Security Awareness Insider

Dieses Jahr fand die grosse Zusammenkunft der deutschsprachigen Awareness-Community, organisiert von Mybreev und known_sense, in Wuppertal statt. Katja und Markus haben als Moderationsduo wieder durch das Programm der Take Aware geführt und blicken in dieser Folge zurück auf die verschiedenen Trends, Highlights und neuen Erkenntnisse. Göttliche Kommunikation, eine Dosis KI, Kekse, Spiele und Cyber Wellness - alles mit dabei!

Take Aware 2025: https://www.take-aware-events.com/events/take-aware-2025-wuppertal

Rebooting IT Security Awareness – How Organisations Can Encourage and Sustain Secure Behaviours : https://link.springer.com/chapter/10.1007/978-3-031-25460-4_14

Pogofähigeit: https://www.orellfuessli.ch/shop/home/artikeldetails/A1073553125

Cyber Wellness Podcast: https://www.cyber-wellness.io/de/

Swiss Security Awareness Day: https://ssad25.events.switch.ch/

Die Fachbereiche Safety und Security haben viele Parallelen - es geht um Sicherheit. Während Safety auf über ein Jahrhundert Erfahrung zurückgreifen kann, ist Security eine im Vergleich neue Disziplin. Aber könnte Security von Safety lernen? Prof. Dr. Verena Zimmermann, Leiterin der Forschungsgruppe Security, Privacy, Society an der ETH Zürich, und Prof. Dr. Nico Ebert, Professor für Information Systems an der ZHAW, haben sich durch 120 Jahre Papier gewühlt und zusammengestellt, welche vergangenen Fehler wiederholt werden und was beide Bereiche voneinander lernen können. Mit Marcus und Katja sprechen die Forschenden über systemische Ansätze, Fehlerkultur und darüber, dass der Mensch manchmal gar nicht so wichtig ist.

Show notes:

Verena auf LinkedIn: https://www.linkedin.com/in/prof-dr-verena-z-85b130101/
Nico auf LinkedIn: https://www.linkedin.com/in/nicoebert/

Learning from safety science: A way forward for studying cybersecurity incidents in organizations: https://www.sciencedirect.com/science/article/pii/S0167404823003450

Vortrag vom Security Awareness Day: https://switch.mediaspace.cast.switch.ch/playlist/dedicated/95179/0_i4ampdiy/0_9u28y4il

"Moving from a ‘human-as-problem” to a ‘human-as-solution” cybersecurity mindset: https://www.sciencedirect.com/science/article/abs/pii/S1071581919300540

"Human-Centered Cybersecurity Revisited: From Enemies to Partners":

https://dl.acm.org/doi/10.1145/3665665

CAS Cyber Risk Awareness:

https://www.zhaw.ch/de/sml/weiterbildung/detail/kurs/cas-cyber-risk-awareness

Security, Privacy & Society Group: https://spg.ethz.ch/

Swiss Security Awareness Roundtable: https://ssart.ch/

In der Hotellerie stehen die Wünsche der Gäste an erster Stelle, auch wenn sie via unsicherem Link übermittelt werden. Gleichzeitig ist die IT-Infrastruktur sehr komplex und die Fluktuation der Mitarbeitenden hoch. Sascha Maier, CISO der SV Group, gibt einen Einblick, wie er in diesem herausfordernden Umfeld, die Sicherheitskultur fördert. Mit Marcus und Katja diskutiert er, welche Rolle dabei Empathie für den Arbeitsalltag sowie die Führungskräfte spielen, wogegen sich die Hotelbranche gerade besonders schützen muss und wie man die richtigen Ninjas auswählt.

Sascha auf Linkedin: https://www.linkedin.com/in/sascha-maier-a624814/

SV Group: https://sv-group.com/de/schweiz

Die erste Folge vom Security Awareness Insider Podcast mit Sascha: https://www.securityawarenessinsider.ch/e/preisgekronte-security-awareness-praxis/

SRF Espresso Folge zum Thema Booking.com Betrug: https://www.srf.ch/audio/espresso/fieser-booking-betrug-wenn-sich-das-hotel-per-whatsapp-meldet?id=AUDI20250326_RS_0006

Artikel zu Awarenessthemen in der Hoteleriebranche:

• ÖHV startet Cyber-Security-Offensive für Hotels
• HDV-Herbsttagung 2024: Hoteliers treffen sich in Mannheim - CIM – Fachmagazin der Eventbranche
• Schützen Sie Ihren Betrieb vor Cyberattacken - HotellerieSuisse

Take Aware in Wuppertal: https://take-aware-events.com/events/take-aware-2025-wuppertal

Komplexe Inhalte spannend zu erzählen ist eine der grossen Herausforderungen. Johannes Büchs, TV-Moderator und Executive Trainer, spricht mit Marcus und Katja über Überraschungen, den Mauscode und Tabus. Der erfahrene Geschichtenerzähler erklärt, warum es eine Kinder- und Vorstandsfrage braucht, was wir mit entwaffnender Ehrlichkeit erreichen können und was Security mit Sex zu tun hat.

Show Notes:

Die Webseite von Johannes: https://www.johannesbuechs.de/

Johannes auf Linkedin: https://www.linkedin.com/in/johannesbuechs/

Video Die Maus erklärt das Internet: https://www.youtube.com/watch?v=fpqhjEtznVk

Die angesprochene Podcastfolge über Storytelling mit Petra Sammer: https://www.securityawarenessinsider.ch/e/storytelling-awareness-mit-geschichten/

Take Aware 2025 in Wuppertal: https://www.take-aware-events.com/events/take-aware-2025-wuppertal

Die Schweizerische Bundesbahn (SBB) hat ca. 35'000 Mitarbeitende, 150 verschiedene Berufsgruppen und kommuniziert auf Deutsch, Französisch und Italienisch - eine spannende Umgebung für Verantwortliche für Awareness und Kulturentwicklung wie Manu Alexander. Der Fachexperte für Konzernsicherheit gibt einen Einblick in das aktuelle Programm, selbstentwickelte Tools, den Escape Room uvm. Manu spricht mit Marcus und Katja über Techie-Weltsichten, Japan und wirklich coole Ideen.

Manu Alexander auf Linkedin: https://www.linkedin.com/in/manu-alexander/

Die Disziplin “Security Awareness” hat sich in den letzten Jahren stark weiterentwickelt. Es wird interdisziplinärer, menschlicher, aber vor allem sichtbarer. Diese Entwicklung ist nicht zuletzt möglich dank Personen wie Prof. Dr. Kristin Weber, Vizepräsidentin für Digitalisierung und CIO (und Awareness!) an der TH Würzburg-Schweinfurt. Sie ist Autorin des Grundlagen-Buchs “Mensch und Informationssicherheit”, lehrt zum Thema, organisiert Events oder tourt als Rednerin und führt selbst Sensibilisierungsprogramme durch. Marcus und Katja diskutieren mit ihr, was dem Bereich noch fehlt, was bald kommt und warum es Influencerinnen wie sie braucht. Wenn Influencer Influencer influencen…

Kristin auf Linkedin: https://www.linkedin.com/in/weberkristin/

Bachelor Informationssicherheit THWS:  https://fiw.thws.de/studium/bachelor-informationssicherheit-bisd/ https://fiw.thws.de/studienangebot/bachelor-informationssicherheit/

Buch "Mensch und Informationssicherheit" : https://www.hanser-fachbuch.de/fachbuch/artikel/9783446480407

