Suchen

4 Erkenntnisse für IT-Security-Exprten Lehren aus der Corona-Krise

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

In all seine Schrecken und den sich daraus ergebenden Auswirkung hat SARS-CoV2 (Coronavirus) doch auch das Potential, als Lehrstunde für viele unterschiedliche Bereiche zu dienen. Denn die erste große Pandemie der Neuzeit zeigt die Stärken, Schwächen und auch die Ohnmacht der Betroffenen auf.

Firmen zum Thema

So lange sich noch die die Mehrzahl der Computer-Anwender im Home-Office befindet, ist Security Awareness kein leichtes Unterfangen.
So lange sich noch die die Mehrzahl der Computer-Anwender im Home-Office befindet, ist Security Awareness kein leichtes Unterfangen.
(Bild: gemeinfrei / Pixabay )

Nicht nur Wissenschaftler und Forscher können vom Coronavirus lernen, sondern auch der Beauftragte für Security Awareness, der hier durchaus Parallelen zu seiner Arbeit ziehen kann. Denn das Coronavirus ist für den Großteil unserer Bevölkerung ebenso imaginär wie ein Cyberkrimineller und dessen Aktivitäten.

Beide Bedrohungen sind mehrheitlich weit weg, betreffen nur andere und gehen an einem selbst vorbei (meistens). Das einzige was man erfährt sind Regeln, Vorschriften und sich daraus ggf. ergebende Einschränkungen beziehungsweise Belastungen.

Erkenntnis 1: Alle Menschen haben ein individuelles Sicherheitsbewusstsein

Der Wunschtraum aller Beauftragen für Security Awareness (Security Awareness) ist es, Maßnahmen und Regeln zu etablieren, die von allen umgesetzt werden, um das Security-Bollwerk zu verstärken. Nur in der Praxis funktioniert das leider nicht.

Bestes Beispiel ist die (überholte) Anforderung, regelmäßig sein Passwort zu wechseln. Je kürzer die vorgegebene Zeit, desto mehr wird diese Maßnahme umgesetzt. Die wenigsten spielen mit und erzeugen alles sechs Wochen ein Passwort nach diversen Regeln. Meistens wird das Passwort, welches den Ansprüchen genügt nur minimal modifiziert. So wird aus „Sepp123HALLO###“ einfach ein „Sepp123HALLO##:“ oder ein „Sepp123Hallo##+“.

Anderseits gibt es aber auch das andere Extrem, Mitarbeiter, die dieser Vorschrift Folge leisten und dann regelmäßig beim internen Service-Desk aufschlagen, da sie sich an das komplexe Passwort nicht mehr erinnern können (Aufschreiben soll man es ja nicht!). Ungeachtet der diversen Lösungsansätze aus diesem Dilemma (2FA, Passwort-Safe etc.) ist dies in vielen Firmen ein Problem.

Eine Analogie zu Corona ist hier die vorgeschriebene Schutzmaske. Von einem legeren anlegen, bei dem nur der Mundbereich bedeckt ist (falsch), bis hin zur korrekten Anwendung (bedecken Nase und Mund) kann man alles im täglichen Leben beobachten. Auch PKW-Fahrer die allein im Auto sitzen und auch während der Fahrt die Maske anlegen (Je Bundesland spezifisch). Selbst Spaziergänger, die allein auf wenig genutzten Waldwegen spazieren gehen, tragen eine Maske. Pollenschutz oder falsch verstandene Vorsorge?

Generell kann man nur jedem Security Awareness-Beauftragten raten, sich einmal eine halbe Stunde Zeit zu nehmen und Leute beim Einkaufen zu beobachten. Das Erlebte kann Denkanstöße für die eigene Arbeit vermitteln!

