Security Awareness Insider

Ein neues eLearning, Videos, Games, Blogs, uvm. - Monika Geitlinger, Information Security Officer, treibt bei Raiffeisen Schweiz ein ehrgeiziges Awareness-Programm voran. Um alle Massnahmen so effizient wie wirksam zu planen und realisieren, setzt sie auf ihr internes Netzwerk. Im Gespräch mit Marcus und Katja erklärt sie, wie sie wichtige interne Unterstützung ins Boot geholt hat und was sie im kommenden Jahr vor hat.

Kann man noch Phishing-Simulationen durchführen? Macht man Human centred design oder Human centred Security? Heisst der Podcast bald Human Factor Design Insider? In der Dezemberausgabe werfen Marcus und Katja einen Blick zurück auf das Security Awareness-Jahr 2022 und teilen ihre Top 5 Entwicklungen mit euch. Seid ihr einer Meinung?

SANS 2022 Security Awareness Report:  https://go.sans.org/wp_2022_security_awareness_report.pdf

Wie sensibilisiert man Software-Entwickler:innen? Und welche Kompetenzen sind im Bereich Security Awareness nötig? Marcus und Katja besprechen diese und weitere spannende Fragen mit Stefan Gaul, Chief Information Security Officer bei der Deutsche Bahn (DB) Vertrieb GmbH. Der gelernte Informatiker berichtet von den Erfolgen einer "Community of Practice", den Vorteilen von Fähigkeiten im Marketing und warum ein Fro...äh Fuchs bald reden lernt.

DB Vertrieb
https://www.db-vertrieb.com/

Stefan auf Linked.in
https://www.linkedin.com/in/stefan-g-8989a7176/

Interview mit Stefan zur Implementierung des ISMS in der DB Vertrieb
https://www.usd.de/interview-implementierung-isms-db-vertrieb/

Recordings - SWITCH Security Awareness Day 2022
https://tube.switch.ch/channels/ze0DzL7lGD

Informationssicherheit und physische Sicherheit müssen Hand in Hand gehen, damit Organisationen der kritischen Infrastruktur sicher ihre Aufgaben erfüllen können. Mit Honkhase und Marina Krotofil tauchen Marcus und Katja ein in die Welt der KRITS, von Industrial IOT und Prozessautomatisierung. Der Mitgründer der unabhängigen AG KRITIS und die ausgewiesene Cybersicherheitsexpertin sprechen über die Bedeutung von Security für Menschenleben und über die Herausforderungen bei der Zusammenarbeit von Ingieneur:innen und Informatiker:innen.

Twitter

• https://twitter.com/HonkHase
• https://twitter.com/Marmusha

LinkedIn

• https://www.linkedin.com/in/manuel-atug-820b27241/
• https://www.linkedin.com/in/marina-krotofil/

YouTube https://www.youtube.com/channel/UC6Y6tk5UyUyCJ4lKSDfOk2g

AG KRITIS https://ag.kritis.info/

AGND https://www.agnd.eu/

Talks https://media.ccc.de/search/?q=honkhase

Terra-X Podcast mit Harald Lesch und HonkHase https://terrax.podigee.io/24-sind-wir-gewappnet-fur-den-krieg-im-netz

Kritische Infrastrukturen, Katastrophenschutz und digitale Sicherheit https://www.youtube.com/watch?v=utEfs7u7OA4

#CarosCorner Teil 9: Manuel Atug - SPECIAL EDITION https://www.youtube.com/watch?v=Uhl208m5d5U

Lagebericht BSI https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

Security muss gestalten, nicht nur ausführen, sagt Tom Hofmann, CISO der Sicherheitsdirektion des Kantons Zürich. Nachdem der Security Enthusiast in Folge 13 des Podcast mit Katja und Marcus über seine Forschung zum Thema Human Centred Design gesprochen hat, ist er wieder zu Gast, um die Ergebnisse seiner M.A.-Arbeit zu teilen. Tom legt dar, warum Security nicht als isoliertes Thema betrachtet werden kann, sondern nur als Teil eines Systems.

