Security Awareness Kampagne beim Flughafen München

Transkript

1 Praxisbeispiel Security Awareness Kampagne beim Flughafen München

2 Sicherer Flughafen Die Security Awareness Kampagne bei der Flughafen München GmbH Sicherheit in der Luftfahrt ist ein vielbesprochenes Thema und das nicht erst seit den schrecklichen Ereignissen des 9/11 in New York. Dreh- und Angelpunkt für die Sicherheit in der Luftfahrt sind die Flughäfen. Hier ist die Schnittstelle zwischen Boden und Luft, hier steigen Passagiere ein und aus, hier wird der Luftverkehr geregelt. Flughäfen müssen daher besonders sicher sein. Augenscheinlich wird das jedem Fluggast bewusst, wenn bei Sicherheitskontrollen das Gepäck durchleuchtet wird, wenn man selbst abgetastet wird oder neuerdings keine Flüssigkeiten in größeren Mengen mehr im Handgepäck mitführen darf. Manchem mögen diese Maßnahmen lästig und überzogen erscheinen, letztendlich ist aber jeder um seine eigene Sicherheit besorgt und muss diese Maßnahmen über sich ergehen lassen. Doch neben diesen sichtbaren Sicherheitsmaßnahmen, gibt es an einem Flughafen noch einiges mehr, das sicher sein muss, damit der Betrieb reibungslos läuft. Zuständig und verantwortlich für den Betrieb eines Flughafens ist der jeweilige Betreiber. Am Flughafen Franz-Josef-Strauß in München ist dies die Flughafen München GmbH (kurz FMG), deren Eigentümer der Freistaat Bayern, die Bundesrepublik Deutschland und die Landeshauptstadt München sind. Am Flughafen München starteten und landeten 2007 rund 34 Millionen Passagiere bei rund Flugbewegungen. München ist damit der siebtgrößte europäische Flughafen und wurde bei einer jährlich stattfindenden Passagierumfrage nun schon zum dritten Mal hintereinander zum besten Airport Europas gekürt. Am Flughafen München arbeiten insgesamt über Menschen, davon ca bei der FMG. Um die große Zahl an Passagieren ohne Probleme abfertigen zu können, ist die Verfügbarkeit von Informations- und Kommunikationstechnologie unabdingbar. Fast jeder Vielflieger wird sich leidvoll daran erinnern, was passiert, wenn z.b. eine Gepäckförderanlage ausfällt. Oder wie schnell ein Chaos herrscht, wenn die Anzeigetafeln für Ab- und Anflug nur noch schwarz sind. Seit der Eröffnung des Flughafens Franz Josef Strauß im Jahr 1992 (er löste den alten zu klein gewordenen Flughafen München-Riem ab) wurde und wird bei der FMG auf einen hohen Standard bei der IT-Sicherheit gesetzt, um die Verfügbarkeit zu gewährleisten. In einem internen Security Audit im Jahr 2004 erkannte die Abteilung IT, dass es darüber hinaus Handlungsbedarf im Bereich Mensch gibt. Die Sensibilisierung zum Thema Informationssicherheit war bei etlichen Mitarbeitern kaum vorhanden, das Wissen um die richtige Nutzung der eingesetzten Technologien gering. Die Ergebnisse des Audits wurden der Geschäftsführung präsentiert, die den Bedarf erkannte und Mittel für entsprechende Maßnahmen zur Verfügung stellte. HvS-Consulting GmbH, 2008 Seite 2 von 9

