Wenn ein Jahr zu Ende geht, blicken wir gerne zurück. Aus dem Blickwinkel der Informationssicherheit fallen zwei Dinge auf: Schädliche E‑Mails stellen nach wie vor die größte Gefahr dar – im Privaten als auch in der Firma. Auch in diesem Jahr sind große Datenlecks darauf zurückzuführen, dass die absoluten Grundlagen für den sorgsamen Umgang mit Informationen nicht eingehalten worden oder Mitarbeiter nicht achtsam genug agierten.
In Deutschland sorgte Anfang des Jahres der sogenannte Doxing-Hack für Schlagzeilen. Dabei wurden private und intime Informationen von fast 1.000 Politikern, Journalisten und Prominenten veröffentlicht.
Wie sich herausstellte, war die Vorgehensweise, an diese Daten zu gelangen, keine modernen technischen Angriffe, sondern vielmehr Beharrlichkeit, Geduld und Akribie. Der unbedachte Umgang mit Passwörtern oder die mehrfache Nutzung von schwachen Passwörtern führten zu dem erfolgreichen Angriff.
Durch das Eindringen in E‑Mail-Konten und WhatsApp-Zugänge wurden nicht nur sensible Informationen der Konteneigner gestohlen, sondern auch von den Personen, mit denen sie im Kontakt standen. Als die Mobilnummer des Politikers Christian Lindner veröffentlicht wurde, haben Neugierige ihn auf WhatsApp kontaktiert, um herauszufinden, ob die Nummer tatsächlich korrekt ist:
Was lernen wir daraus?
Wir tragen nicht nur Verantwortung für den Schutz unserer Daten, sondern auch für die derer, mit denen wir kommunizieren.
Starke Passwörter sind wichtig – immer und überall.
Dass wir diese Passwörter schützen sollten, verdeutlicht auch die Veröffentlichung von fünf grossen Sammlungen von E‑Mail- und Passwort-Kombinationen. So wurden in den sogenannten Collections 1–5 in diesem Jahr insgesamt 2,1 Milliarden (ja, Milliarden!) derartige Kombinationen veröffentlicht. Ob Deine E‑Mail-Adressen davon auch betroffen sind, kannst Du u.a. auf der englischen Seite https://haveibeenpwned.com überprüfen.
Dieses Jahr hat uns auch gezeigt, dass schädliche E‑Mails nach wie vor ein riesiges Problem darstellen. So wurde insbesondere der deutschsprachige Raum in diesem Jahr insbesondere durch den Virus «Emotet» stark in Mitleidenschaft gezogen. Dieser versendet glaubwürdige E‑Mails, die bei uns Vertrauen erzeugen sollen. Absender, Signaturen, Betreffzeilen sehen korrekt aus und erzeugen somit Vertrauen. Ziel ist es, dass wir auf Links klicken, damit sich im Nachgang eine Schadsoftware auf unserem Rechner installiert, die uns erpressen möchte oder Zugangsdaten stehlen will.
Daher prüfen Sie immer erst, bevor Sie einen Link in einer Mail klicken, ob das Ziel des Links vertrauenswürdig ist. Aktivieren Sie nur im absoluten Ausnahmefall Makros von angehängten Dateien. Trainieren Sie Ihre Mitarbeiter im Umgang mit gefährlichen Mails — beispielsweise mit unserem Phishing-Training.
2019 hat sehr eindrücklich gezeigt, dass sensibilisierte, achtsame Mitarbeiter ein entscheidender Faktor für den Schutz von Informationen sind. Wir möchten uns bei allen Kunden und Partnern für ein erfolgreiches SECUTAIN-Jahr bedanken und wünschen Ihnen ein sicheres und achtsames 2020!
https://mlnhwmuyzoec.i.optimole.com/cMlCb_8-Fw07FlQD/w:auto/h:auto/q:auto/https://secutain.com/wp-content/uploads/2020/08/SECUTAIN-Awarenessexperten-white.png00David Scribanehttps://mlnhwmuyzoec.i.optimole.com/cMlCb_8-Fw07FlQD/w:auto/h:auto/q:auto/https://secutain.com/wp-content/uploads/2020/08/SECUTAIN-Awarenessexperten-white.pngDavid Scribane2019-12-20 09:24:322019-12-20 09:27:42Ein Blick zurück auf 2019
Es ist Ihnen sicherlich nicht entgangen, in den Medien wird vor einer neuen Welle von E‑Mails mit der Schadsoftware „Emotet“ gewarnt. Was zuerst klingt wie ein altägyptischer Baumeister oder eine neue Jugendbewegung ist ein äußert perfider Angreifer, der jeden von uns treffen kann, wie er in den letzten Monaten bereits unter Beweis gestellt hat.
