Security Awareness ist Zeitverschwendung!



  • Bei Security Awareness gehen die Meinungen über die Nützlichkeit stark auseinander. Während die einen Security Awareness (#SecAware) als lobenswerte und nützliche Maßnahme einschätzen, behaupten andere, dass es schlichtweg Zeit- und Geld-Verschwendung ist.

    Klicken sie hier um den Artikel zu lesen



  • Der Autor hat natürlich zunächst einmal recht. Ein Unternehmen soll wirtschaftlich arbeiten und sich auf seine Kernkompetenzen beschränken. Ich selbst bin seit vielen Jahren im Bereich Informationssicherheit tätig und das als Berater, Lead-Auditor und Schulungsleiter. Da müsste ich also dem Autor sofrt den Gegenbeweis antreten! Je mehr ich aber mit den Themen wie ISMS, Grundschutz usw. zu tun habe, desto intensiver gerate auch ich in die Mühlsteine zwischen Pro und Kontra…
    Was mich zunehmend stört, sind irgendwelche Applikationen die vermehrte Sicherheit vorgaukeln - sie aber nicht unbedingt liefern. Sattsam bekannt sind auch die angebotenen Schulungen in Sachen Informationssicherheit, sei es nun in Sachen ISo 27001 oder IT-Grundschutz. Da werden die Teilnehmer oftmals mit den Normen zugeworfen. Was mir bei vielen Schulungen fehlt, sind Beispiele aus der Praxis! Nur so können die Teilnehmer einen Bezug zum "reinen Wissen" bekommen. Auch die Vorbereitung von Mitarbeitern auf die Zertifizierung gleicht vielerorts eher einem Pauken als dem für ihren jeweiligen Arbeitsplatz angemessenen Wissensziel.
    SecAware muss man leben und nicht pauken und da fehlt es zuweilen noch an den geeigneten Übermittlern!



  • Interessante Sichtweise und ja, wenn Security Awareness zum Zwangstraining wird, damit man irgendwo auf einer Liste einen Haken setzten kann und sich beruhigt auf die Schulter klopft, da man ja alles "laut Vorgabe" gemacht hat, dann wird es auch nicht funktionieren. Umgekehrt aber die Schlussfolgerung zu ziehen, weil "das Training" nicht anhalten wird es besser gleich gar nicht zu machen, finde ich aber auch einen voreiligen Schluss. Ein Bad zu nehmen hält auch nicht unbeschränkt an und trotzdem ist es gut, das öfter zu tun. Die Frage ist, wie diese Thematik dem Mitarbeiter nahgebracht wird. Das kann man zäh und langweilig tun (zurück zum Check-Mark) oder aber interaktiv mit vielen Beispielen … warum z. B. der Arbeitsgeber auch daran interessiert sein soll, wie mein Wi-Fi zu Hause aufgesetzt ist ... das ist insgesamt ein echt spannendes Thema! Wäre schade, wenn das gleich behandelt wird wie die jährliche Schulung zur Exportkontrolle ... ist aber auch nur meine Meinung!



  • Security Awareness nicht zu fördern ist keine Option. Letzten Endes sind die Endwender an vielen Sicherheitsvorfällen beteiligt. Es ist daher logisch, sie mit in die Verantwortung zu ziehen und im Gegenzug mit dem nötigen Wissen auszustatten.  Es ist sicher eine Herausforderung, das richtige Maß für das eigene Unternehmen zu finden und die Maßnahme sinnvoll zu gestalten. Der investierte Aufwand kann sich schon nach nur einer abgewendeten Cryptotrojanerkampagne rentieren.
    Werbung zu machen ist unnötig, wenn man den Anwender zu der Erkenntnis führt, dass ein sicherer Umgang mit IT auch Stress im privaten Bereich vermeidet (Stichwort Phishing).
    Es würde mich interessieren, wie der Avocatus Diaboli bezüglich Brandschutzübungen argumentiert…



  • Ohne Sensibilisierung? Es sei hier die Metapher des "verlorenen" USB-Sticks genannt.
    Wie viel Mitarbeiter würden diesen, ohne Bedenken, in den Rechner stecken?

    • Wer Sensibilisierung infrage stellt - stellt auch Social Engineering infrage.
    • Wer glaubt mit technischen Maßnahmen und organisatorischen Richtlinien das Heilmittel gefunden zu haben sollte sich die Praxis mal anschauen.
      Aber vielleicht liegt es daran, dass Sensibilisierungen didaktische Settings bedürfen. Deklaratorisches und prozedurales Wissen sind hier schon mal fundamental.


  • Leute sind genervt von Warnmeldungen. Leute wollen aber auch auf Marcos in ihren Exceltabellen nicht verzichten. Es bleibt dabei: Einschränken oder Aufklären, anders geht es nicht!



