Philipp Schaumann               4 Tage Workshop rund um Firmenkultur und Informationssicherheit, Feb 2007

 
Firmenkultur und Business Ethik,
Informationssicherheit, Benutzersensibilisierung,
psychologische Aspekte der Interaktion zwischen Regeln, Verboten und Firmenkultur,
Planung von Training zu Informationssicherheit,
Spezialaspekt Schutz vor Social Engineering

 

Alle Themen zusammen können in einer 4 Tage Veranstaltung sehr sinnvoll be- und erarbeitet werden, aber auch Einzelthemen eigenen sich für Vorträge und Workshops. Sinnvolle Vortrags- und Workshopdauern reichen von 1 Stunde bis 4 Tage.

Die Rahmenhandlung rankt sich um folgende Situation:

 

Sie sind explizit oder implizit verantwortlich für die Informationssicherheit in einem mittelständischen Unternehmen. Es sind leider ein paar dumme Dinge vorgefallen:

-          der Verkaufschef hat das komische Gefühl, dass die Konkurrenz bereits vorab recht gut über die Endsumme Ihrer Angebote informiert ist

-          bereits zum 2. Mal in diesem Jahr ist es zu einem Virenbefall auf den internen Desktop-Systemen gekommen

-          der Entwicklungsleiter hatte ein Abendessen mit einem Journalisten und ein zukünftiger Kooperationspartner war ziemlich erzürnt, Informationen über diese geplante Kooperation in der Zeitung zu lesen

Die Firmenleitung ist sehr erzürnt und erwartet von Ihnen, dass „diese Vorfälle abgestellt werden“.

 

Im Rahmen dieser Aufgabenstellung werden folgende Themenstellungen behandelt

 

Thema: Business Ethik und Firmenkultur

-          Grundthema: Welche Rolle spielt die Unternehmenskultur bei solchen und ähnlichen Problemen?

-          Was ist Ethik und was sind ihre Grundlagen?

-          Ethik im Berufsleben, das Verhalten der Mitarbeiter, welche Zusammenhänge gibt es zu Wirtschaftskriminalität und den obigen Vorfällen?

-          Verantwortungsvolles Handeln von Unternehmen (Share Holder vs. Stake Holder, Nachhaltigkeit, CSR, etc.)

-          Das Gewissen von Technikern und Wissenschaftlern

-          Spezialproblemstellung Whistle-Blowing

-          Welche Faktoren bestimmen eine Unternehmenskultur, welche Ausprägungen gibt es

-          Was sind Business Ethik-Programme, was sind die Einsatzgebiete?

-          Wie können ethische Problemstellungen / Ziel-Konflikte systematisch analysiert und fair behandelt werden? (Gruppenarbeit auf Grundlage des 10 Schritte Lösungsmodell)

-          welche Organisationsmodelle gibt es? Wie kann eine Firmenkultur geändert werden?

-          Aspekte „sicherer“ Technik         

o       Ausfallsicherheit (mehrfache Redundanz, Fail-over, Retry)

o       Fehlertoleranz (Bedienfehlerschutz, Benutzerführung)

o       Programmierdisziplin (error handling, buffer overflow, etc.)

o       Komplexitätsreduktion in Systemen

 

Lernziele des Kurses zu Business Ethik und Firmenkultur

Der Student soll nach Abschluss dieses Teils des Kurses

-          verschiedene Grundlagen von Ethik identifizieren können

-          den Zusammenhang und die Interaktion von Informationssicherheit mit der Unternehmenskultur erkennen

-          ethische Konflikte im Berufsleben erkennen und mögliche Lösungswege aufzeigen können

-          Implementierungsoptionen eines Code of Ethics beschreiben können

-          Verfahren kennen, mit deren Hilfe ethische Konflikte erkannt und bearbeitet werden können und ein solches Verfahren in einer Gruppenarbeit durchprobiert haben

-          die Problematik des Whistle Blowing einschätzen können

-          erkennen, welche ethischen Probleme für Techniker und Wissenschaftler sich bei der Arbeit ergeben können

-          wissen, dass die Implementierung „sicherer Technik“ eine ethische Herausforderung ist und Aspekte „sicherer Technik“ benennen können

-          Ideen haben, wie eine Unternehmenskultur verändert werden kann und was dabei zu beachten ist

 

 

Thema: Vorbereitung der Problembehandlung

-          Wie kann das o.g. Unternehmen seine Probleme angehen? (Gruppenarbeit: Erstellung eines Rahmen-Konzepts)

-          Problemakzeptanz

-          Problemanalyse (zu den Wurzeln)

-          Erarbeitung eines groben Lösungskonzepts (Zerlegung in einzelne Komponenten)

