Beiträge über Awareness für Informationssicherheit.

Ist VPN jetzt auch böse? Der Fall Facebook Research

Einige von Ihnen wer­den in den letz­ten Wochen sicher­lich die Nachrichtenlage um Facebook mit­be­kom­men haben. Im Zentrum stand die App “Facebook Research”. Dabei han­delt es sich um ein VPN-Angebot von Facebook, das dem Konzern einen weit­rei­chen­den Zugriff auf die Smartphones der Benutzer gege­ben hat. So konn­te Facebook pri­va­te Nachrichten in sozia­len Netzwerken und Messenger-Apps mit­le­sen — genau­so wie Fotos und Videos der Nutzer ein­se­hen, E‑Mails, Websuchen und Browseraktivitäten pro­to­kol­lie­ren sowie den aktu­el­len Standort der Geräte auslesen.

Jetzt könn­ten Sie sagen: Halt, Momentchen mal, stopp! Seit Ewigkeiten erzäh­len Sie uns, dass VPN die bes­te Möglichkeit ist, sicher im Netz unter­wegs zu sein!? Und jetzt ist es so gefährlich!?!?

In der Tat ist VPN eine Technologie, mit der es mög­lich ist, den eige­nen Internetverkehr vor dem Einblick und der Manipulation durch Dritte zu schüt­zen. Das bleibt auch wei­ter­hin so. Wichtig ist jedoch, dass der Anbieter des VPN-Dienstes Ihre Daten nicht mit­pro­to­kol­liert, Ihre Privatsphäre respek­tiert, ver­trau­ens­wür­dig ist und einen hohen Sicherheitsstandard aufweist.

Wie bei allem, was Sie im Internet tun, gilt auch hier der alte Grundsatz, den wir seit Jahren wie­der­ho­len: Wenn Sie nicht bezah­len, sind Sie das Produkt!

Seien Sie also mehr als skep­tisch, wenn Ihnen ein VPN-Produkt kos­ten­los ange­bo­ten wird. Im Falle von “Facebook Research” war das Produkt nicht nur kos­ten­los — die Benutzer wur­den sogar für die Nutzung bezahlt. Einkaufsgutscheine bis zu 20 Dollar im Monat wink­ten den Nutzern. Spätestens hier müs­sen bei Ihnen sämt­li­che Alarmglocken läu­ten. Finger weg!

Investieren Sie lie­ber weni­ge Euro pro Monat in einen siche­ren VPN-Anbieter oder schau­en Sie, wel­cher seriö­se Anbieter von Sicherheitssoftware ein Bundle anbie­tet, in dem ein VPN-Dienst bereits ent­hal­ten ist. Beispielsweise hat heise einmal eine Liste von diversen Anbietern zusammengestellt.

Wenn man in allem — aber auch wirk­lich allem — etwas Gutes sehen will, kann man die­sem Fall abge­win­nen, dass Facebook hier end­lich ein­mal die Nutzer bezahlt hat, die ihre Daten für Profilbildungen und Monetarisierung zur Verfügung stel­len. Ein bit­te­rer Lohn für einen der­art star­ken Eingriff in die Privatsphäre.

Das Fazit lau­tet also: Marktmechanismen im Internet machen auch vor VPN nicht Halt. VPN ist wei­ter­hin ein gutes Instrument für mehr Sicherheit im Netz. Nutzen Sie einen ver­trau­ens­wür­di­gen und daten­schüt­zen­den VPN-Dienst.

Facebook ist dies nicht.

Ist Schalke 04 schon Meister?

Dass schwa­che Passwörter nach wie vor der Grund für vie­le Datenlecks und Sicherheitsereignisse sind, ist genau­so bekannt wie unvor­stell­bar. Leute, wir haben 2019!!!1! Langsam müss­te bekannt sein, wie mit Passwörtern umzu­ge­hen ist. Auch der aktu­el­le “Bundeshack” wäre mit ver­nünf­ti­gen Passwortmanagement und star­ken Passwörtern nur halb so groß geworden.

So zei­gen aber jedes Jahr die Hitlisten der schlech­ten Passwörter, dass vie­le Menschen immer noch die Bequemlichkeit über die Sicherheit stel­len — mit zum Teil ver­hee­ren­den Konsequenzen für ihre Daten, ihre per­sön­li­chen Freiheiten oder den Arbeitgeber. Beliebte Passwörter sind immer noch “123456” oder “pass­word”. Aber wo kom­men eigent­lich die­se Passwort-Charts her? Die Leute wer­den ja nicht ein­fach auf der Straße ihre Passwörter nen­nen! Obwohl:

Es gibt eine viel bes­se­re Quelle für Passwörter als Straßenumfragen. Die Daten für die Passwortcharts ent­stam­men gro­ßen Datenleaks, in denen Millionen Passwörter unab­sicht­lich offen­bart wur­den. Diese Listen sind die Grundlage für so groß­ar­ti­ge Dienste wie Have I Been Pwned, bei dem jeder ein­zel­ne ein­mal über­prü­fen kann, ob die Passwörter zu sei­nen Konten bereits ande­ren bekannt sind. Die Experten von AWARE7 haben sich eben­falls ein­mal die­se Listen vor­ge­nom­men und 5,5 Milliarden Passwörter dar­auf­hin über­prüft, inwie­fern sich deut­sche Fußball-Bundesligisten dort wie­der­fin­den, um auf der Basis eine inof­fi­zi­el­le Bundesligatabelle zu erstellen.