3 Der Bereich Informationssicherheit (IS) wurde neu gestaltet und ein Informationssicherheitsbeauftragter eingesetzt. Als externer Berater wurde die ebenfalls in München ansässige HvS-Consulting GmbH hinzugezogen. Anfang 2005 wurden in einem ersten Schritt als wesentliche Grundlage die vorhandenen Regelungen zur Informationssicherheit überarbeitet und in ein neues Rahmenwerk gefasst. Das Informationssicherheits-Rahmenwerk der Flughafen München GmbH Im Mittelpunkt für den Anwender steht dabei die konzernweit gültige IT-Nutzungsrichtlinie (Ebene 2), die allgemeine Regeln für die Nutzung von Informations- und Kommunikationstechnologie vorgibt. Ziel der Richtlinie ist ein verantwortungsbewusster und sicherer Umgang mit Hard- und Software um die Verfügbarkeit und Sicherheit der IT- Systeme sowie die Vertraulichkeit schutzbedürftiger Daten zu gewährleisten. Die Vorarbeit in Sachen Organisation und Richtlinien war für uns wichtig und hilfreich, so Harald Englert, Informationssicherheitsbeauftragter der FMG. Wir haben bestehende Vorschriften überarbeitet, an die neuen Gegebenheiten angepasst und vor allem an Zielgruppen ausgerichtete Richtlinien entwickelt. Nachdem die Grundlagen geschaffen waren, startete die Planung der Security Awareness Kampagne. Man war sich bewusst, dass eine solche Kampagne einmal initiiert, nie enden wird: um Mitarbeiter für das Thema Informationssicherheit zu sensibilisieren, bedarf es einer gewissen Zeit; die Aufrechterhaltung dieser Sensibilisierung ist aber eine nie endende Aufgabe. Der Zeitraum der ersten Kampagne wurde daher auch auf 3 Jahre festgesetzt, um schon in der Planung die geforderte Nachhaltigkeit zu berücksichtigen. HvS-Consulting GmbH, 2008 Seite 3 von 9

4 Planung und Vorbereitung der Security Awareness Kampagne In intensiver Abstimmung mit der Unternehmenskommunikation, der Personalabteilung, der Schulungsabteilung, der Abteilung Sicherheitswesen für physische Sicherheit sowie der IT wurden durch IS die wesentlichen Elemente der Kampagne definiert. Entwicklung Logo und Slogan: Informationssicherheit aktiv gestalten Auswahl Bilder- und Farbwelten im CI der FMG Definition der Kernbotschaften: Was wollen wir vermitteln? Auswahl der Maßnahmen Festlegung der Medien Zeitliche Planung Kurz vor der offiziellen Bekanntgabe der Richtlinien und dem Start der Kampagne wurde der Fall simuliert, dass ein neuartiger, auch aktuellen Virenscannern noch unbekannter Virus in das FMG-Netz gelangt. Dieser Testvirus wurde per Mail an alle FMG-Anwender versendet. Bei Ausführung des Anhangs wurde ein Programm ausgeführt, das die Anwender auf die potentiellen Gefahren bei unsachgemäßem Umgang mit s hinwies. Ergebnis dieses Tests: Eine größere Zahl von Anwendern öffnete den Anhang aus der Mail eines unbekannten Absenders. Der Test sprach sich natürlich innerhalb der Belegschaft herum; man war gespannt, was nun folgen würde. Es folgte eine Mail der Geschäftsführung, in der jeder Mitarbeiter darauf hingewiesen wurde, wie wichtig die Verfügbarkeit von IT- Systemen und die Vertraulichkeit von Informationen für die FMG sind. Zudem wurde die Security Awareness Kampagne vorgestellt und die ersten Maßnahmen angekündigt. Parallel wurden im gesamten Bereich der FMG Poster aufgehängt, mit denen eine Einstimmung auf die Security Awareness Kampagne erfolgte. In der Mitarbeiterzeitschrift Flughafen Report wurde ein Bericht veröffentlicht, im Intranet ein neuer Bereich für Informationssicherheit gelauncht. Jeder Mitarbeiter erhielt die neuen Richtlinien zusammen mit der Mitarbeiterzeitschrift ausgehändigt. HvS-Consulting GmbH, 2008 Seite 4 von 9

