Sensibilisierungskampagnen planen und durchführen. Hannover,

Transkript

1 Sensibilisierungskampagnen planen und durchführen Hannover,

2 # 2

3 Der Mensch und die IT # 3

4 # 4

5 Zu faul für die Privatsphäre Sollten spätestens nach dem NSA-Skandal nicht alle kapiert haben, dass intime Daten im Netz nichts zu suchen haben? Oder was genau habt ihr nicht verstanden in dem Satz "Online ist nichts privat"? Zur allgemeinen Fassungslosigkeit über böse Menschen sollte sich in die Debatte über den sogenannten Nacktfoto-Skandal deshalb unbedingt bitte auch Fassungslosigkeit über unser aller Bequemlichkeit mischen, die längst dazu geführt hat, dass die totale Überwachung glänzend funktioniert. Und das ganz ohne Gewalt, schließlich sind wir sogar zu faul dazu, unseren Facebook-Status auf "nur Freunde" zu stellen. # 5

6 # 6

7 Computer: sicher unsicher # 7

8 Microsoft SIR 2011 Der Security Intelligence Report 2011 sagt 0,37% der Exploits benutzten die zero-day Schwachstelle 44,8% der Exploits erforderten eine Aktion des Benutzers 43,2% der entdeckten Malware benutzte die Funktionalität AutoRun von Windows # 8

9 # 9

10 Sichere Systeme # 10

11 Cryptonomicon # 11

12 Probleme mit Menschen Bruce Schneier sieht sechs Probleme mit Menschen, nämlich 1. wie Menschen Risiken wahrnehmen, 2. wie Menschen mit Ereignissen umgehen, die sehr selten vorkommen, 3. dass es sinnlos ist, Menschen zu intelligenten Sicherheitsentscheidungen aufzufordern, 4. dass Menschen Computern vertrauen, 5. dass es übelwollende Insider gibt, 6. dass Social Engineering so gut funktioniert. # 12

13 Necronomicon # 13

14 # 14

15 Weltbilder (folkscience, folk psychology) # 15

16 Weltbild Security Engineering # 16

17 Weltbild Security Engineering # 17

18 Weltbild Security Engineering # 18

19 Sicherheitsvorfälle 1. Welcher Sicherheitsvorfall hat Sie am meisten beeindruckt? 2. Sicherheitsvorfälle in der eigenen Organisation 3. Sicherheitsvorfälle zuhause # 19

20 # 20

21 Security Engineering # 21

22 Security Engineering Analyse # 22

23 Definitionen: System 1. Produkt oder Komponente wie z.b. Hardware des PC oder eine Smartcard 2. wie oben und dazu das Betriebssystem, Netzwerk und alles andere, was die Datentransportinfrastruktur einer Organisation ausmacht 3. wie oben und dazu Anwendungssoftware wie Textverarbeitung, Buchhaltungsoftware und so weiter 4. wie oben und dazu die IT Abteilung 5. wie oben und dazu die internen Benutzer und das Management 6. wie oben und dazu Kunden und andere Externe # 23

24 Definitionen Subjekt Prinzipal Identität Vertrauen Vertrauenswürdigkeit Geheimhaltung Unversehrtheit Schwachstelle # 24

25 Sicherheit ist eine Geisteshaltung Handout: USS Blue Ridge Handout: Inside the Twisted Mind of the Security Professional Handout: Social Engineering hits Social Commerce Link: NSA rüstet zum Cyber-Feldzug # 25

26 # 26

27 Awareness # 27

28 Awareness ist nicht Training # 28

29 Awareness ist nicht Training Awareness ist nicht Training. Der Zweck von Awareness-Kampagnen ist es einfach, Aufmerksamkeit für Sicherheit zu schaffen. Awareness Präsentationen sollen Personen befähigen IT-Sicherheitsprobleme zu erkennen und entsprechend zu reagieren. Bei Awareness Aktivitäten ist der Lernende ein Empfänger von Informationen, während der Lernende in einer Trainings-Umgebung eine aktivere Rolle hat. Awareness will ein breites Publikum mit Inhalten in attraktiver Verpackung erreichen. Training ist mehr formal, mit dem Ziel Wissen aufzubauen und die Fähigkeiten zu vermitteln, die man für die Erledigung seiner Aufgaben braucht. # 29