Was tut Emotet?
Emotet liest auf betroffenen Systemen E‑Mail-Kontakte und sogar aktuelle Inhalte von E‑Mails aus und ist so in der Lage, sehr echt aussehende Mails zu versenden, von aktuellen Kontakten und sogar mit Bezug zu aktuellen Inhalten. So kann es sein, dass eine recht aktuelle Mail direkt unten als Mailverlauf eingefügt wurde. Das wirkt für den Empfänger also alles sehr überzeugend und erregt wenig Skepsis. Mit einem Klick auf einen Link oder dem Öffnen einer Datei aus dem Mailanhang nistet er sich auf Ihrem Computer ein. Dort lädt er dann andere Schadsoftware nach, die dann z.B. Ihr Online-Banking ausspäht, Ihre Passwörter abgreift und natürlich versucht, Ihre Kontakte zu infizieren.
Was Sie tun können.
Das klingt erstmal aussichtslos, aber wie bei allen E‑Mail-gestützten Angriffen helfen auch hier erstmal die wichtigen Grundregeln zur Vorsorge:
Halten Sie Ihr Betriebssystem und Ihre Anwendungen aktuell, installieren Sie Updates und Patches zeitnah.
Setzen Sie einen aktuellen Virenscanner ein.
Erstellen Sie regelmäßige Datensicherungen von Ihrem Computer, damit Sie im Schadensfall alle Daten schnell wiederherstellen können.
Sicherlich, diese Maßnahmen schließen eine Infektion nicht aus, helfen aber unter Umständen den Schaden in Grenzen zu halten. Auf Ihren dienstlichen Geräten kümmert sich um all diese Sachen sicherlich Ihre IT Abteilung.
Emotet wird nicht der letzte bösartige Gast in unseren elektronischen Postfächern sein. Die wichtigste Verteidigung gegen diese Angriffe sind und bleiben deshalb Sie. Ihre Aufmerksamkeit, ihr Verstand und Ihre Erfahrung sind besser als jeder Virenscanner. Fragen Sie sich bei jeder Mail, bei jedem Anhang und bei jedem Link erneut:
Kenne ich den Absender?
Erwarte ich diese E‑Mail?
Würde der Absender in diesem Fall E‑Mail als Kommunikationsmittel wählen?
Würde er mich so ansprechen und anschreiben?
Warum versucht diese Mail eine Reaktion (Öffnen von Dateien, Klicken auf Links) durch mich zu provozieren?
Muss ich diesen Anhang öffnen bzw. diesen Link klicken?
Auch wenn ein Link auf den ersten Blick vertrauenswürdig aussieht, gibt es irgendwelche Auffälligkeiten?
Warum möchte dieses vermeintliche Word-Dokument jetzt Änderungen an meinem System vornehmen?
Fragen Sie im Zweifelsfall beim Absender persönlich nach, ob diese Mail von ihm stammt. Seien Sie bei allen Arten von Dateien wachsam, auch bei Office-Dateien oder anderen Formaten.
Jede Mail, auch echte und wichtige Kommunikation, wird so zu einem Trainingsinstrument für Sie und stärkt Sie und Ihre Sinne in der Abwehr von Angriffen.
Also: let’s do it!
Persönliches Training
Mehr Sicherheit im Umgang mit gefährlichen Mails gewinnen Sie mit unserem Phishing-Training. Erfahren Sie in simulierten Angriffsmails, an welchen Merkmalen Sie gefährliche Mails erkennen können. Mehr Informationen »
https://mlnhwmuyzoec.i.optimole.com/cMlCb_8-Fw07FlQD/w:auto/h:auto/q:auto/https://secutain.com/wp-content/uploads/2020/08/SECUTAIN-Awarenessexperten-white.png00Carsten Feldhahnhttps://mlnhwmuyzoec.i.optimole.com/cMlCb_8-Fw07FlQD/w:auto/h:auto/q:auto/https://secutain.com/wp-content/uploads/2020/08/SECUTAIN-Awarenessexperten-white.pngCarsten Feldhahn2019-09-27 10:40:062019-09-27 10:40:06Emotet? Ehrlich? Schon wieder?
Sensibilisierung — ein bedeutungsvolles Wort für eine im wahrsten Sinne des Wortes bedeutsame Aufgabe. In diesem Blog-Beitrag werden Sie lernen, warum nur tatsächlich sensibilisierte MitarbeiterInnen dazu beitragen können, den Schutzbedarf Ihrer Organisation in Bezug auf Informationssicherheit zu wahren. Hier betrifft es insbesondere jene Risiken, die auf die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten wirken und deren Eintrittswahrscheinlichkeit maßgeblich durch menschliches Handeln Ihrer Belegschaft beeinflusst wird.
“Aber wir haben doch ein Informationssicherheitsmanagementsystem und schulen doch unsere Mitarbeiter regelmäßig. Reicht das nicht?” werden Sie vielleicht denken. Nun, es kommt darauf an, was Ihr ISMS abdeckt und was Ihre Schulung am Ende bewirkt.
Bemühen Sie doch einmal das PONS Wörterbuch. Sie werden sehen, dass das lateinische Wort “sensus” eine Vielzahl von Deutungen zulässt und die alten Römer eine Menge mehr als nur “Wissen” oder “Können” meinten, wenn sie an “sensus” und vielleicht auch Sensibilisierung dachten:
Denn sensus meint auch Dinge wie (Sinnes-)Eindruck, (Sinnes-)Wahrnehmung, Sinnesorgan, Besinnung, Bewusstsein, Verständnis, Urteil(sfähigkeit) und sogar innere Anteilnahme.
Wenn Sie demnach MitarbeiterInnen im wahrsten Sinne des Wortes sensibilisieren möchten, dann müssen Sie es schaffen, deren innere Haltung, Einstellung und Grundhaltung für Ihr Thema in der Art nachhaltig positiv zu beeinflussen, dass die Augen und Ohren sowie die innere Geisteshaltung Ihrer geschulten MitarbeiterInnen geeignet und willens sind, Informationssicherheitsereignisse zu erkennen, bevor diese zu Informationssicherheitsvorfällen werden.
Und genau darum geht es doch eigentlich, oder?
Nun sagen Sie vielleicht: “Papperlapapp — Schulung reicht uns, Augen und Ohren der Organisation brauche ich nicht für mein ISMS. Wir unterweisen und verpflichten alle MitarbeiterInnen auf die bestehenden Maßnahmen und Richtlinien. Und wenn sich alle dran halten, dann sind wir compliant und damit safe. Wer sich nicht dran hält, fliegt raus”.
Kann man machen, ist aber Mist.
Denn Ihr ISMS kann nur jene Maßnahmen“managen”, für die Sie die zugrundeliegenden Risiken erkannt und eingestuft haben. Was aber ist mit den Risiken, von denen Sie nicht mal im Ansatz wissen, dass Sie nicht wissen, dass es sie gibt. Donald Rumsfeld nannte diese (wenn auch in einem anderen unschönen Kontext) die “unknown unknowns”.
Und Ihr ISMS orientiert sich mit Sicherheit an Best-Practices, die Ihren MitarbeiterInnen Leitlinien im (sicheren) Umgang mit (schützenswerten) Informationen liefern. BSI-Grundschutz und ISO27xxx beinhalten solche Best-Practices. Leider sind Best-Practices jedoch immer auch Past-Practices.
Und genau hier drohen zwei latente Gefahren:
Erstens wird Ihr ISMS immer Lücken haben (“unknown unknowns”). Sonst bräuchte es ja im Sinne des PDCA-Zyklus auch keine stete Verbesserung des selbigen.
Und zweitens wird es immer böse Menschen geben, die solche Regelsysteme und deren (Best-)Practices wie ihre Westentasche kennen und damit in der Lage sind, das Radar Ihres ISMS bewusst zu unterfliegen.
In einem sehr interessanten Beitrag von 2013 fasste Ortmann unter dem Titel “Noch nicht / nicht mehr — Zur Temporalform von Paradoxien des Organisierens” diverse Ursachen für das Scheitern von Organisationen zusammen. Eine dieser Formen charakterisierte er als intendiert und selbstauferlegt. In diese Kategorie lassen sich aus Best-Practices einordnen. Organisationen scheitern mit und wegen ihrer sich selbst auferlegten Regelwerke.
