Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

 

Training des Mitarbeiterbewusstseins zur Informationssicherheit, Benutzersensibilisierung und Psychologie der Informationssicherheit

Stand Dez. 2016

Autor: Philipp Schaumann

 

Frustrationsquelle Training für mehr Sicherheitsbewusstsein

Einschub Juni 2016:
SANS bietet seit einigen Jahren sehr gute Security Awareness-Materialen an (z.B. monatlicher OUCH!-Newsletter, kurze Awareness-Videos, etc.), die auch von Firmen (teilweise) "gratis" verwendet werden dürfen (z.B. OUCH! Newsletter: unter Verwendung der "Creative Commons Lizenz" und Verwendung 1:1 ohne Veränderung vom SANS-Layout und den Inhalten).

Den OUCH! Newsletter gibt es mittlerweile in 28 Sprachen (darunter Englisch und Deutsch) Viele der Informationen im OUCH! Newsletter sind nicht nur für die Firma interessant, sondern auch sehr nützlich zur Verwendung und Einhaltung im privaten Umfeld.

2 Beispiele:
SANS OUCH! Awareness-Newsletter Juli 2016: Thema: "CEO Fraud":

SANS Awareness Video of the Month July 2016: Thema: "Phishing & E-Mail Security":

Wer für die Stärkung des Sicherheitsbewusstseins im Unternehmen zuständig ist, wird häufig von Frustrationen geplagt. Egal wie oft er oder sie Powerpoint-Präsentationen hält, wie oft ein Hinweis auf die Internetvorschriften im Intranet steht, es scheint sich nicht wirklich was zu ändern. Immer noch sind überall im Unternehmen die Bildschirme während der Kaffeepause aktiv, die Papierkörbe sind voll mit vertraulichen Unterlagen wie Entwürfen für Angebote oder Preislisten und die Kollegen kennen die Passworte von allen in der Abteilung.

Der folgende Text versucht 2 Dinge: im folgenden Versuche ich zu erklären, mit welchen Ansätzen vielleicht doch etwas zu verändern ist und weiter unten versuche ich zu erklären, warum wir mit der Sensibilisierung so oft scheitern.

Der US Sicherheitsexperte Bruce Schneier schreibt 2016 einen für dieses Theme leicht ketzerischen Artikel Stop Trying to Fix the User. Sein Punkt ist, dass wir IT-ler Systeme entwickeln, die es entweder dem Laien schwer machen, sicher unterwegs zu sein oder die es leicht und bequem machen, unsicher zu arbeiten. Dass man mit einem USB-Stick einen Rechner infizieren kann, das müsste ja nicht sein. Dass auch kritische Websites die Nutzung von simplen Passworten statt 2-Faktor-Login so viel einfacher machen, auch nicht. Was soll ein Benutzer mit den Zertifikationswarnungen eigenltich anfangen? Das ist alles falsches Design der Systeme, bzw. des Gesamtkonzepts. Auf den Smartphones ist es ja noch schlimmer, der Benutzer hat kaum noch die Möglichkeit zu erkennen, wohin ihn ein Link eigentlich schickt.

Der sagt Bruce Schneier, wir müssen erst mal unsere technischen Hausaufgaben machen. Natürlich gibt es dazu auch Gegenpositionen, z.B. in den Kommentaren zum Artikel oder von der SANS.

Doch jezt an die Arbeit: Ein erster Ansatz für unsere Schulungsbemühungen können Analysen sein: Mit welchen Klassen von Benutzern haben wir es zu tun?

  • Unbedarfte, die weder von Kenntnissen noch von Bewusstsein gebremst werden
  • Gadget-Freaks, die einfach jedes neue Gerät haben müssen und natürlich auch im Büro einstecken
  • Eigennützige, die die Regeln kennen, aber aus eigenem Vorteil und oft aus Bequemlichkeit missachten
  • Saboteure, die vorsätzlich handeln und bewusst Schäden anrichten

Ein Problem ist, dass vermutlich Eigennützige und Saboteure mit unseren Aktiväten gar nicht wirklich erreicht werden können und bei den Gadget-Freaks ist es auch unsicher.

Oder das Problem wird auf eine beliebige Kombination aus "Vergesslichkeit", "Bequemlichkeit", "Gleichgültigkeit", "Faulheit", "Naivität", "Schlamperei", "Überforderung", "Unkonzentriertheit", "Spieltrieb" oder "Vandalismus" geschoben. Aber auch solche Erklärungen bringen nicht wirklich weiter, wenn wir nicht in der Lage sind, aus solchen "Erkenntnissen" zumindest Ansätze zur Verbesserung der Effektivität unserer Schulungsaktivitäten zu gewinnen.

Hier eine interessante Untersuchung aus 2016 zu den Gründen, warum Nutzer simple Passworte wählen, bzw. das gleiche Passwort auf vielen Websites. 95% der Nutzer wissen wie in gutes Passwort aufgebaut ist. 91% weiß, dass es riskant ist, Passworte mehrmals zu nutzen. Aber 61% der Nutzer (und 55% der wissenden Nutzer) tun es trotzdem. Warum eigentlich?

Die Psychologen finden in der Untersuchung einen Typ A und einen Typ B von Nutzern. Typ A sagt, sie hätten ein so cleveres Passwort-System, dass für sie kein Risiko besteht. Dies sind die Nutzer, die selbst die Kontrolle behalten wollen. Typ B (über 50% der Nutzer) erklärt, dass die Wiedernutzung von schwachen Passworten bei ihnen kein Problem ist, weil sie ihre Internet-Aktivitäten so einschränken, dass ihnen nicht viel passieren kann, u.a. weil ihre Accounts keinen wirklichen Wert darstellen.

Tatsache ist, dass es ganz unterschiedliche Gründe gibt, die Verhaltensregeln und Sicherheitstipps zu missachten. Mit Powerpoint-Schulungen kann ich höchstens die erste Gruppe, die Unbedarften, erreichen und ihnen zumindest die Sachkenntnisse vermitteln. Aber wie komme ich dann weiter, wie komme ich an die anderen Gruppen heran?

Die Gründe für das Verhalten der anderen liegen tiefer. Hier sind Vorgehensweisen aus den Bereichen der Organisationslehre, Kommunikationstechniken und auch Psychologie gefragt. Hier Beispiele für eigentlich paradoxe Ergebnisse was Vertraulichkeitsbewusstsein betrifft. Testpersonen, denen Vertraulichkeit zugesichert wird, sind weniger freigiebig mit intimen Informationen als solche, die gar nicht an das Thema erinnert werden. D.h. es gibt sehr wohl Tricks, die Freigiebigkeit mit vertraulichen Daten einzuschränken.

Ein ganz wichtiger Aspekt ist die Stellung der Informationssicherheit in der Unternehmenskultur.

Der Begriff Unternehmenskultur umfasst sehr viel. Er reicht vom Kommunikationsstil im Unternehmen, über den Führungsstil, die Leistungsbereitschaft, die Unterstützung oder Unterdrückung von Eigeninitiative, bis zu der in diesem Unternehmen üblichen Qualität, Pünktlichkeit, Flexibilität und Kundenfreundlichkeit. Und dieser Stil ders Unternehmens ist wichtiger für die Informationssicherheit, als alle Verordnungen, die tief in den Hierarchien der Intranet-Website schlummern.

 

 

 

Faktoren der Unternehmenskultur

Glauben Sie, dass ihre Mitarbeiter motiviert sind, die Bildschirme bei Abwesenheit zu sperren? Oder dass sie einen Grund sehen, am Stammtisch ihren Freunden die Details der neuesten technischen Entwicklungen nicht stolz zu berichten? Oder sich Passworte auszudenken, die komplizierter sind als der Name der Ehefrau oder der Tochter?