  • Manche mache zu viel (Maske beim Autofahren, Spazierengehen)
  • Manche machen es falsch (Maske nur über Mund)
  • Manche machen gar nichts (schicken Partner einkaufen)
  • Man nutzt individuelle Interpretationen

Erkenntnis 2: Man kann ein Thema auch totreden und die Akzeptanz verlieren

Security Awareness ist nicht einfach zu vermitteln – eine der zahlreichen Herausforderungen besteht darin, die richtige Informationsmenge und Dosierung zu finden! Erleidet eine große Firma beispielsweise einen Datenverlust, ist die ein guter Aufhänger, um auf den Umgang mit Daten zu verweisen und Angriffsarten wie Spear-Phishing. Präsentiert man diese Informationseinheit mehrmals, wird sie am Ende die Konsistenz eines ausgelutschten Kaugummis haben -niemand hat Interesse daran. Auch Informationen, die zwangsweise zurechtgebogen werden, um zu einem Thema zu passen, bringen wenig, denn die Mitarbeiter sind durchaus fähig diesen (ungeschickten) Kunstgriff zu erkennen. Und ein Experte in einer TV-Talkrunde, dessen Erfahrungen mit Corona, quasi nicht Existenz sind, bringt ebenso wenig. Wer sich um hört, wird sicher im Bekanntenkreis auf Leute treffen, die sagen „Ich kann es nicht mehr hören“ – die konsequent jede Information verweigern, da sie das Thema leid sind.

Wer also wöchentlich oder gar täglich Informationen präsentiert, kann sein Publikum auch totreden und einen höchst gefährlichen Contra Effekt etablieren. Die sarkastische Aussage „In Deutschland haben wir mehr Corona-Experten als Opfer“ mag dies unterstreichen.

Der Security Awareness-Spezialist sollte daher die nachfolgenden Punkte in seiner Arbeit ausmerzen.

  • Es gibt keine neuen Informationen, man wärmt nur bekanntes wieder auf
  • Man verliert sich in Details, die keinen relevanten Mehrwert bieten
  • Unterschiedliche Aussagen zu einem Thema (Management / Experten)
  • Die Themen sind für andere Zielgruppen gedacht und verpuffen wirkungslos

Erkenntnis 3: Vertrauensverlust ist eine stetige Bedrohung!

Corona ist ein komplexes Thema, dass sich nachweislich vielen Bemühungen der Bekämpfung wiedersetzt. Politiker, die bei einer Thematik heute GO sagen, um in einer Woche laut STOP zu verkünden, verlieren in der Bevölkerung an Vertrauen.

Dies konnte man auch in den entsprechenden Presse-Veröffentlichungen nachverfolgen. Wobei man letztendlich sagen muss, auch Politiker sind Menschen und wir machen alle Fehler.

Aber Fehler muss man reduzieren – vor allem dann, wenn andere Personen von den Auswirkungen betroffen sein können. Wenn beispielsweise der Security Awareness-Beauftragte einen Token-Generator fordern, der einen temporären Zugangscode liefert, ist das eine großartige Sache. Falls aber das Gerät schon nach 6 Wochen die ersten Ausfälle erleidet, die Ziffern aufgrund der Display-Qualität nicht gut abgelesen werden können und man nie ganz sicher ist, ob es nun eine Ziffer 2 oder eine Ziffer 5 ist (Der Generator steht auf dem Kopf) wird die Gerätequalität dem Initiator der Aktion zugeschrieben. Dies wird dann dazu führen, dass jedwede Aktion des Betroffenen in der Zukunft mit Skepsis oder einem Lächeln begegnet wird, um dann hinter vorgehaltener Hand eine Bemerkung wie „Security Awareness hat schon wieder einen neuen Generator ausgegraben“. Oder wie schon Bismarck bemerkte: „Vertrauen ist eine zarte Pflanze; ist es zerstört, so kommt es sobald nicht wieder.“

Für den Security Awareness-Beauftragten bedeutet dies, das er a) Fehler vermeiden soll und auch b) stets ein Auge darauf werfen muss wie die Klientel seine Aktivitäten empfindet, um nicht einen Vertrauensverlust zu erleiden.

