Sensibilisierungskampagnen planen und durchführen Hannover, 21.01. 22.01.2015 # 2 1
Der Mensch und die IT # 3 # 4 2
Zu faul für die Privatsphäre Sollten spätestens nach dem NSA-Skandal nicht alle kapiert haben, dass intime Daten im Netz nichts zu suchen haben? Oder was genau habt ihr nicht verstanden in dem Satz "Online ist nichts privat"? Zur allgemeinen Fassungslosigkeit über böse Menschen sollte sich in die Debatte über den sogenannten Nacktfoto-Skandal deshalb unbedingt bitte auch Fassungslosigkeit über unser aller Bequemlichkeit mischen, die längst dazu geführt hat, dass die totale Überwachung glänzend funktioniert. Und das ganz ohne Gewalt, schließlich sind wir sogar zu faul dazu, unseren Facebook-Status auf "nur Freunde" zu stellen. # 5 # 6 3
Computer: sicher unsicher #7 Microsoft SIR 2011 Der Security Intelligence Report 2011 sagt 0,37% der Exploits benutzten die zero-day Schwachstelle 44,8% der Exploits erforderten eine Aktion des Benutzers 43,2% der entdeckten Malware benutzte die Funktionalität AutoRun von Windows #8 4
# 9 Sichere Systeme # 10 5
Cryptonomicon # 11 Probleme mit Menschen Bruce Schneier sieht sechs Probleme mit Menschen, nämlich 1. wie Menschen Risiken wahrnehmen, 2. wie Menschen mit Ereignissen umgehen, die sehr selten vorkommen, 3. dass es sinnlos ist, Menschen zu intelligenten Sicherheitsentscheidungen aufzufordern, 4. dass Menschen Computern vertrauen, 5. dass es übelwollende Insider gibt, 6. dass Social Engineering so gut funktioniert. # 12 6
Necronomicon # 13 # 14 7
Weltbilder (folkscience, folk psychology) # 15 Weltbild Security Engineering # 16 8
Weltbild Security Engineering # 17 Weltbild Security Engineering # 18 9
Sicherheitsvorfälle 1. Welcher Sicherheitsvorfall hat Sie am meisten beeindruckt? 2. Sicherheitsvorfälle in der eigenen Organisation 3. Sicherheitsvorfälle zuhause # 19 # 20 10
Security Engineering # 21 Security Engineering Analyse # 22 11
Definitionen: System 1. Produkt oder Komponente wie z.b. Hardware des PC oder eine Smartcard 2. wie oben und dazu das Betriebssystem, Netzwerk und alles andere, was die Datentransportinfrastruktur einer Organisation ausmacht 3. wie oben und dazu Anwendungssoftware wie Textverarbeitung, Buchhaltungsoftware und so weiter 4. wie oben und dazu die IT Abteilung 5. wie oben und dazu die internen Benutzer und das Management 6. wie oben und dazu Kunden und andere Externe # 23 Definitionen Subjekt Prinzipal Identität Vertrauen Vertrauenswürdigkeit Geheimhaltung Unversehrtheit Schwachstelle # 24 12
Sicherheit ist eine Geisteshaltung Handout: USS Blue Ridge Handout: Inside the Twisted Mind of the Security Professional Handout: Social Engineering hits Social Commerce Link: NSA rüstet zum Cyber-Feldzug # 25 # 26 13
Awareness # 27 Awareness ist nicht Training # 28 14
Awareness ist nicht Training Awareness ist nicht Training. Der Zweck von Awareness-Kampagnen ist es einfach, Aufmerksamkeit für Sicherheit zu schaffen. Awareness Präsentationen sollen Personen befähigen IT-Sicherheitsprobleme zu erkennen und entsprechend zu reagieren. Bei Awareness Aktivitäten ist der Lernende ein Empfänger von Informationen, während der Lernende in einer Trainings-Umgebung eine aktivere Rolle hat. Awareness will ein breites Publikum mit Inhalten in attraktiver Verpackung erreichen. Training ist mehr formal, mit dem Ziel Wissen aufzubauen und die Fähigkeiten zu vermitteln, die man für die Erledigung seiner Aufgaben braucht. # 29 ENISA Veränderungsmanagementkonzept # 30 15
Sensibilisierungskampagnen Übersicht # 31 # 32 16