Demnach wür­de der FC Schalke 04 Deutscher Meister wer­den, da sein Name über 50.000 mal in Passwörtern ver­wen­det wird. Auf den Champions League-Plätzen fol­gen Hertha BSC, Borussia Dortmund und Hannover 96. International wären auch noch Bayern München auf Platz 5 und der VfB Stuttgart auf Platz 6 unter­wegs. Abgestiegen wären Hoffenheim und Nürnberg. In der Relegation müss­te Wolfsburg zit­tern. Die aus­führ­li­che Tabelle mit allen Zahlen fin­den Sie bei AWARE7.

Warum sind Fußballclubs eigentlich schlechte Passworte?

Zum einen spricht der häu­fi­ge Gebrauch gegen die Verwendung von Fußballvereinen als Passwort. Zum Zweiten besteht ein Personenbezug, wenn man sei­nen Herzensverein als Passwort wählt. So erfüllt zwar das Passwort “Hannover-96” die Komplexitätskriterien vie­ler Internetdienste — Angreifer hät­ten bei Hannover-Fans dann aber ein leich­tes Spiel. Sollte man also den Erzrivalen als Passwort neh­men? Auch das ist kei­ne gute Idee, da Angreifer auch auf die Idee kom­men könn­ten, das ein­mal aus­zu­pro­bie­ren. Außerdem wür­de das Eintippen des Erzrivalen jedem ech­ten Fußballfan kör­per­li­che Schmerzen berei­ten, was nicht gera­de dazu bei­trägt, Passwörter in ein sym­pa­thi­sche­res Licht zu rücken. Stattdessen erläu­tern wir Ihnen Strategien für siche­re Passworte in unserem Online-Kurs SECUTAIN Grundlagen.

Was jeder aus dem Bundeshack lernen kann

Seit Tagen bestimmt der soge­nann­te Bundeshack die Nachrichten. Ein 20-Jähriger hat anschei­nend über Jahre hin­weg Daten aus der Privatsphäre von Politikern, Journalisten und Prominenten gesam­melt, indem er in pri­va­te Internetkonten ein­brach. Diese ver­öf­fent­lich­te er nach und nach im Rahmen eines Adventskalenders auf Twitter. Daher ist Bundeshack ein recht unglück­lich gewähl­ter Name, da er den Angriff auf Institutionen des Bundes sug­ge­riert — aber genau das Gegenteil ist der Fall. Attackiert wur­den pri­va­te Konten. Was ler­nen wir aus die­sem Vorfall und was soll­ten Sie als Organisation jetzt tun?

Wir sind nicht nur für den Schutz unse­rer Daten ver­ant­wort­lich, son­dern auch für die Daten anderer.

Der Bundeshack zeigt sehr anschau­lich, dass das Eindringen in die Konten von etwa 50 Personen aus­reicht, um pri­va­te Informationen von etwa 1.000 Personen zu erlan­gen. Darunter befin­den sich haupt­säch­lich Kontaktdaten aber auch Chatverläufe, pri­va­te Fotos oder Ausweiskopien. Denken Sie ein­mal an die Informationen, die Sie von ande­ren zuge­sandt bekom­men: Fotos, ver­trau­li­che E‑Mails, Instant Messaging-Nachrichten, Firmeninformationen etc. Wir tra­gen also nicht nur die Verantwortung für den Schutz unse­rer Daten, son­dern auch für den Schutz der Daten anderer.

Informationssicherheit fängt bei jedem selbst an

Es ver­dich­tet sich mehr und mehr die Nachrichtenlage, dass ein Großteil der Informationen nur erbeu­tet wer­den konn­te, weil ein­zel­ne Personen eini­ge grund­le­gen­de Regeln, wie IT-Sicherheit im pri­va­ten Umfeld her­zu­stel­len ist, nicht beach­te­ten. Das wären beispielsweise:

  • der zu nach­läs­si­ge Umgang mit zu schwa­chen Passwörtern: Insbesondere ein­fach zu erra­ten­de Passwörter und das mehr­fa­che Verwenden des glei­chen Passworts bei unter­schied­li­chen Diensten ist ein gro­ßes Risiko.
  • der Verzicht auf 2‑Faktor-Authentifizierung: Die Gründe lie­gen hier in dem häu­fig noch nicht vor­han­de­nen Wissen über die­se Möglichkeit und die Angst vor dem Komfortverlust bei der Anwendung.
  • zu wenig Sensibilität für Phishing: Webseiten, die vor­ge­ben ande­re Webseiten zu sein, um Zugangsdaten zu sam­meln, kön­nen meist schon mit eini­gen ein­fa­chen Dingen als fake ent­larvt werden.
  • unsi­che­res Surfen: Der Verzicht auf eine siche­re Datenübertragung beim Surfen kann dazu füh­ren, dass sen­si­ble Daten von Dritten mit­ge­le­sen wer­den können.

Bei der Beachtung die­ser Punkte wür­de ein Großteil aktu­el­ler Cyberangriffe nicht erfolg­reich durch­ge­führt wer­den kön­nen — also ein­fa­che Regeln und etwas mehr Achtsamkeit für das Thema brin­gen bereits einen erheb­li­chen Sicherheitsgewinn. Damit die Beschäftigten Ihrer Firma die­se Regeln ken­nen­ler­nen und mehr Achtsamkeit ent­wi­ckeln kön­nen, so dass Angriffen weni­ger Erfolgschancen ein­ge­räumt wer­den, soll­ten Sie Ihre Beschäftigten jetzt sen­si­bi­li­sie­ren. Warum jetzt? Aktuell haben Sie eine gro­ße Aufmerksamkeit auf die­ses Thema, weil die media­le Präsenz dazu führt, dass Menschen sich inten­si­ver für die­ses Thema inter­es­sie­ren. Nutzen Sie die­ses Zeitfenster! Wir haben daher ein Angebot für Sie vor­be­rei­tet — gewis­ser­ma­ßen eine Bundeshack-Präventivmaßnahme:

30 Minuten E‑Learning, die Ihr Sicherheitsniveau sofort anheben

Wir haben die grund­le­gen­den Regeln für den siche­ren Umgang mit Informationen in dem E‑Learning ‘SECUTAIN essen­ti­als’ für Ihre Organisation ein­mal zusam­men­ge­stellt — unter­halt­sam, ver­ständ­lich, nach­voll­zieh­bar und kurz­wei­lig — inkl. Nachweis, dass Sie Ihre Beschäftigten für die­ses Thema unter­wie­sen haben. SECUTAIN essen­ti­als fin­den Sie in unserem Shop und ist inner­halb weni­ger Stunden für Ihre gesam­te Organisation einsatzbereit.

Chaos Communication Congress sieht den Menschen als zukünftiges wichtiges Angriffsziel

Zum Ende eines jeden Jahres fin­det der Kongress des Chaos Computer Clubs statt, auf dem sich über die Themen IT-Security, Netzpolitik und die gesell­schaft­li­che Implikation von Technologien aus­ge­tauscht wird. In die­sem Jahr fand der 35. Chaos Communication Congress in Leipzig mit etwa 16.000 Besuchern statt.

Zum mitt­ler­wei­le 13. Mal gab es dabei den Talk “Security Nightmares” von Frank Rieger und Ron Henrik Fulda, der all­jähr­lich einen Rückblick auf die Security-Alpträume des letz­ten Jahres wirft und einen Ausblick auf die Zukunft wagt. Bei die­sem Ausblick wird in die­sem Jahr ins­be­son­de­re das Angriffsziel Mensch in den Fokus gerückt:

Ron Henrik Fulda: Es gibt tech­ni­sche Fortschritte, die statt­fin­den: Apple arbei­tet hart dar­an, ihr Betriebssystem für PCs här­ter zu machen. Microsoft hat gera­de Sandboxing ein­ge­führt. Das sind im gro­ßen Stil Sachen, die für Smartphone- und Tablet-Betriebssysteme nor­mal sind, weil das dort von Anfang an drin war. [..] Das, womit Menschen direkt inter­agie­ren, das wird schon ste­tig bes­ser, wenn es up to date gehal­ten wird.

Frank Rieger: Die gan­zen zuge­na­gel­ten Endpoint-Produkte, die halt mehr so Tablets mit halb­wegs moder­ner Hardware sind, auf denen man kein eige­nes Betriebssystem mehr instal­lie­ren kann, auf denen es noch so ein paar Apps drauf gibt und bei denen die Sicherheit des Systems auch noch durch Hardware-Chips unter­stützt wird, die­se sind schon etwas schwie­ri­ger anzu­grei­fen. Und daher war für uns die Frage: Was pas­siert denn jetzt eigent­lich? Denn die Evolution geht natür­lich wei­ter. Und bis­her war es nie so, dass sich ins­be­son­de­re die Kriminellen davon auf­hal­ten las­sen haben, dass da irgend­was pas­siert. Die logi­sche Konsequenz ist, dass Sicherheit immer mehr zu so einem Layer 8‑Problem wird. Das Problem sitzt also zwi­schen Bildschirm und Stuhl.

Layer 8 refe­ren­ziert ein Kommunikationsmodell, in dem die Kommunikation von Informationen in unter­schied­li­che Schichten (Layers) auf­ge­teilt wird. Neben sie­ben tech­ni­schen Schichten spricht man ger­ne vom Layer 8, der gleich­be­deu­tend mit dem Menschen ist. Wenn Ihr IT-Admin also beim nächs­ten mal sagt, dass bei Ihnen ein Layer 8‑Problem vor­lag, wis­sen Sie, was Sie davon zu hal­ten haben.

Frank Rieger: Wir haben ja schon so ein paar frü­he­re Vorfahren davon gese­hen. Da gab es vor ein paar Jahren einen inter­es­san­ten Trojaner, der bei einer bestimm­ten Bank über einen Exploit, der, wenn er im Tab neben­an lief und man sein Homebanking auf­ge­macht hat, dem Benutzer etwas sug­ge­rier­te: ‘Hey, Du hast gera­de eine Überweisung über 750 Euro bekom­men. Das war lei­der eine Fehlüberweisung. Und weil Du ein ehr­li­cher Mensch bist, möch­test Du das jetzt bit­te zurück über­wei­sen.’ Das bedeu­tet, das war ein Angriff dar­auf, was in Deinem Kopf pas­siert. Weil man ein ehr­li­cher Mensch sein möch­te, haben die Leute das Geld zurück­über­wie­sen. Da hilft dann kei­ne Sicherheitsmaßnahme, weil der Mensch es woll­te. Und wir den­ken, dass genau da die Zukunft für Angriffe liegt. Dass sich die Angriffe immer mehr gegen das mensch­li­che Gehirn rich­ten wer­den und die tech­ni­schen Angriffe nur Hilfsmittel dazu sein werden.

Ron Henrik Fulda: Dieser I‑Love-You-Virus war vor 18 Jahren. Einer aus dem Berliner Club hat mir erzählt, dass er sich extra dafür ein Windows auf­ge­setzt hat, um die E‑Mail auf­ma­chen zu kön­nen, weil die­se von mei­ner Freundin kam. Die Menschen gehen also weit, um die Message zu hören, wenn die Message rich­tig ist.

Der gesam­te Vortrag ist unter https://media.ccc.de/v/35c3-9685-security_nightmares_0x13 unter einer Creative Commons Lizenz ver­öf­fent­licht. Die über­nom­me­nen Textpassagen in die­sem Beitrag wur­den zur bes­se­ren Lesbarkeit leicht angepasst.

Wenn Sie wis­sen möch­ten, mit wel­chen Risiken Organisationen rech­nen müs­sen, wenn Angriffe gegen das Wissen und das Handeln der Menschen statt­fin­den und wie Menschen für die­se Themen sen­si­bi­li­siert und acht­sam gemacht wer­den kön­nen, dann kontaktieren Sie uns einfach.

Wieso ‘Ich habe nichts zu verbergen’ kein valides Argument ist

Wenn es um Informationssicherheit geht, wer­den immer wie­der Argumentationslinien vor­ge­tra­gen, die dem Thema die Legitimation abspre­chen wol­len. Einer der belieb­tes­ten Sätze ist dabei: “Ich habe nichts zu ver­ber­gen”. Gerne auch in den Ausprägungen “Von mir kann jeder alles wis­sen” oder “Ich habe kei­ne Geheimnisse”. In die­ser Äußerung schwingt ein “…und ich hal­te die Diskussion über­haupt für über­spitzt und über­trie­ben. Geh weg!” mit.

Wir, denen jedoch die Aufklärung und die damit ver­bun­de­ne Achtsamkeit am Herzen liegt, wie reagie­ren wir in einer sol­chen Situation? Natürlich kann man sich dem Thema argu­men­ta­tiv wid­men und dar­stel­len, wel­che Gefahren mit der Vernachlässigung von Privats- und Intimsphäre, oder dem Verlust von Geschäftsgeheimnissen ein­her­ge­hen. Man kann auf George Orwell refe­ren­zie­ren oder die Gratwanderung zwi­schen not­wen­di­ger staat­li­cher Regulierung und dem Verlust von Freiheitsrechten dis­ku­tie­ren. DSGVO hier, Kritische Infrastruktur da. All das kann man tun. Häufig ist der Erfolg jedoch über­schau­bar, da hier zwei Ebenen nicht zusam­men­fin­den — die emo­tio­na­le und die ratio­na­le Ebene.

Ich habe nichts zu ver­ber­gen” ist kein ratio­na­les Argument, das aus einer län­ge­ren Überlegung vol­ler Abwägungen zwi­schen unter­schied­li­chen Positionen ent­stan­den ist. Das kann es gar nicht sein. Es ist eine emo­tio­na­le Äußerung, die unter­schied­li­chen Ursprungs oder unter­schied­li­chen Motiven ent­sprin­gen kann — aber es ist eine emo­tio­na­le Äußerung. Die Erfolgsaussichten wach­sen, wenn die­sem Argument eben­falls auf der emo­tio­na­len Ebene begeg­net wird.

Aber wie schafft man das? Dies kann eine kur­ze Rückfrage nach dem letz­ten Jahresgehalt sein — dürf­te ja kein Problem sein, wenn man das Argument ein­mal ernst nimmt. Es kön­nen jedoch auch Beispiele sein, die das Gegenargument unter­strei­chen und auf emo­tio­na­ler Ebene begeg­nen. Anekdotisch evi­dent zu ant­wor­ten ver­eint zwei Vorteile:

  1. Anekdoten sind greif­bar, bild­haft, machen ein Thema nach­voll­zieh­bar und stei­gern die Betroffenheit.
  2. Anekdoten kön­nen ein Thema auf der emo­tio­na­len Ebene begeg­nen — also auf der glei­chen Ebene, auf der das ver­meint­li­che Totschlagargument vor­ge­tra­gen wurde.

Drei kur­ze Beispiele, die “Ich habe nichts zu ver­ber­gen” aushebeln:

1. Bewusste Datenzweckentfremdung: Der Stabhochspringer Tim Lobinger
Als der Weltklasse-Stabhochspringer Tim Lobinger an Leukämie erkrank­te, ging er offen mit die­ser Situation um und berich­te­te in Interviews über die­se schwe­re Krankheit. Als er ein attrak­ti­ves Angebot über einen neu­en Handyvertrag wahr­neh­men woll­te, wur­de ihm die­ser ver­wehrt. Wie er dem Magazin 'Die Bunte' berichtete mit der Begründung: “ich kön­ne die Mindestlaufzeit auf­grund mei­ner Erkrankung ja wohl nicht erfül­len”. Niemand von uns weiß, wie sich der per­sön­li­che Gesundheitszustand in der Zukunft ent­wi­ckelt. Dass sich aus einer Krankheit unter der Zweckentfremdung per­so­nen­be­zo­ge­ner Daten ein der­ar­ti­ger Nachteil ergibt, so dass Menschen von selbst­ver­ständ­li­chen Kommunikationsmedien aus­ge­schlos­sen wer­den, ist nicht tole­rier­bar. Daten kön­nen also bewusst zweck­ent­frem­det ver­wen­det werden.