  • Entscheidungen über den Kopf hinweg! Der Anwender fühlt sich: Ausgegrenzt, beschnitten, gegängelt und nicht wertgeschätzt
  • Die Zuständigen haben keine Fachkompetenz! Bedingt durch widersprüchliche Handlungen/Aussagen
  • Langfristige Ziele werden nicht kommuniziert. Wo soll es überhaupt hingehen?
  • Es gibt keine qualifizierten Informationen von zentraler Stelle. Nur Indianer agieren, keine Häuptlinge
  • Offensichtlich existierende, alternative Lösungen werden nicht eingesetzt? Keine Erklärung, weshalb dies z.B. nicht im aktuellen Kontext praktizierbar ist

Erkenntnis 4: Außenwirkung verifizieren

Wie eingangs erwähnt, man kämpft bei Security Awareness in der Regel gegen einen unsichtbaren Feind und das Ziel ist es, einen Kontakt/Angriff vorab zu verhindern. Dies erfordert auch die Miteinbeziehung der Endanwender in die Sicherheitsmaßnahmen, deshalb gibt es ja Security Awareness. Denn die etablierte Meinung „Die IT wird es schon richten“ – trifft leider nicht immer zu (Gute Zauberer und Magier sind schwer zu bekommen!)

Die Außenwirkung von Security Awareness ist daher entscheidend über den Erfolg aller getroffenen Maßnahmen. Auch wenn Mitarbeiter darüber lächeln, Witze machen, sofern Sie die Maßnahmen leben ist alles in Ordnung.

Ein aktueller Corona-Witz, bei dem der Polizeibeamte den Bankangestellten fragt, „Wie sah denn der Täter aus?“ und dieser antwortet „Kein Ahnung er trug eine Maske!“ – mag dafür ein Beispiel sein. Man macht Witze, trägt aber eine Maske! Ziel erreicht!

Manchmal wird man aber auch von einer gegenteiligen Wirkung überrascht. Denn die Maßnahmen, zur Einschränkung der Corona-Pandemie werden von vielen als zu massive Einschränkung Ihrer Grundrechte empfunden und bringen die in Demonstrationen zum Ausdruck. Verwunderlich, aber gelebte Realität in deutschen Städten.

Oftmals ist eine solche Reaktion aber auch erklärbar. Um bei der Corona-Thematik zu bleiben, der britische Premierminister Boris Johnson erkrankt an Corona, ist einige Tage auf der Intensivstation eines Krankenhauses und nach einer Erholungsphase, betritt er dann wieder gesund die politische Bühne. Also, kann das alles mit Corona doch nicht so schlimm sein – oder?

Eine naheliegende Annahme – aber diese basiert auf keinerlei Informationen, sagt nichts über das Glück des Betroffenen aus, die Infektion zu überleben, nicht über die ärztlichen Entscheidungen und auch nichts über die lebensbedrohlichen Details.

Gibt man Menschen keine Fakten/Daten, suchen Sie selbst nach Antworten – das diese nicht immer zutreffend sind ist verständlich. Von daher sollte jeder Security Awareness-Beauftrage darauf achten, Fakten zu liefern, die seine Entscheidung bzw. die getroffenen Maßnahmen verständlich machen. Denn bei IT-Sicherheit ist kein Platz für Spekulation – IT-Sicherheit braucht Fakten und gemeinsame Anstrengungen – ebenso wie auch der Kampf gegen Corona.

Der Security-Awareness-Beauftragte sollte daher immer verifizieren, wie es um die Akzeptanz seines Themas bei den Anwendern bestellt ist. Zu überprüfen ist:

  • Verursachen getroffenen Maßnahmen Ärger und Unwillen bei den Anwender?
  • Zieht die Anwender das Thema ins lächerliche?
  • Werden die Aktivitäten verstanden – und akzeptiert?
  • Gibt es Gegenströmungen, mit denen man in den Dialog treten kann?
  • Verstehen die Anwender ihre wichtige Rolle, oder vertrauen sie blind darauf, das andere alles machen?
  • Werden die plakativen Beispiele zur Visualisierung vernünftig gewählt und nicht übertrieben dargestellt?

Aktuell, da die Mehrzahl der Computer-Anwender sich im Home Office befindet ist Security Awareness kein leichtes Geschäft. Auch wenn man sich über die verfügbaren Kommunikationsmethoden hervorragend austauschen kann, ist mitunter doch der Dialog bei einer Tasse Kaffee erfolgreicher. Momentan sollte man daher ruhig einmal wieder die Schulbank drücken und die Corona-Erkenntnisse reflektieren und die eigenen Maßnahmen auf Effektivität überprüfen. Denn wenn es wieder heißt „Business as usual“, muss Security Awareness funktionieren!

In diesem Sinn – Bleiben Sie gesund!

(ID:46752192)

Über den Autor