5 Checkliste Planung und Vorbereitung Wer unterstützt inhaus die Kampagne? Wie erkennt man die Kampagne? Wie spricht man über die Kampagne? Was wollen Sie vermitteln? Welche Maßnahmen setzen Sie ein? Was sind Ihre kommunikativen Plattformen? Sind Sie in Organisation und in Ihren Prozessen richtig vorbereitet? Wie lange dauert die Kampagne? Haben Sie ein Budget? Stellen Sie sicher, dass ALLE potentiell Beteiligten von Anfang an involviert werden (Geschäftsführung, Unternehmens-kommunikation, Personal, IT, ). Visualisieren Sie Ihre Kampagne mit Logo, Bilder, Farbwelten. Geben Sie Ihrer Kampagne einen Slogan. Definieren Sie Kernbotschaften. Wählen Sie die für Ihr Unternehmen (Lernkultur, vorhandene Kommunikationsmittel, etc.) geeigneten Maßnahmen. Definieren Sie die Hauptkommunikationsmittel, mit denen Sie die Kampagne stetig begleiten (z.b. Intranet, Mitarbeiter-zeitschrift). Gibt es Sicherheitsrichtlinien? Gibt es eine Sicherheits-organisation? Sind Prozesse für Sicherheitsvorfälle definiert? Seien Sie sich bewusst, dass eine Security Awareness Kampagne nie endet. Planen Sie mit einem entsprechenden Zeithorizont. Denken Sie daran, dass die Security Awareness Kampagne nie endet. Sie benötigen ein jährliches Budget. Das Schulungskonzept sah vor, ab Mitte 2005 die FMG-Führungskräfte sowie ausgewählte Mitarbeiter zum Thema Awareness zu schulen. Fokus der Präsenztrainings war, Informationssicherheit als Führungsaufgabe zu verankern und erste Multiplikatoren und Vorbilder in den einzelnen Bereichen zu setzen. Zeitgleich wurde die IS-Organisation aufgebaut; neben den zentralen IS-Beauftragten des Konzerns wurden Bereichs-IS- Beauftragte als Ansprechpartner vor Ort ernannt. Ausgewählte Mitarbeiter der IT-Abteilung sowie Administratoren von technischen Systemen (z.b. Gepäckförderanlagen, Tower-Systeme etc.) wurden im Rahmen von dedizierten IT- Security-Trainings zum Thema Sicherheitsaspekte bei Einführung & Betrieb von IT- Systemen (z.b. System-Hardening, sichere Authentifizierung, Backup/Restore etc.) geschult. Das zweite Kampagnenjahr (2006) stand ganz im Zeichen der Mitarbeiterschulungen. Auf Einladung der Geschäftsführung nahmen über 800 Anwender an den Schulungen teil. Alle Trainings (auch schon die Trainings für Führungskräfte) wurden von zwei Referenten durchgeführt dem stellvertretenden Sicherheitsbeauftragtem der FMG und einem Consultant der HvS-Consulting. Spezielle Zielgruppen wie z.b. Auszubildende erhielten neben den Standardtrainings eigene Schulungen. Der große Erfolg aller Trainings belegt durch eine Durchschnittsnote von 1,5 wurde wesentlich unterstützt durch den Einsatz von Live- Demonstrationen und multimedialen Elementen wie Security Awareness Videos. Alexander Cmarits (CISM), stellvertretender. IS-Beauftragter der FMG: Die Security Awareness Videos der HvS-Consulting besitzen einen hohen Wiedererkennungswert, die Mitarbeiter können sich in die Situation des Betroffenen hineinversetzen und werden so nachhaltig sensibilisiert. HvS-Consulting GmbH, 2008 Seite 5 von 9

