Wie lehrt man IT-Sicherheit am Besten? Eine empirische Studie

Transkript

1 Rheinisch-Westfälische Technische Hochschule Aachen Fachgruppe Informatik Diplomarbeit in Informatik Wie lehrt man IT-Sicherheit am Besten? Eine empirische Studie Frank van der Beek 20. August 2007 Gutachter: Prof. Dr.-Ing. Felix Freiling, Universität Mannheim Prof. Dr.-Ing. Klaus Wehrle, RWTH Aachen Betreuer: Dipl. Inform. Martin Mink, Universität Mannheim

2 ii

3

4 Hiermit versichere ich, dass ich die Arbeit selbständig verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel benutzt sowie Zitate kenntlich gemacht habe. Aachen, den 20. August (Frank van der Beek) iv

5 Danksagung An dieser Stelle möchte ich all jenen danken, die durch ihre fachliche und persönliche Unterstützung zum Gelingen dieser Diplomarbeit beigetragen haben Prof. Dr. Felix Freiling und meinem Betreuer Martin Mink für die interessante Aufgabenstellung zu dieser Diplomarbeit, die guten Gespräche sowie für die Unterstützung bei der Organisation und Durchführung der Studie Prof. Dr. Wehrle für seine Bereitschaft, die Arbeit als Zweitgutachter zu betreuen Christian Mertens für die gute Zusammenarbeit und ebenfalls für die Unterstützung bei der Durchführung der Studie Meiner Frau Bettina für ihre seelische Unterstützung und das sie während des gesamten Studiums stets zu mir gehalten hat Meinen Eltern für den stets vorhandenen Rückhalt und die Finanzierung meines Studiums v

6 Kurzbeschreibung Informationssicherheit unterliegt einem ständigen Veränderungsprozess. So werden Angriffe auf IT-Systeme immer gezielter und professioneller durchgeführt, weswegen der Bedarf an qualifizierten IT-Sicherheitsfachkräften vor allem in der Industrie stetig zunimmt. Allerdings ist die Anzahl fähiger Mitarbeiter zu gering, um diesem offensiven Trend entgegen zu wirken, was vor allem darauf zurückzuführen ist, dass in der akademischen Ausbildung IT-Sicherheit noch zu wenig bzw. zu ineffizient gelehrt wird. Die Zielsetzung dieser Arbeit ist es daher, zwei unterschiedliche Lehransätze für IT- Sicherheit miteinander zu vergleichen und zu bewerten. Dabei soll die Hypothese untersucht werden, ob die Vermittlung offensiver Techniken, wie sie auch von Hackern angewendet werden, zu einem höheren Verständnis von IT-Sicherheit führt als eine defensive Lehre. Im Rahmen einer empirischen Studie werden daher zwei Kompaktkurse für IT-Sicherheit mit einem offensiven bzw. defensiven Lehransatz durchgeführt und die Ergebnisse aus Tests und praktischen Aufgaben miteinander verglichen, um Rückschlüsse auf das IT-Sicherheitsverständnis der Kursteilnehmer zu ziehen. Die Ergebnisse werden jedoch zeigen, dass bei dieser Durchführung der Studie die Unterschiede zwischen beiden Kursen zu gering sind, um eine aussagekräftige Entscheidung über die Gültigkeit der Hypothese treffen zu können. vi

7 Abstract Information security is subject to a constant changing process. So attacks on IT-systems are increasingly performed in a targeted and professional way. Therefore we can observe an increasing demand for qualified specialists on the IT-security sector, especially in industry. There are, however, not enough skilled employees to counter this offensiv development. This situation is due to the insufficient academic education in IT-security. Thus the target of this diploma thesis is to compare and to evaluate two different educational approaches for IT-security. In this connection the hypothesis will be investigated if offensiv techniques, as they are practised by hackers, lead to a better comprehension of IT-security than defensiv approaches. Two compact courses, one for an offensiv approach and one for a defensiv approach are subject to an empirical study. The aim of this study is to compare the two approaches by means of tests an practical tasks to draw a conclusion about the comprehension of IT-security of the course participants. The results of this study will show, however, that the differences between the two courses are to small to make a significant decision about the validity of this hypothesis vii

8 viii

9 Inhaltsverzeichnis 1 Einleitung Motivation Zielsetzung der Arbeit Gliederung der Arbeit Grundlagen von Metriken Eine Einführung in die IT-Sicherheitslehre Sicherheitsmetriken und Messen von Wissen Zusammenfassung Grundlagen der empirischen Methodik Grundlagen Experiment Hypothesen Variablen Die Versuchsplanung Testtheorie und Fragebogenkonstruktion Klassische Testtheorie Probabilistische Testtheorie Fragebogenkonstruktion Gütekriterien psychologischer Tests Zusammenfassung Planung und Durchführung der Studie 43 ix

10 Inhaltsverzeichnis 4.1 Hypothese Variablen Die Versuchsplanung Auswahl der Stichprobe und der Gruppen Zuordnung der Teilnehmer zu den Gruppen Auswahl des Forschungsdesigns Test und Fragebogenkonstruktion Persönlichkeitstest Wissenstest Abschlusstest Bestimmung der Testgüte Die Konzeption der Kompaktkurse Inhalt der Kurse und der praktischen Übungen Der Abschlusstest Zusammenfassung Ergebnisse der Studie Ergebnisse des Abschlusstests Ergebnisse der Persönlichkeits- und Wissenstests Aussagekraft der Ergebnisse Signifikanztests Kritische Reflexion der Studie Zusammenfassung und Ausblick Zusammenfassung 97 A Bewerbungsbogen zum Kompaktkurs IT-Sicherheit der RWTH Aachen 99 A.1 Deckblatt A.2 Persönlichkeitsfragebogen A.3 Wissenstest B Persönlichkeitstest nach dem Kurs 109 x

11 Inhaltsverzeichnis C Aufgabenstellung des Abschlusstests 113 xi

12 Inhaltsverzeichnis xii

13 Tabellenverzeichnis 2.1 Gegenüberstellung der drei Lehrebenen Auswirkung der Zuteilungsmethode auf die Validität Auswirkung der Untersuchungsumgebung auf die Validität (Bortz, 2006) Validität der Ergebnisse je nach Versuchsplanung (Bortz, 2006) Vortest-Nachtest-Plan (Bortz, 2006) Solomon Viergruppenplan (Bortz, 2006) x2 faktorieller Versuchsplan Übersicht über die Teilnehmer der Kompaktkurse Die vier Stichprobengruppen für die Durchführung der Studie Schema des Vortest-Nachtest Plans Vollständiger Überblick der Kursinhalte Unterschiedliche Übungsinhalte des Moduls Unixsicherheit Unterschiedliche Übungsinhalte des Moduls Softwaresicherheit Unterschiedliche Übungsinhalte des Moduls Netzwerksicherheit Unterschiedliche Übungsinhalte des Moduls Netzwerksicherheit Unterschiedliche Übungsinhalte des Moduls Malware Ergebnisse des Abschlusstest nach Vorwissen Ergebnisse des Wissenstests vor Kursdurchführung Ergebnisse des Awarenesstests vor Kursdurchführung Zweifaktorielle ANOVA des Abschlusstests xiii

14 Tabellenverzeichnis xiv

15 Abbildungsverzeichnis 1.1 Symantec Security Thread Report Die drei Lehrebenen des NIST - eigene Darstellung Auswahl und Zuordnung der Teilnehmer - eigene Darstellung Bestimmung der Itemschwierigkeit des Wissenstest Aufbau des Abschlusstests (Mink, 2007) Ergebnisse des Abschlusstest Ergebnisse des Abschlusstests nach Vorwissen Bearbeitungsstrategien im Abschlusstest Ergebnisse des Wissenstests vor Kursdurchführung Ergebnisse des Awarenesstests vor Kursdurchführung Ergebnisse des Wissenstests nach Kursdurchführung Ergebnisse des Awarenesstests nach Kursdurchführung Fortschritte der Teilnehmer Relativer Unterschied der Teilnehmerfortschritte Teilnehmer, die ihr System als unsicher empfinden Interaktionsdiagramme für die Ergebnisse des Abschlusstests Berechnung des p-wertes für den Abschlusstest xv

