Preview only show first 10 pages with watermark. For full document please download

Der Menschliche Faktor In Der It-sicherheit

   EMBED

Share

Transcript

Werner Degenhardt Der menschliche Faktor in der IT-Sicherheit Fünf Fragen, eine Antwort Dr. Werner Degenhardt Fakultät für Psychologie und Pädagogik Human Factors Specialist [email protected] 08.10.2015 #2 Fünf Fragen Wie sieht Warum Worauf kommt kommen werden ein ganzheitliches es IT-Sicherheitsfragen IT-Sicherheitsnach bei der wie vor Konzept die auf Vorstandsebene meisten maßnahmen Awarenesschulung aus, das Angriffe den häufig Human auffür bewusst häufig IT-Systeme Factor Mitarbeiter innicht dervon ITund ausgebremst innen umgesetzt leitendes Sicherheit undManagement was ausreichend und oder kann die ignoriert damit dagegen an? berücksichtigt? verbundenen und getan was kann dagegen werden? Risiken in Kaufgetan genommen? werden? [email protected] 08.10.2015 #3 Frage 1 Warum werden IT-Sicherheitsfragen auf Vorstandsebene häufig ausgebremst oder ignoriert und was kann dagegen getan werden? [email protected] 08.10.2015 #4 Sicherheit steht nicht an erster Stelle [email protected] 08.10.2015 #5 Frage 2 Warum kommen nach wie vor die meisten Angriffe auf IT-Systeme von innen und was kann dagegen getan werden? [email protected] 08.10.2015 #6 Gefahren durch Innentäter Diebstahl Sabotage Betrug Fehler [email protected] 08.10.2015 #7 Maßnahmen gegen Innentäter Sicherheitsorientierte Personalauswahl Sicherheitsüberprüfung Überwachung [email protected] 08.10.2015 #8 Es muss nicht immer Bosheit .. [email protected] 08.10.2015 #9 Psychologische Verträge „Psychologische Verträge sind allgemein definiert als wechselseitige Erwartungen und Verpflichtungen zwischen Arbeitgeber und Arbeitnehmer, die über den juristischen Arbeitsvertrag hinaus bestehen.“ „Arbeitnehmer und Arbeitgeber sollten darauf fokussiert sein, Verpflichtungen ihrer psychologischen Verträge zu erfüllen als auch Brüche zu managen, wenn es schwierig wird, diese Verpflichtungen zu erfüllen.“ „Vertrauen und Fairness, Gerechtigkeit und Wertschätzung bilden die Basis einer gesunden Austauschbeziehung.“ [email protected] 08.10.2015 # 10 Frage 3 Warum werden IT-Sicherheitsmaßnahmen häufig bewusst nicht umgesetzt und die damit verbundenen Risiken in Kauf genommen? [email protected] 08.10.2015 # 11 Analoges Leben [email protected] 08.10.2015 # 12 Digitales Leben [email protected] 08.10.2015 # 13 User Non-Acceptance Paradigm "Eine Armee talentierter Mathematiker, Computerwissenschaftler und Ingenieure haben über Jahrzehnte hinweg eine elegante Lösung nach der anderen zur Lösung der Probleme der IT-Sicherheit vorgeschlagen. Die Benutzer haben bisher alle Bemühungen boykottiert." Greenwald, Infosec's dirty little secret, NSPW 2004 [email protected] 08.10.2015 # 14 Analoge Zugangskontrolle Parole? Die Sonne scheint grün. [email protected] 08.10.2015 # 15 Digitale Zugangskontrolle 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Brutus RainbowCrack Wfuzz Cain and Abel John the Ripper THC Hydra Medusa OphCrack LOphtCrack Aircrack-NG [email protected] 08.10.2015 # 16 Nutzerprobleme, Problemnutzer Die Probleme mit Passworten sind seit 20 Jahren bekannt und – in der IT-Ratgeberliteratur – gut publiziert … allerdings ohne dass sich im Benutzerverhalten spürbar etwas verbessert hätte. Zwei Erklärungen liegen auf der Hand: 1. Mangelhafte Authentisierungsmechanik 2. Mangelhaftes Verständnis des Verhaltens von Nutzern [email protected] 08.10.2015 # 17 Logozentrismus [email protected] 08.10.2015 # 18 Irrationaler Problemlöser Die Mechanik des menschlichen Denkens ist in der Evolution erfunden worden, um Probleme „ad hoc“ zu bewältigen. Er spielt die Rolle eines Problemlösers, der dann ausnahmsweise eingesetzt wird, um Situationen zu bewältigen, die mit Instinkt, Gewohnheit, Sitte und Tradition nicht zu bewältigen sind. [email protected] 08.10.2015 # 19 Theorie geplanten Handelns [email protected] 08.10.2015 # 20 Theorie geplanten IT-Handelns [email protected] 08.10.2015 # 21 Fünf Faktoren treiben Verhalten 1. Ergebniserwartungen 2. wahrgenommene Selbstwirksamkeit 3. wahrgenommene Bedrohung 4. wahrgenommene Schwere des Problems 5. wahrgenommene soziale Erwünschtheit … gilt, solange die Verhaltensweisen unter willentlicher Kontrolle stehen [email protected] Furchtappelle Wahrgenommene Die Ergebniserwartungen wahrgenommene sind Selbstwirksam, Schwere sind das des wirksamkeit Problems Resultat ist wird eine subjektiven gestärkt Funktion durch Kosten- in 1. wenneiner Angst und Betroffenheit Nutzen-Analyse 1. einem die der eigene Wahrnehmung mittleren Erfahrung Intensitätsdes sozialen Ergebniserwartungen bereich Umfelds hervorgerufen sind nur werden 2. die Beobachtung von dannZielgruppe fürwahrgenommenen eine Verhaltens2. Verhaltensmodellen der fühlt sich bereits von änderung bedeutsam, wenn sie persönlichen Problem Bedeutung betroffen 3. dem die Überzeugung durch als persönlich wichtig und 3. Appell andere der wahrgenommenen zeigt Verhaltens-zeitlichen relevant angesehen werden. alternativen Nähe 4. das hervorgerufene Angst-niveau ist durch die Verhaltensalternative realistisch reduzierbar 08.10.2015 # 22 Menschliches Verhalten [email protected] 08.10.2015 # 23 Menschliches Verhalten [email protected] 08.10.2015 # 24 Gewohnheiten „Das Verhalten X ist etwas“: 1. das ich häufig tue. 2. das ich automatisch tue. 3. das ich tue, ohne mich bewusst daran erinnern zu müssen 4. das ich tue, ohne darüber nachzudenken 5. das mich Anstrengung kosten würde es nicht zu tun 6. das zu meiner (täglichen, wöchentlichen, monatlichen Routine) gehört 7. mit dem ich anfange, ohne zu bemerken, dass ich es tue 8. was für mich schwierig wäre, es nicht zu tun 9. worüber ich mir keine Gedanken zu machen brauche es nicht zu tun 10. was typisch für „mich“ ist 11. was ich schon lange tue [email protected] 08.10.2015 # 25 Änderung von Gewohnheiten Im Absichtslosigkeitsstadium („Precontemplation“) haben Personen keine Absicht, ein problematisches Verhalten zu verändern. Im Absichtsbildungsstadium („Contemplation“) haben Personen die Absicht, irgendwann das problematische Verhalten zu verändern. Im Vorbereitungsstadium („Preparation“) planen Personen konkret, demnächst ihr problematisches Verhalten zu ändern und unternehmen erste Schritte in Richtung einer Verhaltensänderung. Im Handlungsstadium („Action“) vollziehen Personen eine Verhaltens-änderung. Im Aufrechterhaltungsstadium („Maintenance“) haben Personen seit einem längeren Zeitraum das problematische Verhalten aufgegeben. [email protected] 08.10.2015 # 26 [email protected] 08.10.2015 # 27 Heuristiken [email protected] 08.10.2015 # 28 Kognitive Heuristiken 1. Sure Gain Heuristic 2. Optimism Bias 3. Control Bias 4. Affect Heuristic 5. Availability Heuristic 6. Confirmation Bias 7. u.v.a.m [email protected] 08.10.2015 # 29 Soziale Heuristiken 1. Reziprozität 2. Commitment & Konsistenz 3. Soziale Bewährtheit 4. Autorität 5. Sympathie 6. Knappheit [email protected] 08.10.2015 # 30 Moral Ehrlichkeit Vertrauen Anständigkeit/Fairness Gerechtigkeit Wahrhaftigkeit Verantwortungsbewusstsein Güte Höflichkeit [email protected] 08.10.2015 # 31 Frage 4 Worauf kommt es bei der Awarenesschulung für Mitarbeiter und leitendes Management an? [email protected] 08.10.2015 # 32 IT-Sicherheit lernen? IT-Sicherheit ist ein abstraktes Konzept, das nur schwer gelernt werden kann. Die Entscheidung für Sicherheit hat kein sichtbares Ergebnis und es gibt keine sichtbare Bedrohung. Die Belohnung für sicheres Verhalten ist, dass nichts Schlimmes passiert. [email protected] 08.10.2015 # 33 Sicheres IT-Verhalten ist schwer In einer üblichen Lernsituation wird Verhalten durch positive Verstärkung geformt. Wenn wir etwas richtig machen, werden wir belohnt. Im Fall von Sicherheitsentscheidungen ist die positive Verstärkung die, dass die Wahrscheinlichkeit, dass etwas Schlimmes geschieht, weniger groß ist. Wenn aber etwas Schlimmes geschieht – was selten der Fall ist oder nicht bemerkt wird – dann kann das Tage, Wochen oder Monate von der falschen Entscheidung entfernt sein. Das macht das Lernen negativer Konsequenzen extrem schwer, ausgenommen im Fall spektakulärer Katastrophen. [email protected] 08.10.2015 # 34 AIDA Security Selling 1. Die Aufmerksamkeit des Kunden wird geweckt 2. Das Interesse des Kunden wird erregt 3. Der Besitzwunsch wird ausgelöst 4. Der Kunde kauft das Produkt [email protected] 08.10.2015 # 35 ENISA Awareness [email protected] 08.10.2015 # 36 ENISA Awareness [email protected] 08.10.2015 # 37 Frage Kann man Benutzer zu besserem Sicherheitsverhalten erziehen? [email protected] 08.10.2015 # 38 Antwort Kann man Kinder dazu bringen in der Mittagspause (freiwillig und unbeobachtet) Obst zu essen und nicht Süßigkeiten? [email protected] 08.10.2015 # 39 Frage 5 Wie sieht ein ganzheitliches Konzept aus, das den Human Factor in der ITSicherheit ausreichend berücksichtigt? [email protected] 08.10.2015 # 40 Sicherheitskultur [email protected] 08.10.2015 # 41 Latente Bedingungen, aktive Fehler Die menschliche Natur können wir nicht ändern. Aber die Bedingungen unter den Menschen arbeiten. [email protected] 08.10.2015 # 42 [email protected] 08.10.2015 # 43