# 33 Anlässe für Awareness-Kampagnen Externe Faktoren Neue gesetzliche Regelungen Regierungswechsel Informationstag oder -woche zum Thema Sensibilisierung auf nationaler Ebene Neues nationales, regionales oder lokales Programm zu Grundlagen der Informationssicherheit für die Bürger usw. Interne Faktoren Neue gesetzliche Regelungen und Vorschriften, die für die Organisation relevant sind Neue Sicherheitspolitik und/oder -strategie Aktualisierungen oder Änderungen der Strategien, Verfahren, Standards und Leitlinien zur Informationssicherheit Einführung einer neuen Technologie Neue Mitarbeiter, Auftragnehmer oder Mitarbeiter von Fremdfirmen, die in der Organisation eingesetzt werden Neue Unternehmensleitung Verstärkte Automatisierung Schulung zu den Grundlagen der Informationssicherheit für das gesamte Personal Markteinführung neuer Produkte und Dienstleistungen Einführung neuer Systeme Übernahmen, Fusionen und Veräußerungen Aktuelle Sicherheitsverstöße, -bedrohungen und -vorfälle Neue Risiken # 34 17
Sensibilisierungskampagnen Inhalte # 35 Mehr Fehler als Bosheit Informationstechnik-Gefährdungen Unbeabsichtigte Gefährdung Beabsichtigte Gefährdung Art Ursache Art Motiv Fähigkeiten Regeln Wissen Betrug Spionage Vandalismus Fehler Katastrophe physikalisch syntaktisch semantisch # 36 18
Non-Security Considerations # 37 Risiko-Abschätzung (1) # 38 19
Risiko-Abschätzung (2) # 39 Risiko-Würfel # 40 20
Risiko-Würfel # 41 # 42 21
Risikoanalyse Hands-On # 43 # 44 22
Hoppla! Was ist das? # 45 Hoppla! Was ist das? # 46 23
Hoppla! Was ist das? # 47 Konstruktivistische Lerntheorie Der Lernende muss sein Wissen eingebettet in Zusammenhänge und Situationen erwerben. Lernkontexte sollen möglichst authentisch sein. Es sollten keine künstlichen isolierten Probleme, sondern Problemsituationen aus der Umwelt, der Arbeitswelt des Lernenden, genommen werden. Situationen - Anforderungen Critical Incident Technique IRBI Community Adaptive Lernumgebung Test Intervention Test Heuristische Strategien # 48 24
Sensibilisierungskampagnen Zielgruppen # 49 # 50 25
# 51 # 52 26
# 53 # 54 27
# 55 # 56 28
Sensibilisierungskampagnen Beispiele # 57 DTAG Social Engineering # 58 29
DTAG Ziel festlegen Das BSI schätzt in seinem Register aktueller Cyber-Gefährdungen und Angriffsformen folgende Gefährdungen derzeit als besonders bedrohlich und relevant ein: 1. Gezieltes Hacking von Webservern mit dem Ziel der Platzierung von Schadsoftware oder zur Vorbereitung der Spionage in angeschlossenen Netzen oder Datenbanken 2. Drive-by-Exploits zur breitflächigen Infiltration von Rechnern mit Schadsoftware beim Surfen mit dem Ziel der Übernahme der Kontrolle des betroffenen Rechners 3. Gezielte Malware-Infiltration über E-Mail und mithilfe von Social Engineering mit dem Ziel der Übernahme der Kontrolle über den betroffenen Rechner und anschließender Spionage 4. Ungezielte Verteilung von Schadsoftware mittels SPAM oder Drive-by-Exploits mit Fokus auf Identitätsdiebstahl 5. Mehrstufige Angriffe, bei denen z.b. zunächst zentrale Sicherheitsinfrastrukturen (wie TLS/SSL- Zertifizierungsstellen) kompromittiert werden, um dann in weiteren Schritten die eigentlichen Ziele anzugreifen 6. Distributed Denial of Service-Angriff mittels Botnetzen mit dem Ziel der Störung der Erreichbarkeit von Webservern oder der Funktionsfähigkeit der Netzanbindung der betroffenen Institution Die Gefährdungen 1 5 sind Angriffe, die in einen Angriff auf das Risiko Nummer 1 den Nutzer mit einschließen. Die Methoden, die zum Angriff auf den Benutzer, die "human firewall" des Unternehmens beinhalten, werden unter dem Oberbegriff "Social Engineering" zusammengefasst. Sensibilisierung der Mitarbeiter gegenüber Methoden des Social Engineering ist gegenwärtig eine der wichtigsten Maßnahmen zur Bewahrung der Informationssicherheit des Unternehmens. # 59 DTAG Zielgruppen festlegen Mitarbeiter können Social Engineering Angriffe nur abwehren, wenn sie wissen, dass Social Engineering auch in ihrer Arbeitsumgebung auftritt und sie Kenntnis haben über die Methoden eines Angreifers. Die interne Kampagne der Group Business Security (GBS) konzentrierte sich deshalb auf gezielte Information und Aufklärung (Sensibilisierung) der Mitarbeiter für den Schutz vor unerwünschten Informationsfreigaben. Alle Mitarbeiter im Konzern weltweit können von Social Engineering betroffen sein, Mitarbeiter an besonders exponierten Positionen, aber besonders stark. Als Zielgruppen der Kampagne sind deshalb definiert 1. Führungskräfte 2. Mitarbeiter an besonders gefährdeten Positionen (Empfänge, Sekretariate,, etc.) 3. Mitarbeiter allgemein # 60 30
DTAG Lösungsansatz Moment mal. Die Story der Kampagne Der Satz "Moment mal." ist Teil des inneren Dialogs des Angegriffenen, der sich vor Augen hält, dass er sich ein Zeitfenster schaffen muss, um noch mal nachzudenken oder einen Rat einzuholen, bevor er reagiert. Drei Botschaften der Kampagne kommunizieren explizit, dass eigenen Reflexe und Verhaltensroutingen für einen Moment anhalten muss, um zweifelhafte Situationen distanziert und überlegt zu bewerten. 1. Ich lass mich nicht unter Druck setzen. 2. Ich lass mich nicht täuschen. 3. Ich lass mich nicht einwickeln. Der eigene Anteil der Mitarbeiter am Erfolg von Social Engineering Angriffen wird betont. Mitarbeitern wird gezeigt, dass sie Selbstverantwortung für ihr Handeln tragen. Die Mitarbeiter sollen sich die Zeit geben, Kommunikationssituationen mit Ruhe und in aller notwendigen Tiefe zu bewerten. "Denke an deinen 7. Sinn und lass auch mal deinen Bauch sprechen" heißt die Botschaft, die unter der Oberfläche von Titel und Claims der Kampagne wirken # 61 DTAG Lösungsansatz # 62 31
DTAG Bausteine # 63 DTAG Kommunikationskonzept # 64 32
DTAG Informationsdrehscheibe # 65 DTAG Materialien 1 # 66 33
DTAG Materialien 2 # 67 DTAG Materialien 3 Für Mitarbeiter die durch Hören am besten lernen, wurde ein Hörclip angeboten. Drei ehemalige Hacker schildern hier ihre größten Social Engineering Erfolge moderiert von einem Radio Talkmaster. # 68 34
DTAG Materialien 4 Ein in die Kampagne eingebettetes Gewinnspiel wurde als Anreiz für die Teilnahme an der Kampagne eingesetzt. Die Teilnehmer am Gewinnspiel lernten gleichzeitig alle eingesetzten Materialien kennen. # 69 DTAG Materialien 5 Ein Teamspiel sensibilisiert die Mitspieler für die Methoden des Social Engineering. Die Methoden des Social Engineering und die eigenen Verhaltensdispositionen werden damit erfahrbar. Im Spiel versuchen "Hacker" den anderen Mitspielern wertvolle Informationen zu entlocken. # 70 35
DTAG Materialien 6 Vierzig Mitarbeiter konnten sich telefonisch einem Social Engineering Angriff aussetzen bzw ein Gespräch mit einem Spezialisten führen. # 71 DTAG Materialien 7 Für Führungskräfte wurde ein i60 Webinar angeboten. Namhafte Spezialisten aus dem Bereich der Informationssicherheit und des Social Engineering präsentierten die wichtigsten Fakten und stellten sich der Diskussion # 72 36
DTAG Materialien 8 # 73 DTAG Abwicklung # 74 37
DTAG Evaluation 1. DIE SE KAMPAGNE HAT 40% ALLER MITARBEITER DER DTAG ERREICHT. 51% ALLER MITARBEITER, DIE DIE MYSECURITY BASE NUTZEN, HABEN KENNTNIS VON DER KAMPAGNE BEKOMMEN. 2. Das Sicherheitsbewusstsein der Mitarbeiter, die durch die Kampagne erreicht wurden, ist deutlich höher als das Sicherheitsbewusstsein der Mitarbeiter, die durch die Kampagne nicht erreicht wurden. 3. Insgesamt kennen etwas mehr als ein Drittel der Mitarbeiter den Begriff «Social Engineering» und wissen auch genau, was darunter zu verstehen ist. 4. Führungskräfte zeigen sich besser informiert. Fast die Hälfte der Führungskräfte gibt an, genau zu wissen, was unter «Social Engineering» zu verstehen ist. 5. Videoclips/ Filme wurden mit Abstand am häufigsten genutzt und hatten die beste Publikumswirksamkeit. 6. Die Formate «Night Talk» und "Teamspiel" hatten den größten Effekt auf das Sicherheitsbewusstsein. 7. Von der Kampagne erfahren haben Mitarbeiter mehrheitlich über Artikel und Berichte im mysecurity Journal bzw. anderen internen Medien oder wurden direkt über Vorgesetzte informiert. # 75 # 76 38
EISAS Basic Toolset Training Fragebogen Bericht # 77 EISAS large scale pilot DTAG SE Film Norsis Identity Theft Quiz # 78 39
Akteure der IT Sicherheit # 79 Akteure der IT Sicherheit # 80 40
Datenautobahn Mit dem Begriff Datenautobahn wird versucht Sicherheit, Zielgerichtetheit, Übersichtlichkeit, Geschwindigkeit und Effektivität mit dem Internet zu verbinden. Joseph Weizenbaum: Information-Highway and the Global Village. Vom Umgang mit Metaphern und unsere Verantwortung für die Zukunft. In: Computermacht und Gesellschaft (2000). # 81 IT Geräte Akerlof, George A. (1970). "The Market for 'Lemons': Quality Uncertainty and the Market Mechanism". Quarterly Journal of Economics 84 (3): 488 500. doi:10.2307/1879431. # 82 41
Arbeitsumgebung Computers are complex, difficult to learn, difficult to use, difficult to maintain. Moreover, this complexity is fundamental to the beast; there is no way to overcome it. Donald A. Norman We humans are social beings. We work best with other people # 83 Nutzlast (Komplexität) # 84 42
Recht Eltern haften für ihre Kinder - das gilt auch dann, wenn der Nachwuchs im Internet gegen geltendes Recht verstößt. Das hat das Landgericht München I in einem am Mittwoch veröffentlichten Grundsatzurteil klargestellt (Az.: 0 7 O 16402/07). Dessen 7. Zivilkammer gab der Klage einer Fotografin gegen die Eltern einer 16-Jährigen statt, die Fotos von der Homepage der Klägerin kopiert und ein daraus erstelltes Video ins Internet gestellt hatte. Die elterliche Aufsichtspflicht gelte auch für das Internet, stellten die Richter klar. Die Eltern seien dazu verpflichtet, mit ihren Kindern darüber zu sprechen, was diese im Internet beachten müssen. ( ) In diesem Sinne sein ein mit dem Internet verbundener Computer mit einem gefährlichen Gegenstand gleichzusetzen. # 85 Wirtschaft: Externe Effekte "Externe Effekte sind nichtkompensierte Vor- oder Nachteile, die Dritten durch wirtschaftliche Aktivität entstehen." Positiver externer Effekt Negativer externer Effekt # 86 43
Software-Markt: Externe Effekte Produzent Hersteller tragen kein Risiko für die Schäden, die aus Qualitätsmängeln oder Sicherheitslücken der verkauften Produkte entstehen. Kunden Kunden, die unsichere Systeme mit dem Internet verbinden, tragen kein Risiko für Schäden, die aus der Benutzung unsicherer Produkte entstehen. # 87 Software-Markt: Konstruktionsfehler Anreiz-Perversion Software ist ein nicht-substituierbares Gut, das keine natürliche Begrenzung der Lebensdauer kennt. Neues Einkommen kann der Hersteller nur generieren durch zusätzliche Funktionen, Beheben von Fehlern und durch neue Versionen. Benutzer-Fehlverhalten Nutzer reagieren auf Art und Anzahl von Funktionen eines Produkts, nicht auf die Eignung des Produkts für die Aufgabe. Sie sind nicht in der Lage, die Komplexität eines PC oder eines gebräuchlichen Softwareprodukts zu verstehen. Sie haben keinen Anreiz, sich die notwendigen Kenntnisse, Fähigkeiten und Fertigkeiten für die Beurteilung eines Produkts anzueignen. # 88 44
Sicherheits-Kultur Kultur Wie wir es hier machen Kulturproduzenten Erziehung Institutionalisierte Bildung Öffentlichkeitsarbeit / Medien Buddy Network Organisationen Politik Man kann Kinder erziehen wie man will, sie machen einem sowieso alles nach. # 89 # 90 45
Psychologie der IT-Sicherheit # 91 "Science finds, industry applies, man conforms" Motto der Chicago World Fair, 1933 "Eine Armee talentierter Mathematiker, Computerwissenschaftler und Ingenieure haben über Jahrzehnte hinweg eine elegante Lösung nach der anderen zur Lösung der Probleme der IT-Sicherheit vorgeschlagen Die Benutzer haben bisher alle Bemühungen boykottiert." Greenwald, Infosec's dirty little secret, NSPW 2004 # 92 46