Vortrag von Kristin am Security Awareness Day 2024: https://switch.mediaspace.cast.switch.ch/playlist/dedicated/95179/0_i4ampdiy/0_fl0weqbz

THWS Zertifikat Cyber Security : https://www.thws.de/weiterbildung/weiterbildungen/zertifikatslehrgaenge/zertifikat-cyber-security/

Bridge the Gap! Vom Sicherheitsbewusstsein zum sicheren Verhalten - Fraunhofer IAO : https://www.iao.fraunhofer.de/de/veranstaltungen/2025/bridge-the-gap.html

Zur Jubiläumsfolge kommt das ganze Podcast-Team zusammen und lässt hinter die Kulissen blicken. Wie kommt man auf die Idee einen Podcast zu machen? Wieso beisst Marcus ins Mikrofon? Was ist eine Whisky-Folge? Und warum brauchen wir eine Audiokur? Katja, Marcus, Mike und Oli sitzen im Ogerwerk bei Guezli und Tee zusammen und blicken zurück auf 50 Folgen Security Awareness Insider Podcast. Das Team ist sich einig: Das war und wird voll grossartig!

Show Notes

Ogerwerk Event Location: https://www.ogerwerk.com/

Kindersendung "Spielhaus" auf SRF : https://www.srf.ch/play/tv/sendung/spielhaus?id=15b4652b-2d54-41b6-aa6f-fb1a56fd9c7b

Erwähnte Podcasts:

Einschlafen mit Wikipedia: https://einschlafen.podigee.io/

Zeit Verbrechen: https://www.zeit.de/serie/verbrechen

Zeit Augen Zu: https://www.zeit.de/serie/augen-zu

Fest & Flauschig: https://open.spotify.com/show/1OLcQdw2PFDPG1jo3s0wbp

SRF Grauen: https://www.srf.ch/audio/grauen

SRF Einfach Politik: https://www.srf.ch/audio/einfach-politik

Datenschutzplaudereien: https://www.datenschutzpartner.ch/podcast/

Kill List: https://www.podcastschmiede.ch/podcasts/kill-list/

Motherhacker: https://gimletmedia.com/shows/motherhacker

Am 24. Oktober traf sich die Schweizer und internationale Security Awareness Community in Bern, um sich zu vernetzen und auszutauschen. Der Swiss Security Awareness Day wird organisiert von Switch und iBarry und offeriert einen Tag voller Input aus Forschung und Praxis. Dieses Jahr ging es um Bad Apples, systemische Ursachen, Behaviour change und vieles, vieles mehr. Marcus und Katja werfen einen Blick zurück und diskutieren über Highlights, Spannendes und Kritisches.

Show Notes

Aufnahmen der Talks am Swiss Security Awareness Day: https://switch.mediaspace.cast.switch.ch/channel/Swiss%2BSecurity%2BAwareness%2BDay%2B2024/95179

iBarry: https://www.ibarry.ch 

Cyber Wellness Podcast Folge mit Marcus: https://www.cyber-wellness.io/14th-podcast-episode-you-cant-buy-culture-exploring-the-human-factor-in-cybersecurity/

Vortrag von Jasmina Mešić am Switch Security Awareness Day 2020: https://cast.switch.ch/media/Jasmina+Me%C5%A1i%C4%87+-+Lessons+learnedA+10+years+of+raising+awareness+in+Slovenia/0_4py0ebub/27604

Referenzierten Folgen:

 Tom Hoffmann: https://www.securityawarenessinsider.ch/e/kompliziert-vs-komplex-human-centred-design-fur-security/ und https://www.securityawarenessinsider.ch/e/security-designen-komplexe-adaptive-systeme-in-organisationen-1664186488/

 Heiko Rossnagel: https://www.securityawarenessinsider.ch/e/technologieakzeptanz/

 Mathias Toth: https://www.securityawarenessinsider.ch/e/zhaw/

Wer misst, misst Mist. Oder? Die meisten Organisationen "messen" das Verhalten ihrer Mitarbeitenden in der Hoffnung mehr über das Level an Informationssicherheit oder gar die Sicherheitskultur zu erfahren. Aber wie? Dr. Thomas Schlienger, Gründer und CEO von Treesolution, ist Experte für Informationssicherheitskultur und hat den Security Awareness Radar entwickelt. Im Gespräch mit Marcus und Katja berichtet er von häufigen Irrglauben, teilt Learnings aus seinem jahrelangen Erfahrungsschatz und blickt zurück auf die sehr lang zurückliegende aller erste Begegnung mit unserem Podcast-Host.

Show notes:

Thomas auf LinkedIn: https://www.linkedin.com/in/thomas-schlienger-1a8a7125/

Security Awareness Radar: https://www.treesolution.com/security-awareness-messung

White Paper " Vermeiden Sie die 7 häufigsten Fehler bei der Messung Ihrer Security-Awareness": https://www.treesolution.com/downloads/die-sieben-haufigsten-fehler-bei-der-messung-von-security-awareness-und-wie-sie-sie-vermeiden

Doktorarbeit von Thomas und andere wissenschaftliche Papers: https://www.researchgate.net/profile/Thomas-Schlienger-2

Talk von Thomas am Switch Security Awareness Day 2022: https://switch.mediaspace.cast.switch.ch/media/Thomas+Schlienger+%26+Pascal+RosenbergerA+Security+Awareness+in+Microsoft+Teams+with+chat-based+microlearnings/0_wtweuem5/27623

Auf das e-book vom Securitymanager mit den alten Photos von Thomas und Marcus haben wir leider keinen Link gefunden . Fragt die beiden doch direkt an, wenn ihr das sehen möchtet.

U-Boot und Kugelfisch begleiten die Mitarbeitenden der Zürcher Hochschule für Angewandte Wissenschaft (ZHAW) beim Thema Informationssicherheit. Mathias Toth, Information Security Specialist, hat ein vielseitiges Programm gestartet, um das sichere Verhalten an der Hochschule zu fördern: Logo, e-learning, Events, Intranetsuftritt und vieles mehr gehören dazu. Im Gespräch mit Marcus und Katja erklärt der gelernte Maschinenzeichner wie er sich in die Aufgabe Security Awareness eingearbeitet hat und warum Netzwerken und Kollaboration fundamental dafür sind.

Show Notes:

Mathias auf LinkedIn : https://www.linkedin.com/in/mathias-toth-b71b84190/

ZHAW Zürcher Hochschule für Angewandte Wissenschaften: https://www.zhaw.ch/de/hochschule/

Human Hacking Buch : https://humanhackingbook.com/

CAS Cyber Risk Awareness: https://www.zhaw.ch/de/sml/weiterbildung/detail/kurs/cas-cyber-risk-awareness

Swiss Security Awareness Roundtable: https://ssart.ch/

iBarry: https://ibarry.ch

Swiss Internet Security Alliance: https://www.swiss-isa.ch/

Switch Security Awareness Day 2024: https://www.switch.ch/de/swiss-security-awareness-day-2024

Es herrscht Fachkräftemangel und gleichzeitig Unklarheit im Security-Umfeld. Der Bereich entwickelt sich so schnell, dass man heute nicht weiss, was man morgen braucht. Ein Jobprofil zu erstellen, das geeignete Kandidat:innen anzieht, ist nicht einfach. Carolin Schneider, HR-Expertin und CEO von 4di2, gewährt Marcus und Katja einen Blick hinter die Kulissen des komplexen Personalwesen-Theaters. Die Expertin erklärt, wie man einen Job so ausschreibt, dass sich die bestmöglichen Leute bewerben, und was Quereinsteiger:innen damit zu tun haben.

