Der Faktor Mensch - IT

13.10.2015
Der Faktor Mensch
Ist teure Sicherheitssoftware ohne
Betrachtung des Benutzers
(Layer 8) nutzlos?
Manfred Beth
IT-Tag Saar 2015 | 15.10.2015 | Saarbrücker Messegelände
Referent
Manfred Beth (Dipl.-Betriebswirt, gepr. Datenschutzbeauftragter)
Geschäftsstellenleiter Saarbrücken
Diplom-Arbeit: „Datenschutz und Datensicherheit bei
fortschreitender Technik“
Seit 2010 als Berater bei der
Beratung verschiedener sozialer Einrichtungen,
Industriebetrieben, Energieversorgern usw.
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
2
1
13.10.2015
Unternehmensgruppe
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
3
Dienstleistungen der UIMC
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
4
2
13.10.2015
5
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
Ursachen von Schäden
Schäden mit mittlerer und größerer Bedeutung:
8%
Sabotage (inkl. DoS)
9%
Manipulation zum Zweck der Bereicherung
10%
Informationsdiebstahl / unbefugte Kenntnisnahme
10%
höhere Gewalt
26%
Software-Mängel/-Defekte
30%
Mitarbeiter-Irrtum und –Nachlässigkeit
31%
Malware (Viren, Würmer, Trojaner etc.)
Haupteinfalls-Tor: E-Mail, Download, USB-Sticks
Quelle: KES-Studie 2014
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
6
3
13.10.2015
Es „menschelt“ in der IT
KES Studie : 77 % (KMU) Vertraulichkeitsbrüche durch die eigenen Mitarbeiter
verschuldet.
Menschlicher Irrtum, wie z. B.:
» Fahrlässige Zerstörung oder Verlust von Geräten oder Daten
» Nichtbeachtung von IT-Sicherheitsmaßnahmen
» Gefährdung durch Reinigungs- oder Fremdpersonal
» Fehlerhafte Administration des IT-Systems
» Konfigurations- und Bedienungsfehler
» Ungeeigneter Umgang mit Passwörtern
Technik kann nie 100%ige Sicherheit erreichen… es kommt auch immer auf
denjenigen an, der sie bedient!
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
7
Das OSI-Modell
Open Systems Interconnection Model
„Layer 8“
• Schicht zwischen Monitor und Stuhllehne
Layer 7
• Anwendungsschicht
Layer 6
• Darstellungsschicht
Layer 5
• Sitzungsschicht
Layer 4
• Transportschicht
Layer 3
• Vermittlungsschicht
Layer 2
• Sicherungsschicht
Layer 1
• Bitübertragungsschicht
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
8
4
13.10.2015
Problemfelder
Behinderung der Verbesserung der Lage
68% 64% 59% Bewusstsein der Mitarbeiter
58% 49% 57% Geld
53% 56% 47% Bewusstsein der Geschäftsleitung
27% 25% 27% mangelnde Umsetzung v. Konzepten
18% 16% 13% Fehlende Produkte
2014 2012 2010
Quelle: KES-Studie 2014
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
9
Was passiert in den Betrieben so?
Was passiert denn so
in den Betrieben?
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
10
5
13.10.2015
„Schöne Welt der IT-Trends“
• Mobilität
» auch im ICE produktiv sein
» selbst im Café erreichbar
• Work-Life-Balance
» Bring Your Own Device
» Home Office
• Networking
» schnelle Kommunikation im Web 2.0
» Informationsbeschaffung über soziale Netzwerke,
Foren usw.
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
11
„Ein Freund, ein guter Freund, das ist
das Beste, was es gibt auf der Welt…“
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
12
6
13.10.2015
Nutzungsformen im Unternehmen
Nutzer
Art
Risiko
„Aktive“ Nutzung durch
Unternehmen
FacebookFanpage
und -LikeButton
TwitterKanal
Recruiting
Datenschutz, Reputation, Social
Engineering, Informationsabfluss,
(Un-)Kontrollierbarkeit …
(„Passive“)
Nutzung durch
Mitarbeiter
während
der
Arbeitszeit
in der
Freizeit
Zeitfresser,
Reputation,
Informationsabfluss
…
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
13
Unvorsichtigkeit als Risiko
•
•
Arbeitsrechtliche Probleme
» Von der Kaffeeküche in die Welt-Öffentlichkeit
» Stichwort „arbeitsvertragliche Nebenpflichten“
Alte Gefahren in neuem Gewand
» (Social) Phishing, Malware, Trojaner, Passwort-Diebstahl
» Fehlender Vertraulichkeitsschutz (wer liest mit?)
