ebook img

Security Awareness: Neue Wege zur erfolgreichen Mitarbeiter-Sensibilisierung PDF

326 Pages·2009·8.947 MB·German
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Security Awareness: Neue Wege zur erfolgreichen Mitarbeiter-Sensibilisierung

Michael Helisch | Dietmar Pokoyski (Hrsg.) Security Awareness Edition <kes> herausgegeben von Peter Hohl Mit der allgegenwärtigen Computertechnik ist auch die Bedeutung der Sicherheit von Informationen und IT-Systemen immens gestiegen. Angesichts der komplexen Materie und des schnellen Fortschritts der Informationstechnik benötigen IT-Profis dazu fundiertes und gut aufbereitetes Wissen. Die Buchreihe Edition <kes> liefert das notwendige Know-how, fördert das Risiko- bewusstsein und hilft bei der Entwicklung und Umsetzung von Lösungen zur Sicherheit von IT-Systemen und ihrer Umgebung. Herausgeber der Reihe ist Peter Hohl. Er ist darüber hinaus Herausgeberder <kes>– Die Zeitschrift für Informations-Sicherheit (s.a. www.kes.info), die seit1985 im Secu- Media Verlag erscheint. Die <kes>behandelt alle sicherheitsrelevanten Themen von Audits über Sicherheits-Policies bis hin zu Verschlüsselung und Zugangskontrolle. Außerdem liefert sie Informationen über neue Sicherheits-Hard- und -Software sowie die einschlägige Gesetzgebung zu Multimedia und Datenschutz. IT-Sicherheit – Make or Buy Von Marco Kleiner, Lucas Müller und Mario Köhler Mehr IT-Sicherheit durch Pen-Tests Von Enno Rey, Michael Thumann und Dominick Baier Der IT Security Manager Von Heinrich Kersten und Gerhard Klett ITIL Security Management realisieren Von Jochen Brunnstein IT-Sicherheit kompakt und verständlich Von Bernhard C. Witt IT-Risiko-Management mit System Von Hans-Peter Königs Praxis des IT-Rechts Von Horst Speichert IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz Von Heinrich Kersten, Jürgen Reuter und Klaus-Werner Schröder Datenschutz kompakt und verständlich Von Bernhard C. Witt Profikurs Sicherheit von Web-Servern Von Volker Hockmann und Heinz-Dieter Knöll www.viewegteubner.de Michael Helisch | Dietmar Pokoyski (Hrsg.) Security Awareness Neue Wege zur erfolgreichen Mitarbeiter-Sensibilisierung Mit 244 Abbildungen Beiträge von Marcus Beyer, Ankha Haucke, Michael Helisch, Dietmar Pokoyski, Kathrin Prantner Präambel von Wolfgang Reibenspies PRAXIS Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <http://dnb.d-nb.de> abrufbar. In dieser Publikation wird auf Produkte der SAP AG Bezug genommen. SAP, R/3, xApps, xApp, SAP Net- Weaver, Duet, PartnerEdge, ByDesign, SAP Business ByDesign und weitere im Text erwähnte SAP-Pro- dukte und -Dienstleistungen sind Marken oder eingetragene Marken der SAP AG in Deutschland und anderen Ländern weltweit. Business Objects und das Business-Objects-Logo, BusinessObjects, Crystal Reports, Crystal Deci- sions, Web Intelligence, Xcelsius und andere im Text erwähnte Business-Objects-Produkte und -Dienst- leistungen sind Marken oder eingetragene Marken der Business Objects S. A. in den USA und anderen Ländern weltweit. Business Objects ist ein Unternehmen der SAP. Die SAP AG ist weder Autor noch Herausgeber dieser Publikation und ist für deren Inhalt nicht verant- wortlich. Der SAP-Konzern übernimmt keinerlei Haftung oder Garantie für Fehler oder Unvollständig- keiten in dieser Publikation. Das in diesem Werk enthaltene Programm-Material ist mit keiner Verpflichtung oder Garantie