Beiträge über Datenschutz.

Sind Best Practices selbstauferlegtes intendiertes Scheitern? Alles eine Frage der Sensibilisierung.

Sensibilisierung — ein bedeu­tungs­vol­les Wort für eine im wahrs­ten Sinne des Wortes bedeut­sa­me Aufgabe. In die­sem Blog-Beitrag wer­den Sie ler­nen, war­um nur tat­säch­lich sen­si­bi­li­sier­te MitarbeiterInnen dazu bei­tra­gen kön­nen, den Schutzbedarf Ihrer Organisation in Bezug auf Informationssicherheit zu wah­ren. Hier betrifft es ins­be­son­de­re jene Risiken, die auf die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten wir­ken und deren Eintrittswahrscheinlichkeit maß­geb­lich durch mensch­li­ches Handeln Ihrer Belegschaft beein­flusst wird.

Aber wir haben doch ein Informationssicherheitsmanagementsystem und schu­len doch unse­re Mitarbeiter regel­mä­ßig. Reicht das nicht?” wer­den Sie viel­leicht den­ken. Nun, es kommt dar­auf an, was Ihr ISMS abdeckt und was Ihre Schulung am Ende bewirkt.

Bemühen Sie doch ein­mal das PONS Wörterbuch. Sie wer­den sehen, dass das latei­ni­sche Wort “sen­sus” eine Vielzahl von Deutungen zulässt und die alten Römer eine Menge mehr als nur “Wissen” oder “Können” mein­ten, wenn sie an “sen­sus” und viel­leicht auch Sensibilisierung dach­ten:

Denn sen­sus meint auch Dinge wie (Sinnes-)Eindruck, (Sinnes-)Wahrnehmung, Sinnesorgan, Besinnung, Bewusstsein, Verständnis, Urteil(sfähigkeit) und sogar inne­re Anteilnahme.

Wenn Sie dem­nach MitarbeiterInnen im wahrs­ten Sinne des Wortes sen­si­bi­li­sie­ren möch­ten, dann müs­sen Sie es schaf­fen, deren inne­re Haltung, Einstellung und Grundhaltung für Ihr Thema in der Art nach­hal­tig posi­tiv zu beein­flus­sen, dass die Augen und Ohren sowie die inne­re Geisteshaltung Ihrer geschul­ten MitarbeiterInnen geeig­net und wil­lens sind, Informationssicherheitsereignisse zu erken­nen, bevor die­se zu Informationssicherheitsvorfällen wer­den.

Und genau dar­um geht es doch eigent­lich, oder?

Nun sagen Sie viel­leicht: “Papperlapapp — Schulung reicht uns, Augen und Ohren der Organisation brau­che ich nicht für mein ISMS. Wir unter­wei­sen und ver­pflich­ten alle MitarbeiterInnen auf die bestehen­den Maßnahmen und Richtlinien. Und wenn sich alle dran hal­ten, dann sind wir com­pli­ant und damit safe. Wer sich nicht dran hält, fliegt raus”.

Kann man machen, ist aber Mist.

Denn Ihr ISMS kann nur jene Maßnahmen“managen”, für die Sie die zugrun­de­lie­gen­den Risiken erkannt und ein­ge­stuft haben. Was aber ist mit den Risiken, von denen Sie nicht mal im Ansatz wis­sen, dass Sie nicht wis­sen, dass es sie gibt. Donald Rumsfeld nann­te die­se (wenn auch in einem ande­ren unschö­nen Kontext) die “unknown unknowns”.

Und Ihr ISMS ori­en­tiert sich mit Sicherheit an Best-Practices, die Ihren MitarbeiterInnen Leitlinien im (siche­ren) Umgang mit (schüt­zens­wer­ten) Informationen lie­fern. BSI-Grundschutz und ISO27xxx beinhal­ten sol­che Best-Practices. Leider sind Best-Practices jedoch immer auch Past-Practices.

Und genau hier dro­hen zwei laten­te Gefahren:

Erstens wird Ihr ISMS immer Lücken haben (“unknown unknowns”). Sonst bräuch­te es ja im Sinne des PDCA-Zyklus auch kei­ne ste­te Verbesserung des sel­bi­gen.

Und zwei­tens wird es immer böse Menschen geben, die sol­che Regelsysteme und deren (Best-)Practices wie ihre Westentasche ken­nen und damit in der Lage sind, das Radar Ihres ISMS bewusst zu unter­flie­gen.

