Der menschliche Faktor in der IT-Sicherheit

Werner Degenhardt
Der menschliche Faktor in der IT-Sicherheit
Fünf Fragen, eine Antwort
Dr. Werner Degenhardt
Fakultät für Psychologie
und Pädagogik
Human Factors Specialist
[email protected]
08.10.2015
#2
Fünf Fragen
Wie sieht
Warum
Worauf
kommt
kommen
werden
ein ganzheitliches
es
IT-Sicherheitsfragen
IT-Sicherheitsnach
bei der
wie vor
Konzept
die
auf Vorstandsebene
meisten
maßnahmen
Awarenesschulung
aus,
das Angriffe
den häufig
Human
auffür
bewusst
häufig
IT-Systeme
Factor
Mitarbeiter
innicht
dervon
ITund
ausgebremst
innen
umgesetzt
leitendes
Sicherheit
undManagement
was
ausreichend
und
oder
kann
die ignoriert
damit
dagegen
an?
berücksichtigt?
verbundenen
und
getan
was
kann dagegen
werden?
Risiken
in Kaufgetan
genommen?
werden?
[email protected]
08.10.2015
#3
Frage 1
Warum werden IT-Sicherheitsfragen
auf Vorstandsebene häufig
ausgebremst oder ignoriert und was
kann dagegen getan werden?
[email protected]
08.10.2015
#4
Sicherheit steht nicht an erster Stelle
[email protected]
08.10.2015
#5
Frage 2
Warum kommen nach wie vor die
meisten Angriffe auf IT-Systeme von
innen und was kann dagegen getan
werden?
[email protected]
08.10.2015
#6
Gefahren durch Innentäter
Diebstahl
Sabotage
Betrug
Fehler
[email protected]
08.10.2015
#7
Maßnahmen gegen Innentäter
Sicherheitsorientierte
Personalauswahl
Sicherheitsüberprüfung
Überwachung
[email protected]
08.10.2015
#8
Es muss nicht immer Bosheit ..
[email protected]
08.10.2015
#9
Psychologische Verträge
„Psychologische Verträge sind allgemein definiert als wechselseitige
Erwartungen und Verpflichtungen zwischen Arbeitgeber und
Arbeitnehmer, die über den juristischen Arbeitsvertrag hinaus
bestehen.“
„Arbeitnehmer und Arbeitgeber sollten darauf fokussiert sein,
Verpflichtungen ihrer psychologischen Verträge zu erfüllen als auch
Brüche zu managen, wenn es schwierig wird, diese Verpflichtungen zu
erfüllen.“
„Vertrauen und Fairness, Gerechtigkeit und Wertschätzung bilden die
Basis einer gesunden Austauschbeziehung.“
[email protected]
08.10.2015
# 10
Frage 3
Warum werden IT-Sicherheitsmaßnahmen häufig bewusst nicht
umgesetzt und die damit verbundenen
Risiken in Kauf genommen?
[email protected]
08.10.2015
# 11
Analoges Leben
[email protected]
08.10.2015
# 12
Digitales Leben
[email protected]
08.10.2015
# 13
User Non-Acceptance Paradigm
"Eine Armee talentierter
Mathematiker, Computerwissenschaftler und Ingenieure
haben über Jahrzehnte hinweg
eine elegante Lösung nach der
anderen zur Lösung der
Probleme der IT-Sicherheit
vorgeschlagen.
Die Benutzer haben bisher alle
Bemühungen boykottiert."
Greenwald, Infosec's dirty
little secret, NSPW 2004
[email protected]
08.10.2015
# 14
Analoge Zugangskontrolle
Parole?
Die Sonne scheint grün.
[email protected]
08.10.2015
# 15
Digitale Zugangskontrolle
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Brutus
RainbowCrack
Wfuzz
Cain and Abel
John the Ripper
THC Hydra
Medusa
OphCrack
LOphtCrack
Aircrack-NG
[email protected]
08.10.2015
# 16
Nutzerprobleme, Problemnutzer
Die Probleme mit Passworten
sind seit 20 Jahren bekannt und
– in der IT-Ratgeberliteratur –
gut publiziert … allerdings ohne
dass sich im Benutzerverhalten
spürbar etwas verbessert hätte.