30 ENISA Veränderungsmanagementkonzept # 30

31 Sensibilisierungskampagnen Übersicht # 31

32 # 32

33 # 33

34 Anlässe für Awareness-Kampagnen Externe Faktoren Neue gesetzliche Regelungen Regierungswechsel Informationstag oder -woche zum Thema Sensibilisierung auf nationaler Ebene Neues nationales, regionales oder lokales Programm zu Grundlagen der Informationssicherheit für die Bürger usw. Interne Faktoren Neue gesetzliche Regelungen und Vorschriften, die für die Organisation relevant sind Neue Sicherheitspolitik und/oder -strategie Aktualisierungen oder Änderungen der Strategien, Verfahren, Standards und Leitlinien zur Informationssicherheit Einführung einer neuen Technologie Neue Mitarbeiter, Auftragnehmer oder Mitarbeiter von Fremdfirmen, die in der Organisation eingesetzt werden Neue Unternehmensleitung Verstärkte Automatisierung Schulung zu den Grundlagen der Informationssicherheit für das gesamte Personal Markteinführung neuer Produkte und Dienstleistungen Einführung neuer Systeme Übernahmen, Fusionen und Veräußerungen Aktuelle Sicherheitsverstöße, -bedrohungen und -vorfälle Neue Risiken # 34

35 Sensibilisierungskampagnen Inhalte # 35

36 Mehr Fehler als Bosheit Informationstechnik-Gefährdungen Unbeabsichtigte Gefährdung Beabsichtigte Gefährdung Art Ursache Art Motiv Fähigkeiten Regeln Wissen Betrug Spionage Vandalismus Fehler Katastrophe physikalisch syntaktisch semantisch # 36

37 Non-Security Considerations # 37

38 Risiko-Abschätzung (1) # 38

39 Risiko-Abschätzung (2) # 39

40 Risiko-Würfel # 40

41 Risiko-Würfel # 41

42 # 42

43 Risikoanalyse Hands-On # 43

44 # 44

45 Hoppla! Was ist das? # 45

46 Hoppla! Was ist das? # 46

47 Hoppla! Was ist das? # 47

48 Konstruktivistische Lerntheorie Der Lernende muss sein Wissen eingebettet in Zusammenhänge und Situationen erwerben. Lernkontexte sollen möglichst authentisch sein. Es sollten keine künstlichen isolierten Probleme, sondern Problemsituationen aus der Umwelt, der Arbeitswelt des Lernenden, genommen werden. Situationen - Anforderungen Critical Incident Technique IRBI Community Adaptive Lernumgebung Test Intervention Test Heuristische Strategien # 48

49 Sensibilisierungskampagnen Zielgruppen # 49

50 # 50

51 # 51

52 # 52

53 # 53

54 # 54

55 # 55

56 # 56

57 Sensibilisierungskampagnen Beispiele # 57

58 EISAS Basic Toolset Training Fragebogen Bericht # 58

59 EISAS large scale pilot DTAG SE Film Norsis Identity Theft Quiz # 59

60 DTAG Social Engineering # 60

61 Akteure der IT Sicherheit # 61

62 Akteure der IT Sicherheit # 62

63 Datenautobahn Mit dem Begriff Datenautobahn wird versucht Sicherheit, Zielgerichtetheit, Übersichtlichkeit, Geschwindigkeit und Effektivität mit dem Internet zu verbinden. Joseph Weizenbaum: Information-Highway and the Global Village. Vom Umgang mit Metaphern und unsere Verantwortung für die Zukunft. In: Computermacht und Gesellschaft (2000). # 63

64 IT Geräte Akerlof, George A. (1970). "The Market for 'Lemons': Quality Uncertainty and the Market Mechanism". Quarterly Journal of Economics 84 (3): doi: / # 64

65 Arbeitsumgebung Computers are complex, difficult to learn, difficult to use, difficult to maintain. Moreover, this complexity is fundamental to the beast; there is no way to overcome it. Donald A. Norman We humans are social beings. We work best with other people # 65

66 # 66 Nutzlast (Komplexität)

