Informatikstrategieorgan Bund ISB IKT Sicherheit und Awareness Daniel Graf / November 2009
Was ist Awareness? Wikipedia sagt: Mit Awareness (engl. Bewusstsein oder Gewahrsein, auch übersetzt als Bewusstheit, zur Betonung der aktiven Haltung, ferner auch Aufmerksamkeit ) kann in der Informationssicherheit gemeint sein: Das Bewusstsein der Anwender, am PC Gefahren, Angriffen und Risiken ausgesetzt zu sein. Meine Ergänzung: Und wissen wie man sich korrekt verhält 2
Ist IKT Sicherheit nötig? 1/4 3
Ist IKT Sicherheit nötig? 2/4 4
Ist IKT Sicherheit nötig? 3/4 5
IKT Sicherheit nötig? 4/4 6
Ist IKT Sicherheit nötig? 7
Motivation Das berühmte Formular A39 8
Motivation Vorfall in der BVerw vom 23.02.07 9
Bedrohungen Informatikstrategieorgan Bund ISB Awareness / Daniel Graf / November 2009 10
Bedrohungen (2009) 11
Unser Handeln 7 Departemente Bundeskanzlei Parlamentsdienste Unterschiedliches Empfinden für die Informatiksicherheit Unterschiedliche z.t. bereits durchgeführte Awareness-Kampagnen IT-Sicherheit muss ein zentrales Anliegen vom obersten Management sein 12
Ziel IST Zustand eruieren Empfinden am Arbeitsplatz bei allen Mitarbeitenden der Bundesverwaltung Empfinden gegenüber den Vorgesetzten sind die bereits vorhandenen Mittel (Poster, Flyer, CUA, etc.) bekannt und werden diese richtig eingesetzt Externe Unterstützung einholen Bereitstellung des Fragebogens und des Tools Auswertung aller Antworten genügend Grundlagen vorhanden Verbesserungsvorschläge Ergebnisse analysieren und weiteres Vorgehen definieren 13
Vorgehensweise Vordefinierter Fragebogen mit externem Partner analysiert und auf die Bundesverwaltung adaptiert Übersetzungen Französisch, Italienisch und Englisch Installation Tool zur Durchführung der elektronischen Umfrage 2 Wochen Laufzeit der Umfrage Auswertung der Umfrage, gemeinsamer Workshop zur Analyse und Bestimmung möglicher Massnahmen Präsentation an den Informatiksicherheitsausschuss und an den Informatikrat des Bundes 14
Ergebnisse (1) der vor der Umfrage vorhandene, subjektive, Eindruck hat sich bestätigt klare Aussagen sind nun vorhanden und nachvollziehbar Unterstützung des oberen Managements ungenügend Analyse der vorhandenen Richtlinien sehr wichtig! 15
Ergebnisse (2) 1 962 Antworten / 63% Zustimmung 16
Ergebnisse (3) Tops Sicherer Umgang mit Emails unbekannter Herkunft Datenschutz Empfinden, dass Informationssicherheit wichtig ist Individuelles Verantwortungsbewusstsein Vorsichtiges Verhalten im Gespräch Bekanntheit der Passwortregeln Sperren des Arbeitsplatzes beim Verlassen Flops Schulungsangebot Kontrolle der Clear Desk Policy Verschlüsselung von Emails Awarenessmassnahmen irgendwelcher Art Weisung kennen Wissen, wie Sicherheitsverletzungen melden Wissen, wo Sicherheitsrichtlinien finden 17
Besonderheiten (1) Weisungen und Richtlinien mehr Personen halten sich an die Weisung, als sie die Weisung kennen Passwortregeln: meist bekannt, jedoch hält man sich nicht immer strikt daran (Passwörter aufschreiben und weitergegeben) Richtlinien: Existenz hinreichend bekannt, jedoch wissen nur 50% der Befragten, wo diese aufzufinden sind Richtlinien zu technisch und für die Mitarbeitenden der BVerw nicht oder zuwenig verständlich Organisatorische Zuständigkeit Person bekannt, aber ungenügend wahrgenommen Vorbildfunktion des Managements: schwach Wahrnehmung der Umsetzung und Wichtigkeit: gering 18
Besonderheiten (2) Einstellung allgemein gut Motivation neutral Verhalten Sichere Verhaltensweisen; grundsätzlich vorhanden Verhalten: 15% schätzen ihr eigenes Verhalten als 'sicherer' ein, als das der Kollegen / Ämter / Departemente 19
Sicherheitskulturmodell BVerw 20
Sicherheitskulturmodell VBS 21
Weitere Erkenntnisse Es braucht Awareness-Programme für alle Hierarchiestufen Zielgruppen (Management, Fachmitarbeitende, Administratoren, IKT-Spezialisten etc.) müssen gezielt adressiert werden Nachhaltigkeit fördern Die IKT-Sicherheit braucht ein Gesicht, ein Erkennungszeichen (Branding) Vorleben auf Managementstufe, in der GL befasst sich eine Person damit Informatikstrategieorgan Bund ISB Awareness / Daniel Graf / November 2009 22
Beispiel BSI für Bürger Informatikstrategieorgan Bund ISB Awareness / Daniel Graf / November 2009 23
Beispiel Swiss Security Day Informatikstrategieorgan Bund ISB Awareness / Daniel Graf / November 2009 24
Beispiel ENISA Informatikstrategieorgan Bund ISB Awareness / Daniel Graf / November 2009 25
Beispiel MELANI Informatikstrategieorgan Bund ISB Awareness / Daniel Graf / November 2009 26
Beispiel Bundesverwaltung Informatikstrategieorgan Bund ISB Awareness / Daniel Graf / November 2009 27
Fazit Faktor Mensch ist (fast) das Wichtigste Verhaltensänderung herbeiführen Strukturiertes Vorgehen! Tragen auch in der GL Alle Mitarbeitenden erreichen Erfolgskontrollen Tun Sie etwas! Informatikstrategieorgan Bund ISB Awareness / Daniel Graf / November 2009 28
Referent Daniel Graf Informatiksicherheitsbeauftragter Bund Informatikstrategieorgan Bund ISB Friedheimweg 14 3003 Bern daniel.graf@isb.admin.ch sec@isb.admin.ch Phone +41 31 325 90 03 www.isb.admin.ch 29