  • das verstaendnis von awareness scheint sich hier auf rein Kognitives zu beschraenken, was ua auf rein isolierte, offenbar nicht verknüpft gedachte Schlagworte wie schulung oder training oder werbung oder verstehen  oder erinnern belegen, die den blick auf die eigentliche bedeutung von awareness, ein idiom, das sich historisch ua aus der gestaltpsychologie ableitet und eben die selbstwirksamkeit hinsichtlich des eigenen bewusstseins meint, verstellt ! Darueber hinaus scheint mir auch der hier gefeierte  fatalismus, nicht mehr wirksam kommunizieren und einwirken zu koennen, als der voellig falsche weg angesichts der steigenden bedrohung von cyber crime, iot &co., der wir mit rein technischen massnahmen nicht beikommen werden, auch bruce schneier zu zitieren, der ja nicht gerade als menschenfreund pupolaritaet gewonnen hat, sondern eher als jemand, der kommuniikstion technisch betrachtet, erscheint mir als argument - wie ueberhaupt der komplette duktus des textes - hilflos und geradezu pubertaer. Die reife frage im kontext awareness lautet doch vielmehr: sensibilisieren sie noch oder veraendern sie schon? Zur beantwortung lade ich gerne zur ersten TAKE AWARE - die security awareness konferenz  am 16.3. in Neuss ein,
    http://www.take-aware.com



  • Ich gehe mal davon aus, dass die Autoren absichtlich überspitzt und pointiert diesen Artikel geschrieben haben - um eine gewisse Awareness für Awareness zu schaffen und zum diskutieren anzuregen. Das scheint ihnen ja auch gelungen zu sein. Ist ja schon ein bisschen "Clickbaiting". #SecAware. Denn das Zitat "Investieren Sie in wirksame technische und organisatorische Lösungen, um ihre IT zu schützen und verabschieden Sie sich von Security Awareness!" kann man nicht wirklich ernst meinen. Der Mitarbeitende ist nicht die Last Line sondern die First Line of Defense. Wie erklärt man sich sonst die ganzen Verschlüsselungstrojaner-Geschichten aus den Unternehmen? Oder den Verlust von 40 Millionen beim Automobilzulieferer Leoni - alles Peanuts? Awareness auf Schulung und Training zu trimmen ist ja auch Schwachsinn. Genau zu dieser Aussage kommt übrigens auch Bruce Schneider wenn man den von ihm verfassten Artikel richtg liest. Das 125 eLearning neben den vielen Anderen bringt eben nichts - ausser Frust, Zeitverschwendung und ein übles Image der IT. Und daran sollten wir arbeiten. Nur wenn die Informationssicherhet als Enabler versteht und das Business - und sorry, damit auch die Anwender und Mitarbeitenden - Ernst nimmt kann man erwarten, dass die Mitarbeitenden das tun, was sie tun sollen. Gute Awarenessmassnahmen zeichnen sich durch einen aktiven Dialog und einen Imagegewinn der IT- und Informationssicherheit aus. Dann komme ich auch zu den Mitarbeitern…



  • Nichts gegen Überspitzung und Polemik, wenn es der Entfachung einer sachlichen Diskussion dient. Einige der aufgeführten Argumente gegen SecAware-Schulungen kann ich sogar unterschreiben. Unternehmen, die alle Mitarbeiter in einen 45minütigen Vortrag schicken, in denen die dann aufgeklärt und sensibilisiert werden sollen - am besten noch durch 100 vollgeschriebene Powerpoint-Folien - und damit das Thema abhaken, können sich das Geld in der Tat sparen. Ein großes Problem ist meiner Erfahrung nach auch, dass in den meisten Firmen das Thema SecAware ausschließlich von Technikern vermittelt werden soll und nicht etwa von "echten" Trainern und Kommunikationsprofis. Jedoch geht es bei SecAware darum, das Verhalten von Menschen zu beeinflussen und nicht das von Maschinen. Letzteres beherrschen Techniker meist besser als Ersteres. SecAware-Maßnahmen sind m.E. durchaus sinnvoll, wenn Sie richtig gemacht sind, die Menschen mitnehmen und ihnen Erfahrungen vermitteln, die für ihren (Berufs-)Alltag auch relevant sind. Die Forderung, dass für IT-Security ausschließlich die IT-Security-Abteilung zuständig ist, ist hoffentlich eine der polemischen Überspritzungen. Was nicht heißt, dass nicht viele Unternehmen genau so denken und da liegt ein Grundproblem: die  "not my job"-Mentalität. Die macht sich vor allem da breit, wo sich Mitarbeiter nicht umfassend mit den Zielen eines Unternehmens identifizieren. Und da machen wir ein ganz großes Fass auf, das weit über SecAware hinaus geht.



  • Ist ja ein alter Artikel, war auch vom Titel angeteasert. Leider habe ich nach einem Absatz schon nicht mehr lesen können. Wenn ich schon direkt sehe, dass ein Experte wie Bruce Schneier hier zitiert wird, werde ich skeptisch. Jeder Security Spezialist erkennt sofort, dass hier nur ein schlechter Artikel folgen kann. Die Aussage von Bruce Schneier kommt aus 2013. Wenn man sich ein wenig mit der Materie auskennt, kennt man die Literatur von nach 2013 von Herrn Schneier und weiß, dass er selbst zugegeben hat, wie falsch er lag. Ansonsten schließe ich mich den Kommentaren von Herrn Beyer und Herrn Pokoyski mit Freuden an.



  • Sehr schade, dass Sie sich nicht die Mühe gemacht haben, den gesamten Artikel zu lesen. Aber dennoch bemerkenswert, dass Sie nach einem Absatz denken den gesamten Artikel beurteilen zu können. Es ist Ihnen ja unbenommen, dass Sie eine eigene Meinung zu dem Beitrag haben dürfen und diese auch sehr gerne hier mit anderen Lesern teilen sollen. Dennoch wäre es schön, wenn Sie dem Autor auch seine Meinung zugestehen würden, statt seine Kompetenz in Frage zu ziehen.

    Zumal Ihre Aussage über Bruce Schneier meiner Meinung nach falsch ist. Ich konnte jedenfalls keinen Beleg für Ihre Aussage finden, dass er selbst zugegeben habe wie falsch er lag. Im Gegenteil kann ich beispielsweise seinen Blogpost vom Oktober 2016 anführen, in dem er erneut betont, dass Security-Experten aufhören sollten, den Anwender "zu fixen".

    Dass diese Aussage, ebenso wie dieser Artikel, eine kontroverse Meinung vertritt und vielerorts Widerspruch erhalten hat, ist klar, aber wenn Sie den Artikel bis ganz zum Ende lesen, dann könnten Sie sehen, dass der Autor durchaus die Vorteile einer lebendigen, intensiven und zeitgemäßen SecAware-Maßnahme sieht. Aber er sieht eben auch, dass die Vorteile tagtäglich schrumpfen und dass man darauf reagieren muss.

    Viele Grüße,
    Peter Schmitz
    Chefredakteur Security-Insider



  • Genau.
    Man sollte Brandschutzübungen sein lassen und mehr in Brandlöschung investieren. Man sollte Fahrschulunterricht und Fahrstunden sein lassen und mehr Sicherheitsmechanismen in Autos bauen. Man sollte ungeschulte Anfänger in Raketen setzen und zum Mond fliegen lassen und die Steuerautomatik verbessern. Wenn die Schutzeinrichtungn nur so perfekt wären, wie H. Schneier sich dies wünscht, könnten die Menschen dummund unwissend bleiben? Das ist die Lösung? Ich denke, beides - Technik wie Menschen - werden niemals perfekt und fehlerlos sein. Daher ist die Verbesserung auf beiden Seiten - und bei menschen kann das nur durch Wissensvermittlung durch Information und Übung durch Training heißen…zumindest, so lange wir dies nicht ins Gehirn implantieren können...



  • Genau!
    Meine Sicherheitsschulungen sind voller Life Demos, unterhaltsamer Quiz-Inhalte und voller AHA und Knalleffekte! Und die Geschulten sind stets begeißtert und nehmen das gezeigte gerne an, da sie den Nährwert auch für sich und Ihre Familie privat erkennen!



  • In meiner Tätigkeit als Informationssicherheits-Beauftragter begegne ich auf diversen Veranstaltungen vielen Vertrieblern, die wieder die neueste Technik-Sau durchs Dorf treiben und in den IT-Abteilungen finde ich dann prompt die IT-Leiter, welche durch den regelmäßgien Erwerb dieser Gadgets hoffen, endlich etwas sicherer zu sein.
    In meiner zweiten Rolle als Ethical Hacker erlebe ich dann regelmäßig, wie die neue Supertechnik ausgetrickst wird - egal ob sicherer Browser, WLAN oder NGFW-Router. Ein kreativer Hacker findet immer einen Vektor, um einen Informationsverbund zu infiltrieren. Spätestens beim Thema Innentäter stößt Technologie zwangsläufig an ihre Grenzen.
    Wenn Sie, Herr Dombach schon das militärische Genre bemühen und den User quasi als Volkssturm definieren, wird dies seiner Rolle eben nicht gerecht. Noch kein Krieg konnte ohne die Unterstützung aus der Bevölkerung gewonnen werden. Bausoldaten, Krankenschwestern, Rekrutierer, zivile Logistiker, Partisanen und Denunzianten sind enorm wichtig, um der Front im Kampf den Rücken zu stärken. Aufgrund fehlender Kampfmoral ging der erste Weltkrieg ebenso wie der Vietnamkrieg nicht auf dem Schlachtfeld, sondern bereits zu Hause verloren.
    Im Kampf gegen Cyberkriminalität ist also die Härtung des Kollegiums ein wichtiges taktisches Mittel, um in der Verzahnung mit technischen Maßnahmen überhaupt eine Chance zu haben. Wer Sicherheit im Unternehmen lebt, der muss schon heute davon ausgehen, dass der Feind bereits im Netz ist.


Log in to reply