2. Unbewusste Datenzweckentfremdung: Alexa, wer hat mei­ne Sprachaufzeichnungen?
Durch die DSGVO steht es ja jedem Bürger frei, Firmen danach zu fra­gen, wel­che per­so­nen­be­zo­ge­nen Daten die­se über sie besit­zen. Dieses Recht nach ein amazon.de-Kunde wahr und erhielt ein ent­spre­chen­des Datenpaket. Wie die c´t jedoch zu berichten weiß, waren in die­sem Datenpaket 1.700 Sprachaufzeichnungen ent­hal­ten, mit denen ama­zon echo-Geräte gesteu­ert wer­den inkl. einem Transkript, was ama­zon so alles ver­stan­den hat. Das Problem an die­ser Stelle war, dass die­se Sprachaufzeichnungen gar nicht von der anfra­gen­den Person stamm­ten, die selbst gar kein ama­zon echo-Gerät besitzt. Vielmehr stamm­ten sie aus dem Wohnzimmer, dem Schlafzimmer und dem WC eines ande­ren Kunden. Dadurch, dass die­se Aufzeichnungen jedoch genü­gend pri­va­te Informationen ent­hiel­ten, konn­te der eigent­li­che Kunde, der die­se Sprachbefehle absetz­te, aus­fin­dig gemacht wer­den. Amazon hat­te ihn nicht über die­ses Datenleck infor­miert. Erst auf das Agieren des hei­se-Verlags hin, mel­de­te sich Amazon bei dem Kunden, berich­te­te von einem bedau­er­li­chen Einzelfall und ent­schul­dig­te sich bei dem Geschädigten mit einer kos­ten­lo­sen Prime-Mitgliedschaft und zwei wei­te­ren Echos. Humor haben sie ja.

3. Flächendeckendes Risiko: Smart Meter-Sicherheitslücken
Ein wich­ti­ges Kriterium für den Erfolg von Wohnungseinbrüchen ist die Tatsache, dass die Bewohner gera­de nicht zu Hause sind. Ungestört stö­bern und steh­len — ein Traum für Einbrecher. Ob jemand anwe­send ist, kön­nen Kriminelle auf­wän­dig über die Observation der Zielobjekte her­aus­fin­den, indem sie schau­en, wer wann das Haus ver­lässt und wer wann regel­mä­ßig wie­der­kommt. Ob ein Haus oder eine Wohnung aber gera­de ver­las­sen ist, lässt sich auch über den aktu­el­len Stromverbrauch able­sen. Smart Meter pro­to­kol­lie­ren in der Regel im 15-Minuten-Takt den aktu­el­len Stromverbrauch, wor­aus sich ein sehr guter Verbrauchs-Fingerabdruck gene­rie­ren lässt. Würden die­se Informationen durch Sicherheitslücken in den Geräten jedoch auch Dritten zugäng­lich gemacht wer­den, so hät­ten Einbrecher ein leich­te­res Spiel. Zwei Dinge sind klar. Erstens: Smart Meter haben Sicherheitslücken und sind angreif­bar, was vie­le Beispiele der ver­gan­ge­nen Monate und Jahre zei­gen. Zweitens: Es exis­tiert sei­tens der Stromversorger ein gro­ßes Interesse, Smart Meter flä­chen­de­ckend ein­zu­füh­ren, da so deut­lich Aufwand bei­spiels­wei­se für das Ablesen ein­ge­spart wer­den kann. Es ist also wahr­schein­lich eine Frage der Zeit…

Die Gefahr von Einbrüchen ist nicht abs­trakt son­dern sta­tis­tisch exakt aus­weis­bar. Anekdotisch dar­ge­stellt erreicht die­ses Thema die emo­tio­na­le Ebene und erzeugt Betroffenheit, indem der Gesprächspartner sich selbst fra­gen kann: “Oh, könn­te bei mir das auch pas­sie­ren? Würde ich die­se Daten wirk­lich nicht ver­ber­gen wollen?”

Eine ganz wich­ti­ge und hin und wie­der lei­der ver­nach­läs­sig­te Säule von awa­ren­ess­bil­den­den Maßnahmen für Informationssicherheit ist also die emo­tio­na­le Ebene. Nur wenn es gelingt, neben dem Wissensaufbau auch Sympathie durch Anschlussfähigkeit, Betroffenheit und Humor her­zu­stel­len, sind ent­spre­chen­de Maßnahmen nach­hal­tig und erfolg­rei­cher. Solch tro­cke­nen Themen eine gewis­se Leichtigkeit und Unterhaltsamkeit zu geben, ist somit kein Nachteil, son­dern nach­weis­bar för­der­lich. Wir zei­gen Ihnen ger­ne wie. Sprechen Sie uns einfach an.

Wenn auf SPAM und SCAM geantwortet wird

Dass E‑Mails nach wie vor ein Einfallstor für Angriffe auf unse­re Daten sind, ist kein Geheimnis. Seit Jahren erfreut sich die­ses Medium unge­bro­che­ner Beliebtheit bei Kriminellen. Das bestä­ti­gen Lageberichte, Studien, Security-Ticker und die eige­ne Erfahrung. Tagein, tag­aus. Landauf, land­ab. Man meint, dass zu die­sem Thema bereits alles geschrie­ben ist. Eine denk­bar schlech­te Voraussetzung, um Awareness in die­sem Bereich zu schaf­fen, wenn bereits mit dem Erwähnen des Wortes SPAM alle die Augen rol­len. Wie kann man ein so abge­grif­fe­nes Thema attrak­tiv, über­ra­schend, unter­halt­sam und sogar span­nend prä­sen­tie­ren? Zwei Ansätze, die im Grunde auf dem glei­chen Prinzip basie­ren, stel­len wir Ihnen hier ein­mal vor:

James Veitch
Der Autor und Comedian James Veitch war von SPAM-Mails genervt — wie wir alle. Insbesondere stör­te ihn der Aufwand, der bei ihm erzeugt wird, um ech­te Mails von SPAM zu tren­nen. Er über­leg­te, die­sen Ball ein­mal zurück­zu­spie­len und begann auf SPAM-Mails zu ant­wor­ten, um bei den SPAM-Versendern einen mög­lichst hohen Aufwand für die Beantwortung sei­ner Antworten zu gene­rie­ren. SPAM soll­te sich für die Versender nicht mehr loh­nen. Es ent­spon­nen sich mona­te­lan­ge Mail-Dialoge, die absurd, schräg und wahn­sin­nig komisch sind:

Teil 1: This is what hap­pens when you reply to SPAM email:

Teil 2: More adven­tures in reply­ing to SPAM:

Viertausendhertz

Auch der Podcaster Christian Conradi vom Podcastlabel Viertausendhertz ant­wor­te­te auf eine SCAM-Mail — also auf eine Mail, mit der ver­sucht wird, den Empfänger her­ein­zu­le­gen, indem er bei­spiels­wei­se ani­miert wird, Geld zu über­wei­sen. Diese Mails ken­nen Sie bestimmt auch: Erbschaftsankündigungen, Renditeversprechen, Flirtangebote. Christian Conradi stell­te sich jedoch die Frage: Was wäre, wenn die­se Mails doch einen wah­ren Kern haben und begann — genau wie James Veitch — auf eine Mail zu ant­wor­ten. Das Ergebnis ist jedoch ein gänz­lich ande­res. Denn anstatt absur­der Dialogen gerät der Hörer hier in eine Geschichte, bei der irgend­wann nicht mehr klar ist, was nun eigent­lich die Wahrheit ist und wer wen anlügt. Ist alles Geldmacherei oder schwebt hier wirk­lich die Protagonistin in Lebensgefahr? “Hello Sir” ist eine fes­seln­de, drei­tei­li­ge Reportage, die her­vor­ra­gend pro­du­ziert ist und ein Musterbeispiel dafür ist, wie span­nend sich dem Thema Informationssicherheit genä­hert wer­den kann.

Link zur Folge 1 — “Die Antwort”: https://viertausendhertz.de/sf19/

Link zur Folge 2 — “Der Anruf”: https://viertausendhertz.de/sf20/

Link zur Folge 3 — “Die Wahrheit”: https://viertausendhertz.de/sf21/

Wie sage ich es meinem Digital Native?

Junge Arbeitnehmer sind die begehr­tes­ten. So sagt man. Sie sind zeit­lich fle­xi­bel, belast­bar, form­bar und haben häu­fig noch nicht die Ansprüche an eine rie­si­ge Bezahlung. Etwas ande­res ist ihnen häu­fig sehr viel wich­ti­ger: Sie gehö­ren zur Generation der digi­tal Natives – also die Personen, die von klein auf mit digi­ta­len Medien umge­hen und die Nutzung des Internets jeder­zeit und über­all eine Selbstverständlichkeit ist. Persönliche Gedanken wer­den mit der gan­zen Welt geteilt. Immer online. Alle Daten. Auf allen Geräten. Überall.

Nun ist die­ser Anspruch häu­fig nur schwer auf die Arbeitswelt über­trag­bar. Hier gibt es oft vor­ge­ge­be­ne Geräte aus vor­ge­ge­be­nen Gerätekategorien. Beschränkte Zugriffe, ein­ge­schränk­te Dienste, Berechtigungsstrukturen und schon gar nicht den hei­ßen Shice von der letz­ten Keynote. Also genau das Gegenteil von dem, was die­se Generation so kennt.

Diesem Thema hat sich vor Kurzem eine Studie, die von der Firma Centrify in Auftrag gegeben worden ist, ange­nom­men. Die ermit­tel­ten Werte unter­stüt­zen die vor­ge­nann­te These: So pos­ten 13% der 18 bis 24-jäh­ri­gen Arbeitnehmer Gedanken über sozia­le Netzwerke. 21% küm­mern sich nicht dar­um, ob ihre Äußerungen im Internet dem Arbeitgeber scha­den kön­nen. Im Gegenteil: 18% geben offen zu, dass ihre Posts die Sicherheit gefähr­den kön­nen. Nur 14% füh­len sich ver­ant­wort­lich für den Schutz der Daten. 44% sehen die­se Rolle bei der IT (was für ein Trugschluss!), 21% bei ihrem Chef (schon bes­ser – aber auch nicht gut).

Dieses Verhalten führt zu eini­gen Ängsten bei den Entscheidern gegen­über der jun­gen Arbeitnehmer-Generation. So befürch­ten 35% der Entscheider, dass die­se Generation von Arbeitnehmern für Datenlecks ver­ant­wort­lich ist, dass sie zu leicht­fer­tig Informationen teilt (30%) und sich zu sehr auf die Technologie ver­lässt (35%).

Dies hat zwei Aspekte: Technische Maßnahmen & Awareness.

Was zur Technik zu sagen wäre:
Das Umgehen von Sicherheitsrichtlinien wird Beschäftigten häu­fig leicht gemacht. So wird bei 40% der Beschäftigten kein Passwortwechsel erzwun­gen, was dazu führt, dass 14% ein Passwort nut­zen, das älter als ein Jahr ist. 14% benut­zen das glei­che Passwort für pri­va­te und dienst­li­che Anmeldungen. Ein Bewusstsein für Sicherheit ent­steht auch dann, wenn Menschen hin und wie­der auf­ge­for­dert wer­den, etwas dafür zu tun (Passwortwechsel) oder wohl­do­siert an ent­spre­chen­de Grenzen sto­ßen. Wohldosiert wohlgemerkt.