In einem sehr inter­es­san­ten Beitrag von 2013 fass­te Ortmann unter dem Titel “Noch nicht / nicht mehr — Zur Temporalform von Paradoxien des Organisierens” diver­se Ursachen für das Scheitern von Organisationen zusam­men. Eine die­ser Formen cha­rak­te­ri­sier­te er als inten­diert und selbst­auf­er­legt. In die­se Kategorie las­sen sich aus Best-Practices ein­ord­nen. Organisationen schei­tern mit und wegen ihrer sich selbst auf­er­leg­ten Regelwerke.

Das klingt para­dox — und genau dar­um geht es in Ortmanns Artikel und in die­sem Blog-Beitrag. Denn wenn sich eine Organisation Handlungsrichtlinien wie ein ISMS auf­er­legt, dann Scheitern die Akteure (MitarbeiterInnen) der Organisation (in Bezug auf Informationssicherheit) zum einen dann, wenn die Handlungsrichtlinien kei­ne Orientierung und/oder Anschlussfähigkeit mehr bie­ten. Sprich: für ein kon­kret ein­tre­ten­des “unknown unknown” exis­tiert schlicht kei­ne Regel. Es feh­len Anweisungen, wie man sich nun zu ver­hal­ten habe. Dadurch wer­den Mitarbeiter im kon­kre­ten Fall auf­grund ihrer hohen antrai­nier­ten Regelaffinität hand­lungs­un­fä­hig. Das ist das Schlimmste, was im Falle aku­ter Gefährdung Ihrer Informationssicherheit pas­sie­ren kann.

Und zum ande­ren kön­nen trotz kon­se­quen­ter und kor­rek­ter Anwendung aller Regeln Bedrohungen dann nicht erkannt wer­den, wenn bspw. Human Hacker die Best Practices Ihres ISMS genau ken­nen und sich durch ver­meint­lich regel­kon­for­mes Handeln in der Organisation trotz schäd­li­chen Verhaltens nicht zu erken­nen geben. Social Engineering öff­net ver­meint­lich gut ver­schlos­se­ne Türen mit mani­pu­la­ti­ven Techniken nahe­zu geräusch­los und Informationssicherheitsvorfälle gesche­hen unbe­merkt.

Hier wird der Bedarf an sen­si­bi­li­sier­ten MitarbeiterInnen deut­lich. Denn in bei­den Fällen hel­fen MitarbeiterInnen nicht, die ledig­lich geschult, unter­wie­sen und ver­pflich­tet wur­den.

Sie brau­chen in bei­den Fällen sen­si­bi­li­sier­te MitarbeiterInnen. Denn in bei­den Fällen braucht Ihre Organisation wach­sa­me Augen und Ohren, die durch inne­re Anteilnahme intrinsisch moti­viert Auffälligkeiten und Anomalien erken­nen und kom­mu­ni­zie­ren. Und Sie brau­chen eine Belegschaft, die im Falle von “unknown unknowns” beson­nen (das Wort steckt übri­gens auch in “sen­sus”) agiert und sich bei Fehlen kon­kre­ter Handlungsanweisungen und Regeln “sinn­ge­mäß” (also im Sinne des ISMS und Ihrer Sicherheitspolitik) ver­hält.

Sensibilisierung ist also etwas ande­res als eine Schulung. Das BSI und die ISO27xxx for­dern bei­des. Schulung und Sensibilisierung. Das hat sei­nen Sinn und ist gut so. Vielleicht wis­sen BSI und ISO ja auch um die­se orga­ni­sa­tio­na­le Schwachstelle von Best-Practices.

Möchten Sie mehr über unse­re didak­ti­schen Konzepte zur nach­hal­ti­gen Sensibilisierung von MitarbeiterInnen erfah­ren? Dann kommen Sie auf uns zu. Wir stel­len Ihnen unse­ren Ansatz gern im per­sön­li­chen Gespräch vor.

Alles hat ein Ende, nur die…

… aber um die Wurst soll es hier gar nicht gehen. Sondern um das Ende all Ihrer elek­tro­ni­schen Speichergeräte. Also um Ihren Computer, Laptop, exter­ne Festplatten, Smartphones, USB-Sticks, … und ver­ges­sen Sie nicht Ihren Multifunktionsdrucker, Ihren Internetrouter und wahr­schein­lich sogar Ihren hei­mi­schen TV-Receiver: alles Geräte, die Informationen über Sie spei­chern, die Sie nicht mit anderen teilen möchten.

