IT-DEFENSE 2020: Auftakt mit dem Faktor Mensch

IT-Sicherheitsexperten sollten sich von Marketing-Methoden inspirieren lassen

[datensicherheit.de, 05.02.2020] Die „IT-DEFENSE 2020“ findet vom 5. bis 7. Februar 2020 in Bonn statt. ds-Herausgeber Dirk Pinnow nimmt als Beobachter dieses inzwischen in 18. Auflage durchgeführten IT-Sicherheitskongresses teil und gibt nachfolgend einige ausgewählte Eindrücke des ersten Veranstaltungstages wider. Nach der Begrüßung durch den Gastgeber Stefan Strobel stellte Lance Spitzner im Auftaktvortrag die Rolle der menschlichen Komponente für die IT-Sicherheit dar.

Vorstellung des Veranstaltungsformats durch den Gastgeber

Als Gastgeber begrüßte Stefan Strobel, Geschäftsführer der cirosec GmbH, die Konferenzteilnehmer und stellte kurz vor, wie es zur Etablierung dieses Kongressformats gekommen ist. Demnach wurde 2002 beschlossen, selbst eine hochwertige Konferenz ins Leben zu rufen. Damals hatte es viele professionelle Kongressanbieter gegeben, welche für viele verschiedene Branchen Angebote machten.
Die Organisatoren der „IT-DEFENSE“ wollten indes in eigener Verantwortung gute Referenten auswählen können und dabei einen starken Praxisbezug herstellen – anders als bei den eher akademischen Formaten, zu denen Papiere einzureichen sind, sollte der Schwerpunkt auf Management & Technik mit einem Programm für alle liegen. Bewusst werde dabei auf die Einbindung von Sponsoren mit der dann damit verbundenen Werbung verzichtet.
Seit 2004 habe man regelmäßig über 200 Teilnehmer, darunter Referenten und Pressevertreter. Diese Größenordnung gelte es beizubehalten, um am Rande der Veranstaltungen auch einem wirksamen Networking Raum zu geben, betonte Strobel.

IT-Sicherheitskultur des Schutzes, der Entdeckung und Erwiderung etablieren!

Über die Herausforderung für die Entscheiderebene, eine IT-Sicherheitskultur des Schutzes, der Entdeckung und Erwiderung zu etablieren, sprach im Auftaktvortrag Lance Spitzner, Verantwortlicher für SANS-Awareness-Programme, und stellte sehr lebhaft, unterhaltsam und inspirierend dar, dass IT-Sicherheit eben nicht allein eine technische, sondern viel mehr noch eine menschliche Basis hat – diese „humane Perspektive“ gelte es immer im Hinterkopf zu behalten.
Technik-lastige Personen erwiderten auf diese Aussage oft, dass man Dummheit nicht patchen könne; die passende Erwiderung darauf sei: „Geh, blick in den Spiegel!“ Er stellte klar, dass nicht die Menschen per se das Problem seien und schon gar nicht als schwächstes Glied der IT-Sicherheits-Kette diffamiert werden sollten. Richtig sei: Menschen seien heute der bevorzugte Angriffsvektor.

Foto: Dirk Pinnow

Lance Spitzner: Kraft zur Bewegung und Weiterentwicklung ein Produkt der Motivation und der Befähigung

IT-Anwender sind nicht „Mr. Spock“, sondern „Homer Simpson“

Bei der Suche nach Lösungen sollte man davon ausgehen, dass viele Awareness-Kampagnen nicht den gewünschten Erfolg erzielten. Spitzner erinnerte an das Trägheitsgesetz der Physik (1. Newtonsches Gesetz), wonach die mechanische Kraft (F) das Produkt aus der Masse (m) eines Körpers und der ihm mitgegebenen Beschleunigung (a) ist, also z.B. ein Objekt in Ruhe verweilt, wenn keine Kraft auf es einwirkt.
Er zog als Vergleich das ADKAR-Verhaltensmodell heran, bei dem der Zusammenhang zwischen Motivation (M) und Befähigung (A – Ability) betrachtet wird. Techniker erwarteten, dass die Empfänger von Sicherheitshinweisen sich logisch und kontrolliert verhalten würden – wie die aus der ersten Staffel der US-Fernsehserie „Raumschiff Enterprise“ („Star Trek: The Original Series“) bekannte Figur „Mr. Spock“. Jedoch sei es in der Realität so: Die meisten IT-Anwender seien eher durch die Zeichentrick-Figur „Homer Simpson“ aus der Serie „Die Simpsons“ passend charakterisiert. Diese Analogie solle indes nicht bloß-, sondern klarstellen, dass es in der evolutionären Entwicklung des Menschen durchaus ein Überlebensvorteil gewesen sei, auch bei wenigen vorliegenden Informationen schnell eine Entscheidung treffen zu können. In diesem Sinne könne man sagen, dass die Kraft zur Bewegung und Weiterentwicklung ein Produkt der Motivation und der Befähigung (Ability) des Menschen sei.