Oder glauben Sie, dass die Mitarbeiter Ihres Unternehmens motiviert sind, Sicherheitsprobleme zu berichten? Ob das der Fall ist hängt z.B. davon ab, ob die Mitarbeiter glauben, dass so etwas der eigenen Karriere förderlich wäre. Tatsache ist, dass die meisten Mitarbeiter (evtl. sogar zu recht) davon ausgehen, dass es nicht gut ist, Probleme im Unternehmen aufzuzeigen. (Hier gibt es mehr zu Business Ethik als Aspekt der Unternehmenskultur)

Firmenkulturen werden nicht durch die schriftlichen Anordnungen des Managements bestimmt (auch wenn das viele der Vorgesetzten glauben ;-) ), sondern durch eine Reihe von anderen Faktoren. Organisationswissenschaftler teilen diese Faktoren oft in 3 Klassen ein:

  • natürlich gibt es da die deutlich sichtbaren, weil schriftlich niedergelegten Dienstvorschiften, Anordnungen, Verbote, Standards und Richtlinien,
  • auf einer ganz anderen Ebene gibt es dann aber die ebenfalls sichtbaren, aber interpretationsbedürftigen "Artefakte und Äußerungsformen". Dazu gehören die Art, wie man im Unternehmen miteinander umgeht, wie Konflikte gelöst werden, welche Tabus und welche Rituale es gibt und welche Anekdoten bei einer Betriebsfeier zum Besten gegeben werden.
  • auf der letzten Ebene gibt es grundlegende unbewusste Annahmen, die nur unbewusst wahrgenommen werden können. Welche Dringlichkeiten haben Projekte im Unternehmen, wie wird die Umwelt, der Markt, gesehen, als bezwingbare Herausforderung oder als angsteinflösende Bedrohung? Wie wird mit Menschen im Unternehmen umgegangen, welchen Wert stellen sie dar? Wie stark habe ich das Gefühl, dass die Kollegen meine Werte und Einstellungen teilen?

Vermittelt wird die Unternehmenskultur ganz stark durch die Vorbildwirkung der Führungskräfte und ganz stark das implizite (unausgesprochene) Feedback in Form von Belohnen und Bestrafungen. Die Mitarbeiter sehen, wer befördert wird und wer nicht und lernen darüber, welche Verhaltensweisen im Unternehmen belohnt und bestraft werden und ob sie die Möglichkeit haben, sich selbst in Entscheidungen einzubringen.

Wie ein Unternehmen und wie seine Mitarbeiter mit vertraulichen Informationen umgeht wird ebenso wie alle anderen Aspekte des "Unternehmensverhaltens" auf allen 3 Ebenen geprägt. Und die Richtlinien und Vorschriften sind eben nur einer dieser Faktoren. Die anderen beiden Faktoren sind durch die traditionellen Aktivitäten nicht zu erreichen und damit auch nicht zu verändern. Dafür muss ich andere Wege gehen.

Und noch ein Problem: Unternehmenskultur ist immer "selbststabilisierend". Mitarbeiter, die sich in dieser Kultur nicht wiederfinden, nicht wohl fühlen, werden das Unternehmen schneller wieder verlassen, als diejenigen Mitarbeiter, denen dieser Stil zusagt. Es gibt auch nicht einen einzigen "optimalen" Stil. In unterschiedlichen Branchen können unterschiedliche Unternehmensstile optimal sein. Organisationswissenschaftler sprechen dann z.B. von einem "Baseballstil", bei denen sehr leistungsbezogene "free agents", z.B. Verkäufer oder Spezialisten mit Spezialkenntnissen und -fähigkeiten sich meistbietend verkaufen, ohne dass das Unternehmen oder die Mitarbeiter großen Wert auf längerfristige Loyalität legen. Oder ein "Clubstil", wo die langfristige Zugehörigkeit wichtig ist, wo intern befördert wird und wo es wichtig ist, dass die Mitarbeiter sich "eingliedern" und anpassen.

Sehr ähnliche Gedanken werden auch hier aufgezeigt: Changing the organisational culture. Der Text referenziert das Konzept von "Hofstedes Zwiebel" (PDF)zur Beschreibung der unsichtbaren Aspekte der Unternehmenskultur, den "collective mind-set" oder "the software of the mind".

 

 

 

Haben Sie eine Sicherheitskultur im Unternehmen?

Wenn Unternehmenskultur selbststabilisierend ist, so stellt sich natürlich die Frage, ob und wie sie geändert werden kann. Dafür gibt es eine Reihe von Ansätzen, ein Beispiel dafür demonstriert die NASA derzeit. Und so ähnlich (wenn auch vielleicht nicht ganz so aufwendig ;-) ) müssen Sie auch in Ihrem Unternehmen vorgehen.

Bei der NASA war der Grund für die mangelnde Sicherheit nicht, dass es keine entsprechenden Vorschriften gab, sondern darin, dass es einen starken Druck vom Management gab, die Zeiteinhaltung als wichtiger zu betrachten als die Sicherheit und dass man sich an die hierarchische Strukturen halten muss und seinem Chef nicht widerspricht.

Wenn ihre Mitarbeiter Plaudertaschen sind und kein Geschäftsgeheimnis für sich behalten können, so liegt es evtl. daran, dass der Vorstand ebenfalls keine Gelegenheit auslässt, sich in der Presse auszulassen. Wenn die Mitarbeiter die Bildschirme nicht sperren oder den Schredder nicht nutzen, so liegt es vielleicht daran, dass ihr Chef das auch nicht tut. Wenn die Türen unversperrt sind, wenn Betriebsfremde beliebig durch das Gebäude gehen können, wenn niemand Namensschilder trägt (und die Chefs schon gar nicht) so wird hier ganz deutlich vermittelt, dass Informationssicherheit in ihrem Unternehmen keine große Rolle spielt.

Die folgende Graphik zeigt, wie traditionell versucht wird, Informationssicherheit zu verbessern.

Diese Grafik von FGSec in der Schweiz zeigt, dass Weisungen immer noch die häufigste Form der Vermittlung von Sicherheitsverhalten sind (www.fgsec.ch)

 

 

 

Planung und Konzeption

 

Der erste Schritt ist die Erkenntnis und die Akzeptanz, dass wirklich ein Problem vorliegt, das gelöst werden muss. Nach einer Analyse sollte eine Messung des wirklichen Zustands des Unternehmens erfolgen, mehr dazu weiter unten, gefolgt von der Ausarbeitung eines zumindest groben Lösungskonzepts. Der nächste Schritt involviert dann die Geschäftsleitung.

 

 

 

Wichtigster Schritt: Buy-in des oberen Managements und breite Rückendeckung

Es ist ziemlich schwierig, langjährig eingefahrenes Verhalten der Belegschaft zu verändern. Solche Veränderungen sind überhaupt nur möglich, wenn die Änderung von "oben" her getragen wird, und zwar nicht per Anordnung, sondern durch aktives Vorleben und Demonstrieren. D.h. ohne die Vorbildwirkung des obersten Managements ist keine Veränderung zu erreichen.

Der erste Schritt muss auf jeden Fall das Buy-in des oberen Managements sein. Sie können keine wirkliche Verbesserung des Sicherheitsbewusstseins erreichen, wenn nicht die Geschäftsleitung deutlich sichtbar hinter Ihnen steht und als Vorbild vorangeht (und natürlich auch ausreichend Mittel bereitstellt).

Wenn die Geschäftsleitung hinter Ihnen steht, müssen Sie alle anderen Powerplayer noch mit ins Boot holen. Dazu gehört auf jeden Fall der Betriebsrat, gegen dessen Widerstand so etwas nur schwer implementiert werden kann. Wenn Sie aber aufzeigen können, dass diese Kampagne die Arbeitsplätze sichern soll und dass als einer der Nebeneffekte die Mitarbeiter auch für ihre Heim-PCs eine bessere Sicherheit erreichen können, sollte dies kein Problem sein.

Aber auch andere Abteilungen können Schwierigkeiten bereiten und ihre Aktivitäten evtl. sabotieren. In manchen Unternehmen bestimmt der Verkauf die eigentliche Unternehmenspolitik, jede Arbeitsbehinderung für Verkäufer, z.B. durch restriktiveren Zugriff auf das Firmennetz, kann dort abgewiesen werden. Anderseits wird der Verkauf ein Interesse daran haben, dass ihre Angebote und Preiskalkulationen vertraulich gehandhabt werden.