Elektronische Geräte gehö­ren natür­lich nicht in den Restmüll, son­dern wer­den von uns ordent­lich der Wiederverwertung zuge­führt. Da sie meist aber nicht defekt sind, son­dern gegen moder­ne­re Varianten aus­ge­tauscht wer­den, enden sie häu­fig nicht auf dem Wertstoffhof, son­dern auf ein­schlä­gi­gen Internetplattformen und war­ten dort auf neue Benutzer.

Kroll Ontrack und die Blancco Technology Group haben für eine Studie 159 Festplatten auf eBay erwor­ben, auch in Deutschland. Erschreckenderweise wur­de fest­ge­stellt, dass auf 42% Prozent der Geräte noch sen­si­ble Daten vor­han­den waren. 15 Prozent ent­hiel­ten sogar per­so­nen­be­zo­ge­ne Daten wie gescann­te Geburtsurkunden, Lebensläufe und Schulnoten. Aber nicht nur pri­va­te Informationen wur­den gefun­den, auch meh­re­re Gigabyte an Firmendaten konn­ten rekon­stru­iert wer­den. Die im Rahmen der Studie kon­tak­tier­ten Verkäufer gaben an, dass eigent­lich kei­ne Daten zurück­blei­ben soll­ten, da sie Methoden zur siche­ren Datenentsorgung ange­wandt hat­ten. Diese Methoden waren aber offen­sicht­lich unzu­rei­chend.

Der Anfang vom Ende…

… muss also eine ange­mes­se­ne Löschung oder Vernichtung sein. Dabei gibt es zwei Varianten:

Variante A: Sichere Entsorgung

Suchen Sie sich für die­se Variante ech­te Profis. Achten Sie dar­auf, dass die Vernichtung gemäß DIN 66399 vor­ge­nom­men wird und min­des­tens der Sicherheitsstufe 3 genügt. Sicherheitsstufe 3 bedeu­tet, dass die Reproduktion Ihrer Daten mit erheb­li­chem Aufwand ver­bun­den ist. Wenn Sie beson­ders sen­si­ble Daten auf Ihren Datenträgern spei­chern, wäh­len Sie bes­ser Sicherheitsstufe 4. Leider hat die­se Variante Ihren Preis.

Variante B: Verkauf oder einfache Entsorgung

Wenn Sie das Gerät ver­kau­fen wol­len, wägen Sie sorg­fäl­tig ab wel­che Informationen auf dem Gerät gespei­chert waren. Im Zweifelsfall ist es viel­leicht bes­ser, den PC ohne die Festplatte zu ver­kau­fen und die­se zu ver­nich­ten. Ansonsten sor­gen Sie unbe­dingt für die siche­re Löschung der Speichermedien.

Leider ist das, wie die Studie von Kroll Ontrack und Blancco gezeigt hat, gar nicht so ein­fach. Insbesondere moder­ne SSD Speicher auf Flash-Basis (dazu gehö­ren auch USB-Sticks) sind mit älte­ren Verfahren und mit den Boardmitteln der Betriebssysteme kaum rich­tig sicher zu löschen. Schauen Sie dar­um unbe­dingt auf den Herstellerseiten Ihrer Geräte und Speichermedien nach. Die meis­ten Hersteller bie­ten mitt­ler­wei­le spe­zi­el­le Tools für die siche­re Löschung an und stel­len aus­führ­li­che Anleitungen zur Verfügung. Als kos­ten­lo­se Open-Source Lösung für die Löschung von Daten kön­nen Sie z.B. auf „Darik’s Boot and Nuke (DBAN)“ (www.dban.org) zurück­grei­fen.

Planen Sie die ein­fa­che Entsorgung über einen Wertstoffhoff oder ande­ren Sammelbehälter, kön­nen Sie einen spä­te­ren Zugriff durch Dritte nicht aus­schlie­ßen und soll­ten sich auch hier unbe­dingt um die siche­re Löschung küm­mern. Wenn Sie die Speichermedien vor­her sel­ber zer­stö­ren möch­ten (viel­leicht auch weil sie defekt sind und eine siche­re Löschung nicht mehr mög­lich ist) sei­ne Sie unbe­dingt vor­sich­tig. Schützen Sie sich z.B. durch Schutzhandschuhe und eine Schutzbrille, vie­le der ver­wen­de­ten Materialien split­tern bei Gewaltanwendung. Verursachen Sie so viel Schaden wie mög­lich und füh­ren Sie die Reste der Wiederverwertung zu.