Motivation wecken durch Beantwortung der Frage nach dem Warum

Die Tragik sei, dass Menschen mit hoher Technologie-Affinität zumeist schlecht in der Kommunikation vor allem mit Nicht-Technikern seien. Er stellte kurz das Motivationsmodell „Golden Circle“ von Simon Sinek vor – demnach komme es auf die richtige Reihenfolge dreier zentraler Fragen an: 1. „Warum?“ – 2. „Wie?“ und erst dann 3. „Was (ist zu tun)?“
Wenn als IT-Sicherheit gegenüber der Belegschaft eines Unternehmens als wichtig dargestellt werden soll, müsse man zunächst die rhetorische Frage beantworten können: „Warum denn ist IT-Sicherheit für uns wichtig?“ Die Ausführungen hierzu sollten einfach und durchaus unterhaltsam formuliert werden. Spitzner ermunterte, sich Motivationsmodelle aus der Marketing-Welt anzusehen und ging kurz auf das sogenannten AIDA-Modell ein (Attention – Aufmerksamkeit erregen, Interest – Interesse wecken und halten, Desire – Begehren wecken, Action – Aufruf zur konkreten Handlung z.B. Inanspruchnahme einer Dienstleistung oder Kauf eines Produktes). So könnte man die Adressaten an das Problem, sich komplizierte Passwörter zu merken, erinnern und bei gewecktem Interesse dann auf einen Passwort-Manager verweisen. IT-Sicherheit müsse so einfach wie möglich machbar sein und dargestellt werden.

Wegweisung muss einfach sein!

Er empfahl das Buch „Nudge“ von Richard H. Thaler, in dem praktische Vereinfachungen mit großem Nutzen vorgestellt würden. Als Beispiel nannte er die Herren-Toiletten des Amsterdamer Flughafens Schiphol – dort sei in den Urinalen eine Fliege abgebildet, die das Zielen vereinfachen soll und so 80 Prozent weniger Verschmutzung und damit auch Reinigungskosten erzielt würden. Daraus lasse sich lernen: Nicht die menschliche Natur bekämpfen wollen, sondern einfache Wegweisung zum Ziel geben!
Auch in Fragen der IT-Sicherheit durch Passwörter seien Vereinfachungen möglich. Dabei sollte immer in der Sprache der Adressaten kommuniziert werden und nicht in der eigenen u. U. sehr abgehobenen. Training und Tools gelte es zur Verfügung zu stellen. Die üblichen Hinweise zur Passwort-Sicherheit seien in der Praxis eher untauglich: möglichst 15 Zeichen (große und kleine Buchstaben, Sonderzeichen und Ziffern) – Änderung alle 90 Tage – niemals notieren – einzigartig für jede Anwendung… Die Empfehlung zur regelmäßigen Änderung sei sehr umstritten und könne sogar die Sicherheit mindern – also sollte darauf verzichtet werden. Zu empfehlen seien zusätzlich zum reinen Text-Passwort eine Multifaktor-Authentifizierung, „Single sign-on“ und biometrische Verfahren. Zum Merken seien „Passphrases“ besser geeignet als bloße „Passwords“. Zudem sollte ein Passwort-Manager zur Verfügung gestellt und hierzu Trainings angeboten werden.

Mitarbeiter und nicht die Technik in den Vordergrund rücken!

Schließlich könnten für Mitarbeiter in Unternehmen Standard-Prozeduren eingeführt und hierzu etwa übersichtlich Merkblätter mit einfachen Beschreibungen sowie ggf. Graphiken zur Erkennung von betrügerischen Attacken (z.B. „CEO Fraud“ etc.) herausgegeben werden.
Nochmals appellierte Spitzner zu einer Abkehr von eine „Blame Culture“ und zitierte Bruce Schneier, der gemahnt habe: „Wenn Sie glauben, Technologie könne Ihre Sicherheitsprobleme lösen, dann verstehen Sie die Probleme nicht und Sie verstehen die Technologie nicht.“

Weitere Informationen zum Thema:

IT-DEFENSE 2020
5.-7. Februar 2020 in Bonn

SANS
Lance Spitzner

Prosci
The Prosci ADKAR Model

TED
Simon Sinek: Wie große Führungspersönlichkeiten zum Handeln inspirieren

Wikipedia
Nudge

Wikipedia
Bruce Schneier