16 Abbildungsverzeichnis xvi

17 1 Einleitung The risks that kill you are not necessarily the risks that anger and frighten you Peter Sandman Wie lehrt man IT-Sicherheit am Besten? Um die Motivation und Zielsetzung dieser Arbeit zu verstehen, betrachtet das Kapitel die aktuelle Lage der IT-Sicherheit im Allgemeinen und die Hintergründe, die zu der obigen Fragestellung und der Durchführung einer empirischen Studie geführt haben. 1.1 Motivation Der Begriff IT-Sicherheit wird auch synonym mit dem Begriff Informationssicherheit verwendet, was deutlicher hervorhebt, dass es sich in diesem Anwendungsbereich um den Schutz von Informationen handelt. Nach einer Definition des Bundesamtes für Sicherheit in der Informationstechnik (BSI) 1 bezeichnet IT-Sicherheit den Zustand eines IT-Systems, in dem die Risiken, die beim Einsatz dieses Systems aufgrund von Gefährdungen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß beschränkt sind. Dabei geht es vornehmlich um die Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Informationen. So muss sichergestellt werden, dass geheime und vertrauliche Informationen nicht an unautorisierte Personen 1 1

18 1 Einleitung gelangen, Daten vor Veränderung und Manipulation geschützt werden und das auf die Daten und Informationen eines Systems zugegriffen werden kann, wann immer diese benötigt werden. Die wesentlichen Begriffe aus der Definition von IT-Sicherheit des BSI sind Gefährdungen und ihre entsprechenden Gegenmaßnahmen, um die Gefahren beziehungsweise Risiken zu begrenzen. Die Bedrohungen, denen IT-Systeme ausgesetzt sind, unterliegen einem kontinuierlichen Veränderungsprozess und derzeit nicht nur einer wachsenden Quantität, sondern auch einer wachsenden Qualität. Verfolgten Angreifer bis vor einigen Jahren noch das Ziel, sich mit ihren Fähigkeiten zu rühmen, steht heute vor allem eine anhaltende Präsenz des Angreifers auf einem kompromittierten Rechner im Vordergrund, um finanzielle Interessen zu verfolgen, bewusst Schaden zu verursachen oder wichtige Informationen auszuspähen. Diese Tatsache wird auch durch eine aktuelle Studie von McAfee belegt(green, 2007), in welcher die größten aktuellen Bedrohungen für IT-Systeme veröffentlicht wurden. Die ersten Plätze belegen dabei die Gefahren durch Phishing, Malware und Imagespam, dem Versenden von Spam-Mails mit Bildern, um die Texterkennung der Spamfilter zu umgehen. Besonders das Phishing, also das Fälschen elektronischer Nachrichten und Webseiten, um an sensible Benutzerinformationen wie Passwörter oder Bankdaten zu gelangen, hat gerade in Deutschland einen traurigen Höhepunkt erreicht. Insgesamt gehen sogar fast 20% aller Sicherheitsrisiken in Europa von Deutschland aus, wie der Vergleich verschiedener europäischer Länder in Abb. 1.1 zeigt (Symantec Corporation, 2006). Die weiteren Gefahrentrends für das Jahr 2007 liegen aber auch in dem Ausspähen von Daten durch Spyware, wie es durch die aktuelle deutsche Kriminalstatistik belegt wird (Bundeskriminalamt, 2006). So ist zwar im Jahr 2006 die Computerkriminalität insgesamt um 4,9% zum Vorjahr gesunken, allerdings sind die Vorfälle beim Ausspähen von Daten um mehr als 25% gestiegen. Dabei ist anzunehmen, das die Dunkelziffer von nicht gemeldeten Vorfällen in der Gesamtstatistik noch viel größer ist, da vor allem im Verlaufe eines Arbeitsverhältnisses begangene Straftaten meist betriebsintern, also durch Kündigung bzw. einvernehmliche Auflösung des Arbeitsverhältnisses geregelt 2

19 1.1 Motivation Abbildung 1.1: Symantec Security Thread Report 2007 werden, um einen möglichen Imageschaden des Unternehmens zu verhindern (Köppen, 2007). Probleme der Informationssicherheit, die zu diesen Bedrohungen führen können, liegen zum einen im Entwicklungsprozess von Softwareprodukten, welcher oft sehr komplex ist und schon kleinste Fehler zu instabilen Programmen oder Sicherheitslücken führen können. Zum anderen wird Software, die auf den Markt gebracht wird, oft nicht mehr ausreichend getestet, sei es durch Zeitdruck oder Konkurrenzkampf. Damit wird der Käufer erst zum eigentlichen Tester des Produktes und hat schon von Beginn an mögliche Sicherheitslücken auf seinem System, die er als Anwender selber nicht kennt und somit auch nicht beeinflussen kann. Das unterschiedliche Verhalten der Hersteller im Umgang mit neuen Sicherheitslücken ist ein häufig angesprochenes und strittiges Thema, wie auch dieses Jahr auf der Hacker- Konferenz Shmoocon 2. Während eine Seite der Meinung ist, dass Sicherheitslücken solange geheim gehalten werden sollten, bis ein Patch zur Beseitigung des Fehlers bereit steht, vertritt die andere Seite die These, dass erst mit der Veröffentlichung eines Feh

20 1 Einleitung lers genügend Druck auf den Hersteller aufgebaut wird, um das Problem schnell zu beheben. Ohnehin dauert es bereits zu lange, einen Fehler zu korrigieren, nachdem er identifiziert wurde. So liegt die durchschnittliche Zeit zwischen der Identifikation einer Sicherheitslücke und dem behebenden Patch bei 47 Tagen, wobei die durchschnittliche Zeit zwischen Identifikation und dem ausnutzenden Exploit bei gerade einmal sechs Tagen liegt (Symantec Corporation, 2006). Auch die Anzahl der so genannten Zero-Day- Attacken, also den Angriffen, die noch vor oder am selben Tag des Bekanntwerdens einer Schwachstelle durchgeführt werden, stiegen ebenfalls deutlich an. So wurde in der ersten Jahreshälfte 2006 nur von einem gemeldeten Zero-Day-Angriff berichtet, im zweiten Halbjahr bereits von zwölf Angriffen (Symantec Corporation, 2006). Unsicher programmierte Software ist aber nur eine Ursache für die aktuelle Gefährdungslage. Das wesentlich schwerer erfassbare Sicherheitsrisiko, welches in dieser Ausarbeitung behandelt werden soll, ist der Anwender von IT-Systemen selbst. Wie der Präsident des BSI, Herr Dr. Helmbrecht, auf dem IT-Sicherheitskongress 2007 berichtete, mangelt es an einer Sozialisierung des Internets. Außerhalb des Internets ist es für jeden selbstverständlich, die Haustür zuzuziehen wenn man das Haus verläßt, dass Auto abzuschließen oder sein Geld auf die Bank zu bringen. In der virtuellen Welt machen sich die Benutzer aber nur wenige Gedanken, welche Konsequenzen ihr Handeln hat. Der Grund für dieses naive Verhalten liegt unter anderem an der Risikowahrnehmung der Personen, wie das Zitat des Kommunikationswissenschaftlers Peter Sandman zu Beginn der Einleitung aussagt. So ist z.b. Antiviren-Software fast flächendeckend auf allen Systemen verbreitet, weil hier das Risiko - auch geschürt durch Meldungen der Fachpresse - als sehr hoch eingeschätzt wird. Anderen IT-Sicherheitsbereichen wie der Verschlüsselung von Datenbeständen oder Zugriffskontrollen wird hingegen weniger Beachtung geschenkt. Dieses sogenannte It won t happen to me-syndrom (Campbell u. a., 2007; Scheidemann, 2007) drückt aus, dass mit dem Glauben an die eigene Unverwundbarkeit bestimmte Risiken zu gering eingeschätzt werden, vor allem wenn bezüglich eines Risikos scheinbar noch kein Schaden eingetreten ist. In der Psychologie spricht man daher auch von einem unrealistischem Optimismus. (Scheidemann, 2007). Letztendlich sind aber die meisten Ausfälle von Computersystemen nicht auf einen Aus- 4

21 1.2 Zielsetzung der Arbeit fall von technischen Schutzmaßnahmen wie Firewalls oder Intrusion Detection Systemen zurückzuführen, sondern eben auf menschliches Versagen, sei es durch Fehlverhalten von Mitarbeitern in einer bestimmten Situation, Fahrlässigkeit durch mangelnde Einstellung gegenüber IT-Sicherheit oder die nicht konsequente Einhaltung von Sicherheitsregeln bzw. Vorschriften. Vor allem in der Industrie ist der Wunsch nach mehr IT-Sicherheit sehr groß, allerdings ist die Anzahl qualifizierter Mitarbeiter gering. Mit ein Grund dafür ist, dass in der Hochschulausbildung zu wenig Informationssicherheit gelehrt und praktiziert wird und viele Studenten zu wenig Kenntnisse auf diesem Gebiet haben, wie auch eine von der Uni Regensburg durchgeführte Studie belegt (Dimler u. a., 2006). In dieser Studie stuften die befragten Studenten IT-Sicherheit zwar als sehr wichtig ein, es zeigte sich aber auch, dass sie nicht genügend Wissen und praktische Erfahrungen haben, um bestimmte Sachverhalte entsprechend zu beurteilen und in die Realität umzusetzen. 1.2 Zielsetzung der Arbeit Die Lehre von IT-Sicherheit kann in vielen Bereichen stattfinden, wobei sich diese Arbeit aufgrund der obigen Ausführungen auf die Lehre im akademischen Bereich konzentriert. Dabei existieren zwei Lehransätze für IT-Sicherheit, der offensive und der defensive Ansatz. Offensiver Ansatz Der offensive Ansatz beschreibt die Vermittlung von Techniken, die darauf abzielen, etwas kaputt zu machen. Dabei geht es vorwiegend um Angriffe auf die drei Grundpfeiler der IT-Sicherheit: Verfügbarkeit, Vertraulichkeit und Integrität. Beispiele für offensive Techniken sind Denial of Service-Angriffe auf die Verfügbarkeit von Informationen oder das Sniffen von Daten im Netzwerk als Angriff auf die Vertraulichkeit. In diesem Zusammenhang kann kaputt machen auch mit strafbar machen gleichgesetzt werden, da Schutzsysteme durchbrochen werden und auch die Manipulation oder das Ausspähen von Daten vom Gesetzgeber 5

22 1 Einleitung explizit unter Strafe gestellt ist 3. Die Intention des offensiven Lehransatzes ist, dass Studenten, die theoretische und praktische Kenntnisse von Angriffstechniken erlernen, auch IT-Systeme besser absichern können, da ihnen die Risiken mehr bewusst sind und somit besser potentielle Gefahren einschätzen können. Defensiver Ansatz Der defensive Ansatz vermittelt im Gegensatz dazu die Techniken, die dem Schutz eines Systems und der enthaltenen Informationen dienen, z.b. durch kryptographische Protokolle, Firewalls, Intrusion Detection Systeme oder Zugriffskontrollen. Während früher ausschließlich nach dem defensiven Ansatz gelehrt wurde, scheint, wie von (Mertens, 2007) beschrieben, an vielen Hochschulen eine Veränderung bezüglich des Lehransatzes stattzufinden, da immer häufiger auch offensive Aspekte an Universitäten vermittelt werden. So liegt auch an der RWTH Aachen bzw. der Universität Mannheim der Schwerpunkt in der IT-Sicherheitslehre auf der Vermittlung von offensiven Techniken. Dazu gehört u.a. ein regelmäßig stattfindendes Hackerpraktikum, in welchem die Teilnehmer anhand von Übungsaufgaben sowohl Angriffstechniken als auch Verteidigungsmaßnahmen in einem geschlossenen Netzwerk praktisch ausprobieren können (Dornseif u. a., 2005b). Eine erweiterte Fortführung des Hackerpraktikums fand in der so genannten Summer School statt, in welcher über mehrere Wochen fortgeschrittene Angriffstechniken begleitet von Vorlesungen und Vorträgen auf wissenschaftlicher Ebene analysiert und in praktischen Übungen erprobt wurden (Dornseif u. a., 2005a). Des Weiteren nimmt die RWTH Aachen regelmäßig und oft erfolgreich an IT- Sicherheitswettbewerben, wie dem Capture the Flag der University of California, Santa Barbara (UCSB) 4 oder dem Cipher 5 Capture the Flag Wettbewerb (CTF) teil, in welchem weltweit verteilte Teams von Universitäten gegeneinander antreten mit dem Ziel, die Server der anderen Teams anzugreifen und dabei gleichzeitig ihren eigenen Server zu schützen , 303a, 303b StGB 4 vigna/ctf/ 5 Challenges in Informatics: Programming, Hosting and ExploRing 6

23 1.3 Gliederung der Arbeit Zielsetzung dieser Arbeit ist es daher, basierend auf den positiven Erfahrungen mit dem offensiven Lehransatz, sowohl die offensive als auch defensive IT-Sicherheitslehre im Rahmen einer empirischen Studie miteinander zu vergleichen und zu bewerten, ob der beschriebene Veränderungsprozess an den Universitäten zu einem höheren Verständnis von IT-Sicherheit führt. 1.3 Gliederung der Arbeit 1. Kapitel - Einleitung: Dieses Kapitel soll dem Leser die Motivation für die Durchführung der empirischen Studie und die Problematik der IT-Sicherheit vermitteln. Unterstützt wird dies durch einen Blick auf die aktuelle Situation im akademischen und industriellen Bereich. 2. Kapitel - Grundlagen von Metriken: Der zweite Abschnitt dieser Arbeit befasst sich mit der Thematik, wie die Lehre in der IT-Sicherheit strukturiert werden kann und wie mit Hilfe von Sicherheitsmetriken bestehende Sicherheitskonzepte bewertet werden können. Zudem sollen die Probleme bei der Bewertung von IT-Sicherheitswissen aufgezeigt werden. 3. Kapitel - Grundlagen der empirischen Methodik: Das dritte Kapitel dient der allgemeinen Vermittlung von Grundlagen und Definitionen der empirischen Methodik. So soll eine Basis für die nachfolgenden Kapitel geschaffen werden, in welchen es um die Durchführung der eigentlichen Studie geht. 4. Kapitel - Planung und Durchführung der Studie: Dieses Kapitel beschreibt die Durchführung der Studie und einer ausführlichen Beschreibung basierend auf den in Kapitel 3 vorgestellten Methoden. Dies beinhaltet auch die Konzeption entsprechender Tests und Fragebögen, sowie der Inhalte und Übungen der IT-Sicherheitskurse. 5. Kapitel - Ergebnisse der Studie: Das vorletzte Kapitel befasst sich mit der Darstellung und Analyse der Ergebnisse, ob ein offensiver Lehransatz erfolgsversprechender ist als ein defensiver Lehransatz. Dabei werden die Ergebnisse auch hinsichtlich ihrer Aussagekraft 7

24 1 Einleitung untersucht und die Durchführung der Studie kritisch reflektiert. 6. Kapitel - Zusammenfassung: Das letzte Kapitel fasst die zentralen Aspekte und wesentlichen Ergebnisse dieser Arbeit zusammen. 8

