Google
WWW.ISSS.CH WWW

 

Internet Security Awareness

Autoren: Dr. Thomas Dübendorfer, Dr. Thomas Schlienger

 

Auch wenn Sie ein Profi sind und jedes erdenkliche Internetrisiko voraussehen, so stellt sich doch immer wieder die schwierige Frage, wie man dieses Bewusstsein denn seinen Arbeitskollegen und der Tochter oder dem Sohn zuhause am besten und nachhaltigsten vermittelt. Dieser Artikel führt ins Thema Internet Security Awareness ein und verweist auf zahlreiche Kampagnen und Initiativen, welche Internetbenutzer am Arbeitsplatz und zuhause auf Sicherheitsrisiken beim Umgang mit Computern sensibilisieren.

 

Mir passiert so was nicht



Scheinsicherheit: Ein starkes Passwort - am falschen Ort

Stellen Sie sich vor, Montag morgens findet eine Vielzahl der Mitarbeitenden Ihrer Organisation eine E-Mail vom Systemverantwortlichen im Posteingang. Diese enthält eine Aufforderung zur Mitteilung des Passworts zwecks dringender Migration der E-Mailkonten auf einen neuen schnelleren Mailserver, da der alte bald unter der Last zusammenbrechen wird. Wie viele ihrer Arbeitskollegen würden ihr Passwort preisgeben und damit ihren Emailaccount einem hinterlistigen Spammer zur Verfügung stellen? Etliche konkrete Fälle zeigen, dass solche Phishing-Emails noch immer von einigen Personen bedenkenlos beantwortet werden. Ihnen würde das nie passieren? Und wie würden Sie reagieren, wenn Ihnen Ihr Konzernchef von seiner Geschäftsreise eine persönliche Einladung schickt für einen Weekend-Trip in einem Wellnesshotel mit Golfplatz, wobei Sie als Bestätigung für die Gratis-Teilnahme nur kurz per Webformular unter Angabe Ihrer Kreditkarte und Personalien das gewünschte Zimmer reservieren müssten? Hätten Sie überprüft, dass der E-Mail-Absender echt ist und ob die professionell gestaltete Hotel-Webseite nicht erst am Vortag ins Netz gestellt wurde?



Wieso braucht es Internet Security Awareness?

Internet Security Awareness - das "Gewahrsein" möglicher Internetrisiken - schützt Sie vor möglichen Gefahren. Awareness ist eine präventive Massnahme, denn "Denken vor Handeln" schützt Sie vor Schaden. In Analogie zur Verkehrssicherheit könnte man auch sagen "fahren Sie vorausschauend" im Internet und Sie kommen sicherer an Ihr Ziel. Um sich aber vorausschauend im Internet bewegen zu können, benötigt man ein Grundwissen über mögliche Risiken. Um es wieder mit der Analogie der Verkehrssicherheit zu sagen: es ist besser, im Theorieunterricht zu lernen, wie sich der Bremsweg eines Autos auf verschneiter Strasse verhält, als es im Notfall praktisch erfahren zu müssen. Genauso nützlich ist es zu wissen, wie man E-Banking sicher anwendet, sodass man es nicht erst durch ein geleertes Bankkonto erfahren muss. Im Bild wurde zwar vorbildlich ein zufälliges Passwort gewählt, aber ein starkes Passwort am falschen Ort platziert schützt das System schlecht.

 

Geht mich das auch was an?

Die Internetrisiken sind in den letzten Jahren nicht nur stark angestiegen, sie verändern sich auch laufend. Was gestern ohne Risiko war, kann heute Ihren PC, Ihre Daten oder sogar Ihr Bankkonto in Gefahr bringen. Alle, die sich im Internet bewegen, sind den Risiken ausgesetzt. Das betrifft Jung und Alt aber auch Anfänger und Profi. Vor ein paar Jahren galt die Faustregel "bekannte Webseiten aufsuchen ist gefahrlos", doch heute hat sich die Risikolandschaft stark verändert. Drive-by-Downloads finden nicht nur auf "illegalen" oder "schmuddeligen" Webseiten des Internets statt, sondern können durch Hacker auch auf wohlbekannten Webseiten platziert worden sein (siehe MELANI Halbjahresbericht 2008/1). Internet Security Awareness betrifft also auch Sie.