Oder die Rechtsabteilung kann sich übergangen fühlen, oder die Revision oder die Personalabteilung oder ........ D.h. es muss dafür gesorgt werden, dass alle Abteilungen hinter diesen Aktivitäten stehen. Dafür muss in diesem Stadium eine Awareness-Kapagne nur auf der Management-Ebene durchgeführt werden, entweder durch Präsentation vor dem Management oder vermutlich noch effektiver durch gezielte Einzelgespräche. Wenn Sie sich das nicht zutrauen, ziehen Sie externe Hilfe hinzu.

Unsere Leitlinien

. . . . . . .

Das Vertrauen unserer Kunden in den sicheren Umgang mit ihren Daten und die Vertraulichkeit ihrer und unserer Geschäftsgeheimnisse sind ein wichtiger Punkt unseres Erfolgs am Markt

Dann muss zu Beginn der eigentlichen Kampagne die Unterstützung durch das Management deutlich demonstriert werden. Ich habe in vielen Fällen vorgeschlagen, dass die Unterstützung dadurch demonstriert wird, dass ein zusätzlicher Satz in die Unternehmensleitsätze (Unternehmensphilosophie) aufgenommen wird. Dafür könnte sich z.B. eignen: "Das Vertrauen unserer Kunden in den sicheren Umgang mit ihren Daten und die Vertraulichkeit ihrer und unserer Geschäftsgeheimnisse sind ein wichtiger Punkt unseres Erfolgs am Markt".

Wichtig ist auch, dass das obere Management bei einer passenden Gelegenheit, z.B. bei einer Betriebsversammlung ein öffentliches Bekenntnis zu den Zielen dieser Kampagne abgibt.

Hier ein hilfreicher Artikel wie man die Unterstützung des Managements für so ein Projekt bekommt: Begründung aus den Geschäftsanforderungen. Hilfreiche Fragen:

  • Was sind die gesetzlichen oder regulatorischen Anforderungen an das Unternehmen?
  • Was ist die Geschäftsstrategie und wie deckt die sich mit der Informationssicherheitsstrategie?
  • Wie vertraulich sind die Informationen des Unternehmens und wie werden sie geschützt?
  • Wissen die Mitarbeiter, was vertraulich ist und was diese Vertraulichkeit bedeutet?
  • Welche Schäden können für das Unternehmen auf Grund von Sicherheitsverletzungen entstehen?
  • Wie sollte sich Informations-Sicherheit im täglichen Arbeitsalltag der Mitarbeiter auswirken?
  • Hatte das Unternehmen bereits Vorfälle oder Fast-Vorfälle?

Mehr zur Begründung und der Konzeptionierung einer Kampagne findet sich auch unter Security awareness training success depends on effective planning.

Microsoft bietet im Web 120 MB "Security Awareness Program Material". Ein Kommentator schreibt: "After a closer look, I was surprised by the completeness of the approach and materials provided to start a company security awareness program."

Eine wichtige Überlegung sollte auch sein, welche anderen Abteilungen Verbündete in diesem Projekt sein können und einen Teil der Arbeit übernehmen. Beispiele sind:

  • Sicherheit (CSO, CISO, Safety Officer)
  • Personal (Training- oder Schulungsabteilung, …)
  • Schulung, Training (falls in eigener Abteilung)
  • IT
  • Helpdesk, Support, auch Kundenhelpdesk
  • Marketing, PR, Öffentlichkeitsarbeit
  • juristische Abteilungen
  • Revision, Audit (siehe SOX, etc.)
  • Qualitätsmanagement (Sicherheit und Vertraulichkeit als Qualitätsfaktor)
  • Risikomanagement
  • Alle Fachabteilungen
  • Betriebsrat (Win-Win Aspekte herausstellen)

 

 

 

2. Schritt: Die Grundlagen schaffen

Schritt 2a: Das Informationssicherheitskonzept

Nun kann es losgehen. Der erste Schritt ist, die Informationssicherheit auf eine solide und konsistente Grundlage zu stellen. Dies bedeutet, dass alle Unternehmen, die noch keine Policy zur Informationssicherheit haben, jetzt ganz dringend eine solche benötigen. Nur durch eine konsequente Betrachtung aller Aspekte der Informationssicherheit kann ich sicher sein, dass ich nicht an den falschen Stellen investiere.

Die Begriffe "Informationssicherheits-Policy", "Information Security Policy", "IT Policy", bzw. "Informationssicherheitskonzept" werden unterschiedlich definiert. Oft wird darunter nur der Teil verstanden, der sich mit dem Verhalten der Anwender (bzw. aller Mitarbeiter des Unternehmens) beschäftigt. Im engeren Sinne wäre das eine "Benutzerpolicy", "Mitarbeiterpolicy" oder im Englischen oft auch "Acceptable Use Policy". (Für die Erstellung einer Information Security Policy für den Rest des Unternehmens, z.B. die IT-Abteilung gibt es an anderer Stelle mehr Informationen. Eine gute Grundlage ist der ISO Standard 17799.)

Die Durchsetzbarkeit von solchen Regeln für die Mitarbeiter setzt aber voraus, dass sie praktikabel sind. Wenn Sie z.B. sagen, dass Passworte nicht weitergegeben werden können, dann müssen Sie gleichzeitig geeignete Regeln aufstellen, wie im Krankheitsfall oder anderen Abwesenheiten mit den Daten und den E-Mails der abwesenden Mitarbeiter verfahren werden soll. Die Praktikabilität lässt sich am besten in Diskussion und Workshops mit den Betroffenen testen. Evtl. kommen bei solchen Workshops sogar Lösungen heraus, an die Sie gar nicht gedacht hatten. Und es gilt für solche Sicherheitsworkshops, dass alles, was gemeinsam erarbeitet wurde, auch einfacher zu akzeptieren ist. "Der Weg ist das Ziel" gilt auch hier.

Schritt 2b: IST-Aufnahme

Der nächste Schritt ist eine IST-Aufnahme der Informationssicherheit im Unternehmen. Dabei geht es darum, dass ich den Erfolg einer solchen Kampagne nur dann feststellen kann, wenn ich Vorher und Nachher miteinander vergleichen kann. D.h. ich muss etwas messen. Nun lässt sich Sicherheitsbewusstsein nicht so einfach messen wie die körperliche Anwesenheit der Mitarbeiter. Aber es gibt doch eine ganze Reihe von Ansätzen.

Der erste Ansatz sind passive Stichproben-Methoden. Sie gehen z.B. in der Mittagspause durch die Räume und schauen, wie viele der Bildschirme trotz Abwesenheit nicht gesperrt sind. Sie lassen einen Fremden ohne Namensschild durch die Flure gehen und schauen, wie lange es dauert, bis er angesprochen wird. Ich kenne einen Rechenzentrumsleiter, der versendet E-Mails mit VBX-Anhängen. Wenn der Mitarbeiter den Anhang öffnet, sendet er damit ein E-Mail zurück an den Rechenzentrumsleiter (der ihn zu einem Training einlädt) - so was geht nicht in jedem Unternehmen, zeigt aber, dass das Verhalten durchaus messbar ist. (hier gibt es Links auf 2 Beispiele, wo dies getan wurde. Im 2. Text West Point Academy wird ausführlich auch Management Buy-in und notwendige Einbindung in ein Sicherheits-Awareness-Training diskutiert.)

Andere IT-Leiter lassen eines der vielen Passwort-Crack-Programme über die Passworte aller Mitarbeiter laufen (offiziell genehmigt und mit dem Betriebsrat abgesprochen) und finden dann alle die Passworte, die zu kurz sind oder aus einfachen Worten bestehen, die über einen Dictonary-Attack leicht zu knacken sind. Und nach Feierabend kann man schauen, auf wieviel Schreibtische weiterhin vertrauliche Dokumente liegen, die nicht verschlossen wurden.

