Aktuelles, Branche, Veranstaltungen - geschrieben von dp am Donnerstag, Februar 6, 2020 1:04 - noch keine Kommentare
IT-DEFENSE 2020: Auftakt mit dem Faktor Mensch
IT-Sicherheitsexperten sollten sich von Marketing-Methoden inspirieren lassen
[datensicherheit.de, 05.02.2020] Die „IT-DEFENSE 2020“ findet vom 5. bis 7. Februar 2020 in Bonn statt. ds-Herausgeber Dirk Pinnow nimmt als Beobachter dieses inzwischen in 18. Auflage durchgeführten IT-Sicherheitskongresses teil und gibt nachfolgend einige ausgewählte Eindrücke des ersten Veranstaltungstages wider. Nach der Begrüßung durch den Gastgeber Stefan Strobel stellte Lance Spitzner im Auftaktvortrag die Rolle der menschlichen Komponente für die IT-Sicherheit dar.
Vorstellung des Veranstaltungsformats durch den Gastgeber
Als Gastgeber begrüßte Stefan Strobel, Geschäftsführer der cirosec GmbH, die Konferenzteilnehmer und stellte kurz vor, wie es zur Etablierung dieses Kongressformats gekommen ist. Demnach wurde 2002 beschlossen, selbst eine hochwertige Konferenz ins Leben zu rufen. Damals hatte es viele professionelle Kongressanbieter gegeben, welche für viele verschiedene Branchen Angebote machten.
Die Organisatoren der „IT-DEFENSE“ wollten indes in eigener Verantwortung gute Referenten auswählen können und dabei einen starken Praxisbezug herstellen – anders als bei den eher akademischen Formaten, zu denen Papiere einzureichen sind, sollte der Schwerpunkt auf Management & Technik mit einem Programm für alle liegen. Bewusst werde dabei auf die Einbindung von Sponsoren mit der dann damit verbundenen Werbung verzichtet.
Seit 2004 habe man regelmäßig über 200 Teilnehmer, darunter Referenten und Pressevertreter. Diese Größenordnung gelte es beizubehalten, um am Rande der Veranstaltungen auch einem wirksamen Networking Raum zu geben, betonte Strobel.
IT-Sicherheitskultur des Schutzes, der Entdeckung und Erwiderung etablieren!
Über die Herausforderung für die Entscheiderebene, eine IT-Sicherheitskultur des Schutzes, der Entdeckung und Erwiderung zu etablieren, sprach im Auftaktvortrag Lance Spitzner, Verantwortlicher für SANS-Awareness-Programme, und stellte sehr lebhaft, unterhaltsam und inspirierend dar, dass IT-Sicherheit eben nicht allein eine technische, sondern viel mehr noch eine menschliche Basis hat – diese „humane Perspektive“ gelte es immer im Hinterkopf zu behalten.
Technik-lastige Personen erwiderten auf diese Aussage oft, dass man Dummheit nicht patchen könne; die passende Erwiderung darauf sei: „Geh, blick in den Spiegel!“ Er stellte klar, dass nicht die Menschen per se das Problem seien und schon gar nicht als schwächstes Glied der IT-Sicherheits-Kette diffamiert werden sollten. Richtig sei: Menschen seien heute der bevorzugte Angriffsvektor.
Lance Spitzner: Kraft zur Bewegung und Weiterentwicklung ein Produkt der Motivation und der Befähigung
IT-Anwender sind nicht „Mr. Spock“, sondern „Homer Simpson“
Bei der Suche nach Lösungen sollte man davon ausgehen, dass viele Awareness-Kampagnen nicht den gewünschten Erfolg erzielten. Spitzner erinnerte an das Trägheitsgesetz der Physik (1. Newtonsches Gesetz), wonach die mechanische Kraft (F) das Produkt aus der Masse (m) eines Körpers und der ihm mitgegebenen Beschleunigung (a) ist, also z.B. ein Objekt in Ruhe verweilt, wenn keine Kraft auf es einwirkt.
Er zog als Vergleich das ADKAR-Verhaltensmodell heran, bei dem der Zusammenhang zwischen Motivation (M) und Befähigung (A – Ability) betrachtet wird. Techniker erwarteten, dass die Empfänger von Sicherheitshinweisen sich logisch und kontrolliert verhalten würden – wie die aus der ersten Staffel der US-Fernsehserie „Raumschiff Enterprise“ („Star Trek: The Original Series“) bekannte Figur „Mr. Spock“. Jedoch sei es in der Realität so: Die meisten IT-Anwender seien eher durch die Zeichentrick-Figur „Homer Simpson“ aus der Serie „Die Simpsons“ passend charakterisiert. Diese Analogie solle indes nicht bloß-, sondern klarstellen, dass es in der evolutionären Entwicklung des Menschen durchaus ein Überlebensvorteil gewesen sei, auch bei wenigen vorliegenden Informationen schnell eine Entscheidung treffen zu können. In diesem Sinne könne man sagen, dass die Kraft zur Bewegung und Weiterentwicklung ein Produkt der Motivation und der Befähigung (Ability) des Menschen sei.