 

Wie kann ich mich und andere informieren?

In den letzten Jahren wurden viele privatwirtschaftliche und staatliche Initiativen mit dem Ziel lanciert, Geschäfts- und Privatpersonen über Internetrisiken aufzuklären. Obwohl diese Initiativen teilweise sehr gut aufbereitete Informationen anbieten, sind sie leider eher wenig bekannt. Wir führen daher ein paar der wichtigsten uns bekannten auf. Ob Sie nun einen Awareness-Day in Ihrer Organisation durchführen, an welchem Sie mit Postern, Aktionen und Präsentationen auf Risiken aufmerksam machen oder ob Sie jedem neuen Mitarbeiter einen Flyer in die Hand drücken oder in der Mitarbeiterschulung ein Video zu einem Sicherheitsvorfall eingespielt wird, Sie finden in unserer Zusammenstellung von Awareness Initiativen einen grossen Fundus an Ideen und Unterlagen auf Deutsch und Englisch.

 

Awareness Initiativen

  • Awareness Days
    Die Awareness Days haben zum Ziel, an jeweils einem Tag pro Jahr im Betrieb gezielte Aktionen durchzuführen, um die Awareness der IT Benutzenden zu steigern.
    • Swiss Security Day
      Jeweils im März, organisiert von InfoSurance
      www.swisssecurityday.ch
    • Computer Security Day CSD (Englisch)
      Seit 1988 (!) jeweils am 30. November (oder am nächsten Arbeitstag, wenn der 30.11. kein Arbeitstag ist), Association for Computer Security Day
      www.computersecurityday.org
       
  • Awareness-Kampagnen und Material
    Die Awareness-Kampagnen zielen in der Regel darauf ab, die Internetbenutzenden zu einem bestimmen Themenkreis anhand konkreter Beispiele zu sensibilisieren. Sofern nicht anders erwähnt, sind die Unterlagen auf Deutsch verfügbar.
    • Schau genau
      schaugenau.ch 
      Stadt Zürich, Thema "Internet Chats"
    • Klick Safe
      Eine Initiative der EU zum sicheren Verhalten im Internet mit vielen verlinkten länderspezifischen Websites.
      www.klicksafe.de 
    • BSI für Bürger
      BSI Deutschland
      www.bsi-fuer-buerger.de 
    • Sicher im Internet
      Österreich, von verschiedenen Wirtschaftssponsoren getragen, primär von Microsoft Österreich
      www.sicher-im-internet.at 
    • security for kids
      CH, altersgerechte Szenarien und Informationen für Kids und Jugendliche, eine Gemeinschaftsinitiative von Partnern aus Bund, Bildungswesen, Privatwirtschaft und Kriminalitätsbekämpfung (seit 2005)
      www.security4kids.ch 
    • Dubbestemmer (Englisch, Norwegisch)
      Eine Aufklärungskampagne aus Norwegen, die sich unter anderem dem Umgang mit Sozialen Netzwerken und des Mobbings mittels moderner Technik widmet (eindrückliche englische Kurzfilme!)
      www.dubestemmer.no/english.php 
    • On guard online (Englisch)
      USA, mit Games und Filme
      www.onguardonline.gov 
    • Security at home (Englisch)
      von Microsoft
      www.microsoft.com/protect/default.mspx 
    • Stay safe (Englisch)
      USA, von verschiedenen Wirtschaftssponsoren getragen, primär von Microsoft USA
      www.staysafe.org 
    • ISC2 Cyber security Awareness Material (Englisch)
      Einsendungen aus aller Welt, freie Benutzung der Materialien
      https://cyberexchange.isc2.org/ 

 

Falls Sie weitere frei zugängliche Initiativen zum Thema Security Awareness kennen, würden wir uns über eine Nachricht freuen.

 

Letzte Änderung: 27. November 2008