-          Sensibilisierung und Buy-in der Geschäftsleitung (Unternehmensleitlinien)

 

Lernziele des Kurses zu Vorbereitung der Problembehandlung

Der Student soll nach Abschluss dieses Teils des Kurses

-          darüber nachgedacht haben, wie solche Aufgabenstellungen umfassend angegangen werden können

-          Methoden kennen, wie ein Problem tiefer analysiert werden kann

-          erkennen, dass ohne eine deutlich sichtbare Unterstützung „von oben“ solche Veränderungen nicht möglich sind und auf Widerstand stoßen werden

 

 

Thema: Metrik der Informationssicherheit

-          Zweiter Schritt: Ist-Aufnahme. Kann Sicherheitsbewusstsein und Unternehmenskultur gemessen werden? (Metrik der Informationssicherheit) – diverse Gruppenarbeiten

-          Benchmark an Hand von Best-Practise Dokumenten (ISO 17799, CobiT, u.a.)

-          Messung der Effektivität von technischen und organisatorischen Maßnahmen

-          Messung des Sicherheitsbewusstseins (Wissen, Verhalten und Einstellung) der Mitarbeiter

-          Thema Motivation der Mitarbeiter (F.Herzberg) – „Dienst nach Vorschrift“

 

Lernziele des Kurses zu Metrik der Informationssicherheit

Der Student soll nach Abschluss dieses Teils des Kurses wissen,

-          was wir unter Informationssicherheit verstehen

-          warum es sinnvoll ist, den Stand der Informationssicherheit zu messen

-          welche Aspekte Informationssicherheit hat und wie ich diese jeweils messen kann

-          welche Verfahren es gibt um das Sicherheitsbewusstsein der Mitarbeiter zu messen

-          welche Rolle die Motivation der Mitarbeiter für das Unternehmen spielt

-          welche Faktoren als Motivatoren betrachtet werden und was „Hygiene-Faktoren“ sind

-          wie Motivation messbar ist und wie dies mit den „Humankriterien zur Gestaltung von Arbeit“, ISO-Norm, zusammenhängt

 

Thema: Informationssicherheitskonzept

-          Dritter Schritt: Erstellung eines Informationssicherheitskonzepts (Security Policy, Klassifizierung von Daten und Informationen)

 

Lernziele des Kurses zu Metrik der Informationssicherheit

Der Student soll nach Abschluss des Kurses

-          wissen, welche Aspekte als Teil einer Security Policy behandelt werden sollten

-          die Standards kennen, auf die eine solche Policy gestellt werden kann

-          Vorgehensweisen zur Erstellung kennen

-          Verschiedene Modelle der Sicherheitsorganisation kennen

-          die Klassifizierung von Daten und Systemen durchführen können

 

 

Thema: Psychologie von Regeln und Verboten

-          Die Subjektivität von Sicherheits- und Unsicherheitsgefühlen, reale vs. irreale Bedrohungen.

-          Welche grundsätzlichen Typen von Anwendern finden, welche Fehler werden gemacht

-          was sind grundsätzliche Haltungen von Anwendern gegenüber IT-Sicherheitsaspekten?

-          Warum gibt es in vielen Firmen Probleme bei der Einhaltung der Regeln?

-          Was bedeuten Rechte, Privilegien und Verbote für die Mitarbeiter? (Status-Problematik)

-          Detailthemen: die Einstellungen der Mitarbeiter zu Passworten, privaten E-Mails, Malware (Schadsoftware), Clean Desk Regeln und Bildschirmsperren und Namensschildern

-          Wir wirken Regeln, Unternehmenskultur und Arbeitsklima zusammen?

-          Gegen welche Bedrohungen muss ein Unternehmen sich schützen?

-          Wie können Regeln zu den o.g. Problemen erstellt werden, die auch beachtet werden (können)? Beispiele für konkrete Regelungen.

 

Lernziele des Kurses zu Psychologie von Regeln und Verboten

Der Student soll nach Abschluss des Kurses wissen,

-          dass das menschliche Bewusstsein für Risiken eine objektive realistische Einschätzung nicht unterstützt und dass ein Null-Risiko (normalerweise) auch nicht angestrebt wird

-          dass die Mitarbeiter mit ganz unterschiedlichen Ansätzen die IT-Geräte nutzen und dass unterschiedliche Probleme entstehen

-          dass die Mitarbeiter zumeist eine ambivalente Haltung gegenüber IT-Leuten und IT-Problemstellungen haben

-          dass oft Fragen des Status einen vernünftigen Umgang mit sinnvollen Regelungen erschweren

-          dass die Einstellung der Mitarbeiter bezüglich solcher Regelungen oft durch ambivalente Gefühle geprägt wird, die von den Sicherheitsspezialisten in dieser Form nicht realisiert werden und dass daraus starke Widerstände resultieren können

-          dass eine starke gegenseitige Interaktion zwischen solchen Regelungen und der Unternehmenskultur und dem Betriebsklima gibt

-          dass die Bedrohungslandschaft sich seit 2005 deutlich verschoben und verstärkt hat

-          wie Regelungen aussehen können, die die Mitarbeiter da abholen, wo sie mit ihren Gefühlen stehen

 

Thema: Spezialfall Social Engineering und Phishing

-          Was ist Social Engineering? Welche unterschiedlichen Angriffsformen werden darunter verstanden? Wie sieht die systematische Vorgangsweise der Angreifer aus?