Zwei Erklärungen liegen auf der
Hand:
1. Mangelhafte
Authentisierungsmechanik
2. Mangelhaftes Verständnis des
Verhaltens von Nutzern
[email protected]
08.10.2015
# 17
Logozentrismus
[email protected]
08.10.2015
# 18
Irrationaler Problemlöser
Die Mechanik des menschlichen
Denkens ist in der Evolution
erfunden worden, um Probleme
„ad hoc“ zu bewältigen.
Er spielt die Rolle eines
Problemlösers, der dann
ausnahmsweise eingesetzt wird,
um Situationen zu bewältigen,
die mit Instinkt, Gewohnheit,
Sitte und Tradition nicht zu
bewältigen sind.
[email protected]
08.10.2015
# 19
Theorie geplanten Handelns
[email protected]
08.10.2015
# 20
Theorie geplanten IT-Handelns
[email protected]
08.10.2015
# 21
Fünf Faktoren treiben Verhalten
1.
Ergebniserwartungen
2.
wahrgenommene
Selbstwirksamkeit
3.
wahrgenommene Bedrohung
4.
wahrgenommene Schwere
des Problems
5.
wahrgenommene soziale
Erwünschtheit
… gilt, solange die
Verhaltensweisen unter
willentlicher Kontrolle stehen
[email protected]
Furchtappelle
Wahrgenommene
Die
Ergebniserwartungen
wahrgenommene
sind Selbstwirksam,
Schwere
sind das des
wirksamkeit
Problems
Resultat
ist
wird
eine
subjektiven
gestärkt
Funktion
durch
Kosten- in
1.
wenneiner
Angst
und
Betroffenheit
Nutzen-Analyse
1.
einem
die
der eigene
Wahrnehmung
mittleren
Erfahrung
Intensitätsdes sozialen
Ergebniserwartungen
bereich
Umfelds
hervorgerufen
sind nur
werden
2.
die
Beobachtung
von
dannZielgruppe
fürwahrgenommenen
eine Verhaltens2.
Verhaltensmodellen
der
fühlt sich bereits von
änderung
bedeutsam,
wenn sie
persönlichen
Problem
Bedeutung
betroffen
3. dem
die
Überzeugung
durch
als persönlich wichtig und
3. Appell
andere
der wahrgenommenen
zeigt Verhaltens-zeitlichen
relevant angesehen werden.
alternativen
Nähe
4.
das hervorgerufene Angst-niveau
ist durch die Verhaltensalternative realistisch
reduzierbar
08.10.2015
# 22
Menschliches Verhalten
[email protected]
08.10.2015
# 23
Menschliches Verhalten
[email protected]
08.10.2015
# 24
Gewohnheiten
„Das Verhalten X ist etwas“:
1. das ich häufig tue.
2. das ich automatisch tue.
3. das ich tue, ohne mich bewusst daran
erinnern zu müssen
4. das ich tue, ohne darüber nachzudenken
5. das mich Anstrengung kosten würde es
nicht zu tun
6. das zu meiner (täglichen, wöchentlichen,
monatlichen Routine) gehört
7. mit dem ich anfange, ohne zu bemerken,
dass ich es tue
8. was für mich schwierig wäre, es nicht zu
tun
9. worüber ich mir keine Gedanken zu machen
brauche es nicht zu tun
10. was typisch für „mich“ ist
11. was ich schon lange tue
[email protected]
08.10.2015
# 25
Änderung von Gewohnheiten
Im Absichtslosigkeitsstadium
(„Precontemplation“) haben Personen keine
Absicht, ein problematisches Verhalten zu
verändern.
Im Absichtsbildungsstadium („Contemplation“)
haben Personen die Absicht, irgendwann das
problematische Verhalten zu verändern.