67 Recht Eltern haften für ihre Kinder - das gilt auch dann, wenn der Nachwuchs im Internet gegen geltendes Recht verstößt. Das hat das Landgericht München I in einem am Mittwoch veröffentlichten Grundsatzurteil klargestellt (Az.: 0 7 O 16402/07). Dessen 7. Zivilkammer gab der Klage einer Fotografin gegen die Eltern einer 16-Jährigen statt, die Fotos von der Homepage der Klägerin kopiert und ein daraus erstelltes Video ins Internet gestellt hatte. Die elterliche Aufsichtspflicht gelte auch für das Internet, stellten die Richter klar. Die Eltern seien dazu verpflichtet, mit ihren Kindern darüber zu sprechen, was diese im Internet beachten müssen. ( ) In diesem Sinne sein ein mit dem Internet verbundener Computer mit einem gefährlichen Gegenstand gleichzusetzen. # 67

68 Wirtschaft: Externe Effekte "Externe Effekte sind nichtkompensierte Vor- oder Nachteile, die Dritten durch wirtschaftliche Aktivität entstehen." Positiver externer Effekt Negativer externer Effekt # 68

69 # 69 Software-Markt: Externe Effekte Produzent Hersteller tragen kein Risiko für die Schäden, die aus Qualitätsmängeln oder Sicherheitslücken der verkauften Produkte entstehen. Kunden Kunden, die unsichere Systeme mit dem Internet verbinden, tragen kein Risiko für Schäden, die aus der Benutzung unsicherer Produkte entstehen.

70 # 70 Software-Markt: Konstruktionsfehler Anreiz-Perversion Software ist ein nicht-substituierbares Gut, das keine natürliche Begrenzung der Lebensdauer kennt. Neues Einkommen kann der Hersteller nur generieren durch zusätzliche Funktionen, Beheben von Fehlern und durch neue Versionen. Benutzer-Fehlverhalten Nutzer reagieren auf Art und Anzahl von Funktionen eines Produkts, nicht auf die Eignung des Produkts für die Aufgabe. Sie sind nicht in der Lage, die Komplexität eines PC oder eines gebräuchlichen Softwareprodukts zu verstehen. Sie haben keinen Anreiz, sich die notwendigen Kenntnisse, Fähigkeiten und Fertigkeiten für die Beurteilung eines Produkts anzueignen.

71 # 71 Sicherheits-Kultur Kultur Wie wir es hier machen Kulturproduzenten Erziehung Institutionalisierte Bildung Öffentlichkeitsarbeit / Medien Buddy Network Organisationen Politik Man kann Kinder erziehen wie man will, sie machen einem sowieso alles nach.

72 # 72

73 Psychologie der IT-Sicherheit # 73

74 "Science finds, industry applies, man conforms" Motto der Chicago World Fair, 1933 "Eine Armee talentierter Mathematiker, Computerwissenschaftler und Ingenieure haben über Jahrzehnte hinweg eine elegante Lösung nach der anderen zur Lösung der Probleme der IT-Sicherheit vorgeschlagen Die Benutzer haben bisher alle Bemühungen boykottiert." Greenwald, Infosec's dirty little secret, NSPW 2004 # 74

75 # 75

76 2014 Year of Convenience # 76

77 Warum ist Google stärker als der SiBe? Warum besiegt Bequemlichkeit den Verstand? Warum? # 77

78 Hoppla! Was ist das?

79 # 79

80 Riskante Entscheidung Installation abbrechen Schaden vom System fernhalten Anwendung nicht benutzen Installation durchführen Risiko eines Schadens in Kauf nehmen Anwendung benutzen

81 # 81

82 # 82

83 Sure Gain Heuristik Szenario 1 50 sicher gewinnen 100 für Kopf nach Münzwurf Szenario 2 50 sicher verlieren 100 verlieren für Kopf nach Münzwurf

84 Hoppla! Was ist das?

85 Sure Gain Heuristik Szenario X Installiere Active X Control von unbekannter Quelle nicht. (Website kann nicht gesehen werden, 100% Nicht- Erreichen des primären Ziels) Installiere Active X Control und erreiche das primäre Ziel (mit dem Risiko, dass vielleicht etwas Schlimmes passiert)