Ein anderer Aspekt sind Mitarbeiter-Umfragen, wie sie von manchen Personalabteilungen aus anderen Gründen manchmal veranstaltet werden. Solche Umfragen sind wenn sie richtig durchgeführt werden, eine gute Sache. Wenn dies in Ihrem Unternehmen bereits der Fall ist, so brauchen Sie (nur) dafür zu sorgen, dass Sie auch einige Fragen beisteuern können, mit denen Sie den Kenntnisstand und das (angebliche) Verhalten abfragen können. Wichtig für Ihr Ziel sind aber auch andere Fragen, nämlich die zur Mitarbeiterzufriedenheit (die sich z.B. auch im Krankenstand deutlich sichtbar und messbar niederschlägt), zur Einschätzung der Vorgesetzten durch ihre Mitarbeiter und in wieweit die Mitarbeiter "hinter dem Unternehmen stehen" und mit seinen Zielsetzungen übereinstimmen. (Hier ein Angebot für Online-Umfragen [recht preisgünstig, bis hin zu kostenlos]).

Sie können aber auch etwas mehr investieren und versuchen, die wirklichen Gründe herauszufinden, WARUM die Mitarbeiter sich so verhalten, wie sie dies tun. Eine solche Vorgehensweise wird in diesem Security Newsletter von known-sense.de (pdf, 2 MB) vorgeschlagen. Sie planen eine Studie, die z.B. herausfinden soll, was Security für die Mitarbeiter bedeutet und aus welchen psychologischen Gründen sie sich so verhalten, wie sie dies tun.

 

 

 

3. Schritt: Definition der Ziele, der Zielgruppen und Lerninhalte

 

Nächster Schritt ist Definition dessen, was ich eigentlich erreichen will, am besten pro Zielgruppe, damit man nicht den Überblick verliert. Nachdem ein Grobkonzept dafür steht, ist es gut, einen "Sponsor" aus der Geschäftsleitung zu haben, der laufend informiert wird und das Projekt wohlwollend begleitet und die notwendige Rückendeckung gibt, z.B. auch bei provokanten oder gewagteren Implementierungen (da vermutlich sinnvoll oder sogar notwendig sein können).

Nachdem ein Feinkonzept für die Erreichung der Detailziele ausgearbeitet wurde, kann mit der eigentlichen Arbeit begonnen werden. Das Feinkonzept wird vermutlich eine ganze Reihe von Vermittlungsoptionen beinhalten, wie hier in der Grafik angedeutet.

Bei jedem Training ist es wichtig, dass klar definiert wird, was am Ende des Trainings erreicht werden soll.

Doch erst einmal zurück zur Definition der Ziele. Welche Erkenntnisse sollen am Ende des Trainings beim Benutzer hängen bleiben, welche Fähigkeiten sollen vermittelt werden und welche Verhaltensänderungen sollen erreicht werden. Da dies für verschiedene Mitarbeitergruppen im Unternehmen unterschiedlich sein wird, ist es sinnvoll, die verschiedenen Zielgruppen zu unterscheiden.

Wie auf der folgenden Graphik sehen, hat sich bei diesem Kunden ergeben, dass es gewisse Inhalte gibt, die für alle Mitarbeiter gleich sind, ergänzt durch spezifische Inhalte für andere Zielgruppen (wobei es auch dort einige Überlappungen gab).

Wenn die Zielgruppen definiert sind, müssen für jede der Zielgruppen die Lerninhalte definiert werden. Dies kann z.B. so aussehen auf der nächsten Darstellung gezeigt wird.

 

Wie hier zu sehen ist, gibt es eine ganze Reihe von Themen und Zielsetzung, die für alle Mitarbeiter, vom Portier bis zum Geschäftsführer wichtig sind. Aber alles was Laptops betrifft, wurde in einen separaten Baustein gepackt, damit die anderen Anwender damit gar nicht belastet werden.

Ideen für Inhalt können z.B. rund um folgende Fragen entstehen:

  • Hatten wir kürzlich Vorfälle oder Fast-Vorfälle? Was ist passiert und wie hätte des verhindert werden können?
  • Was muss jede Zielgruppe bzgl. gesetzlicher oder regulatorischer Vorgaben wissen?
  • Was sind die Sorgen der Mitarbeiter? Was wissen sie bereits, was wissen sie noch nicht? Haben die Mitarbeiter Ideen, wie die Sicherheit verbessert werden könnte?
  • Was sind die Probleme des Managements? Gibt es dort Ideen, wie die Sicherheit verbessert werden könnte?
  • Haben die Kunden, Partner, etc. Wünsche bzgl. der Sicherheit? Was sind deren Anliegen (z.B. Vertraulichkeit der Kundendaten)
  • Was sind die Probleme der Investoren? Ist das sog. Intellectual Property ausreichend geschützt? Wie kann die operative Sicherheit verstärkt werden und die Überlebensfähigkeit in Katastrophen?

 

 

 

4. Schritt: Auswahl der Trainingsmethoden

 

Wenn über die Ziele und Lerninhalte Einigkeit besteht, kommt die Definition der Trainingsmethoden. Wie die nebenstehende Graphik zeigt ist es eine alte Erkenntnis, dass der Frontalvortrag ein recht ineffektives Medium ist (maximal 50% Wissenstransfer). Trainingsmethoden, die eigene Aktivitäten der Teilnehmer beeinhalten, haben eine deutlich höhere Effektivität. Dies sollte bei allen Trainingsplanungen berücksichtigt werden.

Sicherheitsbewusstsein kann und muss auf vielen Wegen verbessert werden. Die Vermittlung von Informationen ist sicher ein wichtiger Aspekt, ob er aber ausreicht ist sicher zu bezweifeln.

Letztendlich geht es um Verhaltensänderungen und Verhalten wird nur zu einem geringen Teil vom Wissen gelenkt. Hier gibt es eine interessante Studie zu: Password Security: What Users Know and What They Actually Do.

Das heißt, bei den Trainingsüberlegungen auch berücksichtigt werden muss, was die Gründe für das vorgefundene Benutzerverhalten wirklich sind. Und dabei kann sich sehr wohl herausstellen, dass der Informationsstand sehr wohl ausreichend ist, aber andere Umstände die Benutzer davon abhalten, das von Ihnen gewünschte Verhalten zu zeigen. In diesem Fall muss ich über andere Methoden als Wissensvermittlung vorgehen, z.B. Verhaltensänderungen über Einstellungsänderungen. Auch dafür gibt es Trainingsmethoden, z.B. eine gut vorbereitete Abfolge von Großgruppenveranstaltungen mit dazwischengeschobenen Workshops. Mehr Überlegungen zu psychologischen Aspekten weiter unten.

Auch bei der Vermittlung von Wissen ist die gute alte Powerpoint-Präsentation nicht immer das einzige (oder das beste) Mittel. Wichtiger ist mit ziemlicher Sicherheit, wenn Wissen und Informationen regelmäßig(z.B. über die Intranet, die Firmenzeitschrift oder andere Wege) als Tipps und Tricks verraten werden. Dafür kann es natürlich hilfreich sein, wenn erst einmal durch geeignete Präsentationen eine umfassende Grundlage gelegt wird.

Aber es gibt auch noch ganz andere Trainingsmethoden. Es gibt auf dem Gebiet des Sicherheitsbewusstseins und des Awareness-Trainings heute auch einige sehr gute multimediale Trainingseinheiten, die über die Intranet-Website vermittelt werden können, z.B. von Dynamic Media (deren Lerninhalte inhaltlich modifzierbar sind, was ich gern für Sie vom inhaltlichen her übernehmen würde ;-) ).

Bei anderen Themen, wie z.B. Schutz vor Social Engineering werden Rollenspiele sinnvoll und notwendig sein.

Ein Unternehmen in Deutschland, knownsense.de (pdf), bietet eine Reihe von Kartenspielen an, mit denen Sicherheitsaspekte vermittelt werden sollen.

 

 

 

5. Schritt: Von oben nach unten und ein kräftiger Start

Wir haben oben gesehen, dass das Vorbild des Management einen ganz wichtigen Aspekt darstellt. Daher muss, wie dies bei der oben erwähnten NASA-Studie gezeigt wird, das Training oben ansetzen. Das Managment muss lernen, wie sie als Vorbilder auf die Mitarbeiter einwirken können. Dafür bieten sich Workshops für alle Manager an, die auch wiederum nicht auf die Wissensvermittlung beschränkt sein dürfen, sondern wo ganz konkret an Hand von Beispielen gezeigt und geübt werden muss, wie und in welchen Situation die Vorbildwirkung positiv oder negativ zu tragen kommt.