Carolin auf LinkedIn: https://www.linkedin.com/in/carolin-schneider-4di2/

4di2: https://4di2.ch/

Techface - Wir bringen mehr Frauen in Tech: https://techface.ch/de/

Swiss Cyber Circle: https://www.linkedin.com/showcase/swiss-cyber-circle-community/

CAS Cyber Risk Awareness: https://www.zhaw.ch/de/sml/weiterbildung/detail/kurs/cas-cyber-risk-awareness

Swiss Security Awareness Day: https://www.switch.ch/en/swiss-security-awareness-day-2024

Wie war das nochmal mit der Datenklassifikation? Wie teile ich die Dokumente am besten? Einfach kurz den persönlichen InfoSec-Assisstenten anchatten und auf jede aktuelle Frage eine konkrete Antwort bekommen. Wie das funktionieren kann, erklärt Pascal Rosenberger von Eggheads, eine KI-unterstützte Microlearning-Plattform. Im Gespräch mit Marcus und Katja berichtet der CEO und Co-Founder über Einsatzmöglichkeiten, zukünftige Entwicklungen und Grenzen des Einsatzes von Trainings-Chatbots in Organisationen.

Show Notes

Pascal auf LinkedIn: https://www.linkedin.com/in/pascalros/

Digitaler Assistent für Cyber Security Awareness: https://eggheads.ai/de/egghead-digitaler-assistent-fur-cyber-security-awareness/

Beispiel "How to create a strong password": https://app.eggheads.ai/chat/l9pw61xez1v

Egghead Quiz zu dieser Podcastfolge: https://app.eggheads.ai/chat/bx6zb1jxwev/

Talk von Pascal Rosenberger und Thomas Schlienger am Switch Security Awareness Day 2022  "Security Awareness in Microsoft Teams with chat-based microlearnings" : https://tube.switch.ch/videos/pZA9aq062g

Frühere Folge zu Chatbots mit Sophie Hundertmark: https://www.securityawarenessinsider.ch/e/maschinelle-awareness-chatbots-in-der-informationssicherheit/

Swiss Security Awareness Day 2024: https://www.switch.ch/en/swiss-security-awareness-day-2024

CAS Cyber Risk Awareness an der ZHAW: https://www.zhaw.ch/de/sml/weiterbildung/detail/kurs/cas-cyber-risk-awareness

Das grosse Klassentreffen der deutschsprachigen Awareness-Community organisiert von Mybreev und known_sense fand dieses Jahr in München statt. Vom 22. und 23. Mai wurden die neusten Trends und Erkenntnisse im Fachbereich Security Awareness präsentiert und diskutiert. Markus und Katja haben als Moderationsduo durch das Programm geführt und sprechen über Highlights, Designer Möbel, religiöse Momente und Biergärten.

Take Aware 2024: https://www.take-aware-events.com/events/take-aware-2024-muenchen

Soll (neue) Technologie genutzt werden, muss sie anwendbar sein. Sonst kann sie auf dem Markt nicht bestehen. Für Technologie im Bereich Security zählt der wichtige Aspekt "Anwendbarkeit" aber häufig gar nicht, sagt Dr. Heiko Roßnagel, Leiter des Teams Identity Management am Fraunhofer-Institut IAO. Dasselbe gelte auch für die meisten Sicherheitsregeln in Unternehmen - die Frage nach der Umsetzbarkeit wird nicht gestellt. Im Gespräch erklärt Heiko Marcus und Katja, was sich ändern sollte und warum die Security Awareness Community mit geschwellter Brust über den eigenen Namen nachdenken sollte. 

Heiko auf LinkedIn: https://www.linkedin.com/in/heiko-ro%C3%9Fnagel-1ba56113/

Eröffnungsveranstaltung "Sicherheitsfaktor Mensch" am 3. Juni 2024 im Lernlabor Cybersicherheit

https://www.iao.fraunhofer.de/de/veranstaltungen/2024/sicherheitsfaktor-mensch.html?utm_campaign=ML_24-04-eroeffnung-lernlabor-cybersicherheit

"On the possible impact of security technology design on policy adherent user behavior - Results from a controlled empirical experiment" : https://doi.org/10.18420/sicherheit2018_11

"On the diffusion of security behaviours" : https://doi.org/10.18420/ois2020_07

Francesca Del Guidice fährt mit Shuttlebus oder Velo über 75 km Strassennetz in alle Ecken des Werks der Volkswagen AG in Wolfsburg, um ihre Zielgruppen kennenzulernen. Die Information Security Awareness Officer ist sowohl verantwortlich für die Sensibilisierung der rund 60'000 Mitarbeitenden des Standorts, als auch für das Management der Security Awareness Community im gesamten Konzern. Im Gespräch erzählt sie Marcus und Katja, wie sie mit Provokation arbeitet und warum eLearnings nicht obligatorisch sein müssen.

Show notes:

Francesca auf LinkedIn: https://www.linkedin.com/in/francesca-del-giudice-91831487/

SISA Grusswort von Marcus am Switch Security Awareness Day: https://switch.mediaspace.cast.switch.ch/playlist/dedicated/58085/0_q357qsuy/0_j3d8fmf1 (ab Minute 14)

Dietmar Pokoyski ist ein Urgestein der deutschsprachigen Security Awareness Community und bekannt wie ein bunter Hund. Seit 20 Jahren drückt er mit seiner Agentur known_sense dem Thema seinen Stempel auf. Gamification, psychologische Studien, schicke Visuals sind heute fester Bestandteil der Branche - auch dank Dietmars Pionierarbeit. Im Gespräch mit Marcus und Katja berichtet er über die Biertischidee "Virusquartett", die Anfänge der Security Arena und natürlich über die Take Aware.

Show notes:
known_sense: https://www.known-sense.de/

Tiefenpsychologische Studien zur "Blackbox Mensch": https://www.known-sense.de/security-studien

Tiefenpsychologische Studien zu Awareness in KMU:  https://alarm.wildau.biz/

Tiefenpsychologische Studie "Hören ist Beziehung": https://link.springer.com/book/10.1007/978-3-658-00151-3

Publikationen von Dietmar: https://www.researchgate.net/profile/Dietmar-Pokoyski

Take Aware Konferenz 2024: https://www.take-aware-events.com/events/take-aware-2024-muenchen 

Swiss Security Awareness Day 2024: https://www.switch.ch/en/swiss-security-awareness-day-2024

Buch "Die Gestörten" von Wolf Lotter: https://www.rowohlt.de/buch/wolf-lotter-die-gestoerten-9783989280106

Referenzierte Folge "Ahoi Safe & Easy" mit Michael Peters : https://www.securityawarenessinsider.ch/e/hacker-island/

COM-B Model: https://thedecisionlab.com/reference-guide/organizational-behavior/the-com-b-model-for-behavior-change

Lernen macht uns glücklich. Warum tun wir uns dann in Organisationen trotzdem so schwer damit? Das liegt vor allem an den vorherrschenden Trainings- und Schulungskonzepten, sagt Christian Laber, Head of eLearning Development bei GData. Im Gespräch erklärt der Psychologe die Dos & Don'ts im organisationellen Lernen und übt mit Marcus und Katja das tolle Wort "Lerntransfermaximierung".