86 # 86

87 Sicherheit ist sekundär # 87

88 # 88

89 # 89

90 Erlernte Sorglosigkeit # 90

91 Cognitive Engineering # 91

92 Kognitive Heuristiken Menschen folgen im Umgang mit Risiken verschiedenen Heuristiken, die im Umgang mit IT-Sicherheit oft problematisch sind, zum Beispiel 1. Sure Gain Heuristic 2. Optimism Bias 3. Control Bias 4. Affect Heuristic 5. Availability Heuristic 6. Confirmation Bias 7. u.v.a.m

93 Optimism Bias 1. Wir halten uns für persönlich besser als andere bei derselben Tätigkeit. 2. Wir überschätzen den möglichen Gewinn und unterschätzen den möglichen Verlust. 3. Wir halten gute Ergebnisse für wahrscheinlicher als schlechte Ergebnisse # 93

94 Control Bias Wir haben die Tendenz zu glauben, wir könnten die Ergebnisse einer Aktivität bestimmen, wenn wir die Tätigkeit selbst ausführen. # 94

95 Affect Heuristic Wenn wir uns in einer Situation gut fühlen, schätzen wir Risiken geringer ein, als sie sind. Wenn wir uns in einer Situation schlecht fühlen, schätzen wir die Risiken höher ein, als sie sind. # 95

96 Availability Heuristik Wir beurteilen die Häufigkeit des Auftretens eines Ereignisses abhängig von der Leichtigkeit, mit der wir uns an das Auftreten dieses Ereignisses in der Vergangenheit erinnern. # 96

97 Confirmation Bias Wir haben die Tendenz nur solche Informationen zu suchen, die eine gefasste Meinung bestätigen oder Information so zu interpretieren, dass sie die gefasste Meinung bestätigen. # 97

98 # 98

99 Social Engineering # 99

100 Social Engineering Prinzipien Reziprozität Commitment & Konsistenz Soziale Bewährtheit Autorität Sympathie Knappheit # 100

101 Reziprozität Reziprozität (kleine Geschenke erhalten die Freundschaft)

102 Commitment Commitment & Konsistenz (low-ball)

103 Soziale Bewährtheit Soziale Bewährtheit (alle tun es)

104 Autorität Autorität (Milgram Experiment)

105 Sympathie Sympathie (Attraktivität, Ähnlichkeit, Komplimente, Kontakt und immer lächeln)

106 Knappheit Knappheit (nur noch wenige Exemplare, nur noch kurze Zeit)

107 Gedankenexperimente Es spielen mit Sicherheitsvorschriften Sympathie Knappheit Es spielen mit Sicherheitsvorschriften Reziprozität Sympathie # 107

108 SE Angriffsbaum Ziel: Zusammenarbeit mit einem ahnungslosen Opfer 1 Kontaktaufnahme unter Vortäuschung einer falschen Identität (UND) 1.1 Erfindung einer gefälschten Identität (ODER) Fiktive Person, deren Interesse an den fraglichen Informationen in jedem Fall gerechtfertigt scheint, z.b. Schriftsteller, Drehbuchautor (ODER) Fiktive Person, die in einem vermeintlichen Verhältnis zum Opfer steht (ODER) Person innerhalb des Unternehmens (ODER) Autoritätsperson, Vorgesetzter (kann sich das Prinzip der Autorität zunutze machen) (ODER) Kollege, Zweigstellenmitarbeiter (kann sich die Prinzipien der Verpflichtung und der Sympathie zunutze machen) Person außerhalb des Unternehmens Mitarbeiter einer Regierungs- oder Strafverfolgungsbehörde (kann sich das Prinzip der Autorität zunutze machen) (ODER) Geschäftspartner, Kunde (kann sich die Prinzipien der Verpflichtung und der Sympathie zunutze machen) # 108

109 SE Angriffsbaum 1.2 Übernahme und Verwendung einer real existierenden Identität (setzt unter Umständen vorhergehende Social Engineering-Angriffe voraus) (ODER) Ermittlung von Personen, die den unter 1.1 genannten Gruppen angehören (UND) Beschaffung von entsprechenden Authentifizierungsmerkmalen, wie beispielsweise Personalnummer, Büronummer, Kostenstelle, firmeninterne Durchwahl mit Anrufbeantworter, usw. 1.3 Agieren als Vermittler einer Person, die in einem vermeintlichen Verhältnis zum Opfer steht (Name Dropping) (kann die Prinzipien der Vergeltung, Verpflichtung, Sympathie und Autorität ausnützen) Nennung eines bekannten Auftraggebers ( <Soundso> hat mich gebeten, diese Akten einzusehen. ) (ODER) Direkte Weiterleitung einer vorgetäuschten telefonischen Anfrage ( Ich habe gerade <soundso> in der anderen Leitung. Sie möchte wissen... ) # 109

