Hier folgen nun ein paar Kommentare zum aktuell laufenden IT-Sicherheitskongresses des BSI: https://www.bsi.bund.de/DE/Service-Navi/Veranstaltungen/Deutscher-IT-Sicherheitskongress/21-Dt-IT-Sicherheitskongress/21-dt-IT-Sicherheitskongress_node.html
Das sind Dinge, die mir live kommen, also definitiv nicht sonderlich durchdacht sind.
Saal 1, Psychologie der Sicherheit, Teil 1
Wenn Phishing eine Frage von Emotionen ist, man in der Emotion lieber schnell auf irgendwelche Links klickt statt sich erst einen Kaffee zu holen und kurz über die Emotion hinaus nachzudenken... warum sorgt man dann nicht dafür, daß Links in E-Mail clientseitig grundsätzlich erst nach 90 Sekunden klickbar werden?
Besser noch: wenn User Links gar nicht mehr klicken können und diese (wie zu den guten Zeiten der reinen Text-E-Mails) manuell per Copy&Paste in einen Browser übertragen müssen, dann haben durchschnittliche User die Emotion aus der E-Mail mit sehr hoher Wahrscheinlichkeit durch eine andere Emotion überschrieben: Haß, daß Computer so doof sind.
Aber das macht dann hoffentlich den Phishing-Versuch kaputt.
Andererseits... wenn User auch auf "Klicke hier, drücke Win-R, Strg-V, Enter" hereinfallen... aber das ist ja nicht mehr das Problem von Emotionen, hier kommt dann doch Wissen ins Spiel.
Ich will mehr fertige Rollenspiele für IT- und InfSec-Security-Awareness.
Ein geniales Modell. Schade nur, daß hier gerade mein Hacker-Herz losrennt und sich denkt: "Das brauche ich nicht kaufen, das kann ich selbst entwickeln." Die Karten des Rollenspiels sahen gut aus, ich würde das gerne einmal spielen.
Dabei fällt mir ein: ich habe mir vor einiger Zeit ein originalverpacktes Android: Netrunner (inkl. der Erweiterungen) gekauft. Ich bin immer noch hin- und hergerissen, ob ich das auspacken und spielen möchte oder lieber auf Wertzuwachs warte. Mint Condition und so... 🫠
LOL.
Gerade im Moment habe ich noch an anderer Stelle Diskussionen darüber, daß gewisse Bundesministerien anscheinen immer noch mMn komische Ansichten über "sichere Paßwörter" haben, mache Werbung für https://laengeristbesser.de - da wird das auch im Livestream erwähnt und zerrissen (also veraltete Paßwortregeln).
Spannenderweise wird auch das widerlegte "ändert euer Paßwort regelmäßig" zerrissen. Das ist gerade eine explizite Forderung aus der NIS-2-Umsetzungsverordnung (EU) 2024/2690. Ich versuche noch, das bei uns im Laden wegzuargumentieren - trotz der gesetzlichen Vorgabe.
Hui, und auch den Cyber Security Awareness Month anzugehen. Top.
Und auch die Idee, bei Schulungen etc. _zuerst_ den Test zu machen, wo Leute stehen, und dann gezielt auf Wissenslücken einzugehen.... eigentlich sehr logisch.
Diese Tests am Ende fühlten sich schon immer nach preußischem Schulsystem an. ^^
Also: angehen vom CyberSec A. Month = den Elephanten im Raum anzusprechen: man braucht nicht einen Monat mit Awareness. Das muß kontiniuerlich und "normal" werden. Ähnlich wie DevOps DevOps bleiben soll und das Sec grundsätzlich integriert haben soll (im Gegensatz zu DevSecOps).
Hm. Cyberawareness als Teil der Prozesse, damit man nicht immer grundlegend aus dem aktuellen Tun herausgerissen wird. Spanennde Idee... wenn das System also bemerkt, daß ich ein Paßwort ändern möchte, bekomme ich noch einmal kurz die Slides zum Thema Paßwortsicherheit bzw. -anforderungen. Oder so?
Ui. UI!
"In wie weit wird die Cybersicherheit zu sehr auf die Endnutzer abgewälzt? Sollte das nicht eher durch die IT abgefedert werden, so daß das gar nicht beim Endanwender ankommt?"
Da sagte mal jemand zu: "Klickt auf alle Links, öffnet alle Attachments. Macht solange Mist, bis die IT ihren Job und die Systeme sicher macht!"