Fragen Sie bei Unklarheiten einen Spezialisten und wen­den Sie sich bei allen dienst­li­chen Geräten ver­trau­ens­voll an Ihre IT! Im Firmenkontext lohnt sich die Anschaffung spe­zi­el­ler Soft- oder sogar Hardware für die Löschung oder ein Vertrag mit einem spe­zia­li­sier­ten Entsorger. Der stellt auch ent­spre­chen­de Behälter für die siche­re Zwischenlagerung bis zur nächs­ten Abholung bereit.

Haben Sie das alles geklärt, kön­nen Sie sich ruhi­gen Gewissens den neu­en Geräten wid­men.

Ende gut: alles sicher.

GPM @ SECUTAIN: Awareness verstehen — Awareness aufbauen

Unter dem Titel

Awareness ver­ste­hen – Awareness auf­bau­en: Konzepte orga­ni­sa­tio­na­ler Kommunikation als Basis für effi­zi­en­tes Projektmanagement im Kontext regu­la­to­ri­scher Anforderungen

hal­ten wir am 18.06.2019 noch­mals jenen Vortrag, den wir im Oktober 2018 bereits auf dem größ­ten euro­päi­schen Projektmanagement-Kongress, dem “Internationalen PM-Forum” hal­ten durf­ten.

Hier geht es somit um die span­nen­de Frage, wel­che grund­le­gen­den Aspekte ProjektmanagerInnen beach­ten müs­sen, um nach­hal­tig an der Achtsamkeit der Belegschaft im Umgang mit schüt­zens­wer­ten Informationen zu wir­ken. Ein Thema, das nicht nur vor dem Hintergrund der EU-DSGVO immer bedeut­sa­mer wird. Gerade bei Projekten im Bereich Forschung und Entwicklung oder bei Projekten im Kontext regu­la­to­ri­scher Anforderungen ein zuneh­mend hoch­re­le­van­tes Thema.

Wir unter­stüt­zen mit unse­rem Beitrag die regio­na­le Arbeit der Deutschen Gesellschaft für Projektmanagement (GPM). Die Veranstaltung ist aber auch für Nicht-Mitglieder der GPM offen.

Ihre Anmeldung neh­men bit­te über die Website der GPM vor.

Ist VPN jetzt auch böse? Der Fall Facebook Research

Einige von Ihnen wer­den in den letz­ten Wochen sicher­lich die Nachrichtenlage um Facebook mit­be­kom­men haben. Im Zentrum stand die App “Facebook Research”. Dabei han­delt es sich um ein VPN-Angebot von Facebook, das dem Konzern einen weit­rei­chen­den Zugriff auf die Smartphones der Benutzer gege­ben hat. So konn­te Facebook pri­va­te Nachrichten in sozia­len Netzwerken und Messenger-Apps mit­le­sen — genau­so wie Fotos und Videos der Nutzer ein­se­hen, E‑Mails, Websuchen und Browseraktivitäten pro­to­kol­lie­ren sowie den aktu­el­len Standort der Geräte aus­le­sen.

Jetzt könn­ten Sie sagen: Halt, Momentchen mal, stopp! Seit Ewigkeiten erzäh­len Sie uns, dass VPN die bes­te Möglichkeit ist, sicher im Netz unter­wegs zu sein!? Und jetzt ist es so gefähr­lich!?!?

In der Tat ist VPN eine Technologie, mit der es mög­lich ist, den eige­nen Internetverkehr vor dem Einblick und der Manipulation durch Dritte zu schüt­zen. Das bleibt auch wei­ter­hin so. Wichtig ist jedoch, dass der Anbieter des VPN-Dienstes Ihre Daten nicht mit­pro­to­kol­liert, Ihre Privatsphäre respek­tiert, ver­trau­ens­wür­dig ist und einen hohen Sicherheitsstandard auf­weist.

Wie bei allem, was Sie im Internet tun, gilt auch hier der alte Grundsatz, den wir seit Jahren wie­der­ho­len: Wenn Sie nicht bezah­len, sind Sie das Produkt!