Show notes

Christian bei LinkedIn: https://www.linkedin.com/in/christian-laber-gdata/

Sans Security Awareness Report: https://www.sans.org/mlp/ssa-2023-security-awareness-report/

NTL Lernpyramide https://en.wikipedia.org/wiki/Learning_pyramid

Bloomsche Taxonomie: https://www.iqesonline.net/unterrichten/aufgaben/werkzeuge-kompetenzrad-fragewuerfel-aufgabenmap/ 

https://www.uibk.ac.at/bologna/curriculums-entwicklung/dokumente/taxonomie.pdf 

Entdeckendes Lernen: https://de.wikipedia.org/wiki/Entdeckendes\_Lernen 

Models of Teaching: https://books.google.ch/books/about/Models_of_Teaching.html?id=-l0fzM8w-isC&redir_esc=y

70:20:10 - https://insights.tt-s.com/de/70-20-10-die-erfolgsformel-fuers-lernen 

Zum Thema Lerntypen: https://romanrackwitz.de/medien/2/ 

Blended Learning: https://en.wikipedia.org/wiki/Blended_learning

Games als Trend: https://www.game.de/guides/fokus-serious-games/serious-games-bekanntheit-nutzung/

"Ziso und das wilde Internet-Rambazamba": https://www.orellfuessli.ch/shop/home/artikeldetails/A1069922384

Der SAI Shop: https://securityawarenessinsider.myspreadshop.ch/

Ein Laptop, ein Briefkasten und ein einsamer neuer Mitarbeiter - so beginnt Marcus' Geschichte als Security Awareness Officer bei Swisscom mitten in der Corona Pandemie. Mittlerweile hat er eine Präambel für die Sicherheitskultur erstellt, die Konzernleitung an Board geholt, Zielgruppenspezifische Trainings eingeführt, einen Preis für seine Kampagne "Talking Security" erhalten, Spiele entwickelt und und und. Im Gespräch beschreibt er Katja den bunten Massnahmen-Blumenstrauss, den er mit seinem Team zusammengestellt hat.

Show notes:

LinkedIn-Seite:

https://www.linkedin.com/in/mbeyer/

Security Awareness in der praktischen Umsetzung: Wie eine Sicherheitskultur in Unternehmen wächst

https://www.swisscom.ch/de/business/enterprise/themen/security/security-awareness-praxis.html

Was Security Awareness bringt: Wie Mitarbeitende die Sicherheit im Unternehmen verstärken

https://www.swisscom.ch/de/business/enterprise/themen/security/security-awareness-nutzen.html

WENN KI ANGREIFT – IN ZEITEN SELBSTDENKENDER ANGRIFFSSYSTEME UND DEEP-FAKES BRAUCHT ES EINE GELEBTE FEHLERKULTUR IM UNTERNEHMEN

https://confare.at/marcus-beyer-ki-cybersecurity-2/

CYBER SECURITY AWARENESS – WIE ANWENDER, IT UND MANAGEMENT GEMEINSAM FÜR MEHR SICHERHEIT SORGEN

https://confare.at/swisscom-security-awareness/

IT Security Update - Im Kampf um Talente stabil bleiben

https://www.itsa365.de/de-de/actions-events/2023/it-sa-365-actions-2023/stream/it-security-update-28jun

IT Security Update - "Security Awareness muss rocken – aber wie?"

https://www.itsa365.de/de-de/actions-events/2022/it-sa-365-actions-2022/management/it-security-update-7dez

Show Notes:

Rolf auf LinkedIn: https://www.linkedin.com/in/rolf-brugger/

Kaffeetassen von Rolf: https://tazzine.ch/

eduhub community: https://www.eduhub.ch/

edu-ID  https://www.switch.ch/edu-id/ 

FIDO alliance: https://fidoalliance.org/

Mehr über passkeys: https://fidoalliance.org/passkeys/

Passkeys selber ausprobieren:  https://webauthn.io/

Asymmetrische Verschlüsselung: https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem

Passkeys bei der edu-ID: https://www.switch.ch/de/insights/switch-edu-ID-zukunft-ohne-passwoerter

Die gängisten Passwörter: https://nordpass.com/de/most-common-passwords-list/

Das Awareness Team von Siemens Energy hat sich ein Framework geschaffen, nach dem sie all ihre Planung, Massnahmen und Botschaften richten. So kann das Team innovativ, flexibel und bestens zusammenarbeiten. Johannes Hackstette, Head of Cybersecurity Awareness Culture, und Thomas Bleuel, Senior Cybersecurity Awareness Manager , erklären Marcus und Katja wie wichtig ein abgestimmtes Fundament ist und warum diverse Skills so wichtig sind.

Shownotes:

Johannes auf LinkedIn: https://www.linkedin.com/in/johannes-hackstette/

Thomas auf LinkedIn: https://www.linkedin.com/in/thomas-bleuel/

Weiterbildungsangebote bei der deutschen Presseakademie: https://www.depak.de/zertifikats-lehrgang-kommunikationsmanagement-public-relations/ 

Handelsblatt Artikel "Cybersicherheit als Unternehmenskultur": https://live.handelsblatt.com/cybersicherheit-als-unternehmenskultur/

Tagesspiegel Artikel "Die Bedrohungslage für Kritische Infrastruktur ist, war und bleibt hoch": https://background.tagesspiegel.de/cybersecurity/die-bedrohungslage-fuer-kritische-infrastruktur-ist-war-und-bleibt-hoch

Sec & Life Magazin Take-Aware: https://www.take-aware-events.com/storage/app/media/pdf/TAKEAWAREsecandlifemagazine06.pdf

Security Awareness mit minimalen Ressourcen? Für Michael Ruppe, CISO und DPO bei adesso Switzerland AG, die Realität, aber kein Problem. Was sind die grössten Herausforderungen? Warum hat er immer ein Ohr für die Zielgruppe? Im Gespräch mit Marcus und Katja berichtet Michael, wie er mit seinen verschiedenen Rollen jongliert und das Maximum herausholt. Als i-Tüpfelchen erzählt er das Märchen von 1001 Zertifikaten.

Show Notes:

Adesso Schweiz: https://www.adesso.ch/

Michael auf LinkedIn https://www.linkedin.com/in/ruppemichael/

Security Certification Roadmap: https://pauljerimy.com/security-certification-roadmap/

Anmeldung zum Swiss Security Awareness Day: https://www.switch.ch/security/security-awareness/security-awareness-day/

DIZH, DSI und CYREN - Es gibt Initiativen und Projekte, die die digitale Transformation in der Schweiz fördern. Dr. Melanie Knieps, Researcher Cybersecurity governance framework und Principal Investigator CYRENZH, erzählt Marcus und Katja, wie die Forschung an der Universität Zürich mit einem interdisziplinärem Ansatz das komplexe Mosaikbild “Digitalisierung” vervollständigen will. In Zusammenarbeit mit verschiedenen Fachbereichen, der Wirtschaft und der Behörden nehmen sich die Forscher:innen bestehende Herausforderungen an und erarbeiten Lösungsansätze.

