Grundlagen und Anwendung von Information Security Awareness: Mitarbeiter zielgerichtet für Informationssicherheit sensibilisieren
Von Kristin Weber, Andreas E. Schütz und Tobias Fertig
()
Über dieses E-Book
Kristin Weber, Andreas E. Schütz und Tobias Fertig zeigen in diesem essential, wie Mitarbeiter in acht Schritten für das Thema Informationssicherheit sensibilisiert werden können. Vorgestellt wird ein Vorgehen, welches Erkenntnisse aus der Verhaltenspsychologie berücksichtigt und somit eine passgenaue Auswahl von Sensibilisierungsmaßnahmen erlaubt. Projektbeispiele illustrieren die Umsetzbarkeit des Modells. Damit beschreiben die Autoren eine konkret anwendbare Methode, die auch bei kleinem Budget eine erfolgreiche Mitarbeitersensibilisierung verspricht.
Ähnlich wie Grundlagen und Anwendung von Information Security Awareness
Ähnliche E-Books
Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten: Eine kompakte Einführung in die Praxis Bewertung: 0 von 5 Sternen0 BewertungenIT Sicherheitsmanagement: Ihr Praxis - Leitfaden! Bewertung: 0 von 5 Sternen0 BewertungenDigitalisierungsprojekte erfolgreich planen und steuern: Kunden und Mitarbeiter für die digitale Transformation begeistern Bewertung: 0 von 5 Sternen0 BewertungenDigital Detox im Arbeitsleben: Methoden und Empfehlungen für einen gesunden Einsatz von Technologien Bewertung: 0 von 5 Sternen0 BewertungenBig Data und Data Science in der strategischen Beschaffung: Grundlagen – Voraussetzungen – Anwendungschancen Bewertung: 0 von 5 Sternen0 BewertungenGeschäftsrisiko Cyber-Security: Leitfaden zur Etablierung eines resilienten Sicherheits-Ökosystems Bewertung: 0 von 5 Sternen0 BewertungenKMU im digitalen Wandel: Ergebnisse empirischer Studien zu Arbeit, Führung und Organisation Bewertung: 0 von 5 Sternen0 BewertungenHomeoffice und mobiles Arbeiten im Team effektiv umsetzen: Praxisratgeber: Remote Work und Heimarbeitsplatz technisch schnell einrichten Bewertung: 0 von 5 Sternen0 BewertungenUsable Security und Privacy by Design Bewertung: 0 von 5 Sternen0 BewertungenInterne Kontrollsysteme im Finanzbereich: Wirksame und effiziente Steuerung, Kontrolle und Überwachung Bewertung: 0 von 5 Sternen0 BewertungenDatenbasiert entscheiden: Ein Leitfaden für Unternehmer und Entscheider Bewertung: 0 von 5 Sternen0 BewertungenVirtual Reality im Tourismus: Wie VR das Destinationsmarketing verändern wird Bewertung: 0 von 5 Sternen0 BewertungenExtended Reality Training: Ein Framework für die virtuelle Lernkultur in Organisationen Bewertung: 0 von 5 Sternen0 BewertungenSicherheit in vernetzten Systemen: 24. DFN-Konferenz Bewertung: 0 von 5 Sternen0 BewertungenMarketing im Zeitalter der Digitalisierung: Chancen und Herausforderungen durch digitale Innovationen Bewertung: 0 von 5 Sternen0 BewertungenComputer-Forensik: Computerstraftaten erkennen, ermitteln, aufklären Bewertung: 0 von 5 Sternen0 BewertungenGrundzüge der Neuroökonomie: So entstehen Entscheidungen Bewertung: 0 von 5 Sternen0 BewertungenJournalistische Praxis: Digitale Recherche: Verifikation und Fact Checking Bewertung: 0 von 5 Sternen0 BewertungenMarkenorientierte digitale