110 SE Angriffsbaum 2 Verwendung von Methoden zum Erlangen von Vertrauen auf Seiten des Opfers (UND) 2.1 Zwangloses Gespräch, wiederholte Gespräche (kann sich das Prinzip der Sympathie zunutze machen) (ODER) 2.2 Verwendung von Fachtermini der Branche (ODER) 2.3 Demonstration von Insiderwissen (ODER) Gesprächsführung im Firmenjargon (ODER) Verwendung von Wissen über Zuständigkeiten, betriebliche Abläufe und Informationsmanagement 2.4 Äußerung einer Bitte um Hilfestellung (kann sich das Prinzip der Sympathie zunutze machen (ODER) 2.5 Angebot einer Hilfestellung (setzt unter Umständen vorhergehende Social Engineering- oder technische Angriffe voraus, durch die ein Problem generiert wird; kann sich das Vergeltungsprinzip zunutze machen) # 110

111 SE Angriffsbaum 3 Anwendung von Verfahren, die der Informationsgewinnung dienlich sind 3.1 Möglichkeiten der Informationsgewinnung, die vor dem tatsächlichen Angriff durchgeführt werden (UND) Recherche in Zeitungsmeldungen, auf Webseiten, Werbebroschüren und anderen öffentlich zugänglichen Informationsquellen (ODER) Durchsuchen der firmeneigenen Abfallcontainer nach verwertbaren Informationen (Dumpster Diving) 3.2 Verfahren der Informationsgewinnung im laufenden Angriff Vorgetäuschte Durchführung einer Umfrage oder Mitarbeiterbefragung (kann sich das Prinzip der sozialen Bewährtheit zunutze machen) (ODER) Bieten einer Möglichkeit für Rückfragen und -antworten (ODER) Einrichten einer passenden Rückrufnummer (auch für Faxe) (ODER) Einrichten eines anonymen Postfachs (Mail Drop) für etwaige Zusendungen Verwendung des Vorwands einer dringenden Erledigung des Anliegens (kann sich das Prinzip limitierter Ressourcen (Zeit) zunutze machen) # 111

112 Social Engineering Social Engineering in IT-Systemen bezeichnet das Ausnutzen von angeborenen oder habitualisierten Verhaltensdispositionen, um die Informationssicherheit zu kompromittieren. Social Engineering ist das Benutzen von Verhaltensdispositionen, um ein Ziel zu erreichen. # 112

113 Die Kunst der Täuschung # 113

114 # 114

115 # 115

116 # 116

117 Vertrauen # 117

118 Alles Reden ist sinnlos, wenn das Vertrauen fehlt # 118

119 Vertrauen - Definitionen 1. Vertrauen resultiert aus bisheriger Erfahrung und der Hoffnung auf das Gute im Menschen (Schottlaender) 2. Vertrauen hängt von frühkindlichen Erfahrungen ab, vor allem von der Qualität der Mutter-Kind-Beziehung. Unnötige Versagungen, Drohungen und persönliche Unzuverlässigkeit verhindern Vertrauen (Erik H. Erikson) 3. Vertrauen reduziert die Komplexität menschlichen Handelns und gibt Sicherheit (Niklas Luhmann) 4. Vertrauen basiert auf der Erwartung einer Person oder einer Gruppe, sich auf ein mündlich oder schriftlich gegebenes Versprechen einer anderen Person oder Gruppe verlassen zu können. # 119

120 Vertrauen - Merkmale 1. Ungewissheit 2. Risiko 3. mangelnde Möglichkeit das Schicksal (die Umwelt) zu beeinflussen 4. Ausrichtung auf die Zukunft # 120

121 Vertrauen - Eigenschaften 1. Mechanismus zur Reduktion von Komplexität - rationale Entscheidung nicht möglich - erlaubt intuitive Entscheidungen (gut feeling) - vereinfacht das Leben durch Eingehen eines Risikos 2. Misstrauen - funktionales Äquivalent zu Vertrauen 3. Wagnis - Vertrauen ist immer eine riskante Vorleistung 4. Erweisen von Vertrauen - routinemäßig - bedacht - unbedacht (leichtsinnig), Fakultät für Psychologie und Pädagogik # 121