Show Notes:

Melanie Knieps auf LinkedIn

UZH Digital Society Initiative(DSI): https://www.dsi.uzh.ch/de.html

Digitalisierungsinitiative der Zürcher Hochschulen(DIZH): https://dizh.ch/

Cyber Resilience Network for the Canton of Zürich(CYREN): https://cyrenzh.ch/

Forschungsprojekt: "Mit Ethik und Recht das Vertrauen in die Cybersicherheit fördern":  https://www.nfp77.ch/de/JTLSBgi4qITuxdwd/projekt/mit-ethik-und-recht-das-vertrauen-in-die-cybersicherheit-foerdern

Take Aware Magazin: https://www.take-aware-events.com/news-post/magazine-secandlife

Anmeldung zum Swiss Security Awareness Day: https://ssad23.events.switch.ch/

Referenzierte Folge "Motiviationspsychologie":  https://www.securityawarenessinsider.ch/e/motivationspsychologie-zu-sicherem-verhalten-motivieren/

Referenzierte Folge zu KRITIS mit Honkhase und Marmusha: https://www.securityawarenessinsider.ch/e/kritische-infrastruktur/

Referenzierte Folge zu "Wicked Problems" mit Tom Hofmann: https://www.securityawarenessinsider.ch/e/kompliziert-vs-komplex-human-centred-design-fur-security/

Die E.ON ist als Organisation der kritischen Infrastruktur mit fast 80'000 Mitarbeitenden und 11 Unternehmenssprachen eine komplexe Landschaft für Security Awareness-Programme. Barbara Frank, Security Awareness Manager, und Boris Beuster, VP Cyber Security GRC, geben Marcus und Katja spannende Einblicke in ihre Heransgehensweise. Gamification, Train the Trainer-Ansätzen, Life Hacking uvm. sind sie auf dem Weg zu einer "Speak up"-Kultur, die die "Human Firewall" stärken soll.

Barbara und Boris auf Linkedin :
https://www.linkedin.com/in/barbara-f-54546487/
https://www.linkedin.com/in/boris-beuster-83751435/

"Ich möchte Leben gestalten und nicht nur ein Produkt", sagt Anne-Elisabeth Krüger, Wissenschaftliche Mitarbeitrerin am Fraunhofer Insitut für Arbeitswirtschaft und Organisation. Sie erforscht, wie man interaktive Produkte und Services bedürfnisorientiert gestaltet - also so, dass sie unseren (Arbeits-)Alltag unterstützen und nicht stören. Marcus und Katja sprechen mit Anne-Elisabeth darüer, wie das geht und warum die Maslow'sche Pyamide nicht mehr ausreicht.

Anne auf LinkedIn: https://www.linkedin.com/in/anneaufarbeit/

Forschungsarbeiten:

• Two methods for Experience Design based on the Needs Empathy Map: Persona with Needs and Needs Persona
  https://dl.gi.de/handle/20.500.12116/39078
• Needs Profile – Sensitising Approach for User Experience Research
  https://dl.acm.org/doi/pdf/10.1145/3152771.3152776
• Designing Positive Experiences in Creative Workshops at Work Using a Warm UP Set Based on Psychological Needs (inkl. Download Warm UP Set) https://www.mdpi.com/2414-4088/6/10/90

• Guided User Research Methods for Experience Design—A New Approach to Focus Groups and Cultural Probes https://www.mdpi.com/2414-4088/4/3/43

• BUILDING IDEAS: guided design for experience
  https://dl.acm.org/doi/pdf/10.1145/2971485.2996750

Mobile Kreativräume:

• Fraunhofer Blog
  https://blog.iao.fraunhofer.de/author/anne-elisabeth-krueger/
  
  insbesondere auch: Digital (und analog) KREATIV arbeiten: Mobiler Raum und interaktiver Workshop – Fraunhofer IAO – BLOG

• Film zum mobilen Kreativraum: https://www.youtube.com/watch?v=AJZdisPz-ws

Ihr habt euch schon immer gefragt, was Katja Dörlemann neben dem Podcast eigentlich alles so macht? Ganz schön viel, erklärt die Security Awareness Expertin von SWITCH, die Schweizer Stiftung, die das Schweizer NREN und die Registry für .ch/-.li betreibt. Marcus und Katja sprechen über die Entwicklung des Kompetenzzentrums für Security Awareness, was Training Games damit zu tun haben und schwelgen in Erinnerungen dazu wie alles begann...

Buch "Security Awareness
Neue Wege zur erfolgreichen Mitarbeiter-Sensibilisierung" https://link.springer.com/book/10.1007/978-3-8348-9594-3

Inside-IT Artikel "Vom Ködern und Phishen" : https://www.inside-it.ch/satw-insights-vom-koedern-und-fischen-20221005

SWITCH Security Adventures: https://www.switch.ch/security/security-awareness/switch-security-awareness-adventures/

Take Aware 2023: https://www.take-aware-events.com/events/take-awaresexy-security-2023-moenchengladbach

Women In Cyber Day: https://www.women-in-cyber.ch/women-in-cyber-day

SWITCH Security Awareness Day: https://www.switch.ch/security/security-awareness/security-awareness-day/

Security gehört zu unser aller Alltag, sagt Milena Thalmann, CEO von White Rabbit Communications. Aber wie kommunizieren wir das? Die Zielgruppen müssen in den Fokus rücken und wir brauchen interdisziplinäre Ansätze, um Menschen davon zu überzeugen, ihr Verhalten zu ändern. Kommunikation ist dabei der Dreh- und Angelpunkt, sagt die Kommunikationsexpertin. Milenas Tipps und warum Sie keine Autos verkaufen möchte, erklärt sie im Gespräch mit Marcus und Katja.

Show Notes

White Rabbit Communications: https://www.whiterabbitcom.ch/

Talk von Milena Thalmann am SWITCH Security Awareness Day: https://tube.switch.ch/videos/6slL2puE6N

Milena Thalmann auf Linked In: https://www.linkedin.com/in/milena-thalmann

Take Aware: https://www.take-aware-events.com/

Women in Cyber : https://www.women-in-cyber.ch/

CISO Award : https://globalcyberconference.com/swiss-ciso-awards/

Gartner Artikel "Innovation Insight on Security Behavior and Culture Program Capabilities" : https://www.gartner.com/doc/reprints?id=1-2C8HCD02&ct=230112&st=sb

Referenzierte Folgen

Folge mit Prof. Dr. Angela Sasse: Usability first https://www.securityawarenessinsider.ch/e/usability-first/

Folge mit Tom Hofmann : Kompliziert vs Komplex, Human Centered Design für Security https://www.securityawarenessinsider.ch/e/kompliziert-vs-komplex-human-centred-design-fur-security/

Folge mit Uta Menges: IT Security auf der Couch https://www.securityawarenessinsider.ch/e/it-security-auf-der-couch/

Folge mit Dr. Katharina Bernecker - Motivationspsychologie https://www.securityawarenessinsider.ch/e/motivationspsychologie-zu-sicherem-verhalten-motivieren/

Folge mit Muriel Frank zur Selbstüberschätzung: https://www.securityawarenessinsider.ch/e/wer-verhalt-sich-warum-unsicher-studien-zu-information-security-behaviour/

Ein neues eLearning, Videos, Games, Blogs, uvm. - Monika Geitlinger, Information Security Officer, treibt bei Raiffeisen Schweiz ein ehrgeiziges Awareness-Programm voran. Um alle Massnahmen so effizient wie wirksam zu planen und realisieren, setzt sie auf ihr internes Netzwerk. Im Gespräch mit Marcus und Katja erklärt sie, wie sie wichtige interne Unterstützung ins Boot geholt hat und was sie im kommenden Jahr vor hat.