Und noch ein Punkt: Fragen der Informationssicherheit können (und sollten) auch Teil der Bonuspläne derjenigen Mitarbeiter sein, die ein variables Gehalt bekommen und in diesen Bereichen Verantwortung tragen. Ein Beispiel ist Business Continuity und Desaster Recovery. Dafür sollte jährlich eine Übung durchgeführt werden, der erfolgreiche Abschluss dieser Übung kann Teil der Bonuspläne der beteiligten Manager sein.

Wenn eine solche Sicherheitskampagne oder einfach nur eine neue Benutzerpolicy der Mitarbeiterschaft nahe gebracht werden soll, so ist es gut, wenn der Text nicht nur still und leise ins Intranet gestellt wird. Es bietet sich an, zu versuchen, daraus ein "Ereignis" zu machen, so dass es den Mitarbeitern auch auffällt. Und wie wir oben gesehen haben, ist aktives Handeln immer besser als passiv zuzuhören.

Manche Unternehmen haben daher in Workshops interessierte Mitarbeiter gebeten, mitzuhelfen, die Grundsätze der Policy in kurzen kernigen Sätzen oder Slogans zusammenzufassen, die sich dann für eine plakative Vermittlung besser eignen. Natürlich muss ich bei solchen Workshops auch darauf vorbereitet sein, dass Vorschläge zur Veränderung der Richtlinien vorgebracht werden.

Wenn die einzelnen Slogans vorliegen (und abgestimmt sind) so lassen sich diese auch graphisch aufarbeiten und entweder als Plakat oder auch als Mauspad, Bildschirmschoner oder ähnliches aufbereiten. Und dann sollte die ganze Kampagne öffentlich gestartet werden und dabei noch mal die Unterstützung der Managements demonstriert werden.

 

 

 

Schritt 6: Informationsvermittlung auf vielen Wegen

Ein wichtiger Aspekt ist dann bei der Durchführung die Informationsvermittlung. Bei der Vermittlung von Informationen geht es um 2 unterschiedliche Arten von Informationen. Die eine Art betrifft Informationen darüber, welches Verhalten erwünscht ist. Aber wichtiger ist vermutlich, über die Gründe zu informieren, warum dieses verhalten erwünscht ist. WARUM ist es wichtig, dass der Mitarbeiter sein Verhalten in einigen Aspekten ändert? Dabei muss ich natürlich vermitteln, was meine Gegner sind, welche Ziele sie verfolgen, wie sie arbeiten und welche Bedrohungen sie für das Unternehmen (und vieleicht auch den Mitarbeiter) darstellen. (Ein Grund der oft angeführt für das schlampige Verhalten der Mitarbeiter angeführt wird, ist, dass Sicherheitsverletzungen, z.B. durch Einschleppen eines Wurms, für das Unternehmen zwar negative Folgen hat, für den Mitarbeiter aber zumeist nicht, d.h. die Interesenlagen klaffen hier auseinander).

Die Regeln für Internetnutzung und andere Sicherheitsrichtlinien einfach ins Intranet zu stellen ist aus diesen Gründen sicher nicht die optimale Vermittlung. Viel besser ist, wenn die Mitarbeiter die Möglichkeit bekommen, sie sich selbst zu erarbeiten (siehe oben, die beste Vermittlung ist durch aktives tun).

Ein Beispiel dafür sind Workshops zur Bestimmung des Vertraulichkeitsbedarf von Informationen. Hintergrund ist, dass nur die Abteilung selbst (d.h. die "Information Owner") letztendlich entscheiden können, was bei ihnen welche Vertraulichkeit braucht. Nur die Mitarbeiter wissen, welche Informationen anfallen (nicht nur in der IT, sondern auch in den Köpfen) und welche Schäden durch einen Vertraulichkeitsverlust entstehen können. Außerdem muss in jedem Einzelfall entschieden werden, wer welche Information braucht und/oder haben darf. Dies betrifft Kunden, Partner und auch Kollegen. Den einen Kunden kann man über zukünftige Pläne informieren, weil er schweigen kann, bei einem anderen Kunden weiß man, dass er alles zur Konkurrenz trägt. Und für den einen Kunden ist es für seine Entscheidung wichtig, eine gewisse Information zu haben, in anderen Fällen ist es nicht relevant.

D.h. jeder Mitarbeiter muss eine Selbstverantwortung für die Vertraulichkeit der Informationen übernehmen, mit denen er zu tun hat. Dies ist sinnvoller und effektiver, als eine unternehmensweite Definition, mit der im konkreten Fall dann niemand was anfangen kann. Ich führe zu diesem Zweck Workshops in den verschiedenen Abteilungen durch, in denen ich z.B. frage, welche Informationen die Mitarbeiter gern über die Konkurrenz hätten, welchen Wert diese Informationen für Sie hätten, etc. Dadurch, dass ich mich in die Position eines Angreifers begebe, verstehe ich besser, welchen Wert oder welches Schadenspotential eine Information hat.

 

Bei der Vermittlung von Verhaltensregeln, z.B. bei der Nutzung der PCs ist es gut, wenn nicht eine umfassende Policy ins Intranet gestellt wird, sondern dort regelmäßig aktuelle Sicherheitstipps erscheinen, die z.B. auch auf aktuelle Themen außerhalb des Unternehmens eingehen können. Die Mitarbeiter lesen solcheTexte aber nur

  • wenn der Text als hilfreich empfunden wird, z.B. weil er Ratschläge für Probleme enthält, mit denen sich der Mitarbeiter wirklich beschäftigt, z.B. „ist Internet-Banking heute noch sicher?“ oder "Tipps für grundlegende Gerätesicherheit von PCs, Macs und Smartphones
  • wenn der Text so interessant und amüsant geschrieben ist, dass es eine Freude ist, ihn zu lesen (da brauchen Sie evtl. professionelle Hilfe, leider ist nicht jeder von uns ein begnadeter Literat)
  • wenn die Kampagne gut institutionalisiert ist und der Text wirklich gut zu finden ist, z.B. jeden Montag gibt es die neuesten Sicherheitstipps im Intranet

Sehr hilfreich kann es sein, wenn die IT-Abteilung oder der Sicherheitsbeauftragte nicht als die "alles verbietende Vaterfigur" auftritt, sondern als jemand, der Hilfestellungen gibt (sollte die IT-Abteilung mal durch einen „Tag der offenen Tür“ demonstrieren, wie cool und umgänglich ihre Mitarbeiter sind?).

In manchen Unternehmen hat sich ein Briefkasten ("Kummerkasten") bewährt, in den die Mitarbeiter Fragen und Wünsche einwerfen können, auch anonym, wenn das lieber ist. Die Fragen brauchen sich nicht auf dienstliche Sicherheitsfragen zu beschränken, auch Fragen zur Absicherung des Heim-PCs bieten gute Möglichkeiten, Wissen und Bewusstsein zu vermitteln. So ein "Kummerkasten" gibt gute Hinweise, was die Mitarbeiter wirklich interessiert und beschäftigt. Die Antworten werden dann in Form eines FAQs auf der Website veröffentlicht und stehen damit allen Mitarbeitern zur Verfügung.

 

Ein weiteres Beispiel für eine aktive Beteiligung auf Abteilungsebene sind Workshops zu Passworten und Vertretungsregelungen. In vielen Unternehmen gilt die Regel, dass Passworte nicht weitergegeben werden dürfen, andererseits kommt dann der Chef und verlangt das Passwort, damit im Urlaub oder bei Krankheit die Kollegen auf die Daten oder die E-Mails zugreifen können. So geht das nicht, so etwas vermittelt, dass die Regeln nichts wert sind.

Sinnvoller ist, wenn die Mitarbeiter einer Abteilung sich zusammensetzen und einen guten Weg für die Vertretung finden. Z.B. Gemeinschaftsmailboxen wie verkauf@firma.de, oder aber die Mitarbeiter erlauben lesenden Zugriff auf ihre Mailboxen (entweder ständig oder im Bedarfsfall) oder eine andere passende Lösung.