25 2 Grundlagen von Metriken Da es das Ziel der Studie ist, zwei Lehransätze für IT-Sicherheit zu vergleichen und zu bewerten, müssen diese für einen Vergleich zuvor in eine messbare Form gebracht werden. Daher sollen in diesem Kapitel sowohl die verschiedenen Strukturen der IT- Sicherheitslehre, als auch gängige Messverfahren wie Sicherheitsmetriken zur Bewertung bestehender IT-Sicherheitskonzepte vorgestellt werden, wie sie vor allem in der Industrie anzutreffen sind. Es wird aber auch gezeigt, dass diese Messverfahren nicht dazu geeignet sind, qualitative Aussagen über das IT-Sicherheitswissen zu machen und somit für den Vergleich der beiden Lehransätze im Rahmen der Studie anzupassen sind. 2.1 Eine Einführung in die IT-Sicherheitslehre IT-Sicherheitsausbildung ist ein sehr komplexes und breit gefächertes Gebiet, welches nicht nur die IT-Infrastruktur, Software und sichere Programmierung umfasst, sondern unter anderem auch die aktuelle Gesetzeslage, ethische Grundlagen sowie eine permanente Weiterentwicklungen aufgrund rapider dynamischer Veränderungen. Dabei existieren drei große Bereiche, in denen eine fundierte IT-Sicherheitsausbildung sehr wichtig ist (Highland, 1992): Industrie: Unternehmen, die in die Sicherheit von Informationen investieren, stellen häufig nur die technischen Aspekte in den Vordergrund. Dabei wird der entscheidende Faktor oftmals nicht beachtet, denn nicht die Technik allein ist wichtig, um Informationssicherheit zu gewährleisten, sondern auch die Personen, die mit der Technik arbeiten. Da sich ein potentieller Angreifer immer das schwächste Glied 9

26 2 Grundlagen von Metriken aussucht, können keine IT-Systeme sicher betrieben werden, solange nicht alle Anwender ausreichend geschult und über mögliche Gefahrenquellen oder Risiken aufgeklärt wurden (Yngström u. Björck, 1999). Dabei ist gerade in mittelständischen oder kleinen Firmen die IT-Sicherheitsausbildung der Mitarbeiter sehr wichtig, da diese im Falle eines Systemfehlers in der Regel nicht über geeignete Ausweich- oder Backupsysteme verfügen. Akademischer Bereich: Auch an Hochschulen mangelt es an Fachkräften, um die komplexen und vielseitigen Inhalte von IT-Sicherheit zu lehren. So hat jüngst die Gesellschaft für Informatik (GI) empfohlen, IT-Sicherheit in der schulischen und akademischen Ausbildung aller Studiengänge im Curriculum mehr zu berücksichtigen. Auch die Möglichkeit der Einführung eines expliziten Studiengangs Informationssicherheit wird diskutiert (Gesellschaft für Informatik e.v., 2006). Diese Empfeh- lung ist im Ansatz zwar sehr gut, jedoch mangelt es nach Meinung des Autors an einer genauen Beschreibung, welche Inhalte der IT-Sicherheit gelehrt bzw. praktisch geübt werden sollen. Regierung: Abschließend sind IT-Sicherheitsexperten auch innerhalb der Regierung gefragt, z.b. zum Schutz von nationalen Interessen durch den Aufbau eines IT- Frühwarnsystems 1. Auch bieten sich Strafverfolgungsbehörden durch die zunehmende Vernetzung immer weniger reale Ermittlungsansätze, sodass mehr auf dem virtuellen Weg ermittelt werden muss. Wie bereits in den vergangenen Monaten vermehrt in den Medien berichtet, betrifft dies auch die Entwicklung und den Einsatz der Remote-Forensic-Software 2 der Bundesregierung, besser bekannt als Bundestrojaner, zur Durchführung von Onlinedurchsuchungen. Dabei sind vor allem Programmierer mit viel Kenntnissen von offensiven Techniken gefragt um auch sicherzustellen, dass dieses Programm selber keine Sicherheitslücken verursacht und auch nicht von Dritten missbraucht werden kann

