Kris

Das hier ist die OSHA Hierarchy of Controls aus

https://www.osha.gov/sites/default/files/Hierarchy_of_Controls_02.01.23_form_508_2.pdf

Lest Euch das mal durch und denkt Euch dann den Umgang Eurer IT-Organisation mit Gefahr durch Phishing.

Wo würdet Ihr Phishing-Trainings ansetzen und wieso?

Gibt es andere Maßnahmen auf höheren Ebenen der OSHA Hierarchy of Controls, die besser geeignet wären, solche Risiken zu vermeiden und setzt Eure Firma die um?

Warum dann noch das Phish-Training?

Mar 26 at 12:32pmWeb
Show threadKris22h ago

  • Vorsicht, Link geht auf eine PDF-Datei. PDF Dateien können aktive Inhalte in Form von Javascript enthalten.

  • Vorsicht, Link wird von der Regierung eines faschistischen Regimes, das illegale Angriffskriege führt, gehostet.

Show threadJean Luc am Grimmsten22h ago

@isotopp

"Setz beim Radfahren einen Helm auf!"-Äquivalent

Show threadChristian Rickert21h ago

@datenhalde @isotopp

"Der Sattel ist mit wahrscheinlich mit Nägeln versehen!"-Äquivalent.

Show threadgrob (teeth era) 🇺🇦🏳️‍🌈🏳️‍⚧️22h ago
@isotopp ist Training da überhaupt mit drauf? Wäre das nicht noch unterhalb von PPE? Awareness muss ja erstmal funktionieren.
Show threadKris22h ago

@grob Lies die Erklärung zu Administrative Controls durch.

Der Schutzmechanismus "Keine Links anklicken" ist jedoch noch primitiver als ein Lockout oder ein anderer Sicherungsmechanismus an gefährlichen Maschinen.

Show threadgrob (teeth era) 🇺🇦🏳️‍🌈🏳️‍⚧️21h ago

@isotopp find ich interessant, dass das effektiver ist als PPE. Vielleicht gibts bei Phishing einfach kein sinniges PPE Analogon.

Was man zu administrativen Controls sagen muss: wenn man die netto betrachtet, also die ganzen legitimen Mails, die eine Firma intern verschickt, die aber von Phishing nicht zu unterscheiden sind, mit einrechnet, glaub ich nicht, dass man das mit Trainings auffangen kann.

Show threadMichael22h ago
@isotopp Das kann man auch wunderbar für diverse andere Themen wie der Fahrradhelmdebatte nehmen.
Show threadOliver D. Reithmaier21h ago
@isotopp wir haben mittlerweile auch gute Daten, dass das Zeug eh nicht funktioniert (siehe Link). Man hätte vor der Entwicklung Arbeitspsychologen fragen können, die hätten das stark angezweifelt. Hätte hätte... https://ieeexplore.ieee.org/abstract/document/11023357
Show threadVarbin  ​21h ago

@odr_k4tana @isotopp Diese Pyramide gibt es ja auch im deutschen Arbeitsschutz - aber auch in durchaus üblichen Regelwerken zur IT-Sicherheit, oder allgemeinen Werken zum Risikomanagement. Und das ist ja in vielen Verträgen oder teils sogar gesetzlich vorgeschrieben.

Daher wundert es mich ja, wie sich diese Phishingtests jemals so weit verbreiten konnten.

Show threadOliver D. Reithmaier12h ago
@varbin @isotopp mehrere Gründe. Sie zählen als Compliance Maßnahme und sind relativ easy durchzuführen. Dazu sind sie einfaches Geld für Beratungsbuden. Es gibt finanziell gesehen keinen Grund, andere Maßnahmen zu implementieren, gerade in Organisationen mit hohem technischen Nachholbedarf.
Show threadChristian Rickert21h ago

@isotopp

In den öffentlich Institutionen, die ich hier (U.S.A.) kennengelernt habe, wird Microsoft mit Active Directory und Office standardmässig eingesetzt:

Da wird viel Zirkus um Training, Zertifizierungen, Firewalls und CYA ("cover your ass") gemacht, ohne die grundlegenden Problem anzugehen:

Sicherheit muss von der Architektur kommen: Wenn ein einfacher Klick mein Unternehmen hopsnehmen kann, brauche ich eigentlich kein Training mehr - dann brauche ich nur noch die Feuerwehr. 🔥

Show threadRoman20h ago
@isotopp Bringt halt nur bedingt was. Siehe Vortrag von @linuzifer https://media.ccc.de/v/36c3-11175-hirne_hacken
Hirne Hacken

media.ccc.de
Show threadleckse19h ago

@isotopp Passt halt gut zu einer Blame Culture wenn man sich auf die Schulungen rausreden kann.

Als ob es nicht Organisationsversagen wäre, wenn ein Individuum mit einem unaufmerksamen Klick das Unternehmen gefährden kann.

Show threadvampirdaddy19h ago

@isotopp

Graphic (alt-text suggestion)

Hierarchy of controls - from most to least effective

Elimination (of threat)
Substitution
Engineering Controls (technological limits)
Administrative controls
Personal protective equipment.