# 93 2014 Year of Convenience # 94 47
Warum ist Google stärker als der SiBe? Warum besiegt Bequemlichkeit den Verstand? Warum? # 95 Hoppla! Was ist das? 48
# 97 Riskante Entscheidung Installation abbrechen Schaden vom System fernhalten Anwendung nicht benutzen Installation durchführen Risiko eines Schadens in Kauf nehmen Anwendung benutzen 49
http://forum.chip.de/windows-xp/windows-logo-test-wurdebestanden-402371.html # 99 # 100 50
Sure Gain Heuristik Szenario 1 50 sicher gewinnen 100 für Kopf nach Münzwurf Szenario 2 50 sicher verlieren 100 verlieren für Kopf nach Münzwurf Hoppla! Was ist das? 51
Sure Gain Heuristik Szenario X Installiere Active X Control von unbekannter Quelle nicht. (Website kann nicht gesehen werden, 100% Nicht- Erreichen des primären Ziels) Installiere Active X Control und erreiche das primäre Ziel (mit dem Risiko, dass vielleicht etwas Schlimmes passiert) # 104 52
Sicherheit ist sekundär # 105 # 106 53
# 107 Erlernte Sorglosigkeit # 108 54
Cognitive Engineering # 109 Kognitive Heuristiken Menschen folgen im Umgang mit Risiken verschiedenen Heuristiken, die im Umgang mit IT-Sicherheit oft problematisch sind, zum Beispiel 1. Sure Gain Heuristic 2. Optimism Bias 3. Control Bias 4. Affect Heuristic 5. Availability Heuristic 6. Confirmation Bias 7. u.v.a.m 55
Optimism Bias 1. Wir halten uns für persönlich besser als andere bei derselben Tätigkeit. 2. Wir überschätzen den möglichen Gewinn und unterschätzen den möglichen Verlust. 3. Wir halten gute Ergebnisse für wahrscheinlicher als schlechte Ergebnisse # 111 Control Bias Wir haben die Tendenz zu glauben, wir könnten die Ergebnisse einer Aktivität bestimmen, wenn wir die Tätigkeit selbst ausführen. # 112 56
Affect Heuristic Wenn wir uns in einer Situation gut fühlen, schätzen wir Risiken geringer ein, als sie sind. Wenn wir uns in einer Situation schlecht fühlen, schätzen wir die Risiken höher ein, als sie sind. # 113 Availability Heuristik Wir beurteilen die Häufigkeit des Auftretens eines Ereignisses abhängig von der Leichtigkeit, mit der wir uns an das Auftreten dieses Ereignisses in der Vergangenheit erinnern. # 114 57
Confirmation Bias Wir haben die Tendenz nur solche Informationen zu suchen, die eine gefasste Meinung bestätigen oder Information so zu interpretieren, dass sie die gefasste Meinung bestätigen. # 115 # 116 58
Social Engineering # 117 Social Engineering Prinzipien Reziprozität Commitment & Konsistenz Soziale Bewährtheit Autorität Sympathie Knappheit # 118 59
Reziprozität Reziprozität (kleine Geschenke erhalten die Freundschaft) Commitment Commitment & Konsistenz (low-ball) 60
Soziale Bewährtheit Soziale Bewährtheit (alle tun es) Autorität Autorität (Milgram Experiment) 61
Sympathie Sympathie (Attraktivität, Ähnlichkeit, Komplimente, Kontakt und immer lächeln) Knappheit Knappheit (nur noch wenige Exemplare, nur noch kurze Zeit) 62
Gedankenexperimente Es spielen mit Sicherheitsvorschriften Sympathie Knappheit Es spielen mit Sicherheitsvorschriften Reziprozität Sympathie # 125 SE Angriffsbaum Ziel: Zusammenarbeit mit einem ahnungslosen Opfer 1 Kontaktaufnahme unter Vortäuschung einer falschen Identität (UND) 1.1 Erfindung einer gefälschten Identität (ODER) 1.1.1 Fiktive Person, deren Interesse an den fraglichen Informationen in jedem Fall gerechtfertigt scheint, z.b. Schriftsteller, Drehbuchautor (ODER) 1.1.2 Fiktive Person, die in einem vermeintlichen Verhältnis zum Opfer steht (ODER) 1.1.2.1 Person innerhalb des Unternehmens (ODER) 1.1.2.1.1 Autoritätsperson, Vorgesetzter (kann sich das Prinzip der Autorität zunutze machen) (ODER) 1.1.2.1.2 Kollege, Zweigstellenmitarbeiter (kann sich die Prinzipien der Verpflichtung und der Sympathie zunutze machen) 1.1.2.2 Person außerhalb des Unternehmens 1.1.2.2.1 Mitarbeiter einer Regierungs- oder Strafverfolgungsbehörde (kann sich das Prinzip der Autorität zunutze machen) (ODER) 1.1.2.2.2 Geschäftspartner, Kunde (kann sich die Prinzipien der Verpflichtung und der Sympathie zunutze machen) # 126 63