irgend- einer Art verbunden. Der Autor übernimmt infolgedessen keine Verantwortung und wird keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieses Programm-Materials oder Teilen davon entsteht. Höchste inhaltliche und technische Qualität unserer Produkte ist unser Ziel. Bei der Produktion und Auslieferung unserer Bücher wollen wir die Umwelt schonen: Dieses Buch ist auf säurefreiem und chlorfrei gebleichtem Papier gedruckt. Die Einschweißfolie besteht aus Polyäthylen und damit aus organischen Grundstoffen, die weder bei der Herstellung noch bei der Verbrennung Schadstoffe freisetzen. Umschlagbild:© rebel /PIXELIO, www.pixelio.de Alle weiteren Abbildungen mit freundlicher Genehmigung der jeweiligen Unternehmen Infografiken &Layout: Carina Linnemann, Dietmar Pokoyski (known_sense) 1. Auflage 2009 Alle Rechte vorbehalten © Vieweg+Teubner|GWV Fachverlage GmbH, Wiesbaden 2009 Lektorat: Christel Roß | Sybille Thelen Vieweg+Teubner ist Teil der Fachverlagsgruppe Springer Science+Business Media. www.viewegteubner.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Umschlaggestaltung:KünkelLopka Medienentwicklung, Heidelberg Druck und buchbinderische Verarbeitung: STRAUSSGMBH, Mörlenbach Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier. Printed in Germany ISBN 978-3-8348-0668-0 Präambel Der Mensch ist die wichtigste Komponente der Security und da- mit der Schlüsselfaktor. Damit wird der Mensch zum höchsten Gut, das Unternehmen im Kampf gegen Angriffe, die mittels Informations- und Kom- munikationstechnologien geführt werden, schon heute auf der Habenseite verbuchen und damit einsetzen können. Nur durch die Menschen sind die wertschöpfenden Prozesse zu gestalten und sicher zu stellen. Daneben ist der Mensch, glaubt man einschlägigen Studien, das größte IT- bzw. Informationsrisiko. Das Sicherheitsbewusst- sein ist demnach der entscheidende Faktor zum Schutz der Un- ternehmenswerte und der Wertschöpfung. Schon Kevin Mitnick schrieb: »Human Firewalls are a must!«. Frei übersetzt: »Security findet im Kopf statt – und nicht in der Technik.« Informationssicherheit ist eine Sache des Bewusst- seins – und nicht der Technologie. Security ist letztendlich Lo- yalität. Ergo: Awareness ist Loyalität und damit eine Frage der Unter- nehmenskultur. Welche Chancen hierin bestehen, aber auch, welche Störungen und mögliche Schieflagen zu berücksichtigen sind, wird in diesem Buch sehr treffend beschrieben. Wolfgang Reibenspies Konzernbevollmächtigter IuK-Security IuK Security Manager EnBW Energie Baden-Württemberg AG V Vorwort Das vorliegende Buch handelt – vereinfacht – von der Art und Weise, wie mit dem The- ma Informations- bzw. Unternehmenssicherheit mit besonderem Fokus auf den Faktor Mensch im unternehmerischen Alltag umgegangen wird. Das Buch erhebt dabei nicht den Anspruch, einen Leitfaden oder ein Lehrbuch im Sinne einer Abhandlung standar- disierter Vorgehensweisen darzustellen. Standardisierung ist nach Auffassung der Au- toren kein Erfolg versprechender Ansatz für Security Awareness. Vielmehr lebt die Awa- reness-Arbeit von ihrer Individualität. Den oder die einzig richtigen Lösungswege wird man vergeblich suchen, hingegen einen Fächer von Möglichkeiten, deren Einsatz sich je nach unternehmensindividueller Situation und Zielsetzung empfehlen. Insofern berich- tet das Buch zum einem über die aus Sicht der Verfasser besonders relevanten, theoreti- schen und praktischen Hintergründe von Awareness. Es liefert zum anderen einen Aus- schnitt »angewandter Awareness«, derer sich der Leser bedienen kann aber nicht muss. Das Buch soll also weder aufdrängen noch belehren, es soll dem Leser vielmehr Denkan- stösse und möglicherweise neue Einsichten in das Thema »Security Awareness« respekti- ve »Mensch gemachte Sicherheit« im Unternehmen vermitteln – dies in einer Zeit, in der unter dem Eindruck eines radikalen Paradigmenwechsels im Bereich des Informations- schutzes um neue, tragfähige Konzepte gerungen wird. Die Vielfalt, die Awareness inhärent ist, spiegelt sich im Aufbau des Buches wider. Da wird ein Blick auf die Sicherheitskultur geworfen (Kap. 2 und Kap. 5.3ff) und Awareness aus Sicht der Werbepsychologie (Kap. 4) betrachtet, ebenso wie aus der gestaltpsychologi- schen und tiefenpsychologischen Perspektive (Kap. 5). Es werden die kommunikationsre- levanten Erkenntnisse des klassischen Marketings (Kap. 4) behandelt wie auch die Sicht der integrierten und systemischen Kommunikation (Kap. 6). Auch wie man Sicherheit »lernen« kann (Kap. 3) und im Rahmen von Kampagnen interkulturellen Aspekten Rech- nung trägt (Kap. 7) erfahren Sie in auf den folgenden Seiten. Verständnis von Security Awareness Dass Sicherheitskultur sich nicht nur über Produkte, Services und Branchenzugehörig- keit des Unternehmens, über Standorte oder dem Status des jeweiligen Sicherheitsver- antwortlichen ausdrückt, sondern bereits im Verständnis von Security Awareness inte- griert ist, lässt sich aus den zahlreichen Ansätzen (s. Kap. 2.4, Kap. 5.4 und Kap. 5.9) ab- leiten, die mit dem Begriff bzw. dessen Definition verknüpft sind. Denn der eine sensibilisiert, der andere macht »bewusst«, ein Dritter »wirbt« für mehr »Bewusstsein« oder »Aufmerksamkeit«. Für die einen sind Security Awareness Maßnah- men (fertige) »Programme«, die man quasi nur noch implementiert. Für den anderen eine »Marketing-Kampagne«, die strategisch geplant sein will und sich an kulturellen Bedingungen ausrichtet. Einer versteht unter Awareness Maßnahmen entlang einer klassischen Lerntheorie und schickt seine Mitarbeiter in Vorträge, Trainings, Workshops VII Vorwort oder – jeden für sich – zurück an seinen PC, damit er sich mit allerlei E-Learning-Tools (s. Kap. 3.3ff) beschäftigt. Ein anderer entdeckt die psychologisch geleitete systemische Kommunikation für sich und wirbt z.B. für »Empowerment« (s. Kap. 5.5) oder verteilt Gi- veaways zur »paradoxen Intervention« (s. Kap. 6.3.1). Manche laden Gratisposter und Fly- er aus dem Internet und lancieren Security-Propaganda via Schwarzem Brett. Wieder an- dere investieren große Summen, um Filme, Hörspiele (s. Kap. 6.3.8) oder Spiele zum The- ma und zur Begleitung von Prozessen (s. Kap. 6.4.2) entwickeln zu lassen. Vereinzelt gibt es da auch den CISO, der sich »Change« auf die Fahnen schreibt und seine Awareness als Veränderungsprozeß begreift. Doch Veränderungen einleiten kann nur derjenige, der sich selbst kennt (s. Kap. 5.1) und sich im Kontext Security Awareness also auch der Iden- tität seines Unternehmens bewusst ist (s. Kap. 2.4 und 5.7). Dritten wiederum ist es wichtiger, für sich selbst zu sorgen; sie positionieren sich, die Sicherheitsverantwortlichen, als Marke und scheinen sich sicher zu sein, dass sich so Awareness »en passant«, also von ganz allein, einstellt. Einer unterteilt