Weber Mensch und Informationssicherheit
1. Auflage 2024
ISBN: 978-3-446-48040-7
Verlag: Hanser, Carl
Format: PDF
Kopierschutz: 1 - PDF Watermark
Verhalten verstehen, Awareness fördern, Human Hacking erkennen
E-Book, Deutsch, 204 Seiten
ISBN: 978-3-446-48040-7
Verlag: Hanser, Carl
Format: PDF
Kopierschutz: 1 - PDF Watermark
- Verhalten nachvollziehen und durch psychologisches Verständnis beeinflussen
- Security Awareness-Kampagnen gestalten und Mitarbeitende effektiv sensibilisieren
- Gefahren von Human Hacking (er)kennen
- Informationssicherheitsmaßnehmen für (und nicht gegen) Menschen entwickeln
- Ihr exklusiver Vorteil: E-Book inside beim Kauf des gedruckten Buches
Der Mensch ist das größte Risiko für die Informationssicherheit in Unternehmen!' Diese Aussage ist schädlich, wenn Mitarbeitende für Informationssicherheit sensibilisiert werden sollen. Tatsächlich sind Menschen ein wichtiger Sicherheitsfaktor. Sie sind Teil der Lösung und kein Problem!
Das Buch stellt den Menschen in den Mittelpunkt und hilft zu verstehen, warum diese sich nicht immer 'richtig' verhalten. Häufig liegt es an zu starren Regeln, die nicht zu ihrem Arbeitsalltag passen - oder an der geschickten Manipulation durch Social Engineers. Um Mitarbeitende effektiv für Informationssicherheit zu sensibilisieren, hilft ein Blick in die Verhaltenspsychologie. Ein komplexes Zusammenspiel verschiedener Faktoren beeinflusst menschliches Handeln. Sind diese Faktoren bekannt, können sie zielgerichtet gefördert und beeinflusst werden: Mitarbeitende ändern ihre Einstellungen, sie erhöhen ihr Wissen, stärken ihr Selbstvertrauen, verbessern ihre Fähigkeiten, sie entwickeln sichere Gewohnheiten und sie erinnern sich im entscheidenden Moment an das 'richtige' Verhalten.
Das Buch vermittelt Hintergrundwissen und zeigt anhand zahlreicher Beispiele, wie informationssichere Verhaltensweisen gefördert und gemessen werden können.
AUS DEM INHALT //
- Der Faktor Mensch in der Informationssicherheit: vom 'Problem' zur 'Lösung'
- Der Mensch als Bedrohung: Insider Threats
- Der Mensch als Opfer von Human Hacking
- Verhaltensabsicht, Wissen, Gewohnheit und Salienz als Faktoren von Information Security Awareness
- Information Security Awareness zielgerichtet fördern
- Information Security Awareness bewerten und messen
Prof. Dr. Kristin Weber ist Vizepräsidentin für Digitalisierung an der Technischen Hochschule Würzburg-Schweinfurt. Sie lehrt, forscht, veröffentlicht und berät zu den Themen Data Governance, Datenqualität, Datenmanagement, Information. Zudem ist Kristin Weber als Autorin, Referentin und Beraterin für die Themenstellungen Information Security Awareness, ISMS, Data Governance, Datenqualität und Stammdatenmanagement tätig.
Autoren/Hrsg.
Weitere Infos & Material
| 2 | Der Mensch als Bedrohung |
Anwendende treffen tagtäglich Entscheidungen, welche einen Einfluss auf die Informationssicherheit haben. Sie entscheiden sich, sensible Informationen auf Social Media zu posten, ihr Smartphone oder Notebook unbeaufsichtigt zu lassen, sie nutzen unsichere Passwörter oder vergessen, den Bildschirm bei Abwesenheit zu sperren.
Dieses Kapitel beleuchtet die Rolle der Menschen als „Bedrohung“ näher. Zunächst werden Szenarien vorgestellt, in welchen Menschen bewusst oder unbewusst mit ihren Entscheidungen die Informationssicherheit gefährden können. Die Gründe, Ursachen und Motive für dieses „falsche“ Verhalten sind vielfältig. Deren Verständnis ist wichtig, um Menschen dabei zu unterstützen, zu Sicherheitsfaktoren zu werden. Der zweite Teil des Kapitels beschäftigt sich mit dem Phänomen der Malicious Insider und betrachtet speziell die Bedrohung, die von den eigenen Mitarbeitenden oder anderen Insidern für die Informationssicherheit ausgehen kann, wenn diese in böswilliger Absicht handeln.
| 2.1 | It’s me, hi, I’m the problem, it’s me1 |
Menschen verhalten sich nicht immer „informationssicherheitskonform“ (information security compliant). Anwendende, die unbewusst oder bewusst Richtlinien ignorieren, sich am Arbeitsplatz und außerhalb der Organisation unbedacht oder fahrlässig verhalten, können die Informationssicherheit der eigenen Organisation gefährden. Die Gründe für ein abweichendes (non-compliant) Verhalten sind sehr vielfältig, und in vielen Fällen kann den Anwendenden nicht einmal ein Vorwurf gemacht werden. Mitarbeitende konzentrieren sich auf die Erledigung ihrer primären Aufgaben, und das für die Einhaltung von Sicherheitsmaßnahmen erforderliche Verhalten stellt oft ein Hindernis auf diesem Weg dar. Dieser Konflikt zwischen Sicherheit und Produktivität ist ein häufiger Grund für Non-Compliance (Beautement et al., 2008).
Bild 2.1 zeigt aus einem anderen Kontext, wie leicht eine Sicherheitsmaßnahme als Hindernis gesehen werden kann. Sie versperrt wortwörtlich den Weg und hindert das Erreichen des eigentlichen Ziels. So wird sie einfach umgangen bzw. umfahren.
Dieser Abschnitt zeigt zunächst typische Beispiele und Szenarien aus dem Unternehmensalltag, in welchen Mitarbeitende mit ihrem Verhalten die Sicherheit von Unternehmensinformationen beeinflussen können. Im Anschluss werden mögliche Gründe oder Ursachen für unsicheres Verhalten aufgezeigt. Es ist wichtig, diese Gründe zu kennen und zu verstehen, um Menschen aus der Rolle „Bedrohung“ in die Rolle „Sicherheitsfaktor“ zu verwandeln.
Bild 2.1 Sicherheitsmaßnahme als Hindernis (Fotos: Kristin Weber)
| 2.1.1 | Typische Szenarien – (un)sicheres Verhalten |
Dieses Beispiel und auch die folgenden Szenarien zeigen, dass Anwendende eine große Verantwortung haben. Die Sicherheit der Informationen und Informationssysteme des Unternehmens hängt auch davon ab, dass sie sich richtig, also informationssicherheitskonform verhalten. Verhalten sich Mitarbeitende in diesen Szenarien falsch (unsicher), stellen sie eine Gefährdung oder Bedrohung für die Informationssicherheit dar. Halten sie Vorschriften nicht ein oder versuchen diese zu umgehen, schaffen sie neue Schwachstellen oder Sicherheitslücken (Beris et al., 2015).
Die dargestellten Verhaltensweisen (z. T. in Anlehnung an Weber et al., 2019) werden in den folgenden Kapiteln des Buches immer wieder als Beispiele herangezogen.
Passwort
Der Zugriff auf Informationssysteme wird immer noch am häufigsten über die richtige Kombination aus Benutzungsname und Passwort gewährt. Jede/r, der diese Kombination kennt, kann Zugriff auf das Informationssystem erhalten. Während der Benutzungsname häufig von den IT-Admins vorgegeben wird, ist das Passwort von den Anwendenden selbst wählbar. Es liegt in ihrer Verantwortung, ein Passwort zu wählen, welches niemandem bekannt ist und auch nicht leicht erraten werden kann. Meist gibt es technische Vorgaben oder Richtlinien, die ein gewisses Mindestmaß an Sicherheit erzwingen bzw. vorgeben.
Ist ein vermeintlich „sicheres“ Passwort gefunden (also eines, das nicht leicht von anderen herausgefunden werden kann), müssen die Anwendenden es sich gut merken können oder zumindest sicher aufbewahren. Das Passwort darf auch nicht weitergegeben werden, weder wissentlich noch unwissentlich; also weder den Kolleg:innen, die vertretungsweise Zugriff auf das E-Mail-Postfach benötigen, noch der vermeintlichen IT-Administratorin, die am Telefon danach fragt, und auch nicht, indem es versehentlich in eine Phishing-Webseite eingegeben wird.
Besteht der Verdacht, dass das Passwort dennoch bekannt geworden ist, müssen die Anwendenden schnellstmöglich ihren Verdacht dem Helpdesk melden und das Passwort schnell ändern. Und sie sollten das gleiche Passwort auch nur in einem System verwenden und nicht für verschiedene Anwendungen.
Bildschirmsperre
Um den unberechtigten Zugriff auf den eigenen Rechner und damit auf die dort abgelegten Dokumente oder die verbundenen Netzlaufwerke und Informationssysteme zu verhindern, sollten die Anwendenden beim Verlassen des Arbeitsplatzes den Bildschirm ihres Rechners sperren. Auch Smartphones oder andere mobile Endgeräte, welche am Arbeitsplatz zurückgelassen werden, sollten gesperrt werden. Das Entsperren sollte natürlich nur durch die Anwendenden selbst möglich sein, z.B. mittels Passwort, PIN, Fingerprint oder Gesichtserkennung.
Die Anwendenden müssen also bei jedem Verlassen des Arbeitsplatzes zunächst daran denken, die Bildschirmsperre zu aktivieren – auch dann, wenn ihre Abwesenheit vermutlich nur sehr kurz sein wird. Dazu müssen sie wissen, wie sie die Sperre aktivieren können. Bei ihrer Rückkehr sollten sie sich an das Passwort oder die PIN zum Entsperren des Geräts erinnern.
Umgang mit sensiblen Informationen
Anwendende müssen sich bewusst sein, wie sensitiv und schützenswert die Informationen sind, mit denen sie arbeiten. Meist gibt es im Unternehmen verschiedene Schutzstufen von über und bis hin zu . Je nach Einstufung gelten andere Schutzmaßnahmen. Beispielsweise sollten vertrauliche Informationen nur verschlüsselt per E-Mail versendet werden. Geheime Informationen dürfen nur nach ausdrücklicher Genehmigung an andere Personen über klar definierte Kanäle weitergegeben werden. Geschäftliche E-Mails dürfen generell nicht an private E-Mail-Accounts weitergeleitet werden.
Sensible Dokumente sollten am Arbeitsplatz nicht offen herumliegen. Sie müssen am Abend oder auch bei (längerer) Abwesenheit vom Arbeitsplatz weggeräumt und weggeschlossen werden. Zumindest sollten aber Fenster und Türen geschlossen werden, sodass keine unbefugten Personen Zutritt erhalten können. Durch offenstehende Fenster können auch Dokumente oder Geräte beschädigt werden, falls dort Regenwasser eindringt. Bei der Entsorgung von Datenträgern und Papierdokumenten ist ebenfalls einiges zu beachten. Je nach Schutzstufe gibt es unterschiedlich sichere Verfahren für die Vernichtung. Einfach wegwerfen ist meist nicht die...