SE Angriffsbaum 1.2 Übernahme und Verwendung einer real existierenden Identität (setzt unter Umständen vorhergehende Social Engineering-Angriffe voraus) (ODER) 1.2.1 Ermittlung von Personen, die den unter 1.1 genannten Gruppen angehören (UND) 1.2.2 Beschaffung von entsprechenden Authentifizierungsmerkmalen, wie beispielsweise Personalnummer, Büronummer, Kostenstelle, firmeninterne Durchwahl mit Anrufbeantworter, usw. 1.3 Agieren als Vermittler einer Person, die in einem vermeintlichen Verhältnis zum Opfer steht (Name Dropping) (kann die Prinzipien der Vergeltung, Verpflichtung, Sympathie und Autorität ausnützen) 1.3.1 Nennung eines bekannten Auftraggebers ( <Soundso> hat mich gebeten, diese Akten einzusehen. ) (ODER) 1.3.2 Direkte Weiterleitung einer vorgetäuschten telefonischen Anfrage ( Ich habe gerade <soundso> in der anderen Leitung. Sie möchte wissen... ) # 127 SE Angriffsbaum 2 Verwendung von Methoden zum Erlangen von Vertrauen auf Seiten des Opfers (UND) 2.1 Zwangloses Gespräch, wiederholte Gespräche (kann sich das Prinzip der Sympathie zunutze machen) (ODER) 2.2 Verwendung von Fachtermini der Branche (ODER) 2.3 Demonstration von Insiderwissen (ODER) 2.3.1 Gesprächsführung im Firmenjargon (ODER) 2.3.2 Verwendung von Wissen über Zuständigkeiten, betriebliche Abläufe und Informationsmanagement 2.4 Äußerung einer Bitte um Hilfestellung (kann sich das Prinzip der Sympathie zunutze machen (ODER) 2.5 Angebot einer Hilfestellung (setzt unter Umständen vorhergehende Social Engineering- oder technische Angriffe voraus, durch die ein Problem generiert wird; kann sich das Vergeltungsprinzip zunutze machen) # 128 64
SE Angriffsbaum 3 Anwendung von Verfahren, die der Informationsgewinnung dienlich sind 3.1 Möglichkeiten der Informationsgewinnung, die vor dem tatsächlichen Angriff durchgeführt werden (UND) 3.1.1 Recherche in Zeitungsmeldungen, auf Webseiten, Werbebroschüren und anderen öffentlich zugänglichen Informationsquellen (ODER) 3.1.2 Durchsuchen der firmeneigenen Abfallcontainer nach verwertbaren Informationen (Dumpster Diving) 3.2 Verfahren der Informationsgewinnung im laufenden Angriff 3.2.1 Vorgetäuschte Durchführung einer Umfrage oder Mitarbeiterbefragung (kann sich das Prinzip der sozialen Bewährtheit zunutze machen) (ODER) 3.2.2 Bieten einer Möglichkeit für Rückfragen und -antworten (ODER) 3.2.2.1 Einrichten einer passenden Rückrufnummer (auch für Faxe) (ODER) 3.2.2.2 Einrichten eines anonymen Postfachs (Mail Drop) für etwaige Zusendungen 3.2.3 Verwendung des Vorwands einer dringenden Erledigung des Anliegens (kann sich das Prinzip limitierter Ressourcen (Zeit) zunutze machen) # 129 Social Engineering Social Engineering in IT-Systemen bezeichnet das Ausnutzen von angeborenen oder habitualisierten Verhaltensdispositionen, um die Informationssicherheit zu kompromittieren. Social Engineering ist das Benutzen von Verhaltensdispositionen, um ein Ziel zu erreichen. # 130 65
Die Kunst der Täuschung # 131 # 132 66
# 133 # 134 67
Vertrauen # 135 Alles Reden ist sinnlos, wenn das Vertrauen fehlt # 136 68
Vertrauen - Definitionen 1. Vertrauen resultiert aus bisheriger Erfahrung und der Hoffnung auf das Gute im Menschen (Schottlaender) 2. Vertrauen hängt von frühkindlichen Erfahrungen ab, vor allem von der Qualität der Mutter-Kind-Beziehung. Unnötige Versagungen, Drohungen und persönliche Unzuverlässigkeit verhindern Vertrauen (Erik H. Erikson) 3. Vertrauen reduziert die Komplexität menschlichen Handelns und gibt Sicherheit (Niklas Luhmann) 4. Vertrauen basiert auf der Erwartung einer Person oder einer Gruppe, sich auf ein mündlich oder schriftlich gegebenes Versprechen einer anderen Person oder Gruppe verlassen zu können. # 137 Vertrauen - Merkmale 1. Ungewissheit 2. Risiko 3. mangelnde Möglichkeit das Schicksal (die Umwelt) zu beeinflussen 4. Ausrichtung auf die Zukunft # 138 69
