IKT Sicherheit und Awareness

Größe: px

Ab Seite anzeigen:

Download "IKT Sicherheit und Awareness"

Harald Pfaff
vor 6 Jahren
Abrufe

1 Informatikstrategieorgan Bund ISB IKT Sicherheit und Awareness Daniel Graf / November 2009

2 Was ist Awareness? Wikipedia sagt: Mit Awareness (engl. Bewusstsein oder Gewahrsein, auch übersetzt als Bewusstheit, zur Betonung der aktiven Haltung, ferner auch Aufmerksamkeit ) kann in der Informationssicherheit gemeint sein: Das Bewusstsein der Anwender, am PC Gefahren, Angriffen und Risiken ausgesetzt zu sein. Meine Ergänzung: Und wissen wie man sich korrekt verhält 2

3 Ist IKT Sicherheit nötig? 1/4 3

4 Ist IKT Sicherheit nötig? 2/4 4

5 Ist IKT Sicherheit nötig? 3/4 5

6 IKT Sicherheit nötig? 4/4 6

7 Ist IKT Sicherheit nötig? 7

8 Motivation Das berühmte Formular A39 8

9 Motivation Vorfall in der BVerw vom

10 Bedrohungen Informatikstrategieorgan Bund ISB Awareness / Daniel Graf / November

11 Bedrohungen (2009) 11

12 Unser Handeln 7 Departemente Bundeskanzlei Parlamentsdienste Unterschiedliches Empfinden für die Informatiksicherheit Unterschiedliche z.t. bereits durchgeführte Awareness-Kampagnen IT-Sicherheit muss ein zentrales Anliegen vom obersten Management sein 12

13 Ziel IST Zustand eruieren Empfinden am Arbeitsplatz bei allen Mitarbeitenden der Bundesverwaltung Empfinden gegenüber den Vorgesetzten sind die bereits vorhandenen Mittel (Poster, Flyer, CUA, etc.) bekannt und werden diese richtig eingesetzt Externe Unterstützung einholen Bereitstellung des Fragebogens und des Tools Auswertung aller Antworten genügend Grundlagen vorhanden Verbesserungsvorschläge Ergebnisse analysieren und weiteres Vorgehen definieren 13

14 Vorgehensweise Vordefinierter Fragebogen mit externem Partner analysiert und auf die Bundesverwaltung adaptiert Übersetzungen Französisch, Italienisch und Englisch Installation Tool zur Durchführung der elektronischen Umfrage 2 Wochen Laufzeit der Umfrage Auswertung der Umfrage, gemeinsamer Workshop zur Analyse und Bestimmung möglicher Massnahmen Präsentation an den Informatiksicherheitsausschuss und an den Informatikrat des Bundes 14

15 Ergebnisse (1) der vor der Umfrage vorhandene, subjektive, Eindruck hat sich bestätigt klare Aussagen sind nun vorhanden und nachvollziehbar Unterstützung des oberen Managements ungenügend Analyse der vorhandenen Richtlinien sehr wichtig! 15

16 Ergebnisse (2) Antworten / 63% Zustimmung 16

17 Ergebnisse (3) Tops Sicherer Umgang mit s unbekannter Herkunft Datenschutz Empfinden, dass Informationssicherheit wichtig ist Individuelles Verantwortungsbewusstsein Vorsichtiges Verhalten im Gespräch Bekanntheit der Passwortregeln Sperren des Arbeitsplatzes beim Verlassen Flops Schulungsangebot Kontrolle der Clear Desk Policy Verschlüsselung von s Awarenessmassnahmen irgendwelcher Art Weisung kennen Wissen, wie Sicherheitsverletzungen melden Wissen, wo Sicherheitsrichtlinien finden 17

18 Besonderheiten (1) Weisungen und Richtlinien mehr Personen halten sich an die Weisung, als sie die Weisung kennen Passwortregeln: meist bekannt, jedoch hält man sich nicht immer strikt daran (Passwörter aufschreiben und weitergegeben) Richtlinien: Existenz hinreichend bekannt, jedoch wissen nur 50% der Befragten, wo diese aufzufinden sind Richtlinien zu technisch und für die Mitarbeitenden der BVerw nicht oder zuwenig verständlich Organisatorische Zuständigkeit Person bekannt, aber ungenügend wahrgenommen Vorbildfunktion des Managements: schwach Wahrnehmung der Umsetzung und Wichtigkeit: gering 18

19 Besonderheiten (2) Einstellung allgemein gut Motivation neutral Verhalten Sichere Verhaltensweisen; grundsätzlich vorhanden Verhalten: 15% schätzen ihr eigenes Verhalten als 'sicherer' ein, als das der Kollegen / Ämter / Departemente 19

20 Sicherheitskulturmodell BVerw 20

21 Sicherheitskulturmodell VBS 21

Weitere Erkenntnisse Es braucht Awareness-Programme für alle Hierarchiestufen Zielgruppen (Management, Fachmitarbeitende, Administratoren, IKT-Spezialisten etc.

22 Weitere Erkenntnisse Es braucht Awareness-Programme für alle Hierarchiestufen Zielgruppen (Management, Fachmitarbeitende, Administratoren, IKT-Spezialisten etc.) müssen gezielt adressiert werden Nachhaltigkeit fördern Die IKT-Sicherheit braucht ein Gesicht, ein Erkennungszeichen (Branding) Vorleben auf Managementstufe, in der GL befasst sich eine Person damit Informatikstrategieorgan Bund ISB Awareness / Daniel Graf / November

23 Beispiel BSI für Bürger Informatikstrategieorgan Bund ISB Awareness / Daniel Graf / November

24 Beispiel Swiss Security Day Informatikstrategieorgan Bund ISB Awareness / Daniel Graf / November

25 Beispiel ENISA Informatikstrategieorgan Bund ISB Awareness / Daniel Graf / November

26 Beispiel MELANI Informatikstrategieorgan Bund ISB Awareness / Daniel Graf / November

27 Beispiel Bundesverwaltung Informatikstrategieorgan Bund ISB Awareness / Daniel Graf / November

28 Fazit Faktor Mensch ist (fast) das Wichtigste Verhaltensänderung herbeiführen Strukturiertes Vorgehen! Tragen auch in der GL Alle Mitarbeitenden erreichen Erfolgskontrollen Tun Sie etwas! Informatikstrategieorgan Bund ISB Awareness / Daniel Graf / November

29 Referent Daniel Graf Informatiksicherheitsbeauftragter Bund Informatikstrategieorgan Bund ISB Friedheimweg Bern Phone

Ähnliche Dokumente

Awareness-Kampagne zu IT-Sicherheit und Datenschutz Mit Sicherheit ein gutes Jahr!

32. Forum Kommunikation und Netze 25./26.03.2015 Kai de Barse Stadt Oldenburg i.o. 1 Awareness-Kampagne zu IT-Sicherheit und Datenschutz 2014 Mit Sicherheit ein gutes Jahr! 32. Forum Kommunikation und