27 2.1 Eine Einführung in die IT-Sicherheitslehre Das National Institute of Standards and Technology (NIST) 3 strukturiert die Lehre in der Informationssicherheit in drei Ebenen, wie sie in der Abbildung 2.1 dargestellt sind. Abbildung 2.1: Die drei Lehrebenen des NIST - eigene Darstellung Die unterste Ebene ist die Awareness-Schicht, auf welcher die grundlegenden Verhaltensrichtlinien in der IT-Sicherheit vermittelt werden sollen und sich daher an alle Personen richtet, die mit Informationssystemen arbeiten. Die zweite Schicht bildet das Training, welches nur die Personen erhalten sollen, die ein spezielles Wissen über mögliche Bedrohungen und Risiken für die weitere Ausübung ihrer aktuellen Tätigkeit aufweisen müssen. Die oberste Schicht wird durch den Begriff der Education geprägt, welche primär auf diejenigen Personen ausgerichtet ist, die IT-Sicherheit beruflich ausüben (Wilson u. a., 1998). Im Folgenden sollen diese drei Schichten genauer beschrieben werden. Awareness Mit Awareness wird die Einstellung einer Person oder Gemeinschaft gegenüber einem bestimmten Sachverhalt bezeichnet (Wilson u. a., 1998). Security Awareness steht hier also für das Verhalten bzw. das entwickelte Bewusstsein gegenüber sicherheitsrelevanten Themen. IT-Sicherheit ist ein wichtiges Thema, das an eine breite Öffentlichkeit adressiert ist und jeden, der privat oder auch geschäftlich mit einem Computer arbeitet, etwas angeht. Daher gehört Awareness zu einem besonders kritischen Punkt, welcher die Grundlage und Basis jeder weiterführenden Ausbildung und tiefer gehenden Lehre bildet. In vielen großen Unternehmen existieren bereits spezielle Awarenesskampagnen,

28 2 Grundlagen von Metriken um die Sensibilität der Mitarbeiter gegenüber sicherheitskritischer Aspekten aufzubauen und den Sinn von Sicherheitsrichtlinien näher zu bringen. Awarenesskampagnen müssen dabei stets aktuell sein und die Teilnehmer immer wieder von neuem ansprechen bzw. motivieren, z.b. durch spezielle Lehrvideos oder neuartige Konzepte wie ein Infotainmentsystem, das derzeit bei Airbus realisiert wird (Aust, 2007), um den Angestellten wesentliche Aspekte der Informationssicherheit auf spielerische Art und Weise zu vermitteln und dadurch den Lerneffekt zu erhöhen. Besonders das Auslösen persönlicher Betroffenheit wirkt dem bereits vorgestellten It won t happen to me - Syndrom entgegen, was die Erfolgswahrscheinlichkeit von Awarenesskampagnen zusätzlich erhöht (Scheidemann, 2007). Awarenessaktivitäten sind vor allem dadurch charakterisiert, dass es sich um sehr kurze Maßnahmen handelt, durch welche die Adressaten der Kampagne neu aufgenommene Erfahrungen in ihr bestehendes Verhalten, also ihre täglichen Arbeitsabläufe, integrieren sollen. Dabei soll dieses Ziel ausschließlich durch die Vermittlung von Informationen aus dem Bereich IT-Sicherheit erreicht werden, nicht durch technische Details oder die benötigten Technologien, um diese Sicherheit zu realisieren. Training Eine Trainingsveranstaltung ist formaler aufgebaut als eine Awarenesskampagne und verfolgt das Ziel, bei den Teilnehmern Wissen und Fähigkeiten (Skills) aufzubauen. Awarenessprogramme fallen nicht in die Kategorie des Trainings, sondern bilden eine Vorstufe, da alle im Training angeeigneten Fähigkeiten auf Awareness aufbauen. So wäre im Bereich der Passwortsicherheit ein kleiner Aufkleber auf der Tastatur mit der Aufforderung, keine kurzen Passwörter zu verwenden, eine sehr einfache Awarenessaktivität, während im Training genauere Details zur Struktur von Passwörtern, Parametern und Passwortänderungen behandelt werden. Eine Trainingseinheit richtet sich somit nicht mehr an alle PC-Benutzer, sondern an speziell ausgewählte Personen, die bestimmte Fähigkeiten und Kenntnisse für ihre tägliche Arbeit benötigen und dadurch ihre Arbeitsleistung verbessern können. Ein Beispiel für eine Trainingsaktivität ist ein IT-Sicherheitkurs für Administratoren, in welchem bestimmte Themen wie Management, Kryptographie, Support und logische sowie physische Zugriffskontrollen vertieft behan- 12