"Folge 13: Kompliziert vs. komplex - Human Centred Design für Security: https://www.securityawarenessinsider.ch/e/kompliziert-vs-komplex-human-centred-design-fur-security/

What’s the difference between human-centered design and design thinking?
https://designthinking.ideo.com/faq/whats-the-difference-between-human-centered-design-and-design-thinking

Design Thinking as Mindset, Process, and Toolbox
http://dx.doi.org/10.1007/978-3-319-26100-3_1

IDEO Design Kit - Human Centred Design Methoden
https://www.designkit.org/methods

Google Design Sprint Prozess und Methoden
https://designsprintkit.withgoogle.com/

Kleiner Einblick in die InfoSec Kampagne "B-Secure": https://www.take-aware-events.com/storage/app/media/pdf/takeawaresecandlifemagazine05.pdf 

Care4Aware Award 2022: https://www.take-aware-events.com/news-post/commerzbank-und-buerkert-fluid-control-systems-care4aware 

Comenius-Award 2022 1x für “Cyber- und Informationssicherheitskampagne bei Bürkert“ und 1x für „Nachhaltigkeit – E-Learning Channel“:  https://www.linkedin.com/posts/felix-weber-infosec_baesrkert-comeniusedumedia-award-activity-6945758474450444289-tRF1?utm_source=linkedin_share&utm_medium=member_desktop_web 

IT-Fachkräfte@Bürkert gesucht! : https://www.buerkert.de/de/Unternehmen-Karriere/Karriere/Einsteiger-und-Erfahrene/IT-Fachkraefte

Kleine Teams, Mitarbeitende in Teilzeit und Frauen klicken häufiger auf Phishinglinks. Das hat Muriel Frank, Doktorandin am Lehrstuhl für Wirtschaftsinformatik der Goethe Universität Frankfurt a.M., herausgefunden. Sie forscht zum Thema "Information Security Behaviour" und spricht mit Marcus und Katja über eigenmotiviertes Handeln, den schmalen Grat zwischen Unsicherheit und Selbstüberschätzung sowie die Anfälligkeit für Phishing.

"Frank, Jäger, Ranft: Contextual drivers of employees' phishing susceptibility: Insights from a field study
https://www.sciencedirect.com/science/article/abs/pii/S0167923622000896

Frank, Ranft: Using Machine Learning Techniques to Explore Extra-Role Security Behavior
https://aisel.aisnet.org/icis2021/cyber_security/cyber_security/6/

Frank, Wagner, Ranft: Who gets phished? Insights from a Contextual Clustering Analysis Across Three Continents
https://aisel.aisnet.org/ecis2022_rp/75/

Frank, Kohn: How to Mitigate Security-Related Stress: The Role of Psychological Capital
https://www.researchgate.net/publication/349156376_How_to_Mitigate_Security-Related_Stress_The_Role_of_Psychological_Capital

https://www.eflab.de/team/detail/muriel-frank

https://www.linkedin.com/in/muriel-frank-8607a0243/"

Auf Hacker Island ist ganz schön was los: Käpt'n Safe und Papagei Easy wollen mit ihrem myEyeboard die Welt umrunden, aber die Hacker um Bartholomew Ransomheart kommen ihnen immer wieder in die Quere... Security Awareness bei der Commerzbank AG funktioniert bestens mit spannenden Comic-Stories um die beiden sympathischen Helden. Michael Peters, Information Security Awareness Spezialist bei der Commerzbank AG, berichtet Katja und Marcus über den kreativen Realisierungsprozess - von der Idee bis zum Ende der zweiten Staffel.

Sec & Life Magazin mit einem kleinen Hacker Island Preview: https://www.take-aware-events.com/storage/app/media/pdf/takeawaresecandlifemagazine05.pdf

Michael Peters auf XING: https://www.xing.com/profile/Michael_Peters28/cv

OSPAS: https://de.theospas.com/outstanding-security-training-initiative-hacker-island-cyber-risk-information-security-commerzbank/

Talk like a Pirate! : http://talklikeapirate.com/wordpress/

Die Take Aware ist "die" Konferenz zum Thema Security Awareness im deutschsprachigen Raum. An zwei Tagen erhalten die Teilnehmenden Einblicke in neue Ergebnisse aus der Wissenschaft, erfolgreiche Programme, aufkommende Trends und die Möglichkeit in Workshops hands-on von anderen Expert:innen zu lernen. Fast noch wichtiger aber ist der Austausch und das Netzwerken innerhalb der Community. Marcus und Katja waren natürlich vor Ort und berichten von den spannenden Beiträgen und Gesprächen.

Take Aware 2022: https://www.take-aware-events.com/events/take-aware-und-sexy-security-2022

Sec&Life Magazin: https://www.take-aware-events.com/storage/app/media/pdf/takeawaresecandlifemagazine05.pdf

Digitale Rettungskette: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CSN/210927_Digitale_Rettungskette.pdf?__blob=publicationFile&v=4

SWITCH Security Awareness Days: https://swit.ch/security-awareness-day

Muss IT Security in Therapie? Ja, sagt Uta Menges, Doktorandin an der Fakultät für Psychologie der Ruhr-Universität Bochum. Die studierte Familien- und Lebensberaterin forscht zum Thema „IT-Sicherheitslösungen und Risikomanagement in Organisationen“ und schaut dabei mit der therapeutischen Brille auf Beziehungen und Prozesse rund um IT Security. Im Gespräch mit Marcus und Katja erklärt Uta, was dysfunktionale Beziehungen sind und was IT-Security mit Tinder zu tun hat.