Seien Sie also mehr als skep­tisch, wenn Ihnen ein VPN-Produkt kos­ten­los ange­bo­ten wird. Im Falle von “Facebook Research” war das Produkt nicht nur kos­ten­los — die Benutzer wur­den sogar für die Nutzung bezahlt. Einkaufsgutscheine bis zu 20 Dollar im Monat wink­ten den Nutzern. Spätestens hier müs­sen bei Ihnen sämt­li­che Alarmglocken läu­ten. Finger weg!

Investieren Sie lie­ber weni­ge Euro pro Monat in einen siche­ren VPN-Anbieter oder schau­en Sie, wel­cher seriö­se Anbieter von Sicherheitssoftware ein Bundle anbie­tet, in dem ein VPN-Dienst bereits ent­hal­ten ist. Beispielsweise hat heise einmal eine Liste von diversen Anbietern zusammengestellt.

Wenn man in allem — aber auch wirk­lich allem — etwas Gutes sehen will, kann man die­sem Fall abge­win­nen, dass Facebook hier end­lich ein­mal die Nutzer bezahlt hat, die ihre Daten für Profilbildungen und Monetarisierung zur Verfügung stel­len. Ein bit­te­rer Lohn für einen der­art star­ken Eingriff in die Privatsphäre.

Das Fazit lau­tet also: Marktmechanismen im Internet machen auch vor VPN nicht Halt. VPN ist wei­ter­hin ein gutes Instrument für mehr Sicherheit im Netz. Nutzen Sie einen ver­trau­ens­wür­di­gen und daten­schüt­zen­den VPN-Dienst.

Facebook ist dies nicht.

SECUTAIN auf Veranstaltungen 2018

In 2018 fin­den noch eini­ge sehr span­nen­de Veranstaltungen rund um das Thema “Informationssicherheit” statt. Wir freu­en uns, zu die­sen Veranstaltungen einen fach­li­chen Beitrag leis­ten und ent­spre­chen­de Vorträge hal­ten zu dür­fen:

 

  • 04. bis 05. September: D‑A-CH Security 2018 (Gelsenkirchen) / Vortragstitel “Neue Narrative für Informationssicherheit”
  • 20. September: cybics Konferenz (Bochum) / Vortragstitel “Security Awareness 4.0”
  • 21. bis 23. November: 17. SECUTA (Garmisch Partenkirchen) / Vortragstitel “Awareness & Sensibilisierung für Informationssicherheit”
  • 20. bis zum 23. November:  DOAG 2018 Konferenz + Ausstellung (Nürnberg) / Vortragstitel “Awareness für Informationssicherheit”

 

Wir wür­den uns freu­en, Sie dort tref­fen zu dür­fen.

Webinar: EU-DS-GVO in a nutshell & Unterweisungen clever umsetzen

Laut einer Studie berei­ten sich aktu­ell nur 23 Prozent der deut­schen Unternehmen auf die EU-Datenschutzgrundverordnung (EU-DSGVO) vor. Eine dra­ma­ti­sche Zahl, wenn man bedenkt, wel­che hohe Auflagen Unternehmen ab dem 25. Mai erfül­len müs­sen. Die Verletzung die­ser Auflagen kann emp­find­li­che Bußgelder in Millionenhöhe nach sich zie­hen. Höchste Zeit zu han­deln.

In einem Webinar am 13. Februar um 9:30 Uhr zei­gen wir Ihnen das Wichtigste, das Sie jetzt wis­sen müs­sen. Außerdem hel­fen wir Ihnen, einen wich­ti­gen Haken in Ihrer To-Do-Liste zu machen, denn eine der Anforderungen sind unter­neh­mens­wei­te Unterweisungen für Datenschutz. Wir zei­gen Ihnen, wie Sie mit Coursepath und SECUTAIN im Handumdrehen unter­halt­sa­me und anschluss­fä­hi­ge Onlineunterweisungen für Datenschutz umset­zen kön­nen. Und das ganz ein­fach auch ohne Vorkenntnisse.  Als Krönung erhal­ten alle Teilnehmer des Webinars einen kos­ten­lo­sen Testzugang zum Datenschutz-Kurs von SECUTAIN.

Update: Aufgrund der gro­ßen Nachfrage fin­det das Webinar erneut am 13. März um 10:00 Uhr statt. Hier fin­den Sie Anmeldung zum Event