-          welche unerwünschten und oft gleichzeitig erwünschten Verhaltensweisen der Mitarbeiter werden von den Angreifern ausgenutzt?

-          Welche Konflikte entstehen für die Mitarbeiter im Kundenkontakt?

-          wie kann das Unternehmen bei der Auflösung dieses Konflikts helfen?

o       traditionelle Vorgehensweisen

o       konkrete Trainingsvorschläge auf psychologischer Basis

o       Unterstützung durch geeignete Tools (CRM-System) und in der Organisation

 

Lernziele des Kurses zu Social Engineering

Der Student soll nach Abschluss des Kurses wissen,

-          dass Social Engineering menschliche Schwächen und Stärken ausnutzt, die zum Teil zumindest durchaus im Unternehmen erwünscht sind

-          dass solches Verhalten nicht durch das Erlassen von Regeln allein verändert werden kann

-          welche Möglichkeiten Unternehmen haben, ihre Mitarbeiter bei der Erkennung von Social Engineering Angriffen unterstützen

-          wie kann das Unternehmen die Mitarbeiter beim Umgang mit Zweifelsfällen unterstützen

-          welche technischen Tools können hilfreich sein

-          was ist Out-of-Band-Kommunikation

 

 

Thema: Wissensvermittlung und Verhaltensmodifikation

-          Definition von Zielgruppen und den jeweiligen Lernzielen und Methoden (Gruppenarbeit)

-          die Unterschiede Wissensvermittlung vs. Verhaltensänderung,

-          Trainingskonzepte, Aspekte der Vermittlung, aktiv vs. passiv

-          Methoden zur Veränderung der Unternehmenskultur und Verhaltensmodifikation, das NASA-Beispiel 

-          Großgruppen-Veranstaltungen für umfassende Veränderungen in Unternehmen

 

 

Lernziele des Kurses zu Wissensvermittlung und Verhaltensmodifikation

Der Student soll nach Abschluss des Kurses wissen,

-          dass ein solches Training für unterschiedliche Zielgruppen unterschiedliche Inhalte vermitteln muss

-          dass Wissensvermittlung evtl. noch durch Vorträge erreicht werden kann, aber sich keine Verhaltens- oder Bewusstseinsmodifikationen

-          wie bei der NASA versucht wird, die Unternehmenskultur grundlegend zu verändern

-          welche Möglichkeiten für Verhaltens- oder Bewusstseins-Veränderungen es gibt

 

 

 

Literaturliste zu Business Ethik und Unternehmenskultur

Links zu weiterführenden Texten finden sich auf

http://sicherheitskultur.at/technik.htm

http://sicherheitskultur.at/business_ethik.htm

speziell zu empfehlen ist

http://www.mapnp.org/library/ethics/ethxgde.htm

„Sichere Technik“ ist der rote Faden, der sich durch den CAIB Report zur Columbia-Katastrophe führt. Links dazu und genauere Kapitelhinweise auf meiner Website.

 

 

Literaturliste zu Metrik der Informationssicherheit

Links zu weiterführenden Texten finden sich auf

http://sicherheitskultur.at/Trainingskonzept.htm#ist

 

 

Literaturliste zu Informationssicherheitskonzept

Links zu weiterführenden Texten finden sich auf

http://sicherheitskultur.at/Eisbergprinzip.htm#policy

 

 

Literaturliste zu Psychologie von Regeln und Verboten

Links zu weiterführenden Texten finden sich auf

http://sicherheitskultur.at/Trainingskonzept.htm#psycho

 

Literaturliste zu Social Engineering

Links zu weiterführenden Texten finden sich auf

http://sicherheitskultur.at/social_engineering.htm 

 

Literaturliste zu Wissensvermittlung und Verhaltensmodifikation

Links zu weiterführenden Texten finden sich auf

http://sicherheitskultur.at/Trainingskonzept.htm#ziele 

 

 

 

 

 

 

Kontakt
Anregungen, Kritik, Feedback über die Kontaktseite.

Philipp Schaumann, http://sicherheitskultur.at/

 



Home

 

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.