122 Vertrauen - Voraussetzung 1. Urvertrauen - Voraussetzung für Vertrauenshandlungen - emotionale Sicherheit - angstarme Auseinandersetzung mit der Umwelt 2. Reziprozität - Anlass - Vorleistung des Vertrauenden - Honorierung der Vorleistung 3. Kontextplastizität - Ergebniskonsistenz - psychologischer Vertrag, Fakultät für Psychologie und Pädagogik # 122

123 Online-Vertrauen 1. Eigenschaften des Internet Eigenschaften der Aufgaben Eigenschaften der Benutzer - - -, Fakultät für Psychologie und Pädagogik # 123

124 , Fakultät für Psychologie und Pädagogik # 124

125 Online-Vertrauen - Merkmale 1. Vertrauenssubjekte - Nutzer - technische Einrichtungen (Artefakte) 2. Vertrauensobjekte - Nutzer - Angebote (Informationen, Leistungen) 3. Vertrauensumgebung - Technik - Anbieter 4. Vertrauenshandlungen - - -, Fakultät für Psychologie und Pädagogik # 125

126 Online-Vertrauen - Dynamik 1. Vertrauensbildung - analog - online 2. Festigung des Vertrauens - analog - online 3. Schwinden von Vertrauen - analog - online, Fakultät für Psychologie und Pädagogik # 126

127 Animismus # 127

128 # 128

129 Intelligentes Verhalten # 129

130 Logozentrismus # 130

131 Bounded Rationality Die Kapazität des menschlichen Gehirns für die Formulierung und Lösung komplexer Probleme ist sehr klein im Vergleich zur Größe der Probleme, deren Lösung erforderlich ist für objektiv rationales Verhalten in der realen Welt ja sogar für eine nennenswerte Annäherung an objektiv rationales Verhalten. # 131

132 Intelligentes Verhalten 132

133 Visceral # 133

134 Visceral Roger N. Shepard, The minds eye. Finding truth in illusion

135 Behavioral

136 Behavioral

137 Behavioral

138 Reflective

139 Heuristiken # 139

140 Heuristik Heuristik (altgr. εὑρίσκω heurísko ich finde ; heuriskein, (auf-)finden, entdecken ) bezeichnet die Kunst, mit begrenztem Wissen und wenig Zeit zu guten Lösungen zu kommen # 140

141 Weniger ist mehr # 141

142 Weniger ist mehr # 142

143 Partnerwahl Der Astronom Johannes Kepler begann nach einer arrangierten und unglücklichen ersten Ehe mit einer systematischen Suche nach seiner zweiten Frau. Er prüfte elf mögliche Kandidatinnen in zwei Jahren. Freunde drängten ihn, Kandidatin Nummer vier zu heiraten, eine Dame von Stand mit einer verlockenden Mitgift, doch er war fest entschlossen, seine Nachforschungen fortzusetzen. Schließlich wies ihn diese perfekt passenden Bewerberin beleidigt zurück, weil er zu lang mit ihr gespielt habe. Ihr Entschluss war unwiderruflich. # 143

144 Ein Mann kann klein und dick und kahlköpfig sein wenn er feurig ist, mögen ihn die Frauen. Mae West

145 One Reason Decision Making Menschen haben nur begrenzte Kapazität für die Verarbeitung von Informationen. Wir verwenden Multitasking und sind nur begrenzt aufmerksam. Menschen bevorzugen schnelle Entscheidungen auf der Basis von gelernten Regeln und einfachen Heuristiken. "One reason decision making" ist hocheffizient und in der analogen Welt gut genug. # 145

146 Heuristik Heuristik (altgr. εὑρίσκω heurísko ich finde ; heuriskein, (auf-)finden, entdecken ) bezeichnet die Kunst, mit begrenztem Wissen und wenig Zeit zu guten Lösungen zu kommen # 146

147 One Reason Decision Making Menschen haben nur begrenzte Kapazität für die Verarbeitung von Informationen. Wir verwenden Multitasking und sind nur begrenzt aufmerksam. Menschen bevorzugen schnelle Entscheidungen auf der Basis von gelernten Regeln und einfachen Heuristiken. "One reason decision making" ist hocheffizient und in der analogen Welt gut genug.