Kann man noch Phishing-Simulationen durchführen? Macht man Human centred design oder Human centred Security? Heisst der Podcast bald Human Factor Design Insider? In der Dezemberausgabe werfen Marcus und Katja einen Blick zurück auf das Security Awareness-Jahr 2022 und teilen ihre Top 5 Entwicklungen mit euch. Seid ihr einer Meinung?

SANS 2022 Security Awareness Report:  https://go.sans.org/wp_2022_security_awareness_report.pdf

Wie sensibilisiert man Software-Entwickler:innen? Und welche Kompetenzen sind im Bereich Security Awareness nötig? Marcus und Katja besprechen diese und weitere spannende Fragen mit Stefan Gaul, Chief Information Security Officer bei der Deutsche Bahn (DB) Vertrieb GmbH. Der gelernte Informatiker berichtet von den Erfolgen einer "Community of Practice", den Vorteilen von Fähigkeiten im Marketing und warum ein Fro...äh Fuchs bald reden lernt.

DB Vertrieb
https://www.db-vertrieb.com/

Stefan auf Linked.in
https://www.linkedin.com/in/stefan-g-8989a7176/

Interview mit Stefan zur Implementierung des ISMS in der DB Vertrieb
https://www.usd.de/interview-implementierung-isms-db-vertrieb/

Recordings - SWITCH Security Awareness Day 2022
https://tube.switch.ch/channels/ze0DzL7lGD

Informationssicherheit und physische Sicherheit müssen Hand in Hand gehen, damit Organisationen der kritischen Infrastruktur sicher ihre Aufgaben erfüllen können. Mit Honkhase und Marina Krotofil tauchen Marcus und Katja ein in die Welt der KRITS, von Industrial IOT und Prozessautomatisierung. Der Mitgründer der unabhängigen AG KRITIS und die ausgewiesene Cybersicherheitsexpertin sprechen über die Bedeutung von Security für Menschenleben und über die Herausforderungen bei der Zusammenarbeit von Ingieneur:innen und Informatiker:innen.

Twitter

• https://twitter.com/HonkHase
• https://twitter.com/Marmusha

LinkedIn

• https://www.linkedin.com/in/manuel-atug-820b27241/
• https://www.linkedin.com/in/marina-krotofil/

YouTube https://www.youtube.com/channel/UC6Y6tk5UyUyCJ4lKSDfOk2g

AG KRITIS https://ag.kritis.info/

AGND https://www.agnd.eu/

Talks https://media.ccc.de/search/?q=honkhase

Terra-X Podcast mit Harald Lesch und HonkHase https://terrax.podigee.io/24-sind-wir-gewappnet-fur-den-krieg-im-netz

Kritische Infrastrukturen, Katastrophenschutz und digitale Sicherheit https://www.youtube.com/watch?v=utEfs7u7OA4

#CarosCorner Teil 9: Manuel Atug - SPECIAL EDITION https://www.youtube.com/watch?v=Uhl208m5d5U

Lagebericht BSI https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

Security muss gestalten, nicht nur ausführen, sagt Tom Hofmann, CISO der Sicherheitsdirektion des Kantons Zürich. Nachdem der Security Enthusiast in Folge 13 des Podcast mit Katja und Marcus über seine Forschung zum Thema Human Centred Design gesprochen hat, ist er wieder zu Gast, um die Ergebnisse seiner M.A.-Arbeit zu teilen. Tom legt dar, warum Security nicht als isoliertes Thema betrachtet werden kann, sondern nur als Teil eines Systems.

"Folge 13: Kompliziert vs. komplex - Human Centred Design für Security: https://www.securityawarenessinsider.ch/e/kompliziert-vs-komplex-human-centred-design-fur-security/

What’s the difference between human-centered design and design thinking?
https://designthinking.ideo.com/faq/whats-the-difference-between-human-centered-design-and-design-thinking

Design Thinking as Mindset, Process, and Toolbox
http://dx.doi.org/10.1007/978-3-319-26100-3_1

IDEO Design Kit - Human Centred Design Methoden
https://www.designkit.org/methods

Google Design Sprint Prozess und Methoden
https://designsprintkit.withgoogle.com/

Kleiner Einblick in die InfoSec Kampagne "B-Secure": https://www.take-aware-events.com/storage/app/media/pdf/takeawaresecandlifemagazine05.pdf 

Care4Aware Award 2022: https://www.take-aware-events.com/news-post/commerzbank-und-buerkert-fluid-control-systems-care4aware 

Comenius-Award 2022 1x für “Cyber- und Informationssicherheitskampagne bei Bürkert“ und 1x für „Nachhaltigkeit – E-Learning Channel“:  https://www.linkedin.com/posts/felix-weber-infosec_baesrkert-comeniusedumedia-award-activity-6945758474450444289-tRF1?utm_source=linkedin_share&utm_medium=member_desktop_web 

IT-Fachkräfte@Bürkert gesucht! : https://www.buerkert.de/de/Unternehmen-Karriere/Karriere/Einsteiger-und-Erfahrene/IT-Fachkraefte

Kleine Teams, Mitarbeitende in Teilzeit und Frauen klicken häufiger auf Phishinglinks. Das hat Muriel Frank, Doktorandin am Lehrstuhl für Wirtschaftsinformatik der Goethe Universität Frankfurt a.M., herausgefunden. Sie forscht zum Thema "Information Security Behaviour" und spricht mit Marcus und Katja über eigenmotiviertes Handeln, den schmalen Grat zwischen Unsicherheit und Selbstüberschätzung sowie die Anfälligkeit für Phishing.

"Frank, Jäger, Ranft: Contextual drivers of employees' phishing susceptibility: Insights from a field study
https://www.sciencedirect.com/science/article/abs/pii/S0167923622000896

Frank, Ranft: Using Machine Learning Techniques to Explore Extra-Role Security Behavior
https://aisel.aisnet.org/icis2021/cyber_security/cyber_security/6/

Frank, Wagner, Ranft: Who gets phished? Insights from a Contextual Clustering Analysis Across Three Continents
https://aisel.aisnet.org/ecis2022_rp/75/

Frank, Kohn: How to Mitigate Security-Related Stress: The Role of Psychological Capital
https://www.researchgate.net/publication/349156376_How_to_Mitigate_Security-Related_Stress_The_Role_of_Psychological_Capital

https://www.eflab.de/team/detail/muriel-frank

https://www.linkedin.com/in/muriel-frank-8607a0243/"

Auf Hacker Island ist ganz schön was los: Käpt'n Safe und Papagei Easy wollen mit ihrem myEyeboard die Welt umrunden, aber die Hacker um Bartholomew Ransomheart kommen ihnen immer wieder in die Quere... Security Awareness bei der Commerzbank AG funktioniert bestens mit spannenden Comic-Stories um die beiden sympathischen Helden. Michael Peters, Information Security Awareness Spezialist bei der Commerzbank AG, berichtet Katja und Marcus über den kreativen Realisierungsprozess - von der Idee bis zum Ende der zweiten Staffel.