Das klingt paradox — und genau darum geht es in Ortmanns Artikel und in diesem Blog-Beitrag. Denn wenn sich eine Organisation Handlungsrichtlinien wie ein ISMS auferlegt, dann Scheitern die Akteure (MitarbeiterInnen) der Organisation (in Bezug auf Informationssicherheit) zum einen dann, wenn die Handlungsrichtlinien keine Orientierung und/oder Anschlussfähigkeit mehr bieten. Sprich: für ein konkret eintretendes “unknown unknown” existiert schlicht keine Regel. Es fehlen Anweisungen, wie man sich nun zu verhalten habe. Dadurch werden Mitarbeiter im konkreten Fall aufgrund ihrer hohen antrainierten Regelaffinität handlungsunfähig. Das ist das Schlimmste, was im Falle akuter Gefährdung Ihrer Informationssicherheit passieren kann.
Und zum anderen können trotz konsequenter und korrekter Anwendung aller Regeln Bedrohungen dann nicht erkannt werden, wenn bspw. Human Hacker die Best Practices Ihres ISMS genau kennen und sich durch vermeintlich regelkonformes Handeln in der Organisation trotz schädlichen Verhaltens nicht zu erkennen geben. Social Engineering öffnet vermeintlich gut verschlossene Türen mit manipulativen Techniken nahezu geräuschlos und Informationssicherheitsvorfälle geschehen unbemerkt.
Hier wird der Bedarf an sensibilisierten MitarbeiterInnen deutlich. Denn in beiden Fällen helfen MitarbeiterInnen nicht, die lediglich geschult, unterwiesen und verpflichtet wurden.
Sie brauchen in beiden Fällen sensibilisierte MitarbeiterInnen. Denn in beiden Fällen braucht Ihre Organisation wachsame Augen und Ohren, die durch innere Anteilnahme intrinsisch motiviert Auffälligkeiten und Anomalien erkennen und kommunizieren. Und Sie brauchen eine Belegschaft, die im Falle von “unknown unknowns” besonnen (das Wort steckt übrigens auch in “sensus”) agiert und sich bei Fehlen konkreter Handlungsanweisungen und Regeln “sinngemäß” (also im Sinne des ISMS und Ihrer Sicherheitspolitik) verhält.
Sensibilisierung ist also etwas anderes als eine Schulung. Das BSI und die ISO27xxx fordern beides. Schulung und Sensibilisierung. Das hat seinen Sinn und ist gut so. Vielleicht wissen BSI und ISO ja auch um diese organisationale Schwachstelle von Best-Practices.
Möchten Sie mehr über unsere didaktischen Konzepte zur nachhaltigen Sensibilisierung von MitarbeiterInnen erfahren? Dann kommen Sie auf uns zu. Wir stellen Ihnen unseren Ansatz gern im persönlichen Gespräch vor.
https://secutain.com/wp-content/uploads/2019/09/ISO27001-scaled.jpg19202560Carsten Gotterthttps://mlnhwmuyzoec.i.optimole.com/cMlCb_8-Fw07FlQD/w:auto/h:auto/q:auto/https://secutain.com/wp-content/uploads/2020/08/SECUTAIN-Awarenessexperten-white.pngCarsten Gottert2019-09-03 10:34:352019-09-03 19:02:04Sind Best Practices selbstauferlegtes intendiertes Scheitern? Alles eine Frage der Sensibilisierung.
Ein Blick zurück auf 2019
/in Awareness, News /von David ScribaneWenn ein Jahr zu Ende geht, blicken wir gerne zurück. Aus dem Blickwinkel der Informationssicherheit fallen zwei Dinge auf: Schädliche E‑Mails stellen nach wie vor die größte Gefahr dar – im Privaten als auch in der Firma. Auch in diesem Jahr sind große Datenlecks darauf zurückzuführen, dass die absoluten Grundlagen für den sorgsamen Umgang mit Informationen nicht eingehalten worden oder Mitarbeiter nicht achtsam genug agierten.
In Deutschland sorgte Anfang des Jahres der sogenannte Doxing-Hack für Schlagzeilen. Dabei wurden private und intime Informationen von fast 1.000 Politikern, Journalisten und Prominenten veröffentlicht.