Ich glaube, das war von @HonkHase ...
Hach, das war auch Bilderbuch: Frage vergessen, Faden verloren. "Sagst Du das bitte noch einmal ein bisserl spezifischer?!"
Ein Stichwort wird genannt.
Und direkt wieder den Faden gefunden und souverän weitergemacht.
Ich sollte mir das angewöhnen, statt zu sagen, daß ich den Faden verloren habe und diesen gerade suche, genau so nachzufragen. Ich habe das schon in zig Rhetorik-Büchern/-Talks/-Seminaren, aber das wirklich einmal live so mitzubekommen, hat mir gerade wirklich geholfen. Danke.
Waaaas? Wir können gar nicht die ganze Bevölkerung in IT-Sicherheitsexperten verwandeln? 😱
Dennoch nehme ich auch die Idee mit, Begriffe lieber auf deutsch statt auf englisch für - sorry - Awarenesskommunikation einzusetzen. Auch wenn ich seit schon immer gegen deutsch in IT-Sprech bin, eben weil es da keine passenden Standards gibt (vgl. auch Übersetzungsfehler in der NIS-2-Durchführungsverordnung oder DORA).
Die Idee, andere Sicherheitsexperten (also Arbeitssicherheit) zur Kommunikation mindestens zu befragen... I like.
Sooo. Weiter geht es nun nach der Pause in Saal 2 mit der NIS-2.
Äh. Zur Frage, warum wir eigentlich NIS-2 machen, war kurz eingeblendet eine Umfrage/Studie mit ungefähr dem folgenden Text drunter: "Cybersicherheitsniveau wird trotz steigender Angriffszahlen überschätzt".....
Wenn das nicht eine unglückliche Verkürzung war, habe ich ganz grundsätzliche Fragen. Fragen der Art "was hat die Frage, wie oft ich (automatisiert?) angegriffen werde, mit dem Cybersicherheitsniveau zu tun?"
An dieser Stelle möchte ich noch einmal ganz dringend singen: Correlation does not imply causation. Leider finde ich das Lied dazu gerade nicht...
Die Folie, wer eigentlich "die deutsche Wirtschaft" ist, hätte ich gerne einmal anders dargestellt: statt Anzahl der kleinst, kleinen, mittleren und großen Unternehmen dargestellt zu sehen, interessiert mich gerade, wie viel Arbeitskraft in Form von Kostenfaktore....äh Menschen auf die jeweiligen Unternehmensarten verteilt sind.
Aber das tut bei dem Vortrag nix zur Sache. :)
"Unternehmen möchten nicht gerne mit der Realität konfrontiert werden (wenn es um Dinge wie Cybersicherheit geht)."
❤️
Spannend an dieser Stelle der Hinweis aus dem gleichen Vortrag, daß nur 11% die NIS-2 als Treiber für Resilienz sehen. Schade eigentlich.
Aber inhaltlich ist das mMn ähnlich gelagert wie beim BFSG. $Damals(TM) haben wir Dinge wie Tabstop-Indizes und Navigierbarkeit via Tastatur ganz ohne Gesetz gemacht. Heutzutage braucht es für Grundlagen (egal ob im Webdesign oder IT-Sicherheit) dann leider Gesetze.
Schade.
Oh.
<werbung>
Den CyberRisikoCheck nach DIN SPEC 27076 kann ich übrigens anbieten. Falls den also jemand haben möchte, meldet euch bei mir.
</werbung>
Jap, erst Basics umsetzen. Der CyberRiskCheck hilft dabei.
Oder ein Buch, das ich schon länger nicht mehr empfohlen habe: Project Phoenix. Dort wird dann erst einmal klar, wie wichtig zu Beginn die Schaffung von Change Management ist.
Das Buch hat damals bei mir dazu geführt, daß ich meinen Job gekündigt habe, weil ich mit der Idiotie nicht mehr klargekommen bin.
Ha! Wie schon geschrieben: DevSecOps stand mal heftig in der Kritik, eben weil das "Sec" grundlegender, integraler Bestandteil sein sollte, damit reicht DevOps. :D
🤭
"Das ist oft schon veraltet, gleich in dem Moment, in dem die Dokumentation fertiggestellt wurde."
You guys have documentation? 🤪
Die Technical Measures der ENISA gibt es unter https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance
jesterchen42
Michael Salbeck
Wintermute 