Was zur Awareness zu sagen wäre:
Warum ver­hal­ten sich jun­ge Arbeitnehmer so, wie sie es tun? Nur, wenn sich damit aus­ein­an­der­ge­setzt wird, kann nach­hal­ti­ge und erfolg­rei­che Awarenesskommunikation statt­fin­den. Jedoch nur 39% der Entscheider sagen, dass sie genug tun, um die Anforderungen die­ser Generation zu ver­ste­hen. Viele ver­sa­gen auch in ihrer Rolle als Vorbildfunktion in Punkto Informationssicherheit: 14% der Entscheider kli­cken auf ver­däch­ti­ge Links – nur 9% in der jun­gen Generation. Das Weitergeben von Passworten ist lei­der in bei­den Gruppen recht beliebt: 16% der Jungen bzw. 15% der Entscheider. Erschreckende Zahlen mit einem hohen Risiko, die nur mit wirk­sa­mer Awarenesskommunikation abge­senkt wer­den können.

Was sagt uns das alles nun?
Der Anspruch, den jun­ge Arbeitnehmer an ihren IT-Arbeitsplatz stel­len, ist geprägt durch den pri­va­ten Umgang mit IT-Technologien. Der offe­ne Umgang mit Informationen und neu­en Technologien passt häu­fig nicht in den Kontext von Organisationen, die ihre Informationen schüt­zen wol­len. Arbeitgeber, die jedoch gewis­se Freiheiten nicht zuge­ste­hen, wer­den für jun­ge Arbeitnehmer unattraktiv.

Um die­se Generation von der Notwendigkeit des Schutzes für das Überleben und selbst­be­stimm­te und erfolg­rei­che Handeln von Organisationen zu über­zeu­gen, bedarf es einer Ansprache, die die­se Generation ver­steht, akzep­tiert und in Handlungen umsetzt. Verständnis weckt man nicht durch das Wiederholen von Sicherheitsvorgaben, das Verweisen auf Richtlinien oder das Verhängen von dis­zi­pli­na­ri­schen Konsequenzen (84% der Unternehmen tun das). Es geht dar­um, an der Lebenswirklichkeit jun­ger Arbeitnehmer anzu­do­cken, Betroffenheit zu erzeu­gen, mög­li­che Konsequenzen von Einstellungen zu Informationen dar­zu­stel­len und die jun­ge Generation zu moti­vie­ren, an dem Schutz Ihrer Informationen und der Informationen des Arbeitgebers aktiv mitzuwirken.

Es geht nicht um das Verteufeln alles Neuen, son­dern um Aufklärung über mög­li­che Angriffsvektoren, mög­li­che Folgen für die Firma und das Privatleben. Die tech­ni­kaf­fi­ne Generation hat häu­fig bereits eine gute Vorstellung vom Internet und sei­nen Gefahren. Darauf kann man in Sensibilisierungsmaßnahmen, die auf die­se Generation zuge­schnit­ten sind, gut auf­bau­en. Informierte, sen­si­bi­li­sier­te Beschäftigte kön­nen auf Basis die­ses Wissens selbst sehr gute Entscheidungen tref­fen. Richtlinien wer­den in die­sem Falle als Unterstützung und hilf­rei­chen Leitfaden angesehen.

SECUTAIN auf Veranstaltungen 2018

In 2018 fin­den noch eini­ge sehr span­nen­de Veranstaltungen rund um das Thema “Informationssicherheit” statt. Wir freu­en uns, zu die­sen Veranstaltungen einen fach­li­chen Beitrag leis­ten und ent­spre­chen­de Vorträge hal­ten zu dürfen:

 

  • 04. bis 05. September: D‑A-CH Security 2018 (Gelsenkirchen) / Vortragstitel “Neue Narrative für Informationssicherheit”
  • 20. September: cybics Konferenz (Bochum) / Vortragstitel “Security Awareness 4.0”
  • 21. bis 23. November: 17. SECUTA (Garmisch Partenkirchen) / Vortragstitel “Awareness & Sensibilisierung für Informationssicherheit”
  • 20. bis zum 23. November:  DOAG 2018 Konferenz + Ausstellung (Nürnberg) / Vortragstitel “Awareness für Informationssicherheit”

 

Wir wür­den uns freu­en, Sie dort tref­fen zu dürfen.

Ambidextrie und Informationssicherheit: Awareness durch organisationale Beidhändigkeit

Das CIO-Magazin hat auf seiner Website  jüngst einen Artikel ver­öf­fent­licht, in dem sich für die Notwendigkeit von „Ambidextrie“ (Beidhändigkeit) in der Unternehmensführung aus­ge­spro­chen wird — gera­de in Zeiten der Digitalisierung. Denn in die­sen Zeiten — so die These — stel­le die Digitale Transformation eine Organisation und damit das Management sel­bi­ger vor neue Herausforderungen. Man müs­se als Management “beid­hän­dig” agie­ren. Auf der einen Seite per­ma­nent an der Optimierung bestehen­der Modelle (Exploitation) wir­ken und auf der ande­ren Seite die inno­va­ti­ve stra­te­gi­sche Komponente der Organisation för­dern (Exploration). Nur wenn dies ins Management der Organisation über­ge­he, wären Firmen in der Lage, die Herausforderungen der digi­ta­len Transformation und die damit ver­bun­de­nen Phasen von Unsicherheit und Innovation neben den klas­si­chen Aufgaben des Führens sta­bi­ler Prozesse aus­zu­ta­rie­ren.

Hmm. Klingt ziem­lich theo­re­tisch. Was meint das denn nun kon­kret? Was hat SECUTAIN damit zu tun? Und was bedeu­tet das in unse­rem Falle für das Thema „Awareness für Informationssicherheit”?

SECUTAIN hat das Konzept der orga­ni­sa­tio­na­len Ambidextrie nach O’Reilly III und Tushman seit 2016 als einen wesent­li­chen theo­re­ti­schen Ansatz erkannt und in sei­ne stra­te­gi­sche Ausrichtung und damit unse­ren grund­le­gen­den Beratungs- und Schulungsansatz inte­griert.