Wie sich herausstellte, war die Vorgehensweise, an diese Daten zu gelangen, keine modernen technischen Angriffe, sondern vielmehr Beharrlichkeit, Geduld und Akribie. Der unbedachte Umgang mit Passwörtern oder die mehrfache Nutzung von schwachen Passwörtern führten zu dem erfolgreichen Angriff.
Durch das Eindringen in E‑Mail-Konten und WhatsApp-Zugänge wurden nicht nur sensible Informationen der Konteneigner gestohlen, sondern auch von den Personen, mit denen sie im Kontakt standen. Als die Mobilnummer des Politikers Christian Lindner veröffentlicht wurde, haben Neugierige ihn auf WhatsApp kontaktiert, um herauszufinden, ob die Nummer tatsächlich korrekt ist:
Was lernen wir daraus?
Dass wir diese Passwörter schützen sollten, verdeutlicht auch die Veröffentlichung von fünf grossen Sammlungen von E‑Mail- und Passwort-Kombinationen. So wurden in den sogenannten Collections 1–5 in diesem Jahr insgesamt 2,1 Milliarden (ja, Milliarden!) derartige Kombinationen veröffentlicht. Ob Deine E‑Mail-Adressen davon auch betroffen sind, kannst Du u.a. auf der englischen Seite https://haveibeenpwned.com überprüfen.
Dieses Jahr hat uns auch gezeigt, dass schädliche E‑Mails nach wie vor ein riesiges Problem darstellen. So wurde insbesondere der deutschsprachige Raum in diesem Jahr insbesondere durch den Virus «Emotet» stark in Mitleidenschaft gezogen. Dieser versendet glaubwürdige E‑Mails, die bei uns Vertrauen erzeugen sollen. Absender, Signaturen, Betreffzeilen sehen korrekt aus und erzeugen somit Vertrauen. Ziel ist es, dass wir auf Links klicken, damit sich im Nachgang eine Schadsoftware auf unserem Rechner installiert, die uns erpressen möchte oder Zugangsdaten stehlen will.
Daher prüfen Sie immer erst, bevor Sie einen Link in einer Mail klicken, ob das Ziel des Links vertrauenswürdig ist. Aktivieren Sie nur im absoluten Ausnahmefall Makros von angehängten Dateien. Trainieren Sie Ihre Mitarbeiter im Umgang mit gefährlichen Mails — beispielsweise mit unserem Phishing-Training.
Noch ist der Schaden, der durch Emotet entstanden ist, nicht abschätzbar – aber die zahlreichen, teils dramatischen Vorfälle, die durch die Medien gingen, zeichnen ein erschreckendes Bild.
2019 hat sehr eindrücklich gezeigt, dass sensibilisierte, achtsame Mitarbeiter ein entscheidender Faktor für den Schutz von Informationen sind. Wir möchten uns bei allen Kunden und Partnern für ein erfolgreiches SECUTAIN-Jahr bedanken und wünschen Ihnen ein sicheres und achtsames 2020!
Emotet? Ehrlich? Schon wieder?
/in Awareness, News /von Carsten FeldhahnEs ist Ihnen sicherlich nicht entgangen, in den Medien wird vor einer neuen Welle von E‑Mails mit der Schadsoftware „Emotet“ gewarnt. Was zuerst klingt wie ein altägyptischer Baumeister oder eine neue Jugendbewegung ist ein äußert perfider Angreifer, der jeden von uns treffen kann, wie er in den letzten Monaten bereits unter Beweis gestellt hat.
Was tut Emotet?
Emotet liest auf betroffenen Systemen E‑Mail-Kontakte und sogar aktuelle Inhalte von E‑Mails aus und ist so in der Lage, sehr echt aussehende Mails zu versenden, von aktuellen Kontakten und sogar mit Bezug zu aktuellen Inhalten. So kann es sein, dass eine recht aktuelle Mail direkt unten als Mailverlauf eingefügt wurde. Das wirkt für den Empfänger also alles sehr überzeugend und erregt wenig Skepsis. Mit einem Klick auf einen Link oder dem Öffnen einer Datei aus dem Mailanhang nistet er sich auf Ihrem Computer ein. Dort lädt er dann andere Schadsoftware nach, die dann z.B. Ihr Online-Banking ausspäht, Ihre Passwörter abgreift und natürlich versucht, Ihre Kontakte zu infizieren.
Was Sie tun können.