6 Nach den Schulungen war man gespannt, ob diese Maßnahmen auch Wirkung zeigen. Ein weiterer Testvirus wurde versendet allerdings mit einer anderen Methodik als der erste Testvirus vor Beginn der Kampagne. Das Ergebnis war ermutigend: nur sehr wenige Mitarbeiter klickten den Virus an. Um das Thema Sicherheit in die tägliche Arbeit weiter zu verankern, erhielt jeder Mitarbeiter mit der Einladung für das Training die 10 Goldenen Regeln der Informationssicherheit. Diese sind eine vereinfachte Zusammenfassung der IT- Nutzungsrichtlinie mit Beispielen auf der Rückseite. Zudem wurden Kugelschreiber mit der Aufschrift Informationssicherheit verteilt. Während des gesamten Zeitraums der Schulungen wurden neue Postermotive eingesetzt, die nun detaillierter auf einzelne Themen (z.b. Passwörter) eingingen. Ein weiterer Schritt, um Sicherheit sichtbar zu machen, war die Installation eines Bildschirmschoners, der die wichtigsten Sicherheitsrichtlinien sowie als Auflockerung Bilder und Daten von Flugzeugen beinhaltete, die am Flughafen München landen. HvS-Consulting GmbH, 2008 Seite 6 von 9

7 Ein wichtiges Ziel aller unserer Security Awareness Maßnahmen ist es, das Thema Sicherheit nachhaltig in das tägliche Leben der Mitarbeiter zu integrieren, so Harald Englert. Nur wenn den Mitarbeitern bewusst wird, wie wichtig ihr Beitrag zur Sicherheit ist, und wie relativ einfach jeder Einzelne einen Beitrag zur Sicherheit leisten kann, werden die Ziele der Security Awareness Kampagne erreicht, fährt Englert fort. Im Rahmen der im Jahr 2006 erlangten ISO Zertifizierung des Servicebereichs IT wurden vom TÜV u.a. auch die Prozesse im Bereich Informationssicherheit geprüft - Ergebnis: keine Beanstandungen. Positiver Punkt: Security Awareness Maßnahmen. Das Ziel einer umfassenden Sensibilisierung der Mitarbeiter weiter im Auge behaltend ging man im dritten Jahr der Kampagne neue Wege, man setzte ein Webbased Training ein. Auf Basis des Security Awareness Trainings IS-FOX der HvS-Consulting erstellte man ein FMG individuelles Training BISON (Basis InformationsSicherheit Online Nachschlagewerk). Die Einführung des Trainings wurde kommunikativ unterstützt mit einem Gewinnspiel, Beiträgen in der Mitarbeiterzeitschrift und im Intranet, einer Posterkampagne sowie durch Vor-Ort-Aktionen (Promotion in den Kantinen). Der Lernteil war für alle Mitarbeiter ohne eine Registrierung zugänglich, für den Test musste man sich anmelden (Daten wurden für das Gewinnspiel und zur (anonymen) Auswertung benötigt). Obwohl ein webbasiertes Lernen bis dato bei der FMG nicht eingeführt war, haben mehr als 500 Mitarbeiter erfolgreich an diesem Training teilgenommen. Auch in diesem Training wurde Wert gelegt auf abwechslungsreiche Inhalte (Text, Bilder, Videos). Neu im dritten Jahr war auch, dass das ganze Jahr über stichprobenartige Assessments mittels simulierter Social Engineering Angriffe durchgeführt wurden. Angreifer der HvS- Consulting simulierten Attacken auf verschiedene Bereiche der FMG um vertrauliche Informationen ohne Wissen der Opfer zu beschaffen. Die so gewonnenen Feststellungen flossen zusammen mit den Erkenntnissen der ersten drei Kampagnenjahre in die Fortsetzung der Security Awareness Maßnahmen ein. Eine Erkenntnis, insbesondere aus den Social Engineering Angriffen, war, dass der richtige Umgang mit unternehmenskritischen Informationen noch nicht durchgehend bekannt war. So machte man sich im Sicherheitsmanagement Gedanken, wie hier das Sicherheitsniveau optimiert werden kann. Nach umfassenden internen Vorarbeiten wurde Anfang 2008 eine neue Richtlinie publiziert und entsprechende Trainings aufgesetzt. Auch dies wurde durch HvS-Consulting GmbH, 2008 Seite 7 von 9

