des Bundesgesundheitsministeriums ver­deut­licht sehr schön die Wirkmacht jedes Einzelnen, der zu Hause bleibt und räum­li­che Distanz zu ande­ren Personen aufbaut.

Hier wer­den nicht unre­flek­tiert Regeln oder gar die Sanktionen bei Nichteinhaltung the­ma­ti­siert, son­dern Sinne gebil­det und Achtsamkeit erzeugt. Dies ist ein schö­nes Beispiel, da hier die Betrachtenden ganz klar able­sen kön­nen, wel­che posi­ti­ven Folgen ihr Verhalten haben kann.

Dies ist Zugleich ist eine wich­ti­ge Maßgabe für die Kommunikation von Informationssicherheit. Nicht das rei­ne Wahrnehmen von Sicherheitsrichtlinien erzeugt eine Veränderung in der Einstellung gegen­über dem Thema. Vielmehr ist die Darstellung des Beitrags jedes Einzelnen erfolg­ver­spre­chend und nach­hal­tig. Erzeugen Sie bei Ihren Mitarbeitenden den inne­ren Monolog: “Was kann ich eigent­lich an Schaden ver­hin­dern, wenn ich auch nur auf eine ein­zi­ge gefähr­li­che Phishing-Mail nicht her­ein­fal­le?” Die Schärfung der Sinne wirkt mehr als pure Regulatorik.

Der zeitliche Aspekt

Zugegeben, die ZDF-Umfrage ist aus der letz­ten Märzwoche. Jetzt — einen Monat spä­ter — sin­ken lang­sam die Zustimmungswerte für die Maßnahmen, sind aber immer noch auf sehr hohem Niveau bei etwa 70% bis 75%. Dass die Zustimmung auf einem hohen Level bleibt, hängt sicher­lich auch damit zusam­men, dass die­se sehr ein­schrän­ken­den Maßnahmen in die­sem aktu­el­len Zeitfenster end­lich sind. Wir haben Hoffnung auf eine Zukunft mit der Rückkehr zur Normalität.

Diese zeit­lich beschränk­ten Regeln haben wir in der Informationssicherheit an vie­len Stellen nicht: Passwörter blei­ben lang und kom­plex, Zugriffsrechte blei­ben ein­ge­schränkt, Phishing-Mails errei­chen uns wahr­schein­lich auch noch in vie­len Jahren. Dennoch gibt es auch hier Zeitfenster, die genutzt wer­den kön­nen. So stel­len wir bei­spiels­wei­se aktu­ell einen grö­ße­ren Wissensbedarf beim Thema Homeoffice fest. Viele, die jetzt zum ers­ten Mal in grö­ße­rem Umfang zu Hause arbei­ten fra­gen sich: Wie kann ich die Unternehmensdaten auch im häus­li­chen Umfeld schüt­zen? Das erläu­tern wir in unserem neuen E-Learning-Kurs zu diesem Thema. Nutzen Sie die­ses Zeitfenster für Ihre Organisation! Aktuell wer­den die­se Informationen eher als will­kom­me­ne Unterstützung statt als ein­schrän­ken­de Regeln wahr­ge­nom­men. Diesen Kurs stel­len wir übri­gens aktu­ell vie­len Branchen, die die­se Corona-Krise zu bewäl­ti­gen hel­fen, kos­ten­los zur Verfügung.

Sinnbildung statt Regeln

Mittlerweile tre­ten Lockerungen in Kraft, die aus wirt­schaft­li­chen und sozi­al­ge­sund­heit­li­chen Erwägungen getrof­fen wur­den. Diese wer­den von der Hoffnung beglei­tet, dass die letz­ten Wochen dazu bei­getra­gen haben, dass sich bei vie­len Menschen die Einstellung zu dem Thema geän­dert hat. So haben sicher­lich vie­le von Ihnen aktu­ell eine höhe­re Aufmerksamkeit auf das Thema Hygiene oder wägen viel stär­ker ab, wel­che Aktionen wirk­lich not­wen­dig und wel­che aktu­ell ver­zicht­bar sind. Menschen ver­hal­ten sich von sich aus schüt­zen­der, weil sie den Sinn ver­stan­den haben, der sich aus einer zurück­hal­ten­den Lebensweise ergibt. Die Hoffnung besteht, dass es geschafft wur­de, dass Menschen sich auch ohne strengs­te Regeln situa­ti­ons­be­zo­gen ange­mes­sen verhalten.