Vertrauen - Eigenschaften 1. Mechanismus zur Reduktion von Komplexität - rationale Entscheidung nicht möglich - erlaubt intuitive Entscheidungen (gut feeling) - vereinfacht das Leben durch Eingehen eines Risikos 2. Misstrauen - funktionales Äquivalent zu Vertrauen 3. Wagnis - Vertrauen ist immer eine riskante Vorleistung 4. Erweisen von Vertrauen - routinemäßig -bedacht - unbedacht (leichtsinnig), Fakultät für Psychologie und Pädagogik # 139 Vertrauen - Voraussetzung 1. Urvertrauen - Voraussetzung für Vertrauenshandlungen - emotionale Sicherheit - angstarme Auseinandersetzung mit der Umwelt 2. Reziprozität -Anlass - Vorleistung des Vertrauenden - Honorierung der Vorleistung 3. Kontextplastizität - Ergebniskonsistenz - psychologischer Vertrag, Fakultät für Psychologie und Pädagogik # 140 70
Online-Vertrauen 1. Eigenschaften des Internet - - - 2. Eigenschaften der Aufgaben - - - 3. Eigenschaften der Benutzer - - -, Fakultät für Psychologie und Pädagogik # 141, Fakultät für Psychologie und Pädagogik # 142 71
Online-Vertrauen - Merkmale 1. Vertrauenssubjekte -Nutzer - technische Einrichtungen (Artefakte) 2. Vertrauensobjekte -Nutzer - Angebote (Informationen, Leistungen) 3. Vertrauensumgebung - Technik -Anbieter 4. Vertrauenshandlungen - - -, Fakultät für Psychologie und Pädagogik # 143 Online-Vertrauen - Dynamik 1. Vertrauensbildung -analog - online 2. Festigung des Vertrauens -analog - online 3. Schwinden von Vertrauen -analog - online, Fakultät für Psychologie und Pädagogik # 144 72
Animismus # 145 # 146 73
Intelligentes Verhalten # 147 Logozentrismus # 148 74
Bounded Rationality Die Kapazität des menschlichen Gehirns für die Formulierung und Lösung komplexer Probleme ist sehr klein im Vergleich zur Größe der Probleme, deren Lösung erforderlich ist für objektiv rationales Verhalten in der realen Welt ja sogar für eine nennenswerte Annäherung an objektiv rationales Verhalten. # 149 Intelligentes Verhalten 150 75
Visceral # 151 Visceral Roger N. Shepard, The minds eye. Finding truth in illusion http://www.michaelbach.de/ot/sze_shepardtables/index.html 76
Behavioral Behavioral 77
Behavioral Reflective 78
Heuristiken # 157 Heuristik Heuristik (altgr. εὑρίσκω heurísko ich finde ; heuriskein, (auf-)finden, entdecken ) bezeichnet die Kunst, mit begrenztem Wissen und wenig Zeit zu guten Lösungen zu kommen # 158 79
Weniger ist mehr # 159 Weniger ist mehr # 160 80
Partnerwahl Der Astronom Johannes Kepler begann nach einer arrangierten und unglücklichen ersten Ehe mit einer systematischen Suche nach seiner zweiten Frau. Er prüfte elf mögliche Kandidatinnen in zwei Jahren. Freunde drängten ihn, Kandidatin Nummer vier zu heiraten, eine Dame von Stand mit einer verlockenden Mitgift, doch er war fest entschlossen, seine Nachforschungen fortzusetzen. Schließlich wies ihn diese perfekt passenden Bewerberin beleidigt zurück, weil er zu lang mit ihr gespielt habe. Ihr Entschluss war unwiderruflich. # 161 Ein Mann kann klein und dick und kahlköpfig sein wenn er feurig ist, mögen ihn die Frauen. Mae West 81
One Reason Decision Making Menschen haben nur begrenzte Kapazität für die Verarbeitung von Informationen. Wir verwenden Multitasking und sind nur begrenzt aufmerksam. Menschen bevorzugen schnelle Entscheidungen auf der Basis von gelernten Regeln und einfachen Heuristiken. "One reason decision making" ist hocheffizient und in der analogen Welt gut genug. # 163 Heuristik Heuristik (altgr. εὑρίσκω heurísko ich finde ; heuriskein, (auf-)finden, entdecken ) bezeichnet die Kunst, mit begrenztem Wissen und wenig Zeit zu guten Lösungen zu kommen # 164 82
