Hier folgen nun ein paar Kommentare zum aktuell laufenden IT-Sicherheitskongresses des BSI: https://www.bsi.bund.de/DE/Service-Navi/Veranstaltungen/Deutscher-IT-Sicherheitskongress/21-Dt-IT-Sicherheitskongress/21-dt-IT-Sicherheitskongress_node.html
Das sind Dinge, die mir live kommen, also definitiv nicht sonderlich durchdacht sind.
Saal 1, Psychologie der Sicherheit, Teil 1
Wenn Phishing eine Frage von Emotionen ist, man in der Emotion lieber schnell auf irgendwelche Links klickt statt sich erst einen Kaffee zu holen und kurz über die Emotion hinaus nachzudenken... warum sorgt man dann nicht dafür, daß Links in E-Mail clientseitig grundsätzlich erst nach 90 Sekunden klickbar werden?
Besser noch: wenn User Links gar nicht mehr klicken können und diese (wie zu den guten Zeiten der reinen Text-E-Mails) manuell per Copy&Paste in einen Browser übertragen müssen, dann haben durchschnittliche User die Emotion aus der E-Mail mit sehr hoher Wahrscheinlichkeit durch eine andere Emotion überschrieben: Haß, daß Computer so doof sind.
Aber das macht dann hoffentlich den Phishing-Versuch kaputt.
Andererseits... wenn User auch auf "Klicke hier, drücke Win-R, Strg-V, Enter" hereinfallen... aber das ist ja nicht mehr das Problem von Emotionen, hier kommt dann doch Wissen ins Spiel.
Ich will mehr fertige Rollenspiele für IT- und InfSec-Security-Awareness.
Ein geniales Modell. Schade nur, daß hier gerade mein Hacker-Herz losrennt und sich denkt: "Das brauche ich nicht kaufen, das kann ich selbst entwickeln." Die Karten des Rollenspiels sahen gut aus, ich würde das gerne einmal spielen.
Dabei fällt mir ein: ich habe mir vor einiger Zeit ein originalverpacktes Android: Netrunner (inkl. der Erweiterungen) gekauft. Ich bin immer noch hin- und hergerissen, ob ich das auspacken und spielen möchte oder lieber auf Wertzuwachs warte. Mint Condition und so... 🫠
LOL.
Gerade im Moment habe ich noch an anderer Stelle Diskussionen darüber, daß gewisse Bundesministerien anscheinen immer noch mMn komische Ansichten über "sichere Paßwörter" haben, mache Werbung für https://laengeristbesser.de - da wird das auch im Livestream erwähnt und zerrissen (also veraltete Paßwortregeln).
Spannenderweise wird auch das widerlegte "ändert euer Paßwort regelmäßig" zerrissen. Das ist gerade eine explizite Forderung aus der NIS-2-Umsetzungsverordnung (EU) 2024/2690. Ich versuche noch, das bei uns im Laden wegzuargumentieren - trotz der gesetzlichen Vorgabe.
Hui, und auch den Cyber Security Awareness Month anzugehen. Top.
Und auch die Idee, bei Schulungen etc. _zuerst_ den Test zu machen, wo Leute stehen, und dann gezielt auf Wissenslücken einzugehen.... eigentlich sehr logisch.
Diese Tests am Ende fühlten sich schon immer nach preußischem Schulsystem an. ^^
Also: angehen vom CyberSec A. Month = den Elephanten im Raum anzusprechen: man braucht nicht einen Monat mit Awareness. Das muß kontiniuerlich und "normal" werden. Ähnlich wie DevOps DevOps bleiben soll und das Sec grundsätzlich integriert haben soll (im Gegensatz zu DevSecOps).
Hm. Cyberawareness als Teil der Prozesse, damit man nicht immer grundlegend aus dem aktuellen Tun herausgerissen wird. Spanennde Idee... wenn das System also bemerkt, daß ich ein Paßwort ändern möchte, bekomme ich noch einmal kurz die Slides zum Thema Paßwortsicherheit bzw. -anforderungen. Oder so?
Ui. UI!
"In wie weit wird die Cybersicherheit zu sehr auf die Endnutzer abgewälzt? Sollte das nicht eher durch die IT abgefedert werden, so daß das gar nicht beim Endanwender ankommt?"
Da sagte mal jemand zu: "Klickt auf alle Links, öffnet alle Attachments. Macht solange Mist, bis die IT ihren Job und die Systeme sicher macht!"
Ich glaube, das war von @HonkHase ...
Hach, das war auch Bilderbuch: Frage vergessen, Faden verloren. "Sagst Du das bitte noch einmal ein bisserl spezifischer?!"
Ein Stichwort wird genannt.
Und direkt wieder den Faden gefunden und souverän weitergemacht.
Ich sollte mir das angewöhnen, statt zu sagen, daß ich den Faden verloren habe und diesen gerade suche, genau so nachzufragen. Ich habe das schon in zig Rhetorik-Büchern/-Talks/-Seminaren, aber das wirklich einmal live so mitzubekommen, hat mir gerade wirklich geholfen. Danke.
Waaaas? Wir können gar nicht die ganze Bevölkerung in IT-Sicherheitsexperten verwandeln? 😱
Dennoch nehme ich auch die Idee mit, Begriffe lieber auf deutsch statt auf englisch für - sorry - Awarenesskommunikation einzusetzen. Auch wenn ich seit schon immer gegen deutsch in IT-Sprech bin, eben weil es da keine passenden Standards gibt (vgl. auch Übersetzungsfehler in der NIS-2-Durchführungsverordnung oder DORA).
Die Idee, andere Sicherheitsexperten (also Arbeitssicherheit) zur Kommunikation mindestens zu befragen... I like.
Sooo. Weiter geht es nun nach der Pause in Saal 2 mit der NIS-2.
jesterchen42
Michael Salbeck