Hinzu kommt eine gewis­se sozia­le Kontrolle, die sich mitt­ler­wei­le eta­bliert hat. Personen wer­den ange­spro­chen, die nicht genü­gend Abstand hal­ten oder indem ein Handschlag nicht erwi­dert wird. Oder den­ken Sie an Ihren Kollegen im Nachbarbüro: 50 Jahre, Phil Collins-Fan und Auto-Bild-Abonnent. Wäre das nicht toll, wenn wir das auch hin­be­kä­men, ihn freund­lich anzu­spre­chen, wenn der mal wie­der sei­nen Rechner nicht gesperrt hat?

Homeoffice: Wenn auf einmal alles anders ist, die Regeln aber bleiben.

Corona verlangt nach Handeln.

SARS-CoV‑2  (“Corona”) und die damit ver­bun­de­ne Erkrankung COVID-19 füh­ren die Welt, unser Land und unse­ren Alltag gera­de mas­siv in für die meis­ten Menschen kom­plett unge­wohn­te Situationen. Täglich ver­schärft sich die Lage, nahe­zu stünd­lich wer­den von öffent­li­cher Stelle neue Maßnahmen  kom­mu­ni­ziert, die uns alle betref­fen und die alle­samt kon­se­quent ein wich­ti­ges Ziel ver­fol­gen — die Ausbreitungsgeschwindigkeit mög­lichst klein zu hal­ten. Wir tun dies, um Zeit zu gewin­nen, bis ein Gegenmittel gefun­den wird und um in der Zwischenzeit unser Gesundheitssystem hand­lungs­fä­hig zu halten.

Firmen, öffent­li­che Einrichtungen, Organisationen und Vereine reagie­ren auf die­se Maßnahmen. Zum einen, um die genann­ten Ziele zu unter­stüt­zen und gesell­schaft­lich dazu bei­zu­tra­gen, die Ausbreitung zu ver­lang­sa­men. Zum ande­ren natür­lich auch, um die eige­ne Leistungsfähigkeit auf­recht zu erhal­ten. Mitarbeiter_innen sol­len sich unter­ein­an­der nicht anste­cken, um den gleich­zei­ti­gen Ausfall wich­ti­ger Bereiche oder Knowhow-Träger zu ver­mei­den, um Kundenzusagen ein­hal­ten zu kön­nen und den Betrieb nicht zum Erliegen zu brin­gen. Die der­zeit über­all als Lösungsidee kom­mu­ni­zier­te Vorgehensweise ist in die­sem Fall das Home-Office.

Allgemeine Herausforderungen werden durch Corona verstärkt.

Die Arbeit im Home-Office ist nicht unum­strit­ten. Viele Firmen ver­hal­ten sich daher zöger­lich. Führung wird vie­ler­orts noch syn­onym mit Anwesenheit gesetzt. Und Firmen wie Hewlett Packard sind hier sogar zurück­ge­ru­dert und haben das Home-Office als Arbeitsform wie­der abge­wählt. Denn sowohl Themen des Arbeitsschutzes und der Arbeitssicherheit, aber auch Themen wie sozia­le Isolation und feh­len­de per­sön­li­che Kommunikation sind ech­te Herausforderungen, auf die es pro­fes­sio­nel­le Antworten braucht. Nicht jede Organisation ist hier­für aufgestellt.

Aber in Ausnahmesituationen wie einer Pandemie durch Corona gera­ten die­se Probleme in den Hintergrund und wer­den zweit­ran­gig. Der Handlungsdruck steigt mas­siv und Organisationen, die hier ggf. noch nicht so erfah­ren sind, müs­sen in die­sen Modus wech­seln. Und auch Firmen, die hier für aus­ge­wähl­te Bereiche bereits Home-Office in Ausnahmefällen tage­wei­se erlaubt hat­ten, müs­sen nun kom­plett in die­sen Modus wech­seln und vie­le Mitarbeiter_innen für lan­ge Zeit in die­se bis­her unge­wohn­te Form der Arbeitsorganisation schicken.

Ergebnis kann sein, dass eine Vielzahl hier uner­fah­re­ner Mitarbeiter_Innen nun für eine lan­ge Zeit in einer für sie unge­wohn­ten Arbeitsform zurecht kom­men müs­sen und sich hier nun ein gutes Stück allein orga­ni­sie­ren müs­sen, um den Job wei­ter­hin best­mög­lich machen zu kön­nen. Hinzu kommt, dass alle Menschen in Deutschland der­zeit ver­un­si­chert sind, was als nächs­tes kommt, wie es wei­ter geht und was das für die eige­ne Familie und die eige­ne Existenz bedeutet.

