IT-Security-Awareness im IoT-Zeitalter:

Wie sensibilisiere ich meine

MitarbeiterInnen?

Campus Lectures IT-Security

Silvie Schmidt

Erstellt von: Silvie Schmidt

Agenda

 Warum ist IT-Security wichtig?

 Welche Rolle spielt dabei das IoT?

 Building IT-Security Awareness

 Möglichkeiten
 Metriken
 Pitfalls

Erstellt von: Erstellt von: Silvie Schmidt

Building Awareness

Awareness = Bewusstsein

Building Awareness
= Bewusstsein schaffen/aufbauen

Erstellt von: Erstellt von: Silvie Schmidt

IT-Security

Zustand, in dem
Vertraulichkeit,
Integrität und
Verfügbarkeit
von Informationen und Informationstechnik
durch angemessene Maßnahmen geschützt sind

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/Glossar/glossar_node.html

Erstellt von: Erstellt von: Silvie Schmidt

 Internet-of-Things

IoT-Video – FH Campus Wien

Erstellt von: Erstellt von: Silvie Schmidt

Why Security Matters…

Erstellt von: Silvie Schmidt

IoT & Security

Erstellt von: Erstellt von: Silvie Schmidt

IoT-Security - Threats

Übernahme der Kontrolle (Taking Control)

> Smart Home, Smart Car, Health Devices,…

Datendiebstahl (Stealing Information)

> Infotainment Systeme in KFZ, Fitnessarmbänder,…

Störung von Services (Disrutping Services)

> Smarte Haushaltsgeräte, Bremsen (KFZ), Insulinpumpen,…

Erstellt von: Erstellt von: Silvie Schmidt

 IoT-Security

Erstellt von: Erstellt von: Silvie Schmidt

https://www.pubnub.com/blog/2015-05-04-10-challenges-securing-iot-communications-iot-security/
IoT-Security - Threats

https://images.techhive.com/images/article/2016/08/iot-thermostat-ransomware-100675843-primary.idge.jpg Erstellt von: Silvie Schmidt

IoT-Security - Threats

https://www.kaspersky.com/blog/blackhat-jeep-cherokee-hack-explained/9493/

> https://www.youtube.com/watch?v=MK0SrxBC1xs
Erstellt von: Silvie Schmidt
 Building
IT-Security
Awareness

Erstellt von: Silvie Schmidt

Building IT-Security Awareness

IT-Security
wird in erster Linie durch
technische Sicherheitsmaßnahmen
gewährleistet, aber

Awareness Building begleitend unabdingbar.

Erstellt von: Silvie Schmidt

Building IT-Security Awareness

„Sag es mir, und ich werde es vergessen.

Zeige es mir, und ich werde mich daran
erinnern.
Beteilige mich, und ich werde es verstehen.“
(Chinesisches Sprichwort)

Erstellt von: Silvie Schmidt

Building IT-Security Awareness

Ziele

 Jede/r MitarbeiterIn muss sich zu jeder Zeit der

Gefahren bewusst sein!

 Sensibilisierung
 Verhaltensänderung
 Verständnis erhöhen

Erstellt von: Silvie Schmidt

Building IT-Security Awareness

 Phishing-Attacken immer erfolgreicher

 Social Engineering

 Social Media

 Unsichere WLANs

BeyondthePhish 2016 / 1 www.wombatsecurity.com

Erstellt von: Silvie Schmidt

Building IT-Security Awareness

Awareness Trainings Tipps

 Vortrag alleine nicht ausreichend

 IMMER: Trainings mit Tests kombinieren

 Kontinuität

 Kreativität

 Abstimmung auf Unternehmenskultur/Arbeitsbereiche

Erstellt von: Silvie Schmidt

Building IT-Security Awareness

Awareness Trainings Tipps

 90 Tage Rhythmus

 Metriken bestimmen

 Unterstützung der Führungsebene

 Verstoß gegen Regeln zulassen

 Feedback – offenes Klima - Teambuilding

Erstellt von: Silvie Schmidt

Building IT-Security Awareness

Awareness Trainings Pitfalls

 1 Vortrag pro Jahr

 Alles verbieten und nur im Bedarfsfall erlauben

 Social Engineering – „jede/r MitarbeiterIn, der darauf

hereinfällt wird gekündigt“

 BESSER: Fehler „erlauben“ , gutes/offenes

Betriebsklima
Erstellt von: Silvie Schmidt
Building IT-Security Awareness

Awareness Trainings – Möglichkeiten (Auswahl)

 Phishing-Workshops

 Hackathon

 Seminare

 Firmenfeiern

 AwaToo

Erstellt von: Silvie Schmidt

Building IT-Security Awareness

Awareness Trainings – Metriken für Erfolgsmessung

 Fragebögen

 Beobachtung, Audits

 Zählung der durch MA verursachten Incidents

 Phishing Simulationen, Tests

 Un- / systematische Befragung

 Teilnehmerquote

Erstellt von: Silvie Schmidt

IT-Security Awareness Trainings

 Phishing-Workshop

 Großteil der Attacken

 Phishing-Testkampagne -> leicht messbar

Erstellt von: Silvie Schmidt

IT-Security Awareness Trainings

 Phishing-Workshop

 Spear-Phishing

 Social Engineering

Erstellt von: Silvie Schmidt

IT-Security Awareness Trainings

 Phishing-Workshop

 One-Way Email-Accounts

 Email-Adressen / URLs Phishing Websites (zB. rn

statt m)

 Perfekt gefälschte Mails

Erstellt von: Silvie Schmidt
IT-Security Awareness Trainings

 Social Engineering

 Phishing-Mails öffnen, Fake Telefonate

 USB-Sticks

 Physischer Sicherheit

 Social Spionage (Social Media!)

 Video Social Engineering

 https://www.youtube.com/watch?v=lc7scxvKQOo

Erstellt von: Silvie Schmidt

IT-Security Awareness Trainings

 Social Media

 Unternehmensdaten

 Bewegungsprofil

 Gute Vorbereitung

 Vertrauensstruktur

Erstellt von: Silvie Schmidt

IT-Security Awareness Trainings

 Hackathon

 IT-Security Wettbewerb

 Intern

 Teambuilding

 2-3 Wochen

Erstellt von: Silvie Schmidt

IT-Security Awareness Trainings

 Seminare

 Div. Zielgruppen (IT/Führung/MA)

 Gruppenarbeiten (z.B. Policies erstellen)

 Teambuilding

 Maßgeschneidert

Erstellt von: Silvie Schmidt

IT-Security Awareness Trainings

 Firmenfeiern

 Sketches (Spaß im Vordergrund)

 Kevin Mitnick

 Organisation: IT-Abteilung

 Zusammenarbeit mit div. Abteilungen

Erstellt von: Silvie Schmidt

IT-Security Awareness Trainings

 AwaToo

 BA-Studentenprojekt zur Bewusstseinsschaffung

 Umfrage

Erstellt von: Silvie Schmidt

IT-Security Awareness Trainings

 AwaToo

 BA-Studentenprojekt zur Bewusstseinsschaffung

 Umfrage

Erstellt von: Silvie Schmidt

IT-Security Awareness Trainings

Vielen Dank für Ihre Aufmerksamkeit!

Fragen?

Erstellt von: Silvie Schmidt