Unternehmens- und Informations- Management Consultants Der Faktor Mensch Ist teure Sicherheitssoftware wirkungslos durch soziale Netzwerke? Tim Hoffmann Cybercrime Eine Bedrohung auch für kleine und mittlere Unternehmen Starlight Express, Bochum 19.11.2013 Internet: www.uimc.de E-Mail: consultants@uimc.de Nützenberger Straße 119 42115 Wuppertal Telefon: 0202-265 74-0 Telefax: 0202-265 74-19
Referent Tim Hoffmann (Dipl.-Kfm.) Wirtschaftswissenschaften an der Universität-GH Essen Studien-Schwerpunkte; u. a.» Organisation» Informationsmanagement Seit 2002 als Berater bei der Schwerpunkte Datenschutz und Informationssicherheit/ IT-Sicherheit in KMU Bestellter Datenschutzbeauftragter Leiter des Arbeitskreises Informationssicherheit (networker.nrw) Leiter der Arbeitsgruppe Datenschutz (UNiTS) 2
Teure Sicherheitstechnik Sicherheitsmaßnahmen Elektronisches Schließsystem Besucherausweise Berechtigungsverfahren Passworte Virensoftware VPN-und Container- Verschlüsselung Warnhinweise DLP-Systeme Menschliche Schwächen Trägheit Überforderung Unverständnis Unkenntnis Freundlichkeit Profilierungssucht Mögliche Konsequenz? 3
Es menschelt in der IT Laut KES Studie sind 70% der Sicherheitsvorfälle im Unternehmen durch die eigenen Mitarbeiter verschuldet. Menschlicher Irrtum, wie z. B.:» Fahrlässige Zerstörung oder Verlust von Geräten oder Daten» Nichtbeachtung von IT-Sicherheitsmaßnahmen» Gefährdung durch Reinigungs- oder Fremdpersonal» Fehlerhafte Administration des IT-Systems» Konfigurations- und Bedienungsfehler» Ungeeigneter Umgang mit Passwörtern» unbedachte Handlungen Technik, so teuer oder gut sie auch ist, kann nie 100%ige Sicherheit erreichen es kommt auch immer auf denjenigen an, der sie bedient! 4
Unvorstellbar? 5
Ein Freund, ein guter Freund, das ist das Beste, was es gibt auf der Welt 6
Nutzungsformen im Unternehmen Nutzer Aktive Nutzung durch Unternehmen ( Passive ) Nutzung durch Mitarbeiter Art Facebook- Fanpage und -Like- Button Twitter- Kanal Recruiting während der Arbeitszeit in der Freizeit Risiko Datenschutz, Reputation, Social Engineering, Informationsabfluss, (Un-)Kontrollierbarkeit Zeitfresser, Reputation, Informationsabfluss 7
Unvorsichtigkeit als Risiko Arbeitsrechtliche Probleme» Von der Kaffeeküche in die Welt-Öffentlichkeit» Stichwort arbeitsvertragliche Nebenpflichten Alte Gefahren in neuem Gewand» (Social) Phishing, Malware, Trojaner, Passwort-Diebstahl» Fehlender Vertraulichkeitsschutz (wer liest mit?) (vermeintliche) Freunde» Gezielte Informationsbeschaffung über soziale Netzwerke» Soziale Netzwerke als Ausgangspunkt für weiteres Social Engineering» Verifikation der Identität des Freunds oft kaum möglich (Die Facebook-Soldatin kann auch zur Wirtschaftsspionage eingesetzt werden) 8
Menschliche Schwächen Öffentliche Diskussionen» gefühlte Verpflichtung der Kommunikation» sich wichtig machen mit großem Forum» Vorteil als Nachteil: Mitarbeiter sind kritischer als Kunden» Interna werden öffentlich diskutiert ( statt in Kaffeeküche ) Wettbewerber, Headhunter oder Kunden als Empfänger!? Fehlendes Bewusstsein für Verantwortung? Fotos vom Arbeitsplatz mit ungewollten Begleit- Informationen Apps: noch schneller und Zugriff auf das Adressbuch 9
Exkurs: mobile Nutzung / Apps Umfangreiche und z. T. undurchsichtige Rechte» von Apps und» bei Smartphone-Betriebssystemen (ios, Android, Windows Phone etc.) Verfolgung des Aufenthaltsorts (intransparenter) Datentransfer von Inhalten usw.» nicht genehmigtes Outsourcing Abgleich von Adressbüchern mit sozialen Netzwerken Bei Verlust der Hardware auch Zugriff auf soziale Netzwerke 10
Superman braucht keinen Gurt! (Muhammed Ali zur Flugbegleiterin) 11
Superman braucht auch kein Flugzeug! (Die Antwort der Flugbegleiterin) 12
Stufen der Kompetenz Buschmann Unbewusste Inkompetenz Fahrschüler Bewusste Inkompetenz Probezeit Bewusste Kompetenz Routinier Unbewusste Kompetenz 13
Was tun? Verlassen Sie sich nicht auf Ihre Technik! Erstellen klarer Regelungen (DOs and DONTs) Bilden Sie Ihre Mitarbeiter fort (Schulungen) Sensibilisieren Sie Ihre Mitarbeiter» Darstellung der Bedeutung der Regeln» Transparenz im Hinblick auf mögliche Gefahren Sicherheit ist kein Projekt! Sondern ein Prozess! Leben Sie die Informationssicherheit (dies bedeutet auch, dass Sie kontrollieren müssen!) 14
Informationssicherheit und Datenschutz ist? eine Aufgabe der IT-Abteilung ein Wunsch der Geschäftsführung wichtig für den Erhalt des Unternehmens eine Aufgabe für alle! 15
Informationssicherheit ist? eine Aufgabe der IT-Abteilung ein Wunsch der Geschäftsführung Führungskräfte wichtig für den Erhalt sind oft wie Zitronenfalter eine Aufgabe für uns alle! des Unternehmens denn die falten auch keine Zitronen! 16 Faktor Mensch Ist teure Sicherheitssoftware wirkungslos durch soziale Netzwerke? Tim Hoffmann Der
Fragen?? Fragen? Diskussion?? thoffmann[at]uimc.de (0202) 265 74-0 17
Vielen Dank für Ihre Aufmerksamkeit UIMC DR. VOSSBEIN GMBH & CO. KG Nützenberger Straße 119 42115 Wuppertal Telefon: (0202) 265 74-0 Telefax: (0202) 265 74-19 E-Mail: consultants@uimc.de Internet: www.uimc.de UIMCert GmbH Moltkestraße 19 42115 Wuppertal Telefon: (0202) 3 09 87 39 Telefax: (0202) 3 09 87 49 E-Mail: certification@uimcert.de Internet: www.uimcert.de akkreditiert durch: 18