(vermeintliche) „Freunde“
» Gezielte Informationsbeschaffung über soziale Netzwerke
» Soziale Netzwerke als Ausgangspunkt für weiteres Social
Engineering
» Verifikation der Identität des „Freunds“ oft kaum möglich (Die
„Facebook-Soldatin“ kann auch zur Wirtschaftspionage
eingesetzt werden)
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
14
7
13.10.2015
Menschliche Schwächen
• Öffentliche Diskussionen
»
»
»
»
gefühlte „Verpflichtung“ der Kommunikation
„sich wichtig machen“ mit großem Forum
Vorteil als Nachteil: Mitarbeiter sind kritischer als Kunden
Interna werden öffentlich diskutiert („statt in Kaffeeküche“)
• Wettbewerber, Headhunter oder Kunden als Empfänger!?
• Fehlendes Bewusstsein für Verantwortung?
• Fotos vom Arbeitsplatz mit ungewollten „BegleitInformationen“
• Apps: noch schneller und Zugriff auf das Adressbuch
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
15
Exkurs: mobile Nutzung / Apps
• Umfangreiche und z. T. undurchsichtige Rechte
» von Apps und
» bei Smartphone-Betriebssystemen (iOS, Android, Windows
Phone etc.)
• Verfolgung des Aufenthaltsorts
• (intransparenter) Datentransfer von Inhalten usw.
» „nicht genehmigtes Outsourcing“
• Abgleich von Adressbüchern mit sozialen Netzwerken
• Bei Verlust der Hardware auch Zugriff auf soziale
Netzwerke
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
16
8
13.10.2015
• Trägheit
• Überforderung
• Unverständnis
• Unkenntnis
• Freundlichkeit
• Profilierungssucht
Mögliche Konsequenz
• Elektronisches
Schließsystem
• Besucherausweise
• Berechtigungsverfahren
• Passworte
• Virensoftware
• VPN- und
ContainerVerschlüsselung
• Warnhinweise
• DLP-Systeme
Menschliche Schwächen
Sicherheitsmaßnahmen
„Teure Sicherheitstechnik“
?
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
17
„Superman braucht keinen Gurt!“
(Muhammed Ali zur Flugbegleiterin)
18Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
9
13.10.2015
„Superman braucht auch kein
Flugzeug!“
(Die Antwort der Flugbegleiterin)
19Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
Traurig, aber wahr ...
» Ja klar! Wir haben eine Pflichtentrennung bei der
Rechtebeantragung: Der Mitarbeiter beantragt und ich
pflege dies in die Active Directory ein.“
(Administrator eines QM-zertifizierten Mittelständlers)
» „Natürlich haben wir eine Alarmanlage! Wenn jemand
eine Scheibe einwirft, dann werden die Nachbarn das
schon melden!“
(EDV-Leitung einer Sparkasse)
» „Bei uns werden alle Berechtigungen zeitlich begrenzt
vergeben!“ [beachte: Ablaufdatum laut AD: 31.12.2099]
(EDV-Leitung einer größeren Universitätsklinik)
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
20
10
13.10.2015
Stufen der Kompetenz
Buschmann
Fahrschüler
Probezeit
Routinier
• Unbewusste Inkompetenz
• Bewusste Inkompetenz
• Bewusste Kompetenz
• Unbewusste Kompetenz
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
21
Was tun?
•
•
•
•
•
•
•
•
Verlassen Sie sich nicht auf Ihre Technik!
Erstellen klarer Regelungen (DOs and DONTs)
Bilden Sie Ihre Mitarbeiter fort (Schulungen)
Sensibilisieren Sie Ihre Mitarbeiter
Darstellung der Bedeutung der Regeln
Transparenz im Hinblick auf mögliche Gefahren
Sicherheit ist kein Projekt! Sondern ein Prozess!
Leben Sie die Informationssicherheit (dies bedeutet auch,
dass Sie kontrollieren müssen!)
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
22
11
13.10.2015
Informationssicherheit und
Datenschutz ist…?
eine Aufgabe der
IT-Abteilung
ein Wunsch der Geschäftsführung
wichtig für den Erhalt
des Unternehmens
eine Aufgabe für alle!
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
23
Informationssicherheit ist…?
eine Aufgabe der
IT-Abteilung
ein Wunsch der Geschäftsführung
Führungskräfte
wichtig für den Erhalt sind oft wie Zitronenfalter…
eine Aufgabe für uns alle!
des Unternehmens
denn
die falten auch keine Zitronen!
24Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
12
13.10.2015
Fragen??
Fragen?
Diskussion??
consultants[at]uimc.de
(0202) 265 74 - 0
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
25
Vielen Dank!
UIMCert GmbH
Moltkestraße 19
42115 Wuppertal
Telefon: (0202) 3 09 87 39
Telefax: (0202) 3 09 87 49
E-Mail: [email protected]
Internet: www.UIMCert.de
akkreditiert durch:
UIMC DR. VOSSBEIN GMBH & CO. KG
Nützenberger Straße 119
42115 Wuppertal
Altenkesseler Str. 17
(InnovationsCampus Saar)
66115 Saarbrücken
Telefon: (0202) 265 74 - 0
Telefax: (0202) 265 74 – 19
E-Mail: [email protected]
Internet: www.UIMC.de
Der Faktor Mensch | Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? | Manfred Beth
26
13

Download Report