Sec & Life Magazin mit einem kleinen Hacker Island Preview: https://www.take-aware-events.com/storage/app/media/pdf/takeawaresecandlifemagazine05.pdf

Michael Peters auf XING: https://www.xing.com/profile/Michael_Peters28/cv

OSPAS: https://de.theospas.com/outstanding-security-training-initiative-hacker-island-cyber-risk-information-security-commerzbank/

Talk like a Pirate! : http://talklikeapirate.com/wordpress/

Die Take Aware ist "die" Konferenz zum Thema Security Awareness im deutschsprachigen Raum. An zwei Tagen erhalten die Teilnehmenden Einblicke in neue Ergebnisse aus der Wissenschaft, erfolgreiche Programme, aufkommende Trends und die Möglichkeit in Workshops hands-on von anderen Expert:innen zu lernen. Fast noch wichtiger aber ist der Austausch und das Netzwerken innerhalb der Community. Marcus und Katja waren natürlich vor Ort und berichten von den spannenden Beiträgen und Gesprächen.

Take Aware 2022: https://www.take-aware-events.com/events/take-aware-und-sexy-security-2022

Sec&Life Magazin: https://www.take-aware-events.com/storage/app/media/pdf/takeawaresecandlifemagazine05.pdf

Digitale Rettungskette: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CSN/210927_Digitale_Rettungskette.pdf?__blob=publicationFile&v=4

SWITCH Security Awareness Days: https://swit.ch/security-awareness-day

Muss IT Security in Therapie? Ja, sagt Uta Menges, Doktorandin an der Fakultät für Psychologie der Ruhr-Universität Bochum. Die studierte Familien- und Lebensberaterin forscht zum Thema „IT-Sicherheitslösungen und Risikomanagement in Organisationen“ und schaut dabei mit der therapeutischen Brille auf Beziehungen und Prozesse rund um IT Security. Im Gespräch mit Marcus und Katja erklärt Uta, was dysfunktionale Beziehungen sind und was IT-Security mit Tinder zu tun hat.

Uta Menges, Jonas Hielscher, Annalina Buckmann, Annette Kluge, M. Angela Sasse & Imogen Verret.
Why IT Security Needs Therapy. European Symposium on Research in Computer Security. Springer. Cham, 2021. 335-356.
https://link.springer.com/chapter/10.1007/978-3-030-95484-0_20

Jonas Hielscher, Annette Kluge, Uta Menges, and M. Angela Sasse. 2021.
“Taking out the Trash”: Why Security Behavior Change requires Intentional
Forgetting. In New Security Paradigms Workshop (NSPW ’21), October 25–
28, 2021, Virtual Event, USA. ACM, New York, NY, USA, 15 pages.
https://dl.acm.org/doi/abs/10.1145/3498891.3498902

Wollen Mitarbeitende an den Standorten der Deutschen Telekom GmbH Awareness betreiben, können sie von einem illustren Portfolio an Massnahmen auswählen. Zusammengestellt wird das Angebot vom Team der Deutschen Telekom Security GmbH rund um Andrea Bindel, Senior Manager Security Awareness, und Ulrich ten Eikelder, Head of Security Awareness und Communication. Marcus und Katja sprechen mit den beiden über Entwicklung, Gestaltung und Management ihres Portfolios - ausserdem gibt es etwas zu gewinnen!

Links:

Security Awareness Library: Marktstart für interaktive Video-Lernplattform (Medienmitteilung):
https://www.telekom.com/de/medien/medieninformationen/detail/telekom-security-betritt-elearning-markt-634224

Das ist die Security Awareness Library der Deutschen Telekom Security GmbH (Medienmitteilung):
https://www.telekom.com/de/medien/medieninformationen/detail/das-ist-die-security-awareness-library-634226

Wer sich einen Eindruck von der Security Library verschaffen und auch einen Demo-Zugang möchte, findet hier den Zugang über die Plattform des Kooperationspartners mybreev der Deutschen Telekom Security GmbH: https://www.security-island.com/de/sal

 Das ist "AwareNessi" – ein Beispiel für die Reihe "CYBER AWARENESSI":
https://www.teachtoday.de/mediabase/pdf/TB_DEU_Aware_Nessi_3_Cybermobbing_5805.pdf

 Auch eine Art von Awareness, über die wir zwar im Podcast nicht gesprochen haben, aber einem doch die Augen öffnet: Der Sicherheitstacho unter https://www.sicherheitstacho.eu/start/main der Deutsche Telekom Security GmbH

Über das Cyber Kitchen Kochbuch ein Bericht auf Horizont.net:
https://www.horizont.net/marketing/nachrichten/cyber-kitchen-warum-die-telekom-erstmals-ein-kochbuch-herausbringt-170166

Telekom bringt Cyber-Sicherheits-Kochbuch auf den Markt (Medienmitteilung):
https://www.telekom.com/de/medien/medieninformationen/detail/cyber-sicherheits-kochbuch-jetzt-neu-544652

Und noch ein Bericht zum Cyber Kitchen Kochbuch auf dem basicthinking-Blog:
https://www.basicthinking.de/blog/2018/11/18/cyber-kitchen-deutsche-telekom/

Simulierte Phishing-Kampagnen versprechen ein Rundumsorglos-Paket. Sie informieren, trainieren und liefern Werte zur Wirksamkeit. Doch ist das wirklich so? Nein, sagt Dr. Melanie Volkamer, Leiterin der Forschungsgruppe SECUSO am Karlsruher Institut für Technologie. Marcus und Katja sprechen mit ihr über Aussagekraft und Wirksamkeit von der Phishing-Kampagnen im Kontext von Awareness sowie neuste Erkenntnisse aus der Forschung.

Folge mit Prof. Dr. Angela Sasse:
https://www.securityawarenessinsider.ch/e/usability-first/

Paper "Phishing-Kampagnen zur Mitarbeiter-Awareness":
https://publikationen.bibliothek.kit.edu/1000119662

Alternativen zu Phishing-Simulationen:
https://publikationen.bibliothek.kit.edu/1000132482
https://secuso.aifb.kit.edu/1047.php

Take Aware 2022:
https://www.take-aware-events.com/events/take-aware-und-sexy-security-2022

Twitter-Handle: @SECUSOResearch

In roter Weste und weissen Turnschuhen - die mit dem roten Swoosh, mit Stickern und Quickguide ausgestattet, starteten Oliver Wyler, Chief Information Security Officer bei Vontobel, und sein Team die Security Awareness-Kampagne vor drei Jahren. Angelehnt an die bekannte Filmtrilogie mit Kultstatus "Back to the future" werden die Mitarbeitenden des Schweizer Investmenthauses vom Protagonisten Stewart McSafe in eine sichere Zukunft begleitet. Videos, Sticker, Lunch'n'learn-Sessions und vieles mehr, sorgten für viel Aufmerksamkeit und Aha-Effekte. Oliver spricht mit Katja und Marcus über Gegenwart und Zukunft der Kampagne, Phishing-Tests sowie Herausforderungen bei der Umsatzung (allzu) kreativer Ideen.

LinkedIn Vontobel: https://www.linkedin.com/company/vontobel/
Trailer Back into the future: https://www.youtube.com/watch?v=qvsgGtivCgs
Swisscom Security Learning Journey : https://www.linkedin.com/feed/update/urn:li:activity:6889246210855591936/

Security Awareness oder Kommunikation sind bisher nur sehr selten Teil der Ausbildung von IT (Security)-Expert:innen. Warum sich das ändern sollte, besprechen Marcus und Katja mit Oli Schacher, DNS Security Engineer bei SWITCH und Producer unseres Podcast, und Antoine Neuenschwander, Technical Lead Bug Bounty bei Swisscom. Die beiden IT-Experten sind in verschiedenen Projekten mit dem Thema Security Awareness in Kontakt gekommen und berichten aus ihrer Perspektive was sie dabei überrascht und wie sich ihr Umgang mit Endnutzer:innen seit dem geändert hat.