Uta Menges, Jonas Hielscher, Annalina Buckmann, Annette Kluge, M. Angela Sasse & Imogen Verret.
Why IT Security Needs Therapy. European Symposium on Research in Computer Security. Springer. Cham, 2021. 335-356.
https://link.springer.com/chapter/10.1007/978-3-030-95484-0_20

Jonas Hielscher, Annette Kluge, Uta Menges, and M. Angela Sasse. 2021.
“Taking out the Trash”: Why Security Behavior Change requires Intentional
Forgetting. In New Security Paradigms Workshop (NSPW ’21), October 25–
28, 2021, Virtual Event, USA. ACM, New York, NY, USA, 15 pages.
https://dl.acm.org/doi/abs/10.1145/3498891.3498902

Wollen Mitarbeitende an den Standorten der Deutschen Telekom GmbH Awareness betreiben, können sie von einem illustren Portfolio an Massnahmen auswählen. Zusammengestellt wird das Angebot vom Team der Deutschen Telekom Security GmbH rund um Andrea Bindel, Senior Manager Security Awareness, und Ulrich ten Eikelder, Head of Security Awareness und Communication. Marcus und Katja sprechen mit den beiden über Entwicklung, Gestaltung und Management ihres Portfolios - ausserdem gibt es etwas zu gewinnen!

Links:

Security Awareness Library: Marktstart für interaktive Video-Lernplattform (Medienmitteilung):
https://www.telekom.com/de/medien/medieninformationen/detail/telekom-security-betritt-elearning-markt-634224

Das ist die Security Awareness Library der Deutschen Telekom Security GmbH (Medienmitteilung):
https://www.telekom.com/de/medien/medieninformationen/detail/das-ist-die-security-awareness-library-634226

Wer sich einen Eindruck von der Security Library verschaffen und auch einen Demo-Zugang möchte, findet hier den Zugang über die Plattform des Kooperationspartners mybreev der Deutschen Telekom Security GmbH: https://www.security-island.com/de/sal

 Das ist "AwareNessi" – ein Beispiel für die Reihe "CYBER AWARENESSI":
https://www.teachtoday.de/mediabase/pdf/TB_DEU_Aware_Nessi_3_Cybermobbing_5805.pdf

 Auch eine Art von Awareness, über die wir zwar im Podcast nicht gesprochen haben, aber einem doch die Augen öffnet: Der Sicherheitstacho unter https://www.sicherheitstacho.eu/start/main der Deutsche Telekom Security GmbH

Über das Cyber Kitchen Kochbuch ein Bericht auf Horizont.net:
https://www.horizont.net/marketing/nachrichten/cyber-kitchen-warum-die-telekom-erstmals-ein-kochbuch-herausbringt-170166

Telekom bringt Cyber-Sicherheits-Kochbuch auf den Markt (Medienmitteilung):
https://www.telekom.com/de/medien/medieninformationen/detail/cyber-sicherheits-kochbuch-jetzt-neu-544652

Und noch ein Bericht zum Cyber Kitchen Kochbuch auf dem basicthinking-Blog:
https://www.basicthinking.de/blog/2018/11/18/cyber-kitchen-deutsche-telekom/

Simulierte Phishing-Kampagnen versprechen ein Rundumsorglos-Paket. Sie informieren, trainieren und liefern Werte zur Wirksamkeit. Doch ist das wirklich so? Nein, sagt Dr. Melanie Volkamer, Leiterin der Forschungsgruppe SECUSO am Karlsruher Institut für Technologie. Marcus und Katja sprechen mit ihr über Aussagekraft und Wirksamkeit von der Phishing-Kampagnen im Kontext von Awareness sowie neuste Erkenntnisse aus der Forschung.