Welche Gefahr besteht dann? Aufgrund all­ge­mei­ner Verunsicherung und Angst, auf­grund feh­len­der orga­ni­sa­tio­na­ler Regelungen oder auf­grund feh­len­der Arbeitsmittel und Arbeitsprozesse für eine Arbeit im Home-Office kön­nen ein­mal erlern­te Regeln und Verhaltensweisen der Verarbeitung betrieb­li­cher Informationen ver­ges­sen oder igno­riert wer­den. Im schlimms­ten Fall tre­ten die­se drei Umstände (Verunsicherung, feh­len­de Regelungen, feh­len­de Arbeitsmittel) gleich­zei­tig auf und poten­zie­ren sich so. Das gefähr­det Informationssicherheit.

Schutz von Personen und Informationen.

So wich­tig der gesund­heit­li­che Schutz des Individuums und der Gesellschaft nun auch ist, so erlau­ben uns die aktu­el­len Maßnahmen rund um Corona nicht, in Bezug auf Informationssicherheit die drei gleich­be­rech­tig­ten Schutzziele aus den Augen zu verlieren.

Denn gera­de jetzt die­nen vie­le Maßnahmen rund um Corona dem Schutzziel der Verfügbarkeit infor­ma­tio­nel­ler Werte. Daten spie­len im betrieb­li­chen Wertschöpfungsprozeß eine zen­tra­le Rolle. So para­dox das nun hier klin­gen mag. Die Entsendung von Mitarbeiter_innen ins Home-Office ver­folgt am Ende genau die­ses Ziel:  der Informationsfluss darf trotz Pandemie nicht zum Erliegen kom­men. Daten müs­sen wei­ter ver­ar­bei­tet wer­den und Wertschöpfung (auch in Daten) muss wei­ter­hin erfol­gen, auch (und erst Recht) wenn Mitarbeiter_innen bspw. vor­sorg­lich in häus­li­cher Quarantäne, aber den­noch gesund und arbeits­fä­hig sind.  Daten blei­ben ver­füg­bar und wer­den wei­ter­hin in Unternehmensbereich A gene­riert, ver­edelt, bereit­ge­stellt, damit Bereich B und C damit (weiter)arbeiten kön­nen und ihrer­seits neue Daten gene­rie­ren, die ver­füg­bar sein müs­sen, damit D und E arbeits­fä­hig blei­ben. Auch, wenn A, B, C, D und E ggf. über Monate im Home-Office sind.

Wenn nun aber im Home-Office Mitarbeiter_innen sich in unge­wohn­ter Umgebung wie­der­fin­den, sich erst­ma­lig in die­ser Umgebung nun für einen län­ge­ren Zeitraum ein­rich­ten müs­sen, dar­über hin­aus Anweisungen und Regelungen feh­len und dazu noch die per­ma­nen­te Verunsicherung bzgl. der gesell­schaft­li­chen Gesamtsituation zunimmt, dann birgt das zwei Gefahren.

Zum einen kön­nen ein­mal erlern­te Verhaltensweisen in Bezug auf Informationssicherheit schlicht in der all­ge­mei­nen Anspannung ver­ges­sen wer­den. Menschen befin­den sich in die­ser Krise in einer Ausnahmesituation. Rationalität ist da nicht mehr zu jedem Zeitpunkt selbst­ver­ständ­lich. Hier hilft es, die Belegschaft jetzt durch geeig­ne­te Maßnahmen an die ande­ren bei­den Schutzziele in Bezug auf Informationssicherheit zu erin­nern. Das Ziel muss hier sein, die Awareness für Informationssicherheit hoch zu halten.

Zum ande­ren soll­ten vor allem Firmen, die hier in Bezug auf Home-Office kom­plett oder in Teilen Neuland betre­ten, Ihre Belegschaft für Informationssicherheit im Home-Office sen­si­bi­li­sie­ren. Es reicht nicht aus, die Verfügbarkeit von Informationen durch Home-Office wie beschrie­ben auf­recht zu erhal­ten.  Die bei­den ande­ren Schutzziele, näm­lich die Vertraulichkeit von Informationen und die Integrität von Informationen müs­sen im Home-Office genau so beach­tet, gelebt und befolgt wer­den, wie es im “nor­ma­len” Unternehmensalltag der Fall ist. Corona ent­bin­det nie­man­den von gesetz­li­chen und/oder ver­trag­li­chen Verpflichtungen. Es muss aktiv ver­mie­den wer­den, dass Mitarbeiter_Innen jetzt anfan­gen, sich in WhatsApp-Gruppen zu orga­ni­sie­ren, Dienste wie DropBox zum Datenaustausch zu ver­wen­den,  Telefonate mit ver­trau­li­chen (bspw. Personaldaten, Kundendaten) in Anwesenheit von Familienmitgliedern im Klartext und nicht pseud­ony­mi­siert zu füh­ren oder ver­trau­li­che Dokumente offen her­um­lie­gen zu las­sen. Hier ist drin­gend ange­ra­ten, Mitarbeiter_Innen jetzt in die­ser Phase initi­al in Bezug auf die wesent­li­chen Grundlage der Informationssicherheit zu sen­si­bi­li­sie­ren, wenn dies noch nicht gesche­hen ist.

