Entwickeln einer Awareness-Kampagne für einen sicheren Umgang mit dem Internet an mittelgrossen Berufs- oder Maturitätsschulen Beat Schilliger und Roger Schmid beat.schilliger@zanzara.ch - roger.schmid@zanzara.ch 6. September 2010 Referent: Pascal Lamia Co-Referent: Prof. Carlos Rieder Studenten MAS Information Security 15
Inhaltsverzeichnis 1. Ist-Situation aufnehmen 13 1.1. Analyse der Ist-Situation........................ 13 1.1.1. Aktive und passive Aufnahme der Ist-Situation........ 14 1.1.2. Zeitpunkt der Ist-Analyse.................... 14 1.1.3. Vor- und Nachteile der Aufnahmearten............. 14 1.1.4. Wiederverwendbarkeit von Daten................ 15 1.1.5. Schutz der Persönlichkeit.................... 15 1.1.6. Vorbeugen vor Missbrauch.................... 15 1.2. Commitment und Unterstützung der Leitung einholen........ 16 1.2.1. Mehrwert einer Awareness-Kampagne vermitteln....... 17 1.2.2. Aufwand für die Durchführung einer Kampagne........ 17 1.2.3. Sensibilisierung vs. Repression................. 18 1.2.4. Einführung einer Sicherheitskultur im Schulbetrieb...... 18 1.2.5. Verhinderer einer Kampagne.................. 18 2. Psychologische und didaktische Aspekte 19 2.1. Psychologische Aspekte......................... 19 2.2. Gehirn-gerechtes Lehren......................... 20 2.3. Lernen................................... 22 2.3.1. Die unterschiedlichen Lerntypen................ 22 2.3.1.1. Lernen durch Sehen (visueller Lerntyp)....... 22 2.3.1.2. Lernen durch Hören (auditiver Lerntyp)....... 22 2.3.1.3. Lernen durch Gespräche (kommunikativer Lerntyp) 22 2.3.1.4. Lernen durch Ausprobieren (motorisch-kinästhetischer Lerntyp)........................ 23 2.3.2. Berücksichtigung der Lerntypen in einer Awareness-Kampagne 23 2.3.3. Die Lernkurve.......................... 23 2.4. Didaktik.................................. 24 2.5. Häufige Fehler in Awareness-Kampagnen................ 25 2.5.1. Auswahl des Partners...................... 25 2.5.2. Awareness als Prozess...................... 25 2.5.3. Fehlendes Commitment des Managements........... 25 2.5.4. Art der Wissensvermittlung................... 26 3. Rechtliche Aspekte 27 3.1. Spezialfall Schule............................. 27 3.2. Datenschutz und Privatsphäre...................... 28 3.2.1. Information der Überwachung.................. 28 3.2.2. Einwilligung zur Überwachung................. 29 3.3. Strafbare Handlungen im Internet................... 30 Beat Schilliger und Roger Schmid, MAS IS 15 Seite 3 von 142
Inhaltsverzeichnis 4. Technische Aspekte 33 4.1. Umgang mit Schwachstellen....................... 33 4.1.1. Was sind Schwachstellen?.................... 33 4.1.2. Weshalb gibt es Schwachstellen?................ 33 4.1.3. Was ist der Trend?........................ 34 4.1.4. Was ist ein Exploit?....................... 35 4.1.5. Beispiel eines Exploits...................... 36 4.1.6. Malware Kits........................... 36 4.1.7. Sonderfall Scareware....................... 38 4.1.8. Wie geht man mit Schwachstellen um?............. 39 4.1.8.1. Patchen......................... 39 4.1.8.2. Einsatz eines Intrusion Prevention Systems..... 39 4.1.9. Arten von Intrusion Prevention Systemen........... 40 4.1.10. Zusatzprobleme in virtuellen Umgebungen........... 40 4.2. Spam-Filter................................ 41 4.2.1. Definition von Spam....................... 41 4.2.2. Woher kommt Spam? Welche Ausmasse hat er?........ 41 4.2.3. Was ist das Ziel der Spammer?................. 42 4.2.4. Was ist das Problem von Spam aus Sicht der Informationssicherheit?............................. 44 4.2.5. Welche Schäden ruft Spam hervor?............... 45 4.2.6. Welche Technologien kommen in einer modernen Antispam- Lösung zum Einsatz?...................... 45 4.2.7. Mit welchen Problemen haben solche Lösungen zu kämpfen? 46 4.2.7.1. Datenflut und unregelmässiges Auftreten von Massen- Spam.......................... 46 4.2.7.2. False Positives..................... 46 4.2.8. Zertifizierung von Antispam-Lösungen............. 46 4.2.9. Was erwartet uns in der Zukunft?............... 47 4.3. URL-Filter................................ 47 4.3.1. Sinn und Zweck.......................... 47 4.3.2. Technische Lösung........................ 48 5. Zielsetzung der Kampagne definieren 51 5.1. Schulischer Bereich............................ 51 5.2. Privater Bereich............................. 52 5.3. Das Internet und einige seiner Gefahren................ 53 5.4. Das World Wide Web.......................... 53 5.4.1. Web 2.0.............................. 54 5.4.2. Das Web aus Sicht der Informationssicherheit......... 55 5.5. E-Mail................................... 58 5.5.1. E-Mail aus der Sicht der Informationssicherheit........ 58 5.5.2. Phishing.............................. 59 5.6. Chat (Yahoo, MSN, Skype)....................... 61 5.6.1. Gefahren im Chat........................ 61 Seite 4 von 142 Beat Schilliger und Roger Schmid, MAS IS 15
Inhaltsverzeichnis 5.7. File Sharing................................ 61 5.7.1. Arten von File Sharing-Diensten................ 62 5.7.1.1. Client-Server basierte Lösungen........... 62 5.7.1.2. Peer-to-Peer-Lösungen................. 62 5.7.2. File Sharing-Dienste aus Sicht der Informationssicherheit.. 63 5.7.3. Problematik des Urheberrechts................. 63 5.7.4. Aktuelle rechtliche Situation in Europa............ 63 5.7.5. Rechtliche Situation in der Schweiz............... 64 5.8. Social Networks (Facebook, MySpace, Xing und Co.)......... 65 5.8.1. Facebook............................. 65 5.8.2. MySpace............................. 67 5.8.3. Xing................................ 67 5.8.4. Social Networks aus Sicht der Informationssicherheit..... 68 5.8.4.1. Human Resources................... 68 5.8.4.2. Social Mobbing..................... 68 5.8.4.3. Wahrung der Privatsphäre.............. 68 5.8.4.4. Data Mining...................... 69 5.8.4.5. Löschen von Daten aus Social Networks....... 69 5.9. Die Lifestyle-Geräte iphone und ipad................. 70 5.9.1. Die beiden Geräte aus Sicht der Informationssicherheit.... 71 5.9.1.1. Der App-Store des Datensammlers Apple...... 71 5.9.1.2. Beispiel Facebook-App im App-Store........ 72 6. Methodik 75 6.1. Unterschiedliche Vorbildung....................... 76 6.2. Kommunikationsbereitschaft wecken.................. 76 6.3. Digital Natives, Digital Immigrants, Net Generation?......... 76 6.4. Zielgruppen................................ 77 6.4.1. Anwender ohne Internet-Kenntnisse.............. 78 6.4.2. Anwender mit Internet-Kenntnissen.............. 79 6.4.3. Anwender mit ausgeprägtem Nutzungsverhalten des Internets 79 6.4.4. Schulleitung / Lehrpersonen / Mitarbeitende......... 80 6.4.5. Fazit................................ 81 7. Umsetzen der Kampagne 83 7.1. Zeitpunkt zur Umsetzung einer Awareness-Aktivität......... 84 7.2. Kommunikationsmöglichkeiten..................... 85 7.2.1. Frontpräsentation........................ 85 7.2.2. elearning............................. 86 7.2.3. Flyer................................ 86 7.2.4. Regelmässige E-Mail-Aktionen (Newsletter).......... 87 7.2.5. Standaktionen.......................... 87 7.2.6. Workshops............................ 87 7.2.7. Neue Medien (Facebook, Twitter,...).............. 87 7.2.8. Plakate und Anzeigetafeln.................... 88 7.3. Awareness vs. Schulung......................... 88 Beat Schilliger und Roger Schmid, MAS IS 15 Seite 5 von 142
Inhaltsverzeichnis 8. Messen des Zielerreichungsgrades 89 8.1. Zeitpunkte und Dauer der Aufnahme von Messfaktoren....... 90 8.2. Log-Auswertung technisch (IPS, URL-Filter)............. 90 8.3. Auswertung organisatorischer Massnahmen.............. 92 8.4. Auswerten von Fragebögen oder computergestützten Umfragen... 93 8.5. Interviews (zum Beispiel an Standaktionen).............. 93 8.6. Auswertung der Messfaktoren...................... 93 9. Nachbearbeitung lessons learned 95 9.1. Feedback-Formulare für Präsentationen................ 95 9.2. Auswerten der Antworten einer elearning-kampagne......... 96 9.3. Informieren des Managements über den Zielerreichungsgrad..... 97 10.Weitere periodische Massnahmen 99 10.1. Neu eintretende Lernende und Lehrende................ 99 10.2. Auffrischen des Gelernten........................ 101 10.3. Aktualisieren der Präsentationen und elearning-module....... 101 10.4. Reporting an die Schulleitung...................... 101 10.5. Anpassen der Ablauforganisation im Bereich Informationssicherheit. 103 10.6. Analyse der vorgefallenen Sicherheitsvorfälle und eingeleitete Massnahmen.................................. 104 Verzeichnisse 105 Literaturverzeichnis 107 Anhang 113 A. Checkliste Awareness-Kampagne Internetnutzung 113 B. Zeitplan Awareness-Kampagne 115 C. Fragebogen Lerntyp 117 D. Auswirkungen von Schadsoftware 119 E. Monthly Anti-Spam Short Report May 2010 121 F. Landingpage vs. Original-Webpage einer Phishing-Attacke 123 G. Awareness-Inventar 125 H. Vor- und Nachteile von Kommunikationsarten 127 I. elearning-projekte / Zusatzmaterial Awareness 129 J. Flyer (Beispiele) 131 K. Protokoll Awareness im Umgang mit dem Internet 133 Seite 6 von 142 Beat Schilliger und Roger Schmid, MAS IS 15
Inhaltsverzeichnis L. Auswertungen (Beispiele) 135 M. Beispielfragen eines Online Tools 137 N. Auswertung von Umfragen 139 O. Präsentationsbewertung 141 Beat Schilliger und Roger Schmid, MAS IS 15 Seite 7 von 142
Ein zusammenfassendes Vorwort (Quelle: istockphoto) Die Idee, eine zum Thema «Awareness» 1 zu schreiben, ist den Verfassern im Laufe des Masterkurses MAS Information Security 15 an der Hochschule Luzern im Jahre 2009 gekommen. Beide Autoren sind täglich mit Problemen von Computer-Benutzern konfrontiert und stellen fest, dass das Sicherheitsbewusstsein der durchschnittlichen Anwender und oftmals auch bei Entscheidungsträgern nur sehr ungenügend ausgeprägt ist. Wozu? Die vorliegende Arbeit stellt ein Konzept vor, wie das Sicherheitsbewusstsein im Informationssicherheitsbereich gesteigert werden kann. Gerade junge Leute wachsen heute mit elektronischen Geräten auf und benutzen diese Medien ganz selbstverständlich und völlig unbeschwert. 1 Bewusstheit, Bewusstsein, Erkenntnis Beat Schilliger und Roger Schmid, MAS IS 15 Seite 9 von 142
Ein zusammenfassendes Vorwort Die Autoren sind der Meinung, dass diese Medien überaus nützlich sind, aber auch Gefahren in sich bergen. Seit geraumer Zeit bedienen sich auch Personen mit nicht sonderlich sauberen oder gar kriminellen Absichten dieser Medien und verdienen sehr viel Geld damit. Zudem richten sie grossen finanziellen Schaden an. Wer? Bildungseinrichtungen sind heute auf diese neuen Medien angewiesen, um ihren Schülern und Studenten das nötige Rüstzeug vermitteln zu können. Es war deshalb klar, als Zielgruppe für diese Kampagne Jugendliche im Alter von 15 bis 20 Jahren auszuwählen. Die Arbeit wurde daher für Bildungseinrichtungen wie gewerblich-industrielle und kaufmännische Berufsschulen, Maturitätsschulen oder auch Erwachsenenbildungseinrichtungen verfasst. Wie? Die Checkliste im Anhang A kann als Planungshilfsmittel eingesetzt werden. Die einzelnen Punkte verweisen jeweils auf die entsprechenden Kapitel dieser Arbeit. Wann? Der vorgeschlagene Zeitplan im Anhang B zur Durchführung einer Awareness- Kampagne nimmt auf schulische Gegebenheiten Rücksicht. An Bildungsinstituten sind Entscheidungen der Schulleitung vielfach nur im wöchentlichen Rhythmus möglich. Das Ende der Awareness-Kampagne im Zeitplan signalisiert nur das Ende eines Umlaufs des Zyklus. Wie in Kapitel 10 