Sie sind auf Seite 1von 33

IT-Security-Awareness im IoT-Zeitalter:

Wie sensibilisiere ich meine


MitarbeiterInnen?

Campus Lectures IT-Security


Silvie Schmidt

Erstellt von: Silvie Schmidt


Agenda

 Warum ist IT-Security wichtig?

 Welche Rolle spielt dabei das IoT?

 Building IT-Security Awareness


 Möglichkeiten
 Metriken
 Pitfalls

Erstellt von: Erstellt von: Silvie Schmidt


Building Awareness

Awareness = Bewusstsein

Building Awareness
= Bewusstsein schaffen/aufbauen

Erstellt von: Erstellt von: Silvie Schmidt


IT-Security

Zustand, in dem
Vertraulichkeit,
Integrität und
Verfügbarkeit
von Informationen und Informationstechnik
durch angemessene Maßnahmen geschützt sind

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/Glossar/glossar_node.html

Erstellt von: Erstellt von: Silvie Schmidt


Internet-of-Things

Erstellt von: Erstellt von: Silvie Schmidt


Why Security Matters…

Erstellt von: Silvie Schmidt


IoT & Security

Erstellt von: Erstellt von: Silvie Schmidt


IoT-Security - Threats

Übernahme der Kontrolle (Taking Control)


> Smart Home, Smart Car, Health Devices,…

Datendiebstahl (Stealing Information)


> Infotainment Systeme in KFZ, Fitnessarmbänder,…

Störung von Services (Disrutping Services)


> Smarte Haushaltsgeräte, Bremsen (KFZ), Insulinpumpen,…

Erstellt von: Erstellt von: Silvie Schmidt


IoT-Security

Erstellt von: Erstellt von: Silvie Schmidt

https://www.pubnub.com/blog/2015-05-04-10-challenges-securing-iot-communications-iot-security/
IoT-Security - Threats

https://images.techhive.com/images/article/2016/08/iot-thermostat-ransomware-100675843-primary.idge.jpg Erstellt von: Silvie Schmidt


IoT-Security - Threats

https://www.kaspersky.com/blog/blackhat-jeep-cherokee-hack-explained/9493/

> https://www.youtube.com/watch?v=MK0SrxBC1xs
Erstellt von: Silvie Schmidt
Building
IT-Security
Awareness

Erstellt von: Silvie Schmidt


Building IT-Security Awareness

IT-Security
wird in erster Linie durch
technische Sicherheitsmaßnahmen
gewährleistet, aber

Awareness Building begleitend unabdingbar.

Erstellt von: Silvie Schmidt


Building IT-Security Awareness

„Sag es mir, und ich werde es vergessen.


Zeige es mir, und ich werde mich daran
erinnern.
Beteilige mich, und ich werde es verstehen.“
(Chinesisches Sprichwort)

Erstellt von: Silvie Schmidt


Building IT-Security Awareness

Ziele

 Jede/r MitarbeiterIn muss sich zu jeder Zeit der


Gefahren bewusst sein!

 Sensibilisierung
 Verhaltensänderung
 Verständnis erhöhen

Erstellt von: Silvie Schmidt


Building IT-Security Awareness

 Phishing-Attacken immer erfolgreicher


 Social Engineering

 Social Media

 Unsichere WLANs

BeyondthePhish 2016 / 1 www.wombatsecurity.com

Erstellt von: Silvie Schmidt


Building IT-Security Awareness

Awareness Trainings Tipps

 Vortrag alleine nicht ausreichend

 IMMER: Trainings mit Tests kombinieren

 Kontinuität

 Kreativität

 Abstimmung auf Unternehmenskultur/Arbeitsbereiche

Erstellt von: Silvie Schmidt


Building IT-Security Awareness

Awareness Trainings Tipps

 90 Tage Rhythmus

 Metriken bestimmen

 Unterstützung der Führungsebene

 Verstoß gegen Regeln zulassen

 Feedback – offenes Klima - Teambuilding

Erstellt von: Silvie Schmidt


Building IT-Security Awareness

Awareness Trainings Pitfalls

 1 Vortrag pro Jahr

 Alles verbieten und nur im Bedarfsfall erlauben

 Social Engineering – „jede/r MitarbeiterIn, der darauf


hereinfällt wird gekündigt“

 BESSER: Fehler „erlauben“ , gutes/offenes


Betriebsklima
Erstellt von: Silvie Schmidt
Building IT-Security Awareness

Awareness Trainings – Möglichkeiten (Auswahl)

 Phishing-Workshops

 Hackathon

 Seminare

 Firmenfeiern

 AwaToo

Erstellt von: Silvie Schmidt


Building IT-Security Awareness

Awareness Trainings – Metriken für Erfolgsmessung

 Fragebögen

 Beobachtung, Audits

 Zählung der durch MA verursachten Incidents

 Phishing Simulationen, Tests

 Un- / systematische Befragung

 Teilnehmerquote

Erstellt von: Silvie Schmidt


IT-Security Awareness Trainings

 Phishing-Workshop

 Großteil der Attacken

 Phishing-Testkampagne -> leicht messbar

Erstellt von: Silvie Schmidt


IT-Security Awareness Trainings

 Phishing-Workshop

 Spear-Phishing

 Social Engineering

Erstellt von: Silvie Schmidt


IT-Security Awareness Trainings

 Phishing-Workshop

 One-Way Email-Accounts

 Email-Adressen / URLs Phishing Websites (zB. rn


statt m)

 Perfekt gefälschte Mails


Erstellt von: Silvie Schmidt
IT-Security Awareness Trainings

 Social Engineering

 Phishing-Mails öffnen, Fake Telefonate

 USB-Sticks

 Physischer Sicherheit

 Social Spionage (Social Media!)

 Video Social Engineering


 https://www.youtube.com/watch?v=lc7scxvKQOo

Erstellt von: Silvie Schmidt


IT-Security Awareness Trainings

 Social Media

 Unternehmensdaten

 Bewegungsprofil

 Gute Vorbereitung

 Vertrauensstruktur

Erstellt von: Silvie Schmidt


IT-Security Awareness Trainings

 Hackathon

 IT-Security Wettbewerb

 Intern

 Teambuilding

 2-3 Wochen

Erstellt von: Silvie Schmidt


IT-Security Awareness Trainings

 Seminare

 Div. Zielgruppen (IT/Führung/MA)

 Gruppenarbeiten (z.B. Policies erstellen)

 Teambuilding

 Maßgeschneidert

Erstellt von: Silvie Schmidt


IT-Security Awareness Trainings

 Firmenfeiern

 Sketches (Spaß im Vordergrund)

 Kevin Mitnick

 Organisation: IT-Abteilung

 Zusammenarbeit mit div. Abteilungen

Erstellt von: Silvie Schmidt


IT-Security Awareness Trainings

 AwaToo

 BA-Studentenprojekt zur Bewusstseinsschaffung

 Umfrage

Erstellt von: Silvie Schmidt


IT-Security Awareness Trainings

 AwaToo

 BA-Studentenprojekt zur Bewusstseinsschaffung

 Umfrage

Erstellt von: Silvie Schmidt


IT-Security Awareness Trainings

Vielen Dank für Ihre Aufmerksamkeit!

Fragen?

Erstellt von: Silvie Schmidt