Das klingt erstmal aussichtslos, aber wie bei allen E‑Mail-gestützten Angriffen helfen auch hier erstmal die wichtigen Grundregeln zur Vorsorge:
Sicherlich, diese Maßnahmen schließen eine Infektion nicht aus, helfen aber unter Umständen den Schaden in Grenzen zu halten. Auf Ihren dienstlichen Geräten kümmert sich um all diese Sachen sicherlich Ihre IT Abteilung.
Emotet wird nicht der letzte bösartige Gast in unseren elektronischen Postfächern sein. Die wichtigste Verteidigung gegen diese Angriffe sind und bleiben deshalb Sie. Ihre Aufmerksamkeit, ihr Verstand und Ihre Erfahrung sind besser als jeder Virenscanner. Fragen Sie sich bei jeder Mail, bei jedem Anhang und bei jedem Link erneut:
Fragen Sie im Zweifelsfall beim Absender persönlich nach, ob diese Mail von ihm stammt. Seien Sie bei allen Arten von Dateien wachsam, auch bei Office-Dateien oder anderen Formaten.
Jede Mail, auch echte und wichtige Kommunikation, wird so zu einem Trainingsinstrument für Sie und stärkt Sie und Ihre Sinne in der Abwehr von Angriffen.
Also: let’s do it!
Persönliches Training
Mehr Sicherheit im Umgang mit gefährlichen Mails gewinnen Sie mit unserem Phishing-Training. Erfahren Sie in simulierten Angriffsmails, an welchen Merkmalen Sie gefährliche Mails erkennen können. Mehr Informationen »
Sind Best Practices selbstauferlegtes intendiertes Scheitern? Alles eine Frage der Sensibilisierung.
/in Awareness, Datenschutz, Informationssicherheit /von Carsten GottertSensibilisierung — ein bedeutungsvolles Wort für eine im wahrsten Sinne des Wortes bedeutsame Aufgabe. In diesem Blog-Beitrag werden Sie lernen, warum nur tatsächlich sensibilisierte MitarbeiterInnen dazu beitragen können, den Schutzbedarf Ihrer Organisation in Bezug auf Informationssicherheit zu wahren. Hier betrifft es insbesondere jene Risiken, die auf die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten wirken und deren Eintrittswahrscheinlichkeit maßgeblich durch menschliches Handeln Ihrer Belegschaft beeinflusst wird.
“Aber wir haben doch ein Informationssicherheitsmanagementsystem und schulen doch unsere Mitarbeiter regelmäßig. Reicht das nicht?” werden Sie vielleicht denken. Nun, es kommt darauf an, was Ihr ISMS abdeckt und was Ihre Schulung am Ende bewirkt.
Bemühen Sie doch einmal das PONS Wörterbuch. Sie werden sehen, dass das lateinische Wort “sensus” eine Vielzahl von Deutungen zulässt und die alten Römer eine Menge mehr als nur “Wissen” oder “Können” meinten, wenn sie an “sensus” und vielleicht auch Sensibilisierung dachten:
Denn sensus meint auch Dinge wie (Sinnes-)Eindruck, (Sinnes-)Wahrnehmung, Sinnesorgan, Besinnung, Bewusstsein, Verständnis, Urteil(sfähigkeit) und sogar innere Anteilnahme.
Wenn Sie demnach MitarbeiterInnen im wahrsten Sinne des Wortes sensibilisieren möchten, dann müssen Sie es schaffen, deren innere Haltung, Einstellung und Grundhaltung für Ihr Thema in der Art nachhaltig positiv zu beeinflussen, dass die Augen und Ohren sowie die innere Geisteshaltung Ihrer geschulten MitarbeiterInnen geeignet und willens sind, Informationssicherheitsereignisse zu erkennen, bevor diese zu Informationssicherheitsvorfällen werden.
Und genau darum geht es doch eigentlich, oder?
Nun sagen Sie vielleicht: “Papperlapapp — Schulung reicht uns, Augen und Ohren der Organisation brauche ich nicht für mein ISMS. Wir unterweisen und verpflichten alle MitarbeiterInnen auf die bestehenden Maßnahmen und Richtlinien. Und wenn sich alle dran halten, dann sind wir compliant und damit safe. Wer sich nicht dran hält, fliegt raus”.
Kann man machen, ist aber Mist.