 

Weitere Möglichkeiten zur regelmäßigen Kommunikation mit den Mitarbeitern sind:

Der Passworthalter von knwown-sense.de, eine paradoxe Intervention
  • Sicherheitstraining für alle Neu-Einstellungen als fester Bestandteil der Einweisungen der Personalabteilung
  • Ausnutzen aller Gelegenheiten, z.B. eine feste Rubrik in der Firmenzeitschrift, immer auf Seite 3, der grau hinterlegte Kasten rechts oben
  • Trainingsangebote, speziell für neue Mitarbeiter, aber auch für die "altgedienten"
  • Nutzung aller Gelegenheiten, das Sicherheitsthema zu artikulieren, z.B. wenn ein Mitarbeiter auf einem neuen System validiert wird
  • Bildschirmschoner mit wechselnden Themen und Tipps, Maus-Pads, etc.
  • interessante, spannende Schulungsvideos oder interaktive Trainingskurse

Eine sehr interessante Vorgehensweise ist die "paradoxe Intervention". Dabei wird der Mitarbeiter mit einer für sie oder ihn verblüffenden Tatsache konfrontiert, z.B. der von known-sense.de entwickelte Passworthalter, der (vermeintlich) zum Notieren von Passworten auffordert.

Und noch etwas sehr spezielles: Manche Sicherheitsbeautragte schwören darauf, andere würden sich so etwas nie trauen. Es geht darum, dass Test-Mails an die Mitarbeiter versendet werden, z.B. um zu sehen, wie viele auf Spam-Anhänge klicken oder wie viele auf Phishing-Websites gelockt werden können. Dafür gibt es sogar fertige Tools: Phishme: The Easy Way to Enhance Employee Phishing Awareness. Ein Wort der Warnung - solche Aktionen müssen IMMER mit Geschäftsleitung UND Betriebsrat abgesprochen sein.

Die Studie School of Phish: A Real-World Evaluation of Anti-Phishing Training (pdf) gibt Erfahrungsberichte über unterschiedlich gestaltetes Anti-Phishing-Training an der Carnegie Mellon University.

 

 

 

Schritt 7: Andere Ansätze, z.B. Belohnen statt Strafen

Wie wäre es mal mit Belohnung statt Strafen? Stellen sie ein Quiz zu Fragen der Sicherheit ins Intranet. Loben Sie Preise dafür aus. Oder bieten sie Preise für vorbildliches Verhalten. Sie schicken einen Betriebsfremden auf das Werksgelände, der- oder diejenige, die ihn anhält und fragt, wie sie helfen kann, bekommt einen Preis. Haben Sie ein Vorschlagssystem? Gibt es dort auch etwas zu gewinnen für gute Vorschläge zur Verbesserung der Sicherheit?

Der Text "Maximising the Effectiveness of Information Security Awareness" beschreibt gibt eine ganze Reihe von guten Tipps aus dem Bereich der Psychologie. Z.B. lehrt der Bereich Operant Conditioning (operante Konditionierung), dass um eine Verhaltsänderung zu erreichen, Strafen regelmäßig und konsequent erfolgen müssen, hingegen vereinzelte Belohnungen aber das gleiche Ziel erreichen können. Und der Boomerang Effect erklärt, warum ein zu starkes Hinweisen auf Gefahren ohne dass Schutzmöglichkeiten bestehen, zu einem Verleugnen der Gefahr führen kann.

Recht gut ist in diesem Text auf der Vergleich der zumeist durchgeführten Awareness-Aktivitäten mit Postwurfsendungen. Dazu gehören z.B. Plakate in öffentlichen Bereichen des Unternehmens, aber auch Mouse-Pads oder allgemeine belehrende Texte im Intranet. Postwurfsendungen haben traditionell eine Erfolgsquote von ca. 7%, wenn mehr erreicht werden soll, wird von den Werbern Direkt Marketing eingesetzt: Persönliche Ansprache, konkrete Vorschläge für Handlungen bezogen auf die jeweilige Situation des Betroffenen.

Sehr interessant ist auch die Studie Behavioral Response to Phishing Risk. Sie erklärt einen Test der Benutzer im Umgang mit Phishing, der aber auch sehr gute Hinweise darauf enthält, wie ein Anti-Phishing Training gestaltet werden könnte/sollte. Es zeigt sich, dass es viel wichtiger ist, ein technisches Verständnis zu vermitteln, als die Risiken zu erklären (siehe "Boomerang Effect" weiter unten).

 

Bruce Schneier bringt einen provokanten Artikel People understand risks - but do security staff understand people? in dem er sich gegen die Theorie wehrt, dass die Mitarbeiter die Regeln nicht einhalten, weil sie kein Verständnis für die IT-Risiken haben. Er sagt, Menschen haben, durch die Evolution in sie hinein geprägt, eine exzellentes Verständnis für Risiken. Das Hauptrisiko für einen Mitarbeiter ist jedoch nicht die Infektion des Firmen-PCs durch Malware, sondern zumeist der Verlust des Arbeitsplatzes.

Ich selbst muss sagen, dass ich noch nie erlebt habe, dass eine der vielen Verletzungen der Sicherheitsregeln irgendwelche negativen Konsequenzen für einen Mitarbeiter gehabt hätte. Nicht mal in einem Fall, wo vorsätzlich und systematisch der Virenscanner durch den Mitarbeiter deaktiviert wurde, hatte das irgendwelche negativen Konsequenzen für den Mitarbeiter. Auch Passworte unter der Tastatur oder die TAN-Liste an der Pinwand in der Buchhaltung haben keine negativen Konsequenzen. Entlassen (oder anderweitig bestraft) werden die Mitarbeiter aus ganz anderen Gründen.

Daher kann es sehr wohl notwendig sein, in krassen Fällen von vorsätzlichen Sicherheitsverletzungen, ein (im Unternehmen, ohne Nennung der Person, publiziertes) Exempel zu statuieren, z.B. einen Eintrag in die Personalakte. Erst wenn Sicherheitsverletzungen wirklich mit Risiken verbunden sind, kann das interne Risikosystem der Mitarbeiter dieses Risiko in seine "Berechnungen" einbeziehen.

Der Artikel "The Compliance Budget: Managing Security Behaviour in Organisations --- Human Vulnerabilities in Security Systems" bringt einige gute Beispiele für die obige Einschätzung von Bruce Schneier.

In der Studie wurden Mitarbeiter zweier großer Unternehmen ausführlich zu ihrem Security Verhalten befragt, nämlich an welcher der Regeln sie sich halten und welche sie umgehen. Da gibt es z.B. die Regel, dass Daten auf einem USB-Stick verschlüsselt sein müssen. Die Mitarbeiter wägen dann den Sicherheitsgewinn für das Unternehmen gegen das Risiko ab, dass sie bei Bedarf nicht auf die Daten zugreifen können, z.B. weil sie das Passwort vergessen haben (eine Überlegung, die ich gut nachvollziehen kann). D.h. die Mitarbeiter treffen genau diese Risiko-Abwägung und entscheiden für Datenverfügbarkeit und gegen Datenvertraulichkeit.

Eine solche Abwägung der Kosten und der Nutzen trifft der Mitarbeiter in all denen Fällen, in denen die Sicherheitsmaßnahme im Ermessen des Mitarbeiters liegt. Dabei werden sowohl Kosten und Nutzen für sich selbst (d.h. den Arbeitsfortschritt) wie auch die angenommenen Kosten und Nutzen für die Firma berücksichtigt, wobei der eigene Arbeitsfortschritt deutlich höhere Gewichtung hat.

Eine solche Kosten-Nutzung-Abwägung trifft der Mitarbeiter für jede einzelne Sicherheitsentscheidung, aber auch kummmuliert (d.h. wenn er das Gefühl hat, bereits zu viel Arbeitszeit für die Sicherheit geopfert zu haben, so fällt die Entscheidung gegen die Sicherheit aus). Die Autoren prägen dafür den Begriff "Sicherheitsbudget". Wenn es verbraucht ist, tritt Verweigerung der Sichherheitsmaßnahmen oder sogar "Dienst nach Vorschrift" ein. Die Mitarbeiter haben eben nur eine begrenzte "Toleranz" für Arbeitshindernisse (diese Toleranz wird jedoch typischerweise individuell unterschiedlich sein).