seine Kampagne in »Phasen«. Dem anderen ist das egal; er orientiert sich pragmatisch an aktuellen Entwicklungen, indem er seine Kommunikation den ganz rea- len Security-Phänomenen im Tages- und Wochenlauf des Unternehmensalltags anpasst. Oder aber er schafft Spannung und Involvement gerade über Brüche bzw. über eine eher fragmentarische Dramaturgie. Auch dann, wenn man nur einen der hier genanten Ena- bler von Awareness, die Psychologie, näher betrachtet, existieren selbst innerhalb dieser Facette sehr unterschiedliche Vorstellungen (s. Kap. 4 und 5). Aufgrund dieser verschiedenen Auffassungen von Security Awareness ist dieses Buch auch als eine Bestandsaufnahme unterschiedlicher Awareness-Philosophien und –Bau- steine zu betrachten und gleicht daher eher einem Handbuch. Neben der Darstellung der Einzelthemen aus den jeweils individuellen Perspektiven der Autoren und Autorin- nen, von denen jede(r) für sich auch Expertisen aus ihrem Wirken im Kontext der Securi- ty Awareness beigetragen haben, werden in Kapitel 5, 7 und 8 zudem zahlreiche Praxis- beispiele, z.T. über Interviews mit den Sicherheits- bzw. Kampagnenverantwortlichen (Kap 7.8 und 8), in Wort und Bild präsentiert. Insofern ist der Mix aus Theorie und Praxis, basierend auf den hier dargestellten Metho- den und Beispielen als eine Einladung zu verstehen, Offensichtliches zu hinterfragen und die »versteckten« Phänomene hinter der bis heute überwiegend technologisch und organisatorisch geprägten Sicherheit zu entdecken. München/Köln, im Juli 2009 Michael Helisch | Dietmar Pokoyski VIII Inhaltsverzeichnis 1 Sec u rity Awareness: Von der Oldschool in die Next Generation – eine Einführung (Dietmar Pokoyski) 1 2 Definition von Awareness, Notwendigkeit und Sicherheitskultur (Michael Helisch) 9 2.1 Was hat es mit Awareness auf sich? 9 2 .1.1 Awareness und Bewusstsein 9 2 .1.2 Security Awareness: Ein Begriff – viele Interpretationen 10 2.2 Relevanz von Awareness 12 2.2.1 Informationen als schützenswerte betriebliche Assets 13 2.2.2 Weitere Treiber für Awareness 15 2.2.3 Was spricht gegen Awareness? 19 2.3 Zwischenfazit 21 2.4 Was hat es mit Sicherheitskultur auf sich? 22 2.4.1 Kultur und Sicherheit – gibt es einen Zusammenhang? 23 2.4.2 Unternehmenskultur 24 2.4.3 Unternehmenskultur und Sicherheitskultur 25 3 Awa reness und Lernen (Kathrin Prantner) 29 3.1 Grundzüge der Lerntheorie 29 3.1.1 Was ist Lernen? 29 3.1.2 Lernen und Arbeiten 31 3.1.3 Lerntypen 31 3.1.4 Erfolgsfaktoren der beruflichen Weiterbildung 33 3.2 Informationsvermittlung 35 3.2.1 Methoden der Informationsvermittlung 36 3.2.2 Nutzung von neuen Medien 37 3.3 Security Awareness mittels E-Learning 38 3.3.1 Grundlagen E-Learning 39 3.3.2 E-Learning für Security Awareness Next Generation 39 3.3.3 E-Learning, Security Awareness Next Generation anhand der Erfolgsfaktoren 41 3.3.4 Erprobte Kombinationsmöglichkeiten von E-Learning 45 3.3.5 Einführung einer E-Learning-Lösung 49 3.3.6 Fazit E-Learning und Security Awareness Next Generation – Benefits und Barrieren 52 IX Inhaltsverzeichnis 4 Awareness aus der Perspektive des Marketings (Michael Helisch) 55 4.1 Relevanz marketingtheoretischer Überlegungen im Kontext Awareness 55 4.1.1 Der Begriff Marketing 55 4.1.2 Erkenntnisse der Konsumentenforschung 57 4.1.2.1 Konsumentenforschung und Wissenschaftstheorie 57 4.1.2.2 Paradigmen der Konsumentenforschung 58 4.2 Werbewirkungsmodelle 