Folge mit Prof. Dr. Angela Sasse:
https://www.securityawarenessinsider.ch/e/usability-first/

Paper "Phishing-Kampagnen zur Mitarbeiter-Awareness":
https://publikationen.bibliothek.kit.edu/1000119662

Alternativen zu Phishing-Simulationen:
https://publikationen.bibliothek.kit.edu/1000132482
https://secuso.aifb.kit.edu/1047.php

Take Aware 2022:
https://www.take-aware-events.com/events/take-aware-und-sexy-security-2022

Twitter-Handle: @SECUSOResearch

In roter Weste und weissen Turnschuhen - die mit dem roten Swoosh, mit Stickern und Quickguide ausgestattet, starteten Oliver Wyler, Chief Information Security Officer bei Vontobel, und sein Team die Security Awareness-Kampagne vor drei Jahren. Angelehnt an die bekannte Filmtrilogie mit Kultstatus "Back to the future" werden die Mitarbeitenden des Schweizer Investmenthauses vom Protagonisten Stewart McSafe in eine sichere Zukunft begleitet. Videos, Sticker, Lunch'n'learn-Sessions und vieles mehr, sorgten für viel Aufmerksamkeit und Aha-Effekte. Oliver spricht mit Katja und Marcus über Gegenwart und Zukunft der Kampagne, Phishing-Tests sowie Herausforderungen bei der Umsatzung (allzu) kreativer Ideen.

LinkedIn Vontobel: https://www.linkedin.com/company/vontobel/
Trailer Back into the future: https://www.youtube.com/watch?v=qvsgGtivCgs
Swisscom Security Learning Journey : https://www.linkedin.com/feed/update/urn:li:activity:6889246210855591936/

Security Awareness oder Kommunikation sind bisher nur sehr selten Teil der Ausbildung von IT (Security)-Expert:innen. Warum sich das ändern sollte, besprechen Marcus und Katja mit Oli Schacher, DNS Security Engineer bei SWITCH und Producer unseres Podcast, und Antoine Neuenschwander, Technical Lead Bug Bounty bei Swisscom. Die beiden IT-Experten sind in verschiedenen Projekten mit dem Thema Security Awareness in Kontakt gekommen und berichten aus ihrer Perspektive was sie dabei überrascht und wie sich ihr Umgang mit Endnutzer:innen seit dem geändert hat.

Organisationen sind komplexe Systeme mit komplexen Problemen. Prozesse und Massnahmen zur Erhöhung der Security gehören zu diesen "wicked problems". Tom Hofmann, CISO und DPO bei der Eniwa AG, forscht zu den sozialen Aspekten im Organisationsdesign und die Auswirkungen auf Cybersecurity. Katja und Marcus sprechen mit ihm über die Grenzen von Security Awareness, unlösbaren Probleme und wie Human Centred Design im Bereich Security eingesetzt werden kann.

Die Security Awareness-Massnahmen bei Open Grid Europe müssen diverse Standorte und Zielgruppen erreichen. Daniel Fengler, IT-Sicherheitsarchtitekt bei OGE, spricht mit Marcus und Katja über Herausforderungen und Learnings aus gut fünf Jahren Kampagnenführung. Fehlende Ressourcen und Expertise holt Daniel sich zwar mit externer Unterstützung hinzu, trotzdem ist viel Einsatz und Engagement gefordert.

Die Studie "Making Passwords Secure and Usable" kam 1999 zu dem Ergebnis, dass die vorherrschenden Passwordregeln in Unternehmen kontraproduktiv für die Informationssicherheit sind. Erst fast 30 Jahre später erhalten die Ergebnisse Einzug in führende Security Richtlinien und Standars (NIST, BSI, ISO). Prof. Dr. Angela Sasse, Lei­terin des Lehr­stuhls Hu­man-Cent­red Se­cu­ri­ty an der Ruhr-Uni­ver­si­tät Bo­chum, war führende Autorin erwähnter Studie und treibt seitdem die Forschung zu nutzbarer Security voran. Marcus und Katja sprechen mit ihr über die Rolle von Security Expert:innen für Human centred security und was Security Awareness mit Megafonen zu tun hat.

Die Schweizer Armee muss sich besonders vor Cyber-Angriffen schützen. Im Gespräch mit Dr. Stefan Lehmann, Chef Awareness und Ausbildung Cyber Security, erfahren Katja und Marcus, wie er und sein Team die Arbeitskolleg:innen sensibilisieren, schulen und trainieren. Der promovierte Archäologe berichtet über Gamification-Ansätze, messbare Awareness und einen Tipp für das nächste Ausflugsziel.

Chatbots werden online immer häufiger als erster Kundenkontakt eingesetzt. Nutzer:innen können Fragen stellen, Informationen einholen oder Feedback geben. Auch intern finden maschinelle Dialogpartner mittlerweile Einsatz. Marcus und Katja sprechen mit der Chatbot-Expertin Sophie Hundertmark darüber, wie solche Bots die internen Awareness-Massnahmen unterstützen, das klassische eLearning ergänzen und Informationssicherheit ein Gesicht geben können.
Oder werden sie den Menschen gar ganz ersetzen?

