Security-Awareness nachhaltig und wirksam Mit Spannung, Spaß und Spiel zu mehr Sicherheit

Transkript

1 Security-Awareness nachhaltig und wirksam Mit Spannung, Spaß und Spiel zu mehr Sicherheit 4. Forschungstag IT-Sicherheit NRW Alfons Marx, Materna GmbH

2 Agenda. Motivation oder veränderte Rahmenbedingungen Regulatorisches Anforderungen Awareness: Psychologische Aspekte & Methoden 2

3 Ausgangslage... Schäden durch höhere Gewalt Externer Mail-Verkehr Unkenntnis Angriffe von Außen Gefahren von Innen Facebook, Twitter, XING, Instagram Phishing Digitalisierung Industrie 4.0 CFO Fraud Smart. IoT Datenschutz Vernetzte Systeme Digitalisierung Menschen, Maschinen, Anlagen, Logistik und Produkte 3

4 Menschliches Verhalten ist Risikoträger und Schadenverursacher Nummer Eins. 4

5 Ausgangslage. Externer Mail-Verkehr Unkenntnis Facebook, Twitter, XING, Instagram Phishing Digitalisierung Industrie 4.0 CFO Fraud Smart. IoT Datenschutz Vernetzte Systeme Digitalisierung Menschen, Maschinen, Anlagen, Logistik und Produkte 5

6 56% der IT-Entscheider in Deutschland der Ansicht, dass Mitarbeiter über wenig Bewusstsein und Kenntnisse im Bereich IT-Sicherheit verfügen. Laut Medienberichten sind von Mitarbeitern verursachte Fehler für mehr als die Hälfte aller Security- Probleme in der IT verantwortlich. 11% der Mitarbeiter würden Sicherheitsrichtlinien des Unternehmens verstoßen, um ihre Arbeit effektiv ausführen zu können (Vmware). Die Anzahl von Spam- Nachrichten mit Schadsoftware im Anhang ist um % angestiegen.

7 Menschliche Sicherheitsprobleme innerhalb der Wertschöpfungskette IT-Management Fehler hinsichtlich IT-Compliance, IT-Governance/Steuerung, Risiko-Management sowie Kommunikation, Awareness und Schulung Software-Entwickler IT-Integrator System-Administrator Endanwender >> >> >> Fehler bei der Implementierung Fehler bei der Integration Fehler bei der Konfiguration und Verteidigung Unkenntnis über IT-Sicherheit und nötige Entscheidungen Schnittstelle Komponente System Einsatzumgebung Quelle: Human-Centered Systems Security, IT-Sicherheit von Menschen für Menschen 7

8 Agenda. Motivation oder veränderte Rahmenbedingungen Regulatorisches Anforderungen Awareness: Psychologische Aspekte & Methoden 8

9 Informationssicherheit Die 3 Säulen. Kundenanforderungen Rechtliche Vorgaben Eigeninteresse Öffentliche Kunden Zuverlässige Serviceleistungen Sichere Infrastrukturen E-Business E-Government Entwicklungspartnerschaft Know-how-Schutz Kunden-/ Lieferanten Compliance Datenschutz (BDSG) EU-DSGVO Haftungsfragen Regulierung / Corp. Governance (z. B. SOX, Basel III, MaRISK) Compliance (regulatorische z.b. BNetzA) Risk-Management z. B. KontraG IT-Sicherheitsgesetz Schutz von Informationen und Wissen Schutz der Infrastrukturen Kooperation mit Wettbewerbern und Partnern Image in der Öffentlichkeit Vertrauen 9

10 ISO , 7, A.7 BSI ISIS12 Schritt 2 Branchenstandards MaRisk AT5, AT7..

11 Agenda. Motivation oder veränderte Rahmenbedingungen Regulatorisches Anforderungen Awareness: Psychologische Aspekte & Methoden 11

12 Braucht Ihr Sicherheits- Bewusstsein ein Update?

13 Einführung in die Awareness. Achtsamkeit Aktive, innere Haltung der Aufmerksamkeit

14 Ziele der Security-Awareness. Mitmachkultur Härtung des Daily Business Menschliche Firewall Security- Awareness mit Werten & Zielen identifizieren Risikobewusstsein schärfen Einklang von Unternehmensund Sicherheitskultur Murphy & Schluder überwinden 14

15 Der psychologische Aspekt Reiz

16 Der psychologische Aspekt. REAKTION Awareness mit der Keule Tonnenweise Infos Policies Vorschriften Richtlinien Forderungen Langweilige Trainings Rundschreiben Beizettel 16

17 Wie kann man es besser machen? Auf die menschlichen Aspekte eingehen! Die besonderen Eigenschaften berücksichtigen und fördern. 17

18 Sensibilisierung durch Mnemonische Techniken. 18

19 Methode: Next Generation WBT AiaC. Massive Kosteneinsparungen Bedarfsgerechte Schulungsplanung Cloud-Technologie Einfach erweiterbar um zusätzliche Bausteine Flexibel anpassbar an vorhandene Systeme Sicherer Betrieb im deutschen Cloud-Rechenzentrum Auf jedem Gerät Lernen wann und wo ich will 19

20 Die Kunst Lernen durch Erleben Mit Spaß & Spannung zu mehr Sicherheit! 20

21 Sicherheit im Freizeitpark Zwei Teams treten gegeneinander an Die Herausforderung: Prozesse für einen reibungslosen Betrieb aufsetzen Sicherheit im Park gewährleisten Besser sein als die Konkurrenz! Mehrere Runden mit typischen Szenarien aus der Praxis Reflektion der sicherheitsrelevanten und unternehmerischen Aspekte in den Feedbackrunden mit den Trainern Hackerangriff Unachtsamkeit Schadsoftware Diebstahl Spionage Höhere Gewalt Datenverlust Security Beauftragter Park Manager Notfall Operating Business Leitstand Technical Support 21

22 Security Awareness Training. Schärft das Sicherheits- und Risikobewusstsein Sensibilisiert für die Auswirkungen fahrlässigen Handelns Fördert aktive Mitarbeit im Kontext menschliche Firewall Flächendeckend einsetzbar Positives Erlebnis mit Kollegen im Team Security Awareness nachhaltig & wirksam: So kommt Informationssicherheit im Tagesgeschäft an! 22

23 Zusammenfassung. 1. Awareness ist substanziell für erfolgreiche Informationssicherheit. 2. Die Lösungen liegen in der Kultur der Organisation. 3. Die Methoden der Awareness sind vielfältig. 4. Fokus von Awareness ist die persönliche Integration der Mitarbeiter. 5. Der Erfolg liegt in der Kreativität der Kampagnen. 6. Awareness muss in die Köpfe. 7. Multipräsente Trainingsinhalte als Vehikel nutzen. 8. Die Mitarbeiter brauchen greifbare Vorbilder. 9. Die Mnemonik kann eine Hilfe sein. 10. Awareness bleibt spannend und herausfordernd 23

24 Fragen. Dipl.-Ing. Alfons Marx Manager DQS-Auditor Materna GmbH BL IT Factory, Security Consulting Tel / Security-Awareness ist eine gesellschaftspolitische Herausforderung!!! 24