Motivation wecken durch Beantwortung der Frage nach dem Warum
Die Tragik sei, dass Menschen mit hoher Technologie-Affinität zumeist schlecht in der Kommunikation vor allem mit Nicht-Technikern seien. Er stellte kurz das Motivationsmodell „Golden Circle“ von Simon Sinek vor – demnach komme es auf die richtige Reihenfolge dreier zentraler Fragen an: 1. „Warum?“ – 2. „Wie?“ und erst dann 3. „Was (ist zu tun)?“
Wenn als IT-Sicherheit gegenüber der Belegschaft eines Unternehmens als wichtig dargestellt werden soll, müsse man zunächst die rhetorische Frage beantworten können: „Warum denn ist IT-Sicherheit für uns wichtig?“ Die Ausführungen hierzu sollten einfach und durchaus unterhaltsam formuliert werden. Spitzner ermunterte, sich Motivationsmodelle aus der Marketing-Welt anzusehen und ging kurz auf das sogenannten AIDA-Modell ein (Attention – Aufmerksamkeit erregen, Interest – Interesse wecken und halten, Desire – Begehren wecken, Action – Aufruf zur konkreten Handlung z.B. Inanspruchnahme einer Dienstleistung oder Kauf eines Produktes). So könnte man die Adressaten an das Problem, sich komplizierte Passwörter zu merken, erinnern und bei gewecktem Interesse dann auf einen Passwort-Manager verweisen. IT-Sicherheit müsse so einfach wie möglich machbar sein und dargestellt werden.
Wegweisung muss einfach sein!
Er empfahl das Buch „Nudge“ von Richard H. Thaler, in dem praktische Vereinfachungen mit großem Nutzen vorgestellt würden. Als Beispiel nannte er die Herren-Toiletten des Amsterdamer Flughafens Schiphol – dort sei in den Urinalen eine Fliege abgebildet, die das Zielen vereinfachen soll und so 80 Prozent weniger Verschmutzung und damit auch Reinigungskosten erzielt würden. Daraus lasse sich lernen: Nicht die menschliche Natur bekämpfen wollen, sondern einfache Wegweisung zum Ziel geben!
Auch in Fragen der IT-Sicherheit durch Passwörter seien Vereinfachungen möglich. Dabei sollte immer in der Sprache der Adressaten kommuniziert werden und nicht in der eigenen u. U. sehr abgehobenen. Training und Tools gelte es zur Verfügung zu stellen. Die üblichen Hinweise zur Passwort-Sicherheit seien in der Praxis eher untauglich: möglichst 15 Zeichen (große und kleine Buchstaben, Sonderzeichen und Ziffern) – Änderung alle 90 Tage – niemals notieren – einzigartig für jede Anwendung… Die Empfehlung zur regelmäßigen Änderung sei sehr umstritten und könne sogar die Sicherheit mindern – also sollte darauf verzichtet werden. Zu empfehlen seien zusätzlich zum reinen Text-Passwort eine Multifaktor-Authentifizierung, „Single sign-on“ und biometrische Verfahren. Zum Merken seien „Passphrases“ besser geeignet als bloße „Passwords“. Zudem sollte ein Passwort-Manager zur Verfügung gestellt und hierzu Trainings angeboten werden.
Mitarbeiter und nicht die Technik in den Vordergrund rücken!
Schließlich könnten für Mitarbeiter in Unternehmen Standard-Prozeduren eingeführt und hierzu etwa übersichtlich Merkblätter mit einfachen Beschreibungen sowie ggf. Graphiken zur Erkennung von betrügerischen Attacken (z.B. „CEO Fraud“ etc.) herausgegeben werden.
Nochmals appellierte Spitzner zu einer Abkehr von eine „Blame Culture“ und zitierte Bruce Schneier, der gemahnt habe: „Wenn Sie glauben, Technologie könne Ihre Sicherheitsprobleme lösen, dann verstehen Sie die Probleme nicht und Sie verstehen die Technologie nicht.“
Weitere Informationen zum Thema:
IT-DEFENSE 2020
5.-7. Februar 2020 in Bonn
SANS
Lance Spitzner
Prosci
The Prosci ADKAR Model
TED
Simon Sinek: Wie große Führungspersönlichkeiten zum Handeln inspirieren
Wikipedia
Nudge
Wikipedia
Bruce Schneier
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren