|
Sehr geehrte Leserinnen und Leser,
in den Kurzmitteilungen berichten wir dieses Mal unter anderem über „digitale Desinformation“. Das Thema im Fokus beschäftigt sich kritisch mit simulierten Phishing-Kampagnen zur Verbesserung der IT-Sicherheit. In den GI-Mitteilungen erinnern wir Sie an den YouTube-Kanal der GI. Das Fundstück berichtet über den zuletzt stark gestiegenen Frauenanteil in Berufen im Umfeld der Cyber-Sicherheit.
Wir wünschen Ihnen viel Spaß mit dieser Ausgabe!
auf gi-radar.de weiterlesen
Digitaler Impfnachweis + Desinformation + Quantenalgorithmen + Krytowährungen + Corona-Nachverfolgung in Großbritannien + Phishing-Tests bei Mitarbeitenden + INFORMATIK 2021 + gendersensible Sprache + GI-Youtube-Kanal + Forschungsdaten-Soirée + Mehr Frauen in der IT-Sicherheit
KURZMITTEILUNGEN
Digitaler Impfnachweis: echt oder nicht? (ZEIT). Der digitale, im Smartphone hinterlegte Impfnachweis soll das Leben leichter machen: nicht vor jedem Theater- oder Restaurantbesuch mehr ins Corona-Test-Zentrum. Doch Sicherheitsforschern ist es gelungen, gefälschte Zertifikate auszustellen. Vermeiden ließe sich dies durch die Nutzung der Telematik-Infrastruktur. weiterlesen
Digitale Desinformation: wer ist für was empfänglich? (Spiegel). Das Schlagwort „fake news“ hat nicht erst seit der Pandemie Konjunktur. Doch mit Corona, Wahlkampf und Wetterkatastrophen lässt sich trefflich Stimmung machen, und tatsächlich ist es mitunter schwer, Fakten, Bilder und Meinungen korrekt zu interpretieren. Dies gilt umso mehr, als dass neben den klassischen Informationskanälen mittlerweile sehr häufig soziale Medien und Messengerdienste bedient werden. Wer sich wie informiert und was das bedeutet, lesen Sie hier. weiterlesen
Quantencomputer sollen Teilchen-Daten am CERN sortieren (NZZ). Das CERN in Genf verbinden wahrscheinlich die meisten von uns mit Teilchenbeschleunigung. Die hierbei erzeugten Daten müssen allerdings ausgewertet werden – und hierzu bedarf es einer großen Menge an Rechenleistung. Das Forschungsteam am CERN hat nun neben herkömmlichen auch Quantenalgorithmen eingesetzt, wobei die Quantenalgorithmen trotz ihrer Kinderkrankheiten gut abgeschnitten haben. Dies gibt Hoffnung für die Zukunft. weiterlesen
Kryptowährungen: Achterbahn, Anarchie oder Alternative (Deutschlandfunk). Kryptowährungen schaffen es immer wieder in die Schlagzeilen: als Adrenalin bei Geldanlagen, als Lösegeld bei Erpressung oder als Klimaschädling. Was Kryptogeld ist, was die Idee dahinter war und wie es sich entwickelt, kann dagegen wahrscheinlich kaum jemand aus dem Stegreif erklären. Die Neugierigen können ihre Wissenslücken hier schließen. weiterlesen
Corona-Nachverfolgung und Datenschutz in Großbritannien (heise). Großbritannien setzt Apps ein, die vor einer möglichen Infektion warnen und die möglicherweise infizierten Personen in Quarantäne schickt. Dies wird der Bevölkerung zunehmend lästig, sodass viele die entsprechenden Apps wieder deinstallieren. Und dann ist da noch die Sache mit dem Datenschutz. Während die technischen und wissenschaftlichen Voraussetzungen nach 18 Monaten Pandemie mittlerweile sehr gut sind, scheitern Regelungen nun an fehlender Akzeptanz. weiterlesen
THEMA IM FOKUS
Simulierte Phishing-Kampagnen: Analyse aus verschiedenen Blickwinkeln. Phishing-Angriffe sind und bleiben unabhängig von der Größe einer Institution eine große Gefahr. Zunehmend gibt es Anbieter, die simulierte Phishing-Kampagnen bei Mitarbeitenden der beauftragenden Institution als Security-Awareness-Maßnahme durchführen oder Tools anbieten, um diese Kampagnen selbst in der Institution durchzuführen. Dier Beitrag diskutiert eine Reihe von Problemen, die mit solchen simulierten Phishing Kampagnen einher gehen.
Ziele und Arten simulierter Phishing-Kampagnen. Simulierte Phishing-Kampagnen können unterschiedliche Ziele verfolgen. Im Fokus dieses Beitrags steht das Ziel, eine Phishing-Nachricht als sogenanntes Teachable Moment zu nutzen, um Angestellte zu schulen. Hier wird davon ausgegangen, dass jemand, der auf eine simulierte Phishing-Nachricht hereinfällt, durch diese Erfahrung unmittelbar danach besonders aufnahmefähig für Phishing-Training-Maßnahmen ist. Aus diesem Grund erhält die Person genau dann, wenn sie sich in der Rolle des potenziellen Opfers befindet, Informationen zum Thema Phishing.
Simulierte Phishing-Kampagnen fokussieren häufig auf Phishing-E-Mails und lassen anderen Nachrichtenformen außer Acht. Sie unterscheiden sich hinsichtlich der Schwierigkeit, die Nachrichten als Phishing-Nachricht zu erkennen. Die Kampagne kann darüber hinaus entweder durch institutionsinterne Personen oder durch externe Dritte durchgeführt werden. Weitere wichtige Unterscheidungskriterien sind der Zeitraum der Durchführung und die Anzahl der in diesem Zeitraum versendeten Nachrichten.
Rechtliche