Organisationen sind komplexe Systeme mit komplexen Problemen. Prozesse und Massnahmen zur Erhöhung der Security gehören zu diesen "wicked problems". Tom Hofmann, CISO und DPO bei der Eniwa AG, forscht zu den sozialen Aspekten im Organisationsdesign und die Auswirkungen auf Cybersecurity. Katja und Marcus sprechen mit ihm über die Grenzen von Security Awareness, unlösbaren Probleme und wie Human Centred Design im Bereich Security eingesetzt werden kann.

Die Security Awareness-Massnahmen bei Open Grid Europe müssen diverse Standorte und Zielgruppen erreichen. Daniel Fengler, IT-Sicherheitsarchtitekt bei OGE, spricht mit Marcus und Katja über Herausforderungen und Learnings aus gut fünf Jahren Kampagnenführung. Fehlende Ressourcen und Expertise holt Daniel sich zwar mit externer Unterstützung hinzu, trotzdem ist viel Einsatz und Engagement gefordert.

Die Studie "Making Passwords Secure and Usable" kam 1999 zu dem Ergebnis, dass die vorherrschenden Passwordregeln in Unternehmen kontraproduktiv für die Informationssicherheit sind. Erst fast 30 Jahre später erhalten die Ergebnisse Einzug in führende Security Richtlinien und Standars (NIST, BSI, ISO). Prof. Dr. Angela Sasse, Lei­terin des Lehr­stuhls Hu­man-Cent­red Se­cu­ri­ty an der Ruhr-Uni­ver­si­tät Bo­chum, war führende Autorin erwähnter Studie und treibt seitdem die Forschung zu nutzbarer Security voran. Marcus und Katja sprechen mit ihr über die Rolle von Security Expert:innen für Human centred security und was Security Awareness mit Megafonen zu tun hat.

Die Schweizer Armee muss sich besonders vor Cyber-Angriffen schützen. Im Gespräch mit Dr. Stefan Lehmann, Chef Awareness und Ausbildung Cyber Security, erfahren Katja und Marcus, wie er und sein Team die Arbeitskolleg:innen sensibilisieren, schulen und trainieren. Der promovierte Archäologe berichtet über Gamification-Ansätze, messbare Awareness und einen Tipp für das nächste Ausflugsziel.

Chatbots werden online immer häufiger als erster Kundenkontakt eingesetzt. Nutzer:innen können Fragen stellen, Informationen einholen oder Feedback geben. Auch intern finden maschinelle Dialogpartner mittlerweile Einsatz. Marcus und Katja sprechen mit der Chatbot-Expertin Sophie Hundertmark darüber, wie solche Bots die internen Awareness-Massnahmen unterstützen, das klassische eLearning ergänzen und Informationssicherheit ein Gesicht geben können.
Oder werden sie den Menschen gar ganz ersetzen?

Ein ganzes Land zu sensibilisieren ist eine grosse Herausforderung. Es muss ein sehr diverses Zielpublikum, verschiedenste Stakeholder sowie Security-Themen aus privatem und beruflichem Umfeld adressiert werden - und das alles in vier Sprachen. Dominique Trachsel vom Nationalen Zentrum für Cybersicherheit (NCSC)  erzählt Marcus und Katja, wie man Security Awareness auf nationaler Ebene vorantreibt und Bürger und Bürgerinnen bei einem sicheren Verhalten im Umgang mit IT und Internet unterstützt. Spoiler: Nicht im Alleingang. Die Zusammenarbeit mit Organisationen und Vereinen wie die Swiss Internet Security Alliance (SISA / iBarry) oder die Schweizer Kriminalprävention ist dabei von zentraler Bedeutung.

Was hat sicheres Verhalten mit gesunder Ernährung zu tun? Für beides werden wir erst auf lange Sicht belohnt. Motivation ist ein oft vernachlässigter Faktor, wenn es darum geht, Verhalten zu ermutigen, das langfristig lohnend, aber kurzfristig anstrengend ist, sagt Dr. Katharina Bernecker. Die Psychologin forscht an der Universität Zürich zum Thema Motivation und Selbstkontrolle. Marcus und Katja haben die Expertin gefragt, wie sich Menschen am besten motivieren lassen und warum das bei Sicherheitsthemen häufig schwierig ist.

Die Verwaltung der Stadt Zürich setzt sich zusammen aus neun Departementen und den dazugehörigen Dienstabteilungen - von Stadtarchiv bis hin zu Stadtpolizei ist alles dabei. René Christian Gehlen ist Leiter IT-Security & Risk bei der Organisation und Informatik der Stadt Zürich (OIZ). Mit Katja und Marcus spricht er über die besonderen Herausfoderungen eines Awareness-Programms in so komplexer Umgebung. Und wie ihm ein Hund dabei hilft.

Was hat Transaktionsanalyse mit Kommunikation über IT-Themen zu tun? Wie macht man Change Management in der IT? Und wie wird Security zu einem hochinteressanten Thema? Andrea Prestel-Galler, Geschäftsführerin und Inhaberin von Andare, gibt Marcus und Katja einen Einblick in ihren Arbeitsalltag als Expertin für Veränderungsprozesse und -kommunikation in IT-Tech und Digitalisierung.

Das Security Awareness-Programm der DPDHL erreicht 550'000 Mitarbeitende in 220 Ländern. Mit Paula Persönlich wurde eine Leitfigur kreiert, die flexibel und international einsetzbar ist. Dirk Zimmermann, VP Awareness Skills & Analytics in der Group CISO Organisation, erzählt Katja und Marcus mehr darüber, wie Paula Persönlich eine zielgruppengerechte Ansprache erleichtert und wie er und seine Kollegin Corinna Klempt das Management mit Gamification überzeugt haben.

Gute Geschichten faszinieren. Sie haben die Kraft, komplexe oder unbequeme Botschaften spannend zu vermitteln. Innerhalb einer Security Awareness-Kampagne kann Geschichten erzählen bzw. Storytelling langfristig die Aufmerksamkeit der Zielgruppe gewinnen und maximieren. Die Storytelling-Expertin, Petra Sammer, erzählt Marcus und Katja. wie das genau geht und was eine gute Geschichte ausmacht.

Auf der Webseite von Petra Sammer findet ihr weitere Infos und ihre Bücher rund um Storytelling: https://www.petrasammer.com

Die Security Awareness Kampagne "Watch it" der IWC Schaffhausen wurde 2020 mit der Goldenen Feder der SVIK  ausgezeichnet. Sascha Maier, Head of IT and Cyber Resilience, gibt einen Einblick hinter die Kulissen der Kampagne und spricht mit Marcus und Katja über Herausforderungen, Überraschungen und KPIs.

Beschäftigt man sich zum ersten Mal mit Security Awareness wird schnell klar, dass nichts klar ist. Standards wie ISO 27001 oder NIST 800-50 bieten nur bedingt Hilfe. Marcus und Katja geben einen einführenden Einblick in den Awareness-Dschungel und geben Antwort auf die Frage: Warum ist das alles so kompliziert?

Katja und Marcus erzählen euch ganz kurz, was auf diesem Podcast schon bald abgeht.