148 Ein Mann kann klein und dick und kahlköpfig sein wenn er feurig ist, mögen ihn die Frauen. Mae West

149 IT Sicherheit Lernen # 149

150 IT-Sicherheit ist schwer In einer üblichen Lernsituation wird Verhalten durch positive Verstärkung geformt. Wenn wir etwas richtig machen, werden wir belohnt. Im Fall von Sicherheitsentscheidungen ist die positive Verstärkung die, dass die Wahrscheinlichkeit, dass etwas Schlimmes geschieht, weniger groß ist. Wenn aber etwas Schlimmes geschieht was selten der Fall ist oder nicht bemerkt wird dann kann das Tage, Wochen oder Monate von der falschen Entscheidung entfernt sein. Das macht das Lernen negativer Konsequenzen extrem schwer, ausgenommen im Fall spektakulärer Katastrophen.

151 IT-Sicherheit lernen IT-Sicherheit ist ein abstraktes Konzept, das nur schwer gelernt werden kann. Die Entscheidung für Sicherheit hat kein sichtbares Ergebnis und es gibt keine sichtbare Bedrohung. Die Belohnung für sicheres Verhalten ist, dass nichts Schlimmes passiert.

152 Analoger Unfall

153 Digitaler Unfall

154 Probleme mit Menschen In der IT Sicherheit liegen daran, dass Menschen Menschen sind. # 154

155 Menschen und Maschinen # 155

156 Maschinenzentrierte Sicht Menschen ungenau desorganisiert ablenkbar emotional unlogisch Maschinen genau organisiert konzentriert nüchtern logisch # 156

157 Menschenzentrierte Sicht Menschen schöpferisch anpassungsfähig achtsam gegenüber Wandel emotional erfinderisch Maschinen unoriginell rigide änderungsresistent nüchtern einfallslos # 157

158 Analoges Leben # 158

159 Digitales Leben # 159

160 # 160

161 # 161

162 # Analog vs Digital

163 Human Factors Engineering # 163

164 Wie schaffe ich es nur, dass Kinder Obst essen? Und nicht Süßigkeiten? # 164

165 # 165

166 Anreizsystem Ein Anreiz ist etwas, das für ein System (Individuum, Organisation, Gesellschaft) ein Motiv darstellt, sich in bestimmter Weise zu verhalten. Mögliche Anreize sind Moralische Werte Zwang Geld Anerkennung Schönheit u.v.a.m. # 166

167 LRZ Natomat # 167

168 Lost laptops Close to 10,278 laptops are reported lost every week at 36 of the largest U.S. airports, and 65 percent of those laptops are not reclaimed, the survey said. Around 2,000 laptops are recorded lost at the medium-sized airports, and 69 percent are not reclaimed. Travelers seem to lack confidence that they will recover lost laptops. About 77 percent of people surveyed said they had no hope of recovering a lost laptop at the airport, with 16 percent saying they wouldn't do anything if they lost their laptop during business travel. About 53 percent said that laptops contain confidential company information, with 65 percent taking no steps to protect the information. 168 degenh

169 Good girls I have lost my laptop on a number of occasions (not in airports but twice on trains) and it was always returned to me. Don't people have name tags with phone numbers on their luggage? Does the Lost and Found department not try to return lost items that have considerable value and have nametags on them? Or in them when you open/start them in the case of laptops? It puzzles me. Posted by: mare at July 4, :55 AM 169 degenh

170 Soziale Heuristiken Moralische Standards Reziprozität Kommitment & Konsistenz Soziale Bewährtheit Autorität Sympathie Knappheit Befolgen moralischer Standards Ehrlichkeit Vertrauen Anständigkeit/Fairness Gerechtigkeit Wahrhaftigkeit Verantwortungsbewusstsein Güte Höflichkeit # 170

171 Moralische Entwicklung Dilemmata billige Kinokarten shill bidding cloud Bibliothek # 171

172 The brain in not an organ of thinking but an organ of survival, like claws and fangs. It is made in such a way as to make us accept as truth that which is only advantage. # 172