Folgende Vorschläge werden daher aus den Ergebnissen hergeleitet:

  • Die "Kosten" (d.h. den Aufwand) jeder einzelnen Maßnahme für die Mitarbeiter so gering wie möglich zu halten, entweder durch entsprechendes Design oder durch ausreichend technisches Training (z.B. für die Verschlüsselung)
  • Sich gut zu überlegen, wie viele Sicherheitsmaßnahmen den Mitarbeitern zugemutet werden und entsprechend zu priorisieren
  • Eine entsprechende Sicherheitskultur im Unternehmen zu schaffen (Awareness-Maßnahme) die für jeden der Mitarbeiter das Budget erhöht (z.B. durch Verständnis für den Nutzen der Maßnahmen)
  • Die Kosten für die Missachtung der Maßnahmen für diejenigen Mitarbeiter zu erhöhen, die die Regeln missachten. Dies geschieht durch entsprechendes Monitoring der Missachtung und dann konsequente und öffentliche Bestrafung der Täter.

 

 

 

Einschub: Psychologische Aspekte im Benutzerverhalten

Wie weiter oben bereits erwähnt, gibt es eine Reihe von psychologischen Aspekten, die bei so einer Kampagne berücksichtigt werden sollen. Die große Frage ist, warum verhalten sich die Mitarbeiter so wie wir es immer wieder vorfinden, selbst wenn sie es besser wissen müssten.

known-sense.de fast diesen Aspekt sehr schön auf diese Weise zusammen:

    Der Umgang mit unternehmensbezogenen Sicherheitsmaßnahmen ist davon geprägt, wie der einzelne Mitarbeiter das Unternehmen als Ganzes und seine Stellung innerhalb dieser Arbeitsfamilie erlebt, so dass jedes Unternehmen seine individuelle Sicherheitskultur produziert. Diese Sicherheitskultur ist untrennbar mit der jeweiligen Kultur eines Unternehmens verbunden.

Ein Aspekt könnte z.B. sein, dass die Mitarbeiter den Wunsch haben, in einer sicheren Umgebung zu arbeiten, den Kollegen und allen anderen um sie herum trauen zu dürfen. Wenn jetzt verlangt wird, dass sie bei jedem Toilettengang den Bildschirm sperren, so bewirkt dies, dass sie den Eindruck bekommen, in einer unsicheren Umgebung zu arbeiten. Sie verweigern das Sperren, weil jeder Sperrvorgang sie psychologisch verunsichern würde.

Was auch auf jeden Fall dabei berücksichtigt werden muss ist, dass das Sicherheitsbedürfniss der Menschen (pdf, 307 KB) eine oft überraschende Subjektivität hat. So zeigen Statistiken und Untersuchungen, dass bei einer Erhöhung der passiven Sicherheit im Fahrzeug, z.B. duch Gurte und ABS, die Fahrer mehrheitlich dazu neigen, riskanter zu fahren, d.h. das Risikoniveau eher konstant zu halten. Andererseits haben weltweite Untersuchungen gezeigt, dass das Risiko, das Menschen eingehen, in den verschiedenen Kulturen sehr unterschiedlich ist. Dies zeigt sich an der Zahl der tötlichen Unfälle im Straßenvekehr pro gefahrenem Kilometer. Und es hat sich gezeigt, dass langfristig diese Werte gesenkt werden können, auch wenn sie auf den ersten Blick recht stabil aussehen.

Eine andere Problematik betrifft die Motivation. Um eine Verhaltensänderung zu erreichen reicht das Aufzählen von Bedrohungen für das Unternehmen in der Regel nur dann aus, wenn die Mitarbeiter sich sehr stark mit dem Unternehmen identifizieren (siehe oben, Übereinstimmung der eigenen Wertvorstellungen mit denen des Unternehmens, Stichwort: Business Ethik). Wenn die Mitarbeiter wissen, dass das Unternehmen sehr schnell mit Kündigungen zur Hand ist und wenig Rücksicht auf die Schicksale der Mitarbeiter nimmt, so kann man auch nicht erwarten, dass die Mitarbeiter stark am Schicksal des Unternehmens interessiert sind. In diesen Fall kann es passieren, dass die Aufzählungen von Bedrohungen für das Unternehmen ein kühles "Na und" provoziert. Und wenn das obere Management diese Werte nicht wirklich vorlebt, so erzeuge ich keine Informationssicherheit, sondern nur Sarkasmus.

Es gibt auch Psychologen die vermuten, dass alle Versuche, die Individualität am Arbeitsplatz einzuschränken, z.B. durch ein Verbot privater Fotos, oder durch das Verbot von Privat-E-Mails den Wunsch des Einzelnen nach Rebellion und Spielraum noch noch mehr stärkt und die Suche nach Sicherheitslücken, die ausgenutzt werden können, immer spannender macht.

So gibt es IT-Abteilungen, die einen endlosen "Krieg" mit den Benutzern führen, indem sie immer wieder neue Web-Mailservices sperren und wenn die Benutzer dann einen neuen gefunden haben, der noch nicht gesperrt ist, diesen auch in die Sperrliste aufnehmen. Auf diese Weise wird das Finden von Sicherheitslücken zum spannenden Sport, aber die Sicherheit wird nicht vorangebracht. Wenn die Mitarbeiter ihre eigene Verantwortung für die Sicherheit akzeptieren, über die Gefahren informiert sind und die PCs ausreichend geschützt sind (z.B. keine Administrationsrechte für die Anwender, aktuellen Viren- und Spyware-Schutz) so stellt Webmail für mich nicht die größte Bedrohung der Sicherheit dar. Infektionen kann man sich heute, wenn z.B. die Browsersoftware nicht aktuell ist, auf vielen Websites holen.

Es gibt Mitarbeiter, die vermeiden das Sperren des Bildschirms in der Mittagspause und das Wegschließen der vertraulichen Unterlagen am Ende des Arbeitstages, weil sie nicht in einem Unternehmen arbeiten möchten, bei dem man die Kollegen nicht vertrauen kann. Die Mitarbeiter erzeugen eine objektive Unsicherheit für die Unternehmensinformationen um eine psychologische Verunsicherung der eigenen Person zu vermeiden.

Die Kommunikationsagentur known_sense hat zusammen mit kes, der Zeitschrift für Informationssicherheit, eine Studie durchgeführt, bei der es um die Frage geht, was die Mitarbeiter eigentlich davon abhält, die ihnen weitgehend bekannten Sicherheitsregeln in die Tat umzusetzen. Um dies herauszufinden wurde eine tiefenpsychologische Befragung durchgeführt. Hier eine Zusammenfassung ihrer Ergebnisse:

"Ein 100-prozentig dichtes Unternehmen ist seelisch nicht auszuhalten. Wie in einem modernen Neubau mit Mehrfachverglasung wuchert hier der Schimmel schon nach kurzer Zeit selbst auf glatten Oberflächen, sofern nicht ab und zu ordentlich durchgelüftet wird."

"Psychologisch wird IT-Security zu einer Frage der Unternehmenskultur. Unternehmen, die immer weniger rein und auch immer weniger raus lassen, minimieren ihre Entwicklungschancen und die Ihrer Mitarbeiter. Arbeit, die sich – nicht zuletzt durch technologische Innovationen – immer sachlicher gestaltet und immer weniger Eigenes bzw. Menschliches zulässt, erscheint leblos und fade."

"An dieser Stelle greift die Seele tief in die Trickkiste und umdribbelt quasi brasilianisch alles Rationale: Dabei verkehrt sich das im Rahmen der Untersuchung entdeckte Phänomen des Sachlichen Verschließens (Schutz vor Ein- und Ausbrechern) in eine Ver-Sachlichung der Identität. Es kommt zu Ausbrüchen, die dem Prinzip des "Menschlichen Eröffnens" folgen, eine Notlösung, bei der die Mitarbeiter die bereits fortgeschrittene entmenschlichte Sachlichkeit nicht länger aushalten können. Exakt an dieser Schnittstelle lassen sich in Unternehmen die meisten der so genannten Fehlleistungen identifzieren, bei dem die Mitarbeiter sich und ihr Umfeld entsichern. Die Entsicherung am Arbeitsplatz dient mithin einer Versicherung der eigenen Identität und stellt im Grunde etwas Gutes dar – es erhält die gemeinsame Sache zwischen Mitarbeiter und Unternehmen."