8 Poster, Intranet- und Mitarbeiterzeitschriftartikel sowie diverse Hilfsmittel (z.b. Flyer für den täglichen Gebrauch) unterstützt. Aktuell durchlaufen die Mitarbeiter diese Trainings, daneben werden weiterhin regelmäßig allgemeine Informationssicherheitstrainings durchgeführt. Harald Englert, IS-Beauftragter der FMG zieht im vierten Jahr der Security Awareness Kampagne ein positives Fazit: Die getroffenen Maßnahmen haben deutlich Wirkung gezeigt und zu einem hohen Maß an Sensibilisierung der FMG-Mitarbeiter beigetragen. Und erfreulicherweise wird Informationssicherheit von den Mitarbeitern positiv wahrgenommen. Wir sind auf dem richtigen Weg auch wenn dieser Weg wohl nie enden wird. Checkliste Umsetzung Kampagnen Maßnahmen Wie gehe ich in der Kampagne vor? Wie vermeide ich eine Reaktanz der Mitarbeiter (Abwehrreaktion)? Wie setze ich die Maßnahmen um? Welche Themen und Maßnahmen setze ich wann um? Wie kommt die Kampagne bei den Mitarbeitern an? Wie erfolgreich ist die Kampagne? Welchen Nutzen habe ich im Vergleich zu den Kosten? Wie verstärke ich die Wirkung der Kampagne? Wer kann mich unterstützen? Denken Sie in einem Phasenmodell: Phase 1: Mitarbeiter wach rütteln Phase 2: Wissen vermitteln Phase 3: Nachhaltigkeit sicherstellen und dann wieder von vorne Erheben Sie nicht den Zeigefinger und vermeiden Sie lehrerhaftes Auftreten. Gestalten Sie die Maßnahmen positiv motivierend und spielerisch. Wählen sie immer wieder neue Zugänge zu den Mitarbeitern aus (Präsenztraining, Webbased Training, Podcasts, ) und gestalten Sie die Maßnahmen multimedial mit einer Mischung aus Text, Bild und Video. Überfordern Sie die Mitarbeiter nicht. Setzen Sie gemäß Ihres Schutzbedarfs Schwerpunktthemen und gehen Sie diese nach und nach an. Fordern Sie Feedback von den Mitarbeitern und verfolgen Sie dies. Oft erhalten Sie hier neben Optimierungsansätze für die Kampagne auch Hinweise auf unbekannte Schwachstellen und Sicherheitslücken. Messen Sie den Grad der Sensibilisierung durch geeignete Tests (z.b. Testviren). Stellen Sie sich vor, was es kostet, wenn Sie es nicht tun? Security Awareness zahlt zudem nicht nur direkt auf die Sicherheit ein sondern kann auch zu einer Optimierung von Prozessen und Organisation beitragen. Sicherheit ist eine Führungsaufgabe. Geschäftsführung und Führungskräfte sind Vorbilder und Multiplikatoren. Binden sie diese entsprechend mit ein. Binden Sie externe Partner als Ideengeber, als neutrale Referenten (was geschieht bei anderen Unternehmen) und kompetente Berater ein. HvS-Consulting GmbH, 2008 Seite 8 von 9

9 Über die Autoren Harald Englert ist Leiter Interne Services (Servicebereich IT) und Informationssicherheitsbeauftragter der Flughafen München GmbH. Alexander Cmarits, Certified Information Security Manager (CISM), ist IT-Sicherheitsmanager und stellvertretender Informationssicherheitsbeauftragter der FMG. Flughafen München GmbH: Andreas Schnitzer ist Senior Consultant beim auf Business Security spezialisierten Beratungsunternehmen HvS-Consulting in München HvS-Consulting bedankt sich bei der Flughafen München GmbH, Herrn Englert und Herrn Cmarits, für die freundliche Unterstützung. Erschienen in: Sicherheit-Berater Ausgabe 14/15 vom HvS-Consulting GmbH, 2008 Seite 9 von 9