Wir hel­fen Ihnen gern bei die­ser Aufgabe. Unser Online-Kurs zu "Informationssicherheit im Homeoffice" berei­tet Ihre Beschäftigten opti­mal auf die­se Herausforderungen vor.

Und für alle Organisationen, die aktu­ell in die­ser epo­cha­len Krise der all­ge­mei­nen Daseinsfürsorge die­nen, ist die­ses Training kos­ten­frei. SECUTAIN unter­stützt damit aktiv die gemein­sa­me Anstrengung im Kampf gegen Corona und hilft kri­ti­schen Infrastrukturen (KRITIS) bei ihrer aktu­ell über­le­bens­wich­ti­gen Arbeit.

War das wirklich der letzte “Ändere Dein Passwort”-Tag?

Vor weni­gen Tagen haben wir den “Ändere Dein Passwort”-Tag began­gen. Viele sagen: viel­leicht zum letz­ten Mal. Die Wirksamkeit von erzwun­ge­nen Passwortwechseln wird bezwei­felt — und ja: das kann dis­ku­tiert wer­den. Strategien, wie das Ändern einer ein­zi­gen Zahl im neu­en Passwort oder die Tendenz zu eher tri­via­len, merk­ba­ren Passwörtern spre­chen dafür, dass das regel­mä­ßi­ge Ändern des Passworts wenig wirk­sam ist.

Dennoch: In den letz­ten Monaten wur­den Milliarden von Anmeldeinformationen ver­öf­fent­licht. Die Collections 1–5 sind die bis­lang größ­ten Bibliotheken mit Anmeldedaten. Und wöchent­lich kom­men neue Leaks hin­zu. Dies ist eine per­ma­nen­te Gefahr, dass Zugänge von Angreifern über­nom­men wer­den und Zugriff auf Ihre sen­si­blen Unternehmensinformationen genom­men wird.

Was heißt das eigent­lich für Sie?

Awareness für starke Passwörter

Nutzen Sie die­se Situation, um für stär­ke­re Passwörter zu wer­ben. Sind die Passwörter ledig­lich in gehash­ter Form in den Leaks ver­füg­bar, sind Passwortstärke und Einzigartigkeit ein wich­ti­ger Faktor. Klären Sie Ihre Beschäftigten über die­se Gefahr auf und ver­su­chen Sie, so Verständnis und Einsicht für Passwortwechsel zu erzeu­gen. In unse­rem Awareness-Clip erläu­tern wir, was star­ke Passwörter ausmacht:

Wir bie­ten Ihnen unter­schied­li­che Maßnahmen an, um mehr Achtsamkeit für das Thema Passwörter zu erlan­gen: E-Learnings, Webinare, Präsenzschulungen etc.

Gezielter Passwortwechsel in Gefahrensituationen

Bei jedem Leak soll­ten Sie sich fra­gen: “Sind Daten von mei­ner Firma betrof­fen?” oder “Sind bereits Anmeldedaten von uns im Darknet im Umlauf?”

Die pure Anzahl der unter­schied­li­chen Leaks führt dazu, dass es kaum mög­lich ist, den Überblick zu bewah­ren und die kon­kre­te Gefahrensituation ein­zu­schät­zen. Daher bie­ten wir Ihnen ein Darknet Monitoring an, das per­ma­nent tau­sen­de von Quellen im Darknet danach durch­sucht, ob Anmeldedaten Ihrer Firma ange­bo­ten wer­den. So erhal­ten Sie einen guten Überblick über Zugänge, die bereits heu­te nicht mehr sicher sind. Darüber hin­aus erhal­ten Sie ab sofort E‑Mail-Benachrichtigungen, sobald neue Anmeldeinformationen Ihrer Firma im Darknet ange­bo­ten wer­den. Sie kön­nen dann gezielt Gegenmaßnahmen für die betrof­fe­nen Konten ergrei­fen und die Awareness für die­ses Thema hoch halten.

Mehr Informationen zu unserem Darknet-Monitoring und die Möglichkeit, einen kostenlosen Report über die Gefahrenlage Ihrer Firma zu erhalten, finden Sie hier.

Vielleicht wäre es eine Idee, dass der “Ändere Dein Passwort”-Tag zukünf­tig der “Prüfe Dein Passwort”-Tag wird.