« März 2016 | Blog | Mai 2015 »

IT-Security Awareness: wie bringt man die Botschaft rüber?

Samstag 27 Juni 2015   Kategorien: Awareness   von Rainer W. Gerling

Die oder der IT-Sicherheitsbeauftragte eines kleineren Unternehmens möchte ihre/seine Intranet-Seite optisch aufpeppen oder mit Postern im Unternehmen für IT-Sicherheit werben. Eine Agentur zu beauftragen hat der Chef nicht bewilligt: zu teuer. Es bleibt also nur der Weg ins Internet um zu schauen was es dort gibt. Und es gibt einiges.

Dr. Security, der IT-Sicherheits-Guru à la Dr. House, erklärt unterhaltsam in drei sehr schönen Episoden die Themen Telematik, Botnetze und Bad Usb. Mit den Filmen konnten die Studenten der Universität des Saarlandes einen Hochschulwettbewerb zur Wissenschaftskommunikation gewinnen. Die Videos stehen auf Youtube und können verlinkt werden. Mit elf bis dreizehn Minuten Dauer sind sie eigentlich etwas lang für einen Awareness Clip.

Die ENISA (European Union Agency for Network and Information Security) stellt Multi-Media Material für Awareness-Maßnahmen zur Verfügung: Videos, Poster und Illustrationen in verschiedenen Sprachen. Die Videos sind kurz und prägnant und eignen sich auch für Schulungen. Die Poster gibt es für die Zielgruppen Unternehmen und Eltern (gut für z.B. für Kindergärten und Schulen). Die Illustrationen sind speziell. Hier muss gut überlegt werden, ob diese in die Unternehmenskultur passen.

Der ASW-Bundesverband hat ein Awarenessvideo zum Thema Wirtschaftsspionage produzieren lassen. Das zweiminutige Animationsvideo ist auf der Homepage der Produktionsfirma expolqii und auf der Videopattform vimeo verfügbar.

Die Kommunalagentur NRW stellt das Behörden IT-Sicherheitstraining (BITS) unter GNU-Lizenz zur Verfügung. Es kann leicht bezüglich Layout und Unternehmensspezifika angepasst werden. Sprachlich und thematische ist die Zielgruppe aber eindeutig eine Behörde.

Das Institut für Internet-Sicherheit - if(is) - stellt die securityNews als App für das Smartphone (Android, iOS und Windows 8) und zum Einbinden in die eigene Intranet-Seite zur Verfügung. Da die securityNews direkt von der if(is)-Seite heruntergeladen werden muss der DAtenschutz (gearde bei Einbindung in das Intranet) beachtet werden. Auf der Webseite findet man auch in Kooperation mit dem LKA NRW produzierte Awarenessvideos. Für die IT-Abteilung istauch das Poster für die Sicherheit von Verschlüsselungsalgorithmen interessant.

Die Filmkampagne der Initiative „Deutschland sicher im Netz“ zeigt auch einige Videos. Auch hier gilt zuerst prüfen, ob die Videos zur Firmenkultur passen.

Last, but not least noch ein paar Hinwiese auf zwei lesenswerte und kostenlose Newsletter:

  • Die „Secorvo Security News“ erscheinen monatlich und berichten kurz und knapp über aktuelle Themen der IT-Sicherheit.
  • Das „Security Journal“ der GAI NetConsult GmbH erscheint zweimonatlich und ist per E-Mail-Abo erhältlich. Nach zwei Monaten steht die Ausgabe dann auch auf der Web-Seite. Typisch sind zwei ausführliche Artikel pro Ausgabe.

Datenschutzfreundliche Dropbox und Zertifizierung

Donnerstag 25 Juni 2015   Kategorien: IT-Sicherheit, Tipps   von Rainer W. Gerling

Das Unternehmen Dropbox bemüht sich intensiv Business Accounts an die Unternehmen zu bringen. Von kostenlosen Accounts kann man auf Dauer nicht leben. Diese Accounts können von der Unternehmens IT gemanagt werden. Verlässt ein Mitarbeiter das Unternehmen, kann der Speicherplatz gewiped werden oder an den Nachfolger übertragen werden. Details findet man im “Dropbox for Business Security Overview“.

Aber leider gibt es auch für Unternehmens-Kunden keine Dateiverschlüsselung. Dropbox schreibt zwar im Security Guide (und das ist auch korrekt), dass die Dateien beim Storage-Provider verschlüsselt (AES 256 Bit) gespeichert werden. Aber den Schlüssel hat Dropbox und nicht das Unternehmen. Dropbox kann (manchmal vielleicht auch; muss) auf die Daten zugreifen. Dropbox ist seit dem 16.2.2012 Safe Harbor „zertifiziert“ und erfüllt damit formal die EU-Vorgaben.

Dropbox for Business nach ISO 27018 zertifiziert“ schrieb die Computer Woche am 18.5.2015. Dropbox ist nach eigenen Angaben einer der ersten Cloud-Anbieter, der das neue ISO-Gütesiegel erhält. Die ISO 27018 wurde erst im August 2014 verabschiedet und regelt datenschutzrechtliche Anforderungen an Cloud-Dienste nach EU-Recht und nach deutschem Recht.

Ist das nicht ein Widerspruch? Die Anforderungen nach deutschen Datenschutzrecht sind nach ISO 27018 zertifiziert und die Unternehmensdaten liegen unverschlüsselt in der Cloud? Da muss man doch mal genau nachschauen, was eigentlich zertifiziert ist. Und das steht in dem Zertifizierungsdokument.

Services in scope, when used with a registered Dropbox for Business account:

  • The Dropbox software client (desktop/laptop access)
  • The Dropbox web application (desktop and mobile browser access)
  • The Dropbox mobile application (mobile device access)
  • The Dropbox application programming interface (API) (invoked by a Dropbox for Business customer to perform operations on data within that customer's account)"

steht auf Seite 2 der Zertifikatsurkunde.

Zertifiziert sind also: der Desktop Klient, die Webanwendung, die App und das API. Im Grunde ist alles zertifiziert, was die Firma für den Klienten zur Verfügung stellt. Die Serverseite ist NICHT zertifiziert. Über die Speicherung der Daten in der Cloud wird in der Zertifizierung nichts gesagt!

Was lernen wir? Es empfiehlt sich Zertifizierungen nur zu akzeptieren, wenn man sich davon überzeugt hat, was genau zertifiziert ist. Manchmal klaffen Zertifizierung und Wahrnehmung (oder sollte ich Werbung schreiben) etwas auseinander.

Solche „Missverständnisse“ gab es schon öfter. Im April 1996 wurde Windows NT mit dem Report No. CSC-FER-95/003 nach dem Orange Book als C2-sicher zertifiziert. Aber zertifiziert war „nur“ Windows NT 3.5 Service Pack 3 mit spezieller Konfiguration und - auch bei der NT Server Version - ohne Netzwerkkarte im Rechner. (Wenn man es genau nimmt, galt das Zertifikat auch nur für die Compaq Rechner Proliant 2000 und Proliant 4000 5/90-1 und 5/100-1 sowie einen DECpc AXP/150.) Ein Windows NT 4 mit Netzwerkkarte war nie zertifiziert. Obwohl fast alle das geglaubt haben.