Ein ganzes Land zu sensibilisieren ist eine grosse Herausforderung. Es muss ein sehr diverses Zielpublikum, verschiedenste Stakeholder sowie Security-Themen aus privatem und beruflichem Umfeld adressiert werden - und das alles in vier Sprachen. Dominique Trachsel vom Nationalen Zentrum für Cybersicherheit (NCSC)  erzählt Marcus und Katja, wie man Security Awareness auf nationaler Ebene vorantreibt und Bürger und Bürgerinnen bei einem sicheren Verhalten im Umgang mit IT und Internet unterstützt. Spoiler: Nicht im Alleingang. Die Zusammenarbeit mit Organisationen und Vereinen wie die Swiss Internet Security Alliance (SISA / iBarry) oder die Schweizer Kriminalprävention ist dabei von zentraler Bedeutung.

Was hat sicheres Verhalten mit gesunder Ernährung zu tun? Für beides werden wir erst auf lange Sicht belohnt. Motivation ist ein oft vernachlässigter Faktor, wenn es darum geht, Verhalten zu ermutigen, das langfristig lohnend, aber kurzfristig anstrengend ist, sagt Dr. Katharina Bernecker. Die Psychologin forscht an der Universität Zürich zum Thema Motivation und Selbstkontrolle. Marcus und Katja haben die Expertin gefragt, wie sich Menschen am besten motivieren lassen und warum das bei Sicherheitsthemen häufig schwierig ist.

Die Verwaltung der Stadt Zürich setzt sich zusammen aus neun Departementen und den dazugehörigen Dienstabteilungen - von Stadtarchiv bis hin zu Stadtpolizei ist alles dabei. René Christian Gehlen ist Leiter IT-Security & Risk bei der Organisation und Informatik der Stadt Zürich (OIZ). Mit Katja und Marcus spricht er über die besonderen Herausfoderungen eines Awareness-Programms in so komplexer Umgebung. Und wie ihm ein Hund dabei hilft.

Was hat Transaktionsanalyse mit Kommunikation über IT-Themen zu tun? Wie macht man Change Management in der IT? Und wie wird Security zu einem hochinteressanten Thema? Andrea Prestel-Galler, Geschäftsführerin und Inhaberin von Andare, gibt Marcus und Katja einen Einblick in ihren Arbeitsalltag als Expertin für Veränderungsprozesse und -kommunikation in IT-Tech und Digitalisierung.

Das Security Awareness-Programm der DPDHL erreicht 550'000 Mitarbeitende in 220 Ländern. Mit Paula Persönlich wurde eine Leitfigur kreiert, die flexibel und international einsetzbar ist. Dirk Zimmermann, VP Awareness Skills & Analytics in der Group CISO Organisation, erzählt Katja und Marcus mehr darüber, wie Paula Persönlich eine zielgruppengerechte Ansprache erleichtert und wie er und seine Kollegin Corinna Klempt das Management mit Gamification überzeugt haben.

Gute Geschichten faszinieren. Sie haben die Kraft, komplexe oder unbequeme Botschaften spannend zu vermitteln. Innerhalb einer Security Awareness-Kampagne kann Geschichten erzählen bzw. Storytelling langfristig die Aufmerksamkeit der Zielgruppe gewinnen und maximieren. Die Storytelling-Expertin, Petra Sammer, erzählt Marcus und Katja. wie das genau geht und was eine gute Geschichte ausmacht.

Auf der Webseite von Petra Sammer findet ihr weitere Infos und ihre Bücher rund um Storytelling: https://www.petrasammer.com

Die Security Awareness Kampagne "Watch it" der IWC Schaffhausen wurde 2020 mit der Goldenen Feder der SVIK  ausgezeichnet. Sascha Maier, Head of IT and Cyber Resilience, gibt einen Einblick hinter die Kulissen der Kampagne und spricht mit Marcus und Katja über Herausforderungen, Überraschungen und KPIs.

Beschäftigt man sich zum ersten Mal mit Security Awareness wird schnell klar, dass nichts klar ist. Standards wie ISO 27001 oder NIST 800-50 bieten nur bedingt Hilfe. Marcus und Katja geben einen einführenden Einblick in den Awareness-Dschungel und geben Antwort auf die Frage: Warum ist das alles so kompliziert?

Katja und Marcus erzählen euch ganz kurz, was auf diesem Podcast schon bald abgeht.