Lassen Sie uns erst ein­mal ver­ste­hen, wo wir Ambidextrie im Kontext Informationssicherheit sehen. Die Exploitation (als best­mög­li­che Nutzung und ste­te Verfeinerung) sehen wir in eta­blier­ten und in einer Organisation inte­grier­ten Best-Practice-Organisationsansätzen. ISO 27001 ist so ein Beispiel. Organisationen füh­ren ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 ein, ori­en­tie­ren sich dabei an einem Referenzmodell und arbei­ten als Firma nun in einem klas­si­schen Management-System-Ansatz dar­an, dass die­ses ISMS stets bes­ser gelebt und stets stei­gen­den / ver­än­der­ten Rahmenbedingungen ange­passt wird. Sie sor­gen so nicht nur dafür, die Re-Zertifizierung zu bestehen, son­dern auch als Firma stets bes­ser zu wer­den und den Reifegrad der Organisation erhöhen.


Hier kommt SECUTAIN das ers­te Mal ins Spiel: MitarbeiterInnen müs­sen die­ses ISMS natür­lich ken­nen und ver­ste­hen. Eine anschau­li­che, unter­halt­sa­me und anschluss­fä­hi­ge Unterweisung in der Anwendung die­ses ISMS ist also nicht nur ein Erfolgsfakor (und bei einer ISO 27001 gefor­dert), son­dern auch Notwendigkeit, damit das System tat­säch­lich gelebt wird. 

Was aber, wenn Dinge pas­sie­ren, die das ISMS nicht abfängt? Also Dinge, für die ein ISMS aktu­ell nicht gedacht ist, die ein ISMS nicht erken­nen kann oder die ein ISMS auch im höchs­ten Reifegrad nie­mals erken­nen kön­nen wird? 

Hier kommt die explo­ra­ti­ve Seite ins Spiel. Und die­se sehen wir ganz eng ver­zahnt mit der Sensibilisierung und der Achtsamkeit einer Belegschaft für Informationssicherheit. Hier wird der all­ge­gen­wär­ti­ge Ruf nach Awareness, nach Sensibilisierung und nach Achtsamkeit deut­lich und inhalt­lich-theo­re­tisch begründet.

Dazu ein Beispiel: Wenn Ihre Firma Opfer eines Social Enginieering Angriffs wird und die Human Hacker rich­tig gut sind (und glau­ben Sie uns, die gibt es — bei­spiels­wei­se unter unse­ren SECUTAIN-Partnern), dann ken­nen die­se nicht nur die übli­chen „Alarm-Auslöser“ eines guten ISMS. Ein Human Hacker wird immer dar­auf ach­ten, „unter dem Radar“ ihres ISMS zu flie­gen, um kei­nen Alarm aus­zu­lö­sen. Ein Human Hacker wird „über Bande spie­len“ und sie dort erwi­schen, wo kein Alarmsensor steht. Hier braucht es Neugier und Aufgeschlossenheit der Belegschaft einer Organisation. Es braucht aber auch ein neu­es Verständnis von Scham oder Umgang mit Fehlern. Und es braucht Mut, Dinge aus­zu­spre­chen, die man sonst viel­leicht nicht sagen wür­de, weil man sich nicht lächer­lich machen mag. MitarbeiterInnen sol­len einen Sinn dafür ent­wi­ckeln, wenn irgend­was faul ist, wenn sich etwas komisch anfühlt, wenn etwas auf den ers­ten Blick ISMS-kon­form erscheint, auf den zwei­ten Blick aber zwei­feln lässt. Hierzu braucht es die Eigenschaften einer explo­ra­ti­ven Organisation, die inno­va­tiv mit Themen umge­hen kann, für die bestehen­de Regelungen und Prozesse kei­ne Vorgehensweise bie­ten. Hier braucht es wei­te­re Sinne — genau das, was Sensibilisierung (lat. sen­sus: der Sinn) ja bezwe­cken soll.

Wir von SECUTAIN ver­fol­gen daher immer das Ziel, Exploitation und Exploration glei­cher­ma­ßen zu för­dern. Damit Sie eine ste­tig bes­ser wer­den­de und acht­sa­me Organisation haben.

Zertifizierung zum Awareness-Beauftragten für Informationssicherheit

SECUTAIN und die International School of IT-Security (isits) bie­ten die drei­tä­gi­ge Schulung “Awareness-Beauftragter für Informationssicherheit” an. Das Ziel die­ser Schulung ist es, Verantwortliche in Organisationen in die Lage zu ver­set­zen, ziel­ge­rich­tet, wir­kungs­voll und nach­hal­tig Maßnahmen zur Steigerung der Achtsamkeit für Informationssicherheit durchzuführen.

Die Schulung rich­tet sich sowohl an klas­sisch IT-fokus­sier­te Personen, wie IT-Leiter, Informationssicherheitsbeauftragte, Datenschützer und IT-Berater wie auch an Revisoren, Projektleiter oder Beschäftigte der inter­nen Unternehmenskommunikation. Neben Themen zur Informationssicherheit lie­gen Schwerpunkte auf wirk­sa­mer Kommunikation — ins­be­son­de­re vor dem Hintergrund der Awarenessbildung -, Kampagnenplanung und Erfolgsmessung von awa­ren­ess­bil­den­den Maßnahmen.

Am Ende der Schulung kann eine TÜV-Zertifizierung zum Awareness-Beauftragten für Informationssicherheit im Rahmen einer Prüfung abge­legt werden.

Die Schulung fin­det vier­mal jähr­lich in Bochum und bei Bedarf auch inhouse statt. Mehr Informationen und die nächs­ten Termine fin­den Sie auf unse­rer Seite zur Schulung.