One Reason Decision Making Menschen haben nur begrenzte Kapazität für die Verarbeitung von Informationen. Wir verwenden Multitasking und sind nur begrenzt aufmerksam. Menschen bevorzugen schnelle Entscheidungen auf der Basis von gelernten Regeln und einfachen Heuristiken. "One reason decision making" ist hocheffizient und in der analogen Welt gut genug. Ein Mann kann klein und dick und kahlköpfig sein wenn er feurig ist, mögen ihn die Frauen. Mae West 83
IT Sicherheit Lernen # 167 IT-Sicherheit ist schwer In einer üblichen Lernsituation wird Verhalten durch positive Verstärkung geformt. Wenn wir etwas richtig machen, werden wir belohnt. Im Fall von Sicherheitsentscheidungen ist die positive Verstärkung die, dass die Wahrscheinlichkeit, dass etwas Schlimmes geschieht, weniger groß ist. Wenn aber etwas Schlimmes geschieht was selten der Fall ist oder nicht bemerkt wird dann kann das Tage, Wochen oder Monate von der falschen Entscheidung entfernt sein. Das macht das Lernen negativer Konsequenzen extrem schwer, ausgenommen im Fall spektakulärer Katastrophen. 84
IT-Sicherheit lernen IT-Sicherheit ist ein abstraktes Konzept, das nur schwer gelernt werden kann. Die Entscheidung für Sicherheit hat kein sichtbares Ergebnis und es gibt keine sichtbare Bedrohung. Die Belohnung für sicheres Verhalten ist, dass nichts Schlimmes passiert. Analoger Unfall 85
Digitaler Unfall Probleme mit Menschen In der IT Sicherheit liegen daran, dass Menschen Menschen sind. # 172 86
Menschen und Maschinen # 173 Maschinenzentrierte Sicht Menschen ungenau desorganisiert ablenkbar emotional unlogisch Maschinen genau organisiert konzentriert nüchtern logisch # 174 87
Menschenzentrierte Sicht Menschen schöpferisch anpassungsfähig achtsam gegenüber Wandel emotional erfinderisch Maschinen unoriginell rigide änderungsresistent nüchtern einfallslos # 175 Analoges Leben # 176 88
Digitales Leben # 177 # 178 89
# 179 Analog vs Digital # 90
Human Factors Engineering # 181 Wie schaffe ich es nur, dass Kinder Obst essen? Und nicht Süßigkeiten? # 182 91
# 183 Anreizsystem Ein Anreiz ist etwas, das für ein System (Individuum, Organisation, Gesellschaft) ein Motiv darstellt, sich in bestimmter Weise zu verhalten. Mögliche Anreize sind Moralische Werte Zwang Geld Anerkennung Schönheit u.v.a.m. # 184 92
LRZ Natomat # 185 Lost laptops Close to 10,278 laptops are reported lost every week at 36 of the largest U.S. airports, and 65 percent of those laptops are not reclaimed, the survey said. Around 2,000 laptops are recorded lost at the medium-sized airports, and 69 percent are not reclaimed. Travelers seem to lack confidence that they will recover lost laptops. About 77 percent of people surveyed said they had no hope of recovering a lost laptop at the airport, with 16 percent saying they wouldn't do anything if they lost their laptop during business travel. About 53 percent said that laptops contain confidential company information, with 65 percent taking no steps to protect the information. 186 degenh ardt@l 93
Good girls I have lost my laptop on a number of occasions (not in airports but twice on trains) and it was always returned to me. Don't people have name tags with phone numbers on their luggage? Does the Lost and Found department not try to return lost items that have considerable value and have nametags on them? Or in them when you open/start them in the case of laptops? It puzzles me. Posted by: mare at July 4, 2008 9:55 AM 187 degenh ardt@l Soziale Heuristiken Moralische Standards Reziprozität Kommitment & Konsistenz Soziale Bewährtheit Autorität Sympathie Knappheit Befolgen moralischer Standards Ehrlichkeit Vertrauen Anständigkeit/Fairness Gerechtigkeit Wahrhaftigkeit Verantwortungsbewusstsein Güte Höflichkeit # 188 94