Transformation: Wie Sie Ihr Unternehmen erfolgreich in das digitale Zeitalter führen Bewertung: 0 von 5 Sternen0 BewertungenEntwicklung eines Vorgehens zum Safety Assessment für sicherheits-kritische Informationssysteme: in der zivilen Gefahrenabwehr am Beispiel der Feuerwehr Bewertung: 0 von 5 Sternen0 Bewertungen30 Minuten Digitale Souveränität Bewertung: 0 von 5 Sternen0 BewertungenDatengetriebenes Marketing: Wie Unternehmen Daten zur Skalierung ihres Geschäfts nutzen können Bewertung: 0 von 5 Sternen0 BewertungenDatengetriebenes Management: Wie Sie die richtigen Grundlagen legen, bevor Sie mit Business Intelligence durchstarten können Bewertung: 0 von 5 Sternen0 BewertungenErfolgreiche Mitarbeiterkommunikation für CEOs: Basics und Tools: CEO-Blog, Dialogrunden, Events, Mitarbeiterbeteiligung Bewertung: 0 von 5 Sternen0 BewertungenBasiswissen Sichere Software: Aus- und Weiterbildung zum ISSECO Certified Professionell for Secure Software Engineering Bewertung: 0 von 5 Sternen0 BewertungenPersonalbilanz Lesebogen 70 Flügelschlag eines Schmetterling: Netz und Takt Bewertung: 0 von 5 Sternen0 BewertungenSicherheit in vernetzten Systemen: 28. DFN-Konferenz Bewertung: 0 von 5 Sternen0 BewertungenAgiles Management als Antwort auf die Herausforderungen der Digitalisierung: Praktische Erkenntnisse und Gestaltungshinweise für die Bankenbranche Bewertung: 0 von 5 Sternen0 BewertungenBausteine eines Managements Künstlicher Intelligenz: Eine Standortbestimmung Bewertung: 0 von 5 Sternen0 Bewertungen
Sicherheit für Sie
Cybercrime: Wie Sie Gefahren im Internet erkennen und sich schützen Bewertung: 0 von 5 Sternen0 BewertungenNichts ist sicher: Tricks und Techniken von Cyberkriminellen verstehen und sich schützen Bewertung: 5 von 5 Sternen5/5Heim-Netzwerke: Netzwerktechnik • High-Speed-Internet • Arbeiten im Heimnetz Bewertung: 0 von 5 Sternen0 BewertungenHacken mit Python und Kali-Linux: Entwicklung eigener Hackingtools mit Python unter Kali-Linux Bewertung: 0 von 5 Sternen0 BewertungenIT-Sicherheit ist sexy!: Argumente für Investitionen in IT-Sicherheit Bewertung: 0 von 5 Sternen0 BewertungenAndroid Security: Von Fake-Apps, Trojanern und Spy Phones Bewertung: 0 von 5 Sternen0 BewertungenWebseiten hacken: Schnelleinstieg inkl. Entwicklung eigener Angriffsscripte Bewertung: 0 von 5 Sternen0 BewertungenEinführung ins Darknet: Darknet ABC Bewertung: 0 von 5 Sternen0 BewertungenDie Burg IT-Sicherheit: IT-Sicherheit Stein auf Stein Bewertung: 0 von 5 Sternen0 BewertungenHeim-Netzwerke Tipps & Tools: Netzwerkverbindungen • Zentraler Datenspeicher • Mediastreaming Bewertung: 0 von 5 Sternen0 BewertungenBug Bounty Hunting mit Kali-Linux oder Parrot Security OS: Hacking als Hautberuf oder Nebenjob Bewertung: 3 von 5 Sternen3/5Ich Hacker – Du Script-Kiddy: Hacking und Cracking Bewertung: 0 von 5 Sternen0 BewertungenResilience: Wie Netflix sein System schützt Bewertung: 0 von 5 Sternen0 BewertungenWebsecurity: Angriffe mit SSRF, CSRF und XML Bewertung: 0 von 5 Sternen0 BewertungenISO27001/ISO27002: Ein Taschenführer Bewertung: 0 von 5 Sternen0 BewertungenKochbuch ISMS: Informationssicherheits-Management nach ISO 27001 Bewertung: 0 von 5 Sternen0 BewertungenFRITZ!Box: Konfigurieren - Tunen - Absichern Bewertung: 0 von 5 Sternen0 BewertungenÜberwachungswahn: ...wie umgehen ?? Bewertung: 0 von 5 Sternen0 BewertungenWeg ins Darknet und Im Darknet Bewertung: 0 von 5 Sternen0 BewertungenNeun Schritte zum Erfolg: Ein Überblick zur Implementierung der Norm ISO 27001:2013 Bewertung: 0 von 5 Sternen0 BewertungenSECURITY AWARENESS: Leitfaden zur IT-Sicherheit für Anwender Bewertung: 0 von 5 Sternen0 BewertungenHacken mit Kali-Linux: Schnelleinstieg für Anfänger Bewertung: 0 von 5 Sternen0 BewertungenJavaScript Security: Sicherheit im Webbrowser Bewertung: 0 von 5 Sternen0 BewertungenHeimnetzwerke XL-Edition: DSL/WLAN/PC/Handy/Drucker & Co. Bewertung: 0 von 5 Sternen0 BewertungenVersteckte Botschaften (TELEPOLIS): Die faszinierende Geschichte der Steganografie Bewertung: 5 von 5 Sternen5/5sichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme Bewertung: 0 von 5 Sternen0 BewertungenKosten der IT-Sicherheit: Ein Ausgangspunkt für weitergehende Untersuchungen Bewertung: 0 von 5 Sternen0 Bewertungen
Rezensionen für Grundlagen und Anwendung von Information Security Awareness
0 Bewertungen0 Rezensionen
Buchvorschau
Grundlagen und Anwendung von Information Security Awareness - Kristin Weber
© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019
Kristin Weber, Andreas E. Schütz und Tobias FertigGrundlagen und Anwendung von Information Security Awarenessessentialshttps://doi.org/10.1007/978-3-658-26258-7_1
1. Der Faktor Mensch in der Informationssicherheit
Kristin Weber¹ , Andreas E. Schütz¹ und Tobias Fertig¹
(1)
Fakultät Informatik und Wirtschaftsinformatik, Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt, Würzburg, Deutschland
Kristin Weber (Korrespondenzautor)
Email: kristin.weber@fhws.de
Andreas E. Schütz
Email: andreas.schuetz@fhws.de
Tobias Fertig
Email: tobias.fertig@fhws.de
1.1 Einführung und Aufbau
Es ist oft ein Kinderspiel, die menschliche Firewall zu knacken. Das erfordert außer einem Telefonanruf keine Investitionen und beinhaltet nur ein minimales Risiko (K. Mitnick).
Der Mensch wird häufig als eine der größten Schwachstellen für die Informationssicherheit bezeichnet. Die IT tut alles, um die wertvollen Informationen des Unternehmens technisch abzusichern. Das System ist so konfiguriert, dass es nur zehnstellige Passwörter erlaubt, die mindestens ein Sonderzeichen (aber bitte nur ausgewählte!), einen Groß- und einen Kleinbuchstaben sowie eine Ziffer enthalten. In jedem System soll natürlich ein eigenes Passwort verwendet werden. Zudem werden die Nutzer automatisch alle drei Monate aufgefordert, ihre Passwörter zu ändern. Dann kommen die Nutzer aber auf die Idee, sich ihre sicheren Passwörter aufzuschreiben und mit einem Post-It an den Bildschirm zu heften! Oder sie verraten ihre Passwörter einem Wildfremden am Telefon, der sich als IT-Administrator ausgibt. Zugegeben – aus Sicht der Informatik kann das als ziemlich dummes und nicht nachvollziehbares Verhalten bezeichnet werden. Besonders motivierend ist diese Sichtweise für die Nutzer allerdings nicht.
Informationssicherheit
Ein System gilt als informationssicher, wenn es keine Zustände annimmt, die zu unautorisierter Informationsveränderung oder -gewinnung führen (Eckert 2018). Die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit werden in diesem Zusammenhang häufig genannt. Um die Vertraulichkeit einer Information zu schützen, ist es notwendig, unautorisierten Zugriff auf sie zu unterbinden. Mit der Integrität wird sichergestellt, dass die Informationen unverändert sind. Um dieses Schutzziel zu erreichen, müssen sie vor nicht autorisierten Änderungen geschützt werden. Mit der Verfügbarkeit soll sichergestellt werden, dass die gewünschte Information den autorisierten Nutzern zugänglich ist.
Daher wollen wir uns bewusst davon verabschieden, den Mensch als Schwachstelle zu bezeichnen. Vielmehr stellen wir die Sicherheit von Informationen und Informationssystemen in den Vordergrund. Zu einem Informationssystem – einem soziotechnischen System – gehört der Mensch als Komponente dazu (Krcmar 2015, S. 22), weshalb technische Sicherheitsmaßnahmen alleine eben nicht ausreichen, um diese Systeme abzusichern. Der Mensch als Teil des Systems muss mit seinen Bedürfnissen, seinen Fähigkeiten und seinem naturgegebenen menschlichen Verhalten in das Design, die Umsetzung und den sicheren Betrieb der Systeme einbezogen werden. Designer von Sicherheitskonzepten müssen also wissen und verstehen, wie Nutzer sich verhalten, warum sie das tun und wie sie dieses Verhalten im Sinne der Informationssicherheit beeinflussen können. Dazu zählt auch, Passwortregeln so zu gestalten, dass sie für die Nutzer nachvollziehbar und im Alltag umsetzbar sind.
Wir gehen sogar so weit und sagen, dass Menschen eine wichtige, unverzichtbare Stütze für das Informationssicherheitskonzept darstellen. Zudem sind technische Konzepte heutzutage noch nicht in der Lage, alle Angriffe automatisch zu erkennen und richtig darauf zu reagieren. Die Anwender jedoch können das seltsame Verhalten ihres Rechners melden, sie können innerhalb weniger Sekunden nach dem Erhalt einer Phishing-E-Mail dem IT-Helpdesk einen Hinweis darauf geben, sie sprechen Personen ohne sichtbaren Ausweis innerhalb des Firmengeländes an oder geben gefundene USB-Sticks sowie andere dubiose Datenträger ab.
Menschen als Sicherheitssensoren
Dass Menschen ein sehr zuverlässiger Entdecker von Sicherheitsvorfällen sind, haben (Heartfield und Loukas 2018) wissenschaftlich bestätigt. In einem Experiment simulierten sie Angriffe, die spezielle Social Engineering Techniken wie Spear Phishing, verschickte USB-Sticks oder falsche Facebook-Accounts nutzten. Lediglich 10 % der Angriffe wurden von den Anwendern nicht erkannt. Die technischen Sensoren hingegen schlugen bei 81 % der Angriffe keinen Alarm!
Um die Anwender für ihre wichtige Rolle als Stütze des Informationssicherheitskonzepts fit zu machen, müssen sie sensibilisiert werden. Der Fachbegriff dafür lautet Information Security Awareness. Mit Awareness-Maßnahmen sollen Anwender davon überzeugt werden, sich beruflich wie privat so zu verhalten, dass sie weder wissentlich noch unwissentlich der Sicherheit der Informationen und Informationssysteme ihres Unternehmens schaden. Auch sollen die Anwender mithelfen, Informationen und Informationssysteme aktiv vor Gefahren zu schützen. Wir sprechen hierbei von informationssicherheitskonformem Verhalten.
In diesem Kapitel möchten wir Ihnen zunächst anhand von