Jetzt brauchen wir "nur" noch diese Erkenntnisse in unsere Praxis bei der Vermittlung von Sicherheitsbewusstsein umzusetzen. Hier einige Gedanken von mir zur Problematik Psychologie von Benutzerrechten (PDF, 271 KB). Die Studie selbst ist übrigens jetzt im Netz zu finden: Entsicherung am Arbeitsplatz - die geheime Logik der IT-Security in Unternehmen.

 

Rational oder Irrational?

Da gibt es aber noch eine andere Falle, in die wir als Sicherheitsspezialist mit einer Mission hereintappen können. Wer bestimmt eigentlich, dass das Verhalten der Benutzer, sich nicht an die aufgestellten Regeln zu halten, irrational ist?

Es entwickelt sich in 2009 eine wachsende Schule die sagt, dass in manchen Aspekten die Benutzer die Vernünftigen sind und die Sicherheitsabteilungen unsinnige Forderungen aufstellen. Hier ein guter Artikel dazu: So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users. Cormac Herley legt am Beispiel von Passwort-Regeln dar, dass die Nicht-Einhaltung einiger dieser Regeln (wie ich auf meiner Seite zu Passworten auch aufzeige) sehr oft viel Mühe spart und das Risiko nicht wirklich erhöht (z.B. die Forderung, Passworte alle 4 Wochen zu ändern - warum eigentlich 4 Wochen?).

Eine ähnliche Betrachtung stellen viele Menschen instinktiv für die Frage der Verschlüsselung von Datenträgern (z.B. USB-Sticks) an. Verschlüsselung stärken die Vertraulichkeit, allerdings entsteht dann das Risiko, dass der Nutzer bei einer wichtigen Gelegenheit nicht an die Daten kommt, z.B. weil er das Passwort (dass er ja angeblich nicht aufschreiben darf und dass angeblich mit keinem seiner anderen Passworte übereinstimmen darf) vergessen hat. D.h. hier steht der Vertraulichkeitsschutz der Forderung nach Datenverfügbarkeit gegenüber. Und wenn dann in einem bestimmten Fall die Datenverfügbarkeit gewinnt so kann dies darauf begründet sein, dass nach der Einschätzung des Benutzers der Verlust des USB-Sticks geringer eingeschätzt wird verglichen mit der Wahrscheinlichkeit, dass das Passwort vergessen wird. D.h. ein mantra-haftes Beharren auf starren Regeln bei denen die Anwender bei ihrer Risikobetrachtung zu anderen Ergebnissen kommen, kann für die Vermittlung von wirklichem Sicherheitsbewusstsein auch kontraproduktiv sein.

 

Das Konzept der mentalen Modelle

Bei dem Konzept der mentalen Modelle geht es um die Repräsentation eines Gegenstandes oder eines Prozesses im Bewusstsein eines Lebewesens. Die Übereinstimmung dieser Modelle zwischen dem Experten und dem Laien ist extrem wichtig, damit beide die gleichen Bilder vor sich haben, wenn bestimmte Begriffe oder Konzepte erörtert werden.

Im folgenden stelle ich Texte vor, die aus einer Zusammenfassung von Bruce Schneier des "Second Interdisciplinary Workshop on Security and Human Behaviour" geschrieben hat.

Jean Camp, Indiana University, studies people taking risks online. Four points: 1) "people create mental models from internal narratives about risk," 2) "risk mitigating action is taken only if the risk is perceived as relevant," 3) "contextualizing risk can show risks as relevant," and 4) "narrative can increase desire and capacity to use security tools." Stories matter: "people are willing to wash out their cat food cans and sweep up their sweet gum balls to be a good neighbor, but allow their computers to join zombie networks" because there's a good story in the former and none in the latter. She presented two experiments to demonstrate this. One was a video experiment watching business majors try to install PGP. No one was successful: there was no narrative, and the mixed metaphor of physical and cryptographic "key" confused people. Experimental Evaluation of Expert and Non-expert Computer Users' Mental Models of Security Risks.

Jeffrey Friedberg, Microsoft, discussed research at Microsoft around the Trust User Experience (TUX). He talked about the difficulty of verifying SSL certificates. Then he talked about how Microsoft added a "green bar" to signify trusted sites, and how people who learned to trust the green bar were fooled by "picture in picture attacks": where a hostile site embedded a green-bar browser window in its page. Most people don't understand that the information inside the browser window is arbitrary, but that the stuff around it is not. The user interface, user experience, mental models all matter. Designing and evaluating TUX is hard. From the questions: training doesn't help much, because given a plausible story, people will do things counter to their training. Internet Fraud Battlefield --- End to End Trust and the Trust User Experience --- Testimony on "spyware".

Frank Stajano, Cambridge University: His point is that we build security systems based on our "logic," but users don't always follow our logic. It's fraudsters who really understand what people do, so we need to understand what the fraudsters understand. Things like distraction, greed, unknown accomplices, social compliance are important. Understanding victims: Six principles for systems security und ein etwas theoretisches Papier zu den IT-Rechten, die Gäste in einer Wohnung haben sollten: Usability of Security Management: Defining the Permissions of Guests.

Julie Downs, Carnegie Mellon University, is a psychologist who studies how people make decisions, and talked about phishing. To determine how people respond to phishing attempts -- what e-mails they open and when they click on links -- she watched as people interacted with their e-mail. She found that most people's strategies to deal with phishing attacks might have been effective 5-10 years ago, but are no longer sufficient now that phishers have adapted. She also found that educating people about phishing didn't make them more effective at spotting phishing attempts, but made them more likely to be afraid of doing anything on line. She found this same overreaction among people who were recently the victims of phishing attacks, but again people were no better separating real e-mail from phishing attempts. What does make a difference is contextual understanding: how to parse a URL, how and why the scams happen, what SSL does and doesn't do. Behavioral Response to Phishing Risk.

 

 

 

Weiterführende Informationen

Mehr zu Unternehmenskultur und Business Ethik.

Nadedsecurity diskutiert die manchmal geäußerte Meinung, dass Training in Securityfragen sinnlos ist, weil es immer genügend gibt, die trotzdem auf ein Phishing Mail klicken. Hier der Artikel: Is security training futile?. Im Artikel werden Beispiele für erfolgreiche und weniger erfolgreiche Veranstaltungen zitiert. Meine Meinung: Gut gemachte Sicherheitsschulung ist notwendig, denn Technologien allein können nie alle Löcher schließen. Und selbst wenn nicht 100% der Mitarbeiter die Lektionen alle beherzigen, so können doch einige 'Wissende' pro Abteilung oft diejenigen sein, die den anderen im Zweifelsfall Tipps geben können oder die die Profis der Security Abteillung auf Schwachstellen aufmerksam machen.

Ein konkretes Beispiel für eine Änderung der Unternehmenskultur wird in Verantwortung der Techniker am Beispiel der NASA behandelt.

Behavioral Response to Phishing Risk ein sehr schönes Beispiel für einen Test der Benutzer im Umgang mit Phishing, der aber auch sehr gute Hinweise darauf enthält, wie ein Anti-Phishing Training gestaltet werden könnte/sollte. Es zeigt sich, dass es viel wichtiger ist, ein technisches Verständnis zu vermitteln, als die Risiken zu erklären.

Eine Empfehlung eines Kollegen. Er schreibt: "Meiner Meinung nach ein sehr gutes und neues Dokument der ISACA (Organisation der IT-Auditoren): "Creating a Culture of Security". Speziell die Tabelle Seite 130 (Figure 9: Security Culture Maturity Model) gibt ein sehr gutes Modell zur Einordnung der Security Awareness in unseren Unternehmen." Leider nur kostenlos für Mitglieder der ISACA: 50 US$ als e-Book für Nicht-Mitglieder.

 


Autor: Philipp Schaumann, http://sicherheitskultur.at/

Home

 

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.