60 4.2.1 Wahrnehmung, Verarbeitung, Verhalten 60 4.2.2 Modelle der Kommunikationswirkung im Einzelnen 63 4.2.2.1 Stufenmodelle 63 4.2.2.2 Involvement 65 4.2.2.3 Das Elaboration Likelihood-Modell 66 4.2.2.4 Das Modell der Wirkungspfade 68 4.3. Zwischenfazit 70 4.4 Awareness im Kontext Marketing und Unternehmenskultur 70 4.5 Corporate Identity – Bindeglied zwischen Unternehmenskultur und Marketing 72 5 Das geheime Drehbuch der Security – Awareness in Gestalt- und Tiefenpsychologie (Ankha Haucke | Dietmar Pokoyski) 75 5.1 Awareness in der Gestaltpsychologie (Ankha Haucke) 76 5.1.1 Definition von Awareness in der Gestaltpsychologie 76 5.1.2 Zwei Modi der Bewusstheit 77 5.1.3 Paradoxe Theorie der Veränderung 77 5.1.4 Phänomenologie 78 5.1.5 Dialog 79 5.1.6 Feldtheorie 79 5.1.7 Existentialismus 80 5.1.8 Gestaltpsychologie und Security Awareness 80 5.1.9 Zwischenfazit Gestaltpsychologie 81 5.2 Security-Wirkungsanalysen 81 5.2.1 Widersprüche, Übergänge, Zwischentöne – die morphologische Psychologie 82 5.2.2 Wie werden die Analysen durchgeführt? 84 5.2.3 Leitfaden: flexibel und mit-lernend 85 5.2.4 Ist psychologische Markt- und Medienforschung repräsentativ? 85 5.3 Die tiefenpsychologische Studie »Entsicherung am Arbeitsplatz« 86 5.3.1 Stichprobe und Quotierung der Studie 87 5.3.2 Besonderheiten Untersuchungsaufbau 87 5.3.3 Eingangsdynamik: Zäh und wie versteinert 87 5.3.4 Überraschende Ausbrüche 88 X Inhaltsverzeichnis 5.3.5 Figuration »Sachliches Verschließen« 88 5.3.6 Zwischenfazit »Entsicherung am Arbeitsplatz« 90 5.3.7 Figuration »Menschliches Eröffnen« 91 5.3.8 Hauptmotive Security-Risiken 91 5.3.9 Fazit Security – oder: Die Digitalisierung des Menschlichen 96 5.3.10 Empfehlungen »Entsicherung am Arbeitsplatz« 98 5.3.11 Learnings Security Awareness 99 5.4 Die tiefenpsychologische Studie »Aus der Abwehr in den Beichtstuhl« 102 5.4.1 Stichprobe und Quotierung der Studie 102 5.4.2 Besonderheiten Probandenakquise 102 5.4.3 Eingangsdynamik: Mitteilungsbedürfnis und Spaltung 103 5.4.4 Zwischenfazit »Aus der Abwehr in den Beichtstuhl« 104 5.4.5 Die drei CISO-Typen 105 5.4.6 Märchenanalyse: Prinzessin oder Frosch 107 5.4.7 Fazit »Aus der Abwehr in den Beichtstuhl« 109 5.4.8 Empfehlungen »Aus der Abwehr in den Beichtstuhl« 112 5.4.9 Learnings Security Awareness 112 5.5 CISO-Coaching 113 5.6 Ausblick Security-Wirkungsanalysen 114 5.7 Interne Wirkungsanalysen zur Sicherheitskultur 115 5.7.1 Teilaspekte von Security-Wirkungsanalysen 117 5.7.2 Setting Security-Wirkungsanalysen 118 5.8 Seelisches steht nie still – Awareness und Figurationen (Ankha Haucke) 119 5.8.1 Beispiele von Figurationen 120 5.8.2 Figurationen im Rahmen von Leitfigur-Entwicklung (Dietmar Pokoyski) 123 5.9 Fazit 129 6 Touch them if you can! – Awareness und integrierte, systemische Kommunikation (Dietmar Pokoyski) 131 6.1 Integrierte und systemische Kommunikation 131 6.1.1 Integrierte Kommunikation 132 6.1.2 Systemische Kommunikation 136 6.2 Security Brand Management 138 6.3 Kommunikationstools und -kanäle 140 6.3.1 Giveaways – paradoxe Intervention 141 6.3.2 Plakatives – Poster, Aufsteller, Aufkleber & Co. 145 6.3.3 Learning Maps – Bilder sagen mehr 147 6.3.4 Comics und Cartoons – Stellvertreter in schwierigen Fällen 149 6.3.5 Print & Co. – Text alleine reicht nicht 151 6.3.6 Intranet – Einbindung und Austausch 152 XI

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.