Faktor Mensch in IT-Managementsystemen oder Security-Awareness nachhaltig und wirksam. Nadin Ebel, Materna

Transkript

1 Faktor Mensch in IT-Managementsystemen oder Security-Awareness nachhaltig und wirksam Nadin Ebel, Materna

2 Agenda. Motivation oder veränderte Rahmenbedingungen Regulatorische Anforderungen Awareness: Psychologische Aspekte & Methoden 2

3 Ausgangslage. Externer Mail-Verkehr Unkenntnis Schäden durch höhere Gewalt Facebook, Twitter, XING, Instagram Phishing Digitalisierung Industrie 4.0 Smart 4. CFO Fraud IoT Datenschutz Vernetzte Systeme Digitalisierung Menschen, Maschinen, Anlagen, Logistik und Produkte Angriffe von Außen Materna GmbH 2017 Gefahren von Innen 3

4 Ignorieren funktioniert nicht! Die meisten Schäden werden vor Ort verursacht! Welche IT-Vorfälle gab es in ihrem Unternehmen? 30% Angriffe über das Internet (z. B. Online-Einbruch, DDOS-Attacken) 58% IT-Sicherheitsvorfälle, die vor Ort verursacht wurden (z. B. gezielter Datenklau, Virus über Datenstick4) 12% Sonstige Vorfälle Menschliches Verhalten ist Risikoträger und Schadensverursacher Nummer 1 für die IT-Sicherheit. Quelle: BITKOM 4

5 Menschliche Sicherheitsprobleme innerhalb der Wertschöpfungskette IT-Management Fehler hinsichtlich IT-Compliance, IT-Governance/Steuerung, Risiko-Management sowie Kommunikation, Awareness und Schulung Software-Entwickler IT-Integrator System-Administrator Endanwender >> >> >> Fehler bei der Implementierung Fehler bei der Integration Fehler bei der Konfiguration und Verteidigung Unkenntnis über IT-Sicherheit und nötige Entscheidungen Schnittstelle Komponente System Einsatzumgebung Quelle: Human-Centered Systems Security, IT-Sicherheit von Menschen für Menschen 5

6 Ignorieren funktioniert nicht! Die Zahlen sprechen für sich: 56% der IT-Entscheider in Deutschland der Ansicht, dass Mitarbeiter über wenig Bewusstsein und Kenntnisse im Bereich IT-Sicherheit verfügen. (VMware) Laut Medienberichten sind von Mitarbeitern verursachte Fehler für mehr als die Hälfte aller Security- Probleme in der IT verantwortlich. 11% der Mitarbeiter würden Sicherheitsrichtlinien des Unternehmens verstoßen, um ihre Arbeit effektiv ausführen zu können. (VMware) Die Anzahl von Spam- Nachrichten mit Schadsoftware im Anhang ist um % angestiegen. (BSI) 6

7 Agenda. Motivation oder veränderte Rahmenbedingungen Regulatorische Anforderungen Awareness: Psychologische Aspekte & Methoden 7

8 Informationssicherheit Die 3 Säulen. Kundenanforderungen Rechtliche Vorgaben Eigeninteresse Öffentliche Kunden Zuverlässige Serviceleistungen Wahrung des Datenschutzes Sichere Infrastrukturen E-Business E-Government Know-how-Schutz Kunden-/ Lieferanten Compliance Datenschutz (BDSG) EU-DSGVO Haftungsfragen Regulierung / Corp. Governance (z. B. SOX, Basel III, MaRISK) Compliance (regulatorische z.b. BNetzA) Risk-Management z. B. KontraG IT-Sicherheitsgesetz Schutz von Informationen und Wissen Schutz der Infrastrukturen und der Schnittstellen Zusammenarbeit mit externen Mitarbeitern Kooperation mit Wettbewerbern und Partnern Image in der Öffentlichkeit Vertrauen 8

9 MaRisk AT5, AT7 ISO , 7, A.7 BSI ISIS12 Schritt 2 Branchenstandards..

10 Schritt 2 aus ISIS12 Mitarbeiter sensibilisieren Vorabkommunikation zur Sensibilisierung aller Organisationsebenen Notwendigkeit darstellen: Jeder ist für Informationssicherheit verantwortlich! Verschiedene Methoden einsetzen! (Seminar, E-Learning, Poster, Übungen etc.) Entwicklung von speziellen Präsentationen, Schulungen und weiteren Kommunikationsereignissen für verschiedene Zielgruppen (Leitung, Personalrat, interne und externe IT-Mitarbeiter, Endanwender) Empfehlungen für die kontinuierliche Sensibilisierung von Mitarbeitern Mitarbeiter als die wichtigste Firewall Mitarbeiter als Sicherheitsschwachstelle 10

11 Agenda. Motivation oder veränderte Rahmenbedingungen Regulatorische Anforderungen Awareness: Psychologische Aspekte & Methoden 11

12 Einführung in die Awareness. Achtsamkeit Aktive, innere Haltung der Aufmerksamkeit 12

13 Ziele der Security-Awareness. Mitmachkultur Härtung des Daily Business Menschliche Firewall Security- Awareness mit Werten & Zielen identifizieren Risikobewusstsein schärfen Einklang von Unternehmensund Sicherheitskultur Murphy & Schluder überwinden 13

14 Wie kann man es besser machen? Auf die menschlichen Aspekte eingehen! Die besonderen Eigenschaften berücksichtigen und fördern. 14

15 Die KunstK Lernen durch Erleben Mit Spaß & Spannung zu mehr Sicherheit! 15

16 Zusammenfassung. 1. Awareness ist substanziell für erfolgreiche Informationssicherheit. 2. Die Lösungen liegen in der Kultur der Organisation. 3. Die Methoden der Awareness sind vielfältig. 4. Fokus von Awareness ist die persönliche Integration der Mitarbeiter. 5. Der Erfolg liegt in der Kreativität der Kampagnen. 6. Awareness muss in die Köpfe. 7. Multipräsente Trainingsinhalte als Vehikel nutzen. 8. Die Mitarbeiter brauchen greifbare Vorbilder. 16

17 Fragen. MaTA und Dipl.-Kffr. Nadin Ebel Master Consultant BL IT Factory, ITSM Consulting Materna GmbH 01570/