aufgezeigt, ist die Schulung im Bereich der Awareness ein immer wiederkehrender Prozess gemäss dem PDCA-Ansatz 2. Alle sind gefordert Awareness muss aktiv gelebt werden. Es nützt wenig, nur die Lernenden auf die Gefahren des Internets aufmerksam zu machen. Der gesamte Lehrkörper muss in eine solche Kampagne eingebunden werden, kann er doch die Awareness bei den Lernenden und somit die Nachhaltigkeit der Kampagne nochmals verbessern. Analyse und Commitment Kapitel 1.1 befasst sich mit der Analyse der aktuellen Situation an einer Bildungseinrichtung. In Kapitel 1.2 wird auf das Killer-Kriterium «Commitment» eingegangen. Steht die Schulleitung nicht vollumfänglich hinter einer Awareness-Kampagne, so ist diese a priori zum Scheitern verurteilt. 2 Iterativer, vierphasiger Problemlösungsprozess Seite 10 von 142 Beat Schilliger und Roger Schmid, MAS IS 15
Ein zusammenfassendes Vorwort Interesse wecken Kapitel 2 befasst sich mit psychologischen und didaktischen Aspekten. Eine Awareness-Kampagne muss zwingend interessant, möglichst knackig gestaltet werden. Nur so findet das Zielpublikum daran Interesse und kann die gewünschte Nachhaltigkeit bei den Individuen erreicht werden. Datenschutz und Technik Kapitel 3 beleuchtet rechtliche Aspekte, insbesondere jene der aktiven Überwachung. Dabei geht es primär darum, möglichst keine datenschutzrelevanten Fehler zu begehen und klar zu informieren. Kapitel 4 befasst sich mit technischen Aspekten. Darin sollen Probleme des Alltags und auf dem Markt verfügbare technische Lösungen erklärt werden. In medias res Die Kapitel 5, 6 und 7 befassen sich mit Zielsetzung, Methodik und Umsetzung der Kampagne: Was soll vermittelt werden, und wie soll dies geschehen? Im Kapitel 8 zeigen die Autoren auf, wie gemessen werden kann, ob eine Awareness-Kampagne den gewünschten Erfolg erzielt. Kontinuierlicher Prozess Die Kapitel 9 und 10 befassen sich mit der Nachbearbeitung und weiteren periodischen Massnahmen. Eine Awareness-Kampagne ist ein fortlaufender, sich wiederholender Prozess. In jeder Bildungseinrichtung treten jedes Jahr neue Lernende ein, und auch der Lehrkörper verzeichnet Mutationen. Zudem verändert sich die Gefahrenlage im Internet ständig, so dass Anpassungen periodisch vorzunehmen sind. Unser Dank gilt Es war für die Autoren ein Glücksfall, dass sich die beiden Referenten Pascal Lamia und Carlos Rieder bereit erklärten, die Arbeit aktiv zu begleiten. Pascal Lamia ist Vorsteher der Melde- und Analysestelle Informationssicherung (MELANI) des Bundes. Professor Carlos Rieder ist Kursleiter des MAS IS 15 an der HSLU. Er verfügt über langjährige Erfahrung im Informationssicherheitsbereich. Beide Referenten standen stets mit Rat und Tat zur Seite. Ein weiteres Dankeschön möchten wir Armin Muff aussprechen, den wir als Psychologie-Dozenten im MAS IS 15 erleben durften. Er hat uns diverse Tipps und Hinweise gegeben, die wir im Kapitel 2 integrieren konnten. Für die rechtlichen Aspekte im Kapitel 3 durften wir dankend einige Anregungen von Dr.iur. René Huber, Datenschutzbeauftragter des Kantons Zug, entgegennehmen und in unser Konzept einfliessen lassen. Beat Schilliger und Roger Schmid, MAS IS 15 Seite 11 von 142
Ein zusammenfassendes Vorwort Die Autoren planen, dieses Awareness-Konzept im nächsten Jahr praktisch umzusetzen. Sie sind mit mehreren Bildungseinrichtungen im Gespräch. Ein reges Interesse und der Wille, die Informationssicherheit zu verbessern, sind klar spürbar. Zug, im September 2010 Beat Schilliger und Roger Schmid Seite 12 von 142 Beat Schilliger und Roger Schmid, MAS IS 15
1. Ist-Situation aufnehmen 1.1. Analyse der Ist-Situation (Quelle: istockphoto) Was läuft im Netzwerk der Schule? Wer kommuniziert mit wem? Warum ist der Durchsatz ins Internet so unbefriedigend? Wer hat auf dem Rechner im Chemiezimmer die Online-Version von «Age of Empires» installiert und einen neuen Rekord aufgestellt? Wie geht unsere Schule mit Cybermobbing 1 um? Fragen, die sich an einer Schule die Schulleitung, Lehrpersonen und das technische Personal heute stellen müssen. Selbstverständlich möchten auch die Eltern und Lehrbetriebe darauf vertrauen können, dass die von zu Hause oder dem Lehrbetrieb vermittelten Grundsätze in der Schule eingehalten werden. Eine Ist-Analyse vorzunehmen und dadurch eine sogenannte Baseline zu erstellen, kann einer Schulleitung aufzeigen, warum eine Awareness-Kampagne im Bereich Umgang mit dem Internet notwendig ist. Meistens kann erst dann aufgezeigt werden, was effektiv in einem Netzwerk abläuft und in welchen Bereichen durch die Sensibilisierung der Netzwerkbenutzer eine sicherheitstechnische Verbesserung im Umgang 1 Blosstellung von Personen mittels elektronischem Kommunikationsmittel Beat Schilliger und Roger Schmid, MAS IS 15 Seite 13 von 142
1. Ist-Situation aufnehmen mit dem Internet erwirkt und damit die dafür nötige Unterstützung der Schulleitung eingeholt werden. Dass diese Aufnahme der Ist-Situation auch im Zuge einer Awareness-Kampagne wieder verwendet werden kann, wird in den Kapiteln 1.1.4 und 8 erneut behandelt. 1.1.1. Aktive und passive Aufnahme der Ist-Situation Durch eine Analyse der Ist-Situation kann ermittelt werden, wie sich die Benutzer eines Schulnetzwerkes im Bereich des Internets verhalten. Eine solche Ist-Analyse kann passiv durch Analyse des Netzwerkverkehrs aktiv, durch Befragungen oder einer Mischform dieser beiden Varianten erfolgen. Die Ist-Analyse sollte möglichst umfassend aufgenommen werden, um mögliche sicherheitstechnische Probleme im Umgang mit dem Internet zu erfassen. Zu diesem Zweck ist die Mischform zu bevorzugen, da so auch das Verhalten einbezogen werden kann, welches nicht zwingend über das Schulnetzwerk oder etwa über verschlüsselte Verbindungen ausgeübt wird. So können auch neuere Technologien erfasst werden, deren Netzwerkverkehr nicht über das Schulnetzwerk geleitet werden. Erwähnenswert in diesem Zusammenhang sind u.a. die Lifestyle- Geräte iphone und ipad (siehe Kapitel 5.9) mit drahtlosen Verbindungen der dritten Generation (UMTS 2, HSDPA 3, etc.). 1.1.2. Zeitpunkt der Ist-Analyse An einer Schule kann die Ist-Situation zu Beginn einer Kampagne, beziehungsweise nach der Einführung der Kampagne bei Neueintritten aufgenommen werden. Dadurch kann auch das Verhalten von neu eintretenden Schülern in Abhängigkeit der zuvor besuchten Schulen festgestellt werden. Aufgrund dieser Resultate besteht die Möglichkeit, den vorbildenden Stufen (Primar- bzw. Sekundarstufen) ein Feedback zurückzumelden, inwiefern ein allenfalls vorhandener Lehrplan im Bereich «sicherer Umgang mit dem Computer» Wirkung zeigt. Die Ist-Situation sollte archiviert werden, damit während der Kampagne ein Referenzwert zur Verfügung steht, gegen den ein aktuelles Zwischen- oder Schlussresultat geprüft werden kann. Dadurch wird eine Möglichkeit zur Messung des Zielerreichungsgrades einer Awareness-Kampagne geschaffen (siehe Kapitel 8). 1.1.3. Vor- und Nachteile der Aufnahmearten In diesem Zusammenhang wird klar, dass die passive Aufnahme von Daten durch Analyse des Netzwerkverkehrs unter Umständen keine Unterscheidung der Netzwerkdaten von bestehenden Lernenden, Lehrpersonen oder Mitarbeitenden und den Daten von neu eingetretenen Lernenden zulässt. Auch kann der Umgang mit dem Internet auf mobilen Geräten, die u.a. auch in der Schule eingesetzt werden, nicht erfasst werden. Je nach eingesetzter Technik können Daten über verschlüsselte Verbindungen durch eine passive Aufnahme von Daten nicht erfasst werden. 2 Universal Mobile Telecommunications System 3 High Speed Downlink Packet Access Seite 14 von 142 Beat Schilliger und Roger Schmid, MAS IS 15
1. Ist-Situation aufnehmen Aus diesem Grund kann die passive Aufnahme von Daten höchstens eine Tendenz sichtbar machen. Diese vermag etwa aufzuzeigen, wie das Verhalten im Internet der Lernenden und Lehrenden zu bestimmten Zeitpunkten war (Schulbeginn, neue Kampagne, in Schulferien, etc.). Die aktive Aufnahme von Daten kann ergänzende und bestätigende Ergebnisse liefern, sofern diese repräsentativ und seriös erhoben worden sind. Als Nachteil der aktiven Aufnahme ist der Aufwand zu erwähnen, der von den Fragenden und zu Befragenden geleistet werden muss. Weitere Details folgen in den Kapiteln 3, 4 und 8. 1.1.4. Wiederverwendbarkeit von Daten Die aktive Aufnahme von Daten, zum Beispiel über Interviews, Fragebögen, Honeypots, etc. muss so gestaltet sein, dass ihre Erkenntnisse auch über mehrere Jahre ungefähr vergleichbar sind. Dazu müssen fixe Kategorien und Mustertypen von Fragen definiert werden, die sich gut auswerten lassen und nicht nur auf die heutige Technologie bezogen sind. Je nach Zielsetzung der Kampagne (siehe Kapitel 5) wird die aktive Aufnahme von Daten unterschiedlich gestaltet sein. Über mehrere Jahre sollte aufgrund der ausgewerteten Daten auch eine Gesamttendenz bezüglich dem Umgang mit dem Internet feststellbar sein. 1.1.5. Schutz der Persönlichkeit Auf die möglichen aufzunehmenden Daten wird im Kapitel 3 eingegangen, da die Umfragen so gestaltet sein müssen, dass keine Rückschlüsse auf einzelne Personen gemacht werden können. Im Falle der technischen Log-Auswertung im Rahmen der Awareness-Kampagne müssen nur die Host- und Domänennamen einer URL, das verwendete Protokoll sowie allenfalls eine anonymisierte Form der anfragenden Adresse protokolliert werden. Bei schriftlichen oder computergestützen Umfragen dürfen ebenfalls keine einer Person zuzuordnenden Daten einverlangt werden. 1.1.6. Vorbeugen vor Missbrauch Um Missbrauch und damit eine Verfälschung der Daten zu vermeiden, soll bei der passiven und aktiven Aufnahme der Daten sichergestellt werden, dass die Umfragen nicht mehrmals von derselben Person ausgefüllt werden können. Dies bedingt ein hohes Vertrauen in die Initianten der Umfrage und das zu übermittelnde Statement zur Anonymisierung der Daten. Um diese Anonymisierung zu gewährleisten, ist allenfalls der Einbezug des zuständigen kantonalen Datenschützers sinnvoll. Kann das Vertrauen in den Persönlichkeitsschutz zu den Probanden hergestellt und eine altersgerechte Übermittlung des Inhaltes sichergestellt werden, dann wird es möglich sein, auf freiwilliger Basis genügend aussagekräftige Daten zu erhalten. Dies kann beispielsweise erreicht werden, indem jedem Probanden eine nur einmal gültige URL eines Onlinefragebogens zur Verfügung gestellt wird. Bei Einforderungen über den Papierweg muss ebenfalls sichergestellt werden, dass zum Beispiel durch Kopieren die Bögen nicht mehrmals ausgefüllt und eingereicht werden können. Beat Schilliger und Roger Schmid, MAS IS 15 Seite 15 von 142
1. Ist-Situation aufnehmen 1.2. Commitment und Unterstützung der Leitung einholen (Quelle: istockphoto) Es gibt keine vernünftigere Erziehung, als Vorbild zu sein, wenn es nicht anders geht, ein abschreckendes. (Albert Einstein) Um eine Awareness-Kampagne zu starten, wird von Beginn an die Unterstützung und die Vorbildwirkung der Schulleitung benötigt. Nur so können die verschiedenen Hierarchiestufen einer Schule für diese Thematik begeistert werden. Im Management ist häufig von ROI 4 die Rede, welches im Sicherheitsumfeld auf ROSI 5 erweitert worden ist. Inwiefern an einem öffentlichen Bildungsinstitut mit diesen beiden Begriffen gearbeitet werden darf, beziehungsweise muss, ist ein politischer Entscheid. Letzlich investiert ein öffentliches Bildungsinstitut mit Geldern der Steuerzahler in die Bildung von jungen Menschen, welche dem Institut selbst eher einen geringen Gegenwert bieten. Dasselbe kann bei den Investitionen in die Sensibilisierung im Umgang mit dem Internet ins Felde geführt werden. Als 4 Return on Investment; zu Deutsch Kapitalrendite 5 Return on Security Investment; zu Deutsch Kapitalrendite von Ausgaben für sicherheitsrelevante Massnahmen Seite 16 von 142 Beat Schilliger und Roger Schmid, MAS IS 15
1. Ist-Situation aufnehmen direkten Nutzen kann allenfalls ein störungsärmerer Betrieb der ICT-Infrastruktur der Schule genannt werden. Eventuell lassen sich auf diesem Weg auch unangenehme Anschuldigungen Dritter vermeiden, die aus dem Netzwerk des Bildungsinstitutes kompromittiert worden sind. 1.2.1. Mehrwert einer Awareness-Kampagne vermitteln Ein Commitment der Schulleitung soll nicht einfach der guten Ordnung halber erwirkt werden, sondern die Personen müssen den Sinn und Zweck der Kampagne kritisch hinterfragen und sich mit der Thematik beschäftigen. Nach erfolgter Erklärung muss die Schulleitung den möglichen Nutzen und Mehrwert einer solchen Kampagne erkennen. Dies gelingt am besten, wenn die Personen mit Erfahrungszahlen oder Messungen im Netzwerk von ähnlich orientierten Schulen verglichen werden können. In einem ersten Schritt kann allenfalls erwirkt werden, dass solche Messungen im Netzwerk der Schule vorgenommen werden dürfen, damit an einer nächsten Sitzung konkrete, ausgewertete Daten vorliegen. Allenfalls können erste Erfahrungszahlen von Referenzschulen hinzugezogen werden, um das Ausmass der Probleme im Umgang mit dem Internet und der Wirkung einer solchen Kampagne aufzuzeigen. Wie in der Einleitung dieses Kapitels erwähnt, kann der Schulleitung keine ROSI Berechnung präsentiert werden, die direkt dem Bildungsinstitut eine ausgeglichene oder positive Bilanz gewährt. Da die für die ICT-Security darunter zählt auch eine Awareness-Kampagne eingesetzten Gelder an einem Bildungsinstitut von den Steuerzahlern finanziert werden, muss der ROSI auch in diesem Kontext angesehen werden. Je mehr sensibilisierte Benutzer im Internet unterwegs sind, um so kleiner wird der gesamtwirtschaftliche Verlust, der durch unachtsame Internetbenutzer im privaten oder geschäftlichen Umfeld ausgelöst wird. Eine Live-Demonstration zum Beispiel aufzeichnen von Netzwerkverkehr mit unverschlüsselt übertragenen Passwörtern kann in vielen Fällen ein Türöffner für eine positive Meinungsbildung sein. In diesem Zusammenhang muss jedoch die rechtliche Situation gemäss Kapitel 3 abgeklärt sein. Die zurzeit sich überschlagenden Artikel in der Tagespresse können bei einer solchen Präsentation ebenfalls miteinbezogen werden (vgl. zum Beispiel [22] oder [1]). 1.2.2. Aufwand für die Durchführung einer Kampagne Selbstverständlich ist es auch wichtig, finanzielle und personelle Ressourcen anzusprechen. Dass allfällige Gefässe zu Lasten des ordentlichen Unterrichts geschaffen werden müssen oder Eingriffe in die Netzwerkstruktur des Schulnetzwerkes gemacht werden dürfen, muss ebenfalls thematisiert werden. In dieser Arbeit werden kosten- und personalintensivere Varianten von Kampagnen angesprochen, aber auch Alternativen zur Nutzung von Bestehendem oder Mischformen davon aufgezeigt. Es besteht keine Möglichkeit, den finanziellen und personellen Aufwand für alle Bildungsinstitute zu pauschalisieren (beispielsweise durch eine Geldsumme pro Lehrenden und Lernenden). Zu unterschiedlich sind die bereits vorhandenen Infrastrukturen, organisatorischen Massnahmen, Know-how von ICT-Personal, etc. Beat Schilliger und Roger Schmid, MAS IS 15 Seite 17 von 142
1. Ist-Situation aufnehmen Bei Interesse an der Lancierung einer Awareness-Kampagne ist es wichtig, den möglichen Aufwand anzusprechen. Erst nach dem ausgesprochenen Commitment der Schulleitung ist es sinnvoll, genauere Analysen des Vorhandenen zu machen und den Aufwand für eine Kampagne zu beziffern. 1.2.3. Sensibilisierung vs. Repression Verschiedene Studien belegen (vgl. unter anderem [24]), dass eine Sensibilisierung im Bereich des sicheren Umgangs mit dem Internet eine nachhaltigere Wirkung erzielt, als eine repressive Haltung. Selbstredend ersetzt die Sensibilisierung das Aufstellen gewisser Leitplanken und die Kommunikation möglicher Konsequenzen bei Nichteinhaltung dieser Regeln in keinster Art und Weise. Durch eine Awareness- Kampagne sollen die verschiedenen Zielgruppen (siehe Kapitel 6.4) auf mögliche Probleme in der Nutzung des Internets aufmerksam gemacht werden. Das Aufzeigen von Problemen kann aufgrund des stetigen Wandels der elektronischen Kommunikationsmittel nicht abschliessend sein. Es soll damit das Bewusstsein geschaffen werden, dass unbekannte, unregelmässige, verdächtige Situationen auf deren Berechtigung hinterfragt, kritisch beurteilt und allfällige Konsequenzen daraus gezogen werden können. 1.2.4. Einführung einer Sicherheitskultur im Schulbetrieb Es wäre wünschenswert, dass eine Kampagne nicht als einfache, in einem bestimmten Rhythmus durchgeführte Aktion angesehen wird, sondern als Kultur in den Schulalltag einfliessen soll. Nur so kann sichergestellt werden, dass das Mitwirken der Zielgruppen (siehe Kapitel 6.4) trotz möglicher Störungen des ordentlichen Unterrichts gewährleistet werden kann. Da sich eine Sicherheitskultur nicht aufzwingen lässt [24], sondern entstehen soll, muss durch die Wahl der geeigneten Kommunikationsmöglichkeiten (siehe Kapitel 7.2) ein Weg gefunden werden, dass die Zielgruppen (siehe Kapitel 6.4) zu einer Sicherheitskultur begleitet werden können. 1.2.5. Verhinderer einer Kampagne Ohne überzeugte Unterstützung der Schulleitung sollte eine Awareness- Kampagne nicht initiiert werden (Ausnahme siehe nächster Absatz)! Sollte die Schulleitung Bedenken bekunden, eine Awareness-Kampagne schulweit auszurollen, besteht allenfalls die Möglichkeit, einen gesonderten Bereich (eine Berufsgruppe oder Ähnliches) als Zielgruppe für die Kampagne auszuwählen. Dies bedingt jedoch einige Abklärungen bezüglich rechtlicher und technischer Aspekte, auf welche im Rahmen dieser Arbeit nicht weiter eingegangen wird. Seite 18 von 142 Beat Schilliger und Roger Schmid, MAS IS 15
2. Psychologische und didaktische Aspekte (Quelle: istockphoto) 2.1. Psychologische Aspekte Um eine Security Awareness-Kampagne erfolgreich durchführen zu können, sind diverse psychologische Faktoren zu berücksichtigen. Eine Form des Marketings also, gilt es doch, eine Botschaft möglichst wirksam an ein Zielpublikum zu vermitteln. Und dabei sind folgende Punkte zu beachten: Das Zielpublikum, in unserem Fall die Schulleitung, die Mitarbeitenden, die Lehrenden und natürlich auch die Lernenden müssen von der Botschaft erreicht werden können. Ziel ist es, in den seelischen Bereich unseres Zielpublikums einzudringen. Damit die gewünschte Nachhaltigkeit einer Kampagne erreicht werden kann, muss die Botschaft tief im Inneren der Gehirne des Zielpublikums verankert werden können. Es geht hier also darum, eine möglichst hohe Wirksamkeit beim Zielpublikum zu erreichen. Beat Schilliger und Roger Schmid, MAS IS 15 Seite 19 von 142
2. Psychologische und didaktische Aspekte 2.2. Gehirn-gerechtes Lehren (Quelle: istockphoto) Je stärker die Komplexität moderner Gesellschaften steigt, je stärker innovatives Lernen gefordert ist, desto stärker muss Bildung als Differenzverfahren angelegt sein (...). (Winfried Marotzki) Bei einem Gespräch mit unserem Psychologiedozenten Armin Muff sind die Autoren auf die Idee gekommen, in die auch die Autorin Vera Birkenbihl [61] miteinzubeziehen. Sie wurde uns bereits während einer Vorlesung vorgestellt und gilt als eine der hochkarätigsten Wissenschaftlerinnen unserer Zeit im Bereich Lerntechniken auf der Basis der Hirnforschung. Sie hat den Begriff «Gehirn-gerechtes Lernen» geprägt. Sie hat ihre eigenen Methoden vor allem spielerischer Natur Seite 20 von 142 Beat Schilliger und Roger Schmid, MAS IS 15