Cryptography Reference
In-Depth Information
Thema Awareness (genauer gesagt Security Awareness) hat in den Unternehmen
in den letzten Jahren deutlich an Bedeutung gewonnen. Dies liegt zum einen an
der Wichtigkeit des Ganzen, zum anderen aber auch daran, dass Awareness-
Maßnahmen vergleichsweise kostengünstig sind und auf wenig Widerstand bei
anderen Abteilungen stoßen. Gerade in den Jahren 2001 bis 2005, als die IT-
Branche eine Krise durchmachte, mussten die IT-Sicherheitsverantwortlichen in
den Unternehmen mit geringen Budgets auskommen und hatten es schwer, ihre
Interessen gegenüber anderen Abteilungen durchzusetzen. Eine Awareness-Kam-
pagne war in dieser Situation oft die einzige IT-Sicherheitsmaßnahme, die sich
durchführen ließ.
Wie man sich leicht vorstellen kann, erfordern Awareness-Maßnahmen
Fähigkeiten, die wenig mit Kryptografie zu tun haben. Stattdessen ist Know-how
im Marketing und in der Personalführung notwendig. Viele Unternehmen entwi-
ckelten Plakate, Mauspads und andere Werbeträger, auf denen den Mitarbeitern
Tipps zum Umgang mit der IT-Sicherheit gegeben werden. Andere laden ihre Mit-
arbeiter zu regelrechten Awareness-Shows ein, in denen der sicherheitsbewusste
Umgang mit IT-Komponenten vermittelt wurde. Die Münchener Rückversiche-
rung startete eine in der Szene viel beachtete Awareness-Kampagne mit unter-
schiedlichen Aktivitäten [Lardsc]. Der Energiekonzern RWE ließ sogar eine (an
»Dilbert« erinnernde) Cartoon-Serie namens »Walt and Friends« entwickeln, um
dadurch das Bewusstsein für Fragen der Security Awareness zu schärfen.
Eine weitere Methode, die in der Praxis zur Anwendung kommt, sind Büro-
begehungen durch Sicherheitsexperten (in Abwesenheit der Mitarbeiter). Entde-
cken die Kontrolleure an einem Arbeitsplatz beispielsweise ein aufgeschriebenes
Passwort oder eine liegen gelassene Smartcard, dann legen sie eine gelbe Karte
(oder etwas Ähnliches) auf den Schreibtisch. Wer dagegen einen aus Sicht der IT-
Sicherheit sauberen Arbeitsplatz hinterlassen hat, erhält ein Stück Schokolade
oder eine andere symbolische Belohnung.
Solche Aktivitäten machen klar, dass so mancher IT-Sicherheitsexperte
umdenken muss, wenn es um das Thema Awareness geht. Der Aufwand lohnt
sich jedoch unbestritten. Schon allein, wenn es gelingt, den einen oder anderen
Anwender dazu zu bewegen, eine vorhandene Krypto-Software auch tatsächlich
einzusetzen, ist damit mehr erreicht, als das beste Verschlüsselungsverfahren
erreichen könnte, wenn es nicht genutzt wird.
Benutzerfreundlichkeit
In [Ande08] berichtet der Autor Ross Anderson von einer Behörde, die einen
sechsstelligen Betrag in eine Krypto-Lösung investierte, die einen verschlüsselten
Datenaustausch ermöglichte. Leider war diese Vorrichtung äußerst umständlich
zu bedienen. Die Folge war unvermeidlich: Die Mitarbeiter der Behörde umgin-
gen die besagte Lösung und tauschten ihre Daten entgegen den Vorschriften
unverschlüsselt aus.