Denn Ihr ISMS kann nur jene Maßnahmen“managen”, für die Sie die zugrundeliegenden Risiken erkannt und eingestuft haben. Was aber ist mit den Risiken, von denen Sie nicht mal im Ansatz wissen, dass Sie nicht wissen, dass es sie gibt. Donald Rumsfeld nannte diese (wenn auch in einem anderen unschönen Kontext) die “unknown unknowns”.
Und Ihr ISMS orientiert sich mit Sicherheit an Best-Practices, die Ihren MitarbeiterInnen Leitlinien im (sicheren) Umgang mit (schützenswerten) Informationen liefern. BSI-Grundschutz und ISO27xxx beinhalten solche Best-Practices. Leider sind Best-Practices jedoch immer auch Past-Practices.
Und genau hier drohen zwei latente Gefahren:
Erstens wird Ihr ISMS immer Lücken haben (“unknown unknowns”). Sonst bräuchte es ja im Sinne des PDCA-Zyklus auch keine stete Verbesserung des selbigen.
Und zweitens wird es immer böse Menschen geben, die solche Regelsysteme und deren (Best-)Practices wie ihre Westentasche kennen und damit in der Lage sind, das Radar Ihres ISMS bewusst zu unterfliegen.
In einem sehr interessanten Beitrag von 2013 fasste Ortmann unter dem Titel “Noch nicht / nicht mehr — Zur Temporalform von Paradoxien des Organisierens” diverse Ursachen für das Scheitern von Organisationen zusammen. Eine dieser Formen charakterisierte er als intendiert und selbstauferlegt. In diese Kategorie lassen sich aus Best-Practices einordnen. Organisationen scheitern mit und wegen ihrer sich selbst auferlegten Regelwerke.
Das klingt paradox — und genau darum geht es in Ortmanns Artikel und in diesem Blog-Beitrag. Denn wenn sich eine Organisation Handlungsrichtlinien wie ein ISMS auferlegt, dann Scheitern die Akteure (MitarbeiterInnen) der Organisation (in Bezug auf Informationssicherheit) zum einen dann, wenn die Handlungsrichtlinien keine Orientierung und/oder Anschlussfähigkeit mehr bieten. Sprich: für ein konkret eintretendes “unknown unknown” existiert schlicht keine Regel. Es fehlen Anweisungen, wie man sich nun zu verhalten habe. Dadurch werden Mitarbeiter im konkreten Fall aufgrund ihrer hohen antrainierten Regelaffinität handlungsunfähig. Das ist das Schlimmste, was im Falle akuter Gefährdung Ihrer Informationssicherheit passieren kann.
Und zum anderen können trotz konsequenter und korrekter Anwendung aller Regeln Bedrohungen dann nicht erkannt werden, wenn bspw. Human Hacker die Best Practices Ihres ISMS genau kennen und sich durch vermeintlich regelkonformes Handeln in der Organisation trotz schädlichen Verhaltens nicht zu erkennen geben. Social Engineering öffnet vermeintlich gut verschlossene Türen mit manipulativen Techniken nahezu geräuschlos und Informationssicherheitsvorfälle geschehen unbemerkt.
Hier wird der Bedarf an sensibilisierten MitarbeiterInnen deutlich. Denn in beiden Fällen helfen MitarbeiterInnen nicht, die lediglich geschult, unterwiesen und verpflichtet wurden.
Sie brauchen in beiden Fällen sensibilisierte MitarbeiterInnen. Denn in beiden Fällen braucht Ihre Organisation wachsame Augen und Ohren, die durch innere Anteilnahme intrinsisch motiviert Auffälligkeiten und Anomalien erkennen und kommunizieren. Und Sie brauchen eine Belegschaft, die im Falle von “unknown unknowns” besonnen (das Wort steckt übrigens auch in “sensus”) agiert und sich bei Fehlen konkreter Handlungsanweisungen und Regeln “sinngemäß” (also im Sinne des ISMS und Ihrer Sicherheitspolitik) verhält.
Sensibilisierung ist also etwas anderes als eine Schulung. Das BSI und die ISO27xxx fordern beides. Schulung und Sensibilisierung. Das hat seinen Sinn und ist gut so. Vielleicht wissen BSI und ISO ja auch um diese organisationale Schwachstelle von Best-Practices.
Möchten Sie mehr über unsere didaktischen Konzepte zur nachhaltigen Sensibilisierung von MitarbeiterInnen erfahren? Dann kommen Sie auf uns zu. Wir stellen Ihnen unseren Ansatz gern im persönlichen Gespräch vor.