173 Nicht zum Zwecke der Wahrheitssuche entwickelte die Natur das menschliche Gehirn. Es ist ein Organ des Überlebens. Menschliches Handeln wird von Bedürfnis und Verlangen bestimmt, und das Gehirn ist das Instrument zu deren Befriedigung. 173

174 # 174

175 AIDA # 175

176 Awareness Raising ENISA Communication & Commitment Curve # 176

177 AIDA Security Selling # 177

178 ENISA Basic Toolset # 178

179 Einstellungen und Verhalten # 179

180 Sozio-technische Systeme sind vielleicht steuerbar. Sie sind ganz sicher nicht beherrschbar. Systeme Mechanische Systeme Lebende Systeme Systeme Technische Systeme Soziale Systeme Sozio-technische Systeme komplex chaotisch emergent

181 Wann ist ein Modell falsch? 1/19/2015 # 181

182 Anreizsystem # 182

183 # 183

184 # 184

185 Es gibt nichts Gutes, ausser man tut es. # 185

186 # 186

187 # 187

188 # 188

189 IT Sicherheitsmetriken IT Sicherheitsprogramme werden evaluierbar durch Metriken. 1. Grobziele (goals) und Feinziele (objectives) definieren 2. Entscheidung für bestimmte Metriken (z.b. Indizes) 3. Methoden der Datenerhebung und Analyse festlegen 4. Benchmarks und Zielgruppen festlegen 5. Feststellen/Festlegen der Baseline 6. IT Sicherheitsprogramm durchführen 7. Erfolg des Programms messen 8. Review 9. Zurück zu 1. # 189

190 Erfolg messen Methode Einsatzbereich Vorteile Nachteile Fragebogen Studie Persönliches Interview Große Menge einfacher Informationen auf einfache Weise Erbringt tiefergehende Informationen, Ein- Drücke und Absichten können genauer erhoben werden - anonym - preiswert - leicht zu analysieren - grosse Stichproben - Fragebögen liegen vor - Beziehung zum Befragten - Flexibilität - non-response - Frage-Bias - Stichproben schwierig - schwierige Fragen schwierig - teuer (Interviewer, Zeit, Datenerfassung) - offene Antworten aufwendig in der Analyse Fokus Gruppe Exploration eines begrenzten Themas in einer Gruppendis- Kussion; Erfahrungen mit / Vorschläge für allgemeine Probleme - schnell und zuverlässig bei geeigneten Fragestellungen - Schlüsselinformationen für den Ablauf eines Programms - Analyse oft aufwendig - Auswahl und Termine der Teilnehmer oft schwierig - Untersuchungsleiter muss gut geschult sein # 190

191 Erfolg messen Methode Einsatzbereich Vorteile Nachteile Test Beobachtung Hochgradig zuverlässige (reliable) Information z.b. in der Personalauswahl; Vergleichbarkeit Genaue Informationen über die Wirkungen eines Programms, einer Intervention - viele normierte Tests liegen vor - schnell - Verhaltensänderung kann beobachtet werden - Analyse durch Spezialisten - z.zt. keine spezialisierten Test für sicheres IT-Verhalten - teuer - Beobachtung kann Verhalten beeinflussen - aufwendige Analyse Fallstudie Vollständige Darstellung der Erfahrungen und Reaktionen eines Benutzers zu einem Programm oder einer Intervention - Informationstiefe - erreicht alle Aspekte eines Programms - wichtige Informationen für die Außendarstellung - langsam (Erhebung, Analyse) - keine Repräsentativität # 191

192 Erfolg messen Methode Einsatzbereich Vorteile Nachteile Spurensicherung Dokumentation des Programmablaufs ohne das Programm zu stören (Memos, Unterlagen, u.v.a.m.) - historische Information - keine Unterbrechung der Programmroutine - kein Bias - Information liegt vor - oft zeitraubend - Information oft unvollständig - basiert nur auf Daten die schon existieren Messung von Wirkmerkmalen Informationen über das Erreichen des Programmzwecks: IT-Sicherheit - Wirksamkeit der Verhaltensänderung - für viele Zielvariablen gibt es messbare Parameter (z.b. Helpdesk- Calls, Virenmeldungen) - Infrastruktur muss vorhanden sein - Kausalität mitunter nicht nachprüfbar # 192