Im Vorbereitungsstadium („Preparation“) planen
Personen konkret, demnächst ihr
problematisches Verhalten zu ändern und
unternehmen erste Schritte in Richtung einer
Verhaltensänderung.
Im Handlungsstadium („Action“) vollziehen
Personen eine Verhaltens-änderung.
Im Aufrechterhaltungsstadium („Maintenance“)
haben Personen seit einem längeren Zeitraum
das problematische Verhalten aufgegeben.
[email protected]
08.10.2015
# 26
[email protected]
08.10.2015
# 27
Heuristiken
[email protected]
08.10.2015
# 28
Kognitive Heuristiken
1. Sure Gain Heuristic
2. Optimism Bias
3. Control Bias
4. Affect Heuristic
5. Availability Heuristic
6. Confirmation Bias
7. u.v.a.m
[email protected]
08.10.2015
# 29
Soziale Heuristiken
1. Reziprozität
2. Commitment &
Konsistenz
3.
Soziale Bewährtheit
4.
Autorität
5.
Sympathie
6.
Knappheit
[email protected]
08.10.2015
# 30
Moral
Ehrlichkeit
Vertrauen
Anständigkeit/Fairness
Gerechtigkeit
Wahrhaftigkeit
Verantwortungsbewusstsein
Güte
Höflichkeit
[email protected]
08.10.2015
# 31
Frage 4
Worauf kommt es bei der
Awarenesschulung für Mitarbeiter und
leitendes Management an?
[email protected]
08.10.2015
# 32
IT-Sicherheit lernen?
IT-Sicherheit ist ein abstraktes Konzept, das nur schwer gelernt
werden kann.
Die Entscheidung für Sicherheit hat kein sichtbares Ergebnis und
es gibt keine sichtbare Bedrohung.
Die Belohnung für sicheres Verhalten ist, dass nichts Schlimmes
passiert.
[email protected]
08.10.2015
# 33
Sicheres IT-Verhalten ist schwer
In einer üblichen Lernsituation wird Verhalten durch positive
Verstärkung geformt. Wenn wir etwas richtig machen, werden wir
belohnt.
Im Fall von Sicherheitsentscheidungen ist die positive Verstärkung die,
dass die Wahrscheinlichkeit, dass etwas Schlimmes geschieht, weniger
groß ist.
Wenn aber etwas Schlimmes geschieht – was selten der Fall ist oder
nicht bemerkt wird – dann kann das Tage, Wochen oder Monate von
der falschen Entscheidung entfernt sein.
Das macht das Lernen negativer Konsequenzen extrem schwer,
ausgenommen im Fall spektakulärer Katastrophen.
[email protected]
08.10.2015
# 34
AIDA Security Selling
1. Die Aufmerksamkeit des
Kunden wird geweckt
2. Das Interesse des Kunden
wird erregt
3. Der Besitzwunsch wird
ausgelöst
4. Der Kunde kauft das
Produkt
[email protected]
08.10.2015
# 35
ENISA Awareness
[email protected]
08.10.2015
# 36
ENISA Awareness
[email protected]
08.10.2015
# 37
Frage
Kann man Benutzer zu besserem Sicherheitsverhalten
erziehen?
[email protected]
08.10.2015
# 38
Antwort
Kann man Kinder dazu bringen in der Mittagspause (freiwillig
und unbeobachtet) Obst zu essen und nicht Süßigkeiten?
[email protected]
08.10.2015
# 39
Frage 5
Wie sieht ein ganzheitliches Konzept
aus, das den Human Factor in der ITSicherheit ausreichend berücksichtigt?
[email protected]
08.10.2015
# 40
Sicherheitskultur
[email protected]
08.10.2015
# 41
Latente Bedingungen, aktive Fehler
Die menschliche Natur
können wir nicht ändern.
Aber die Bedingungen
unter den Menschen
arbeiten.
[email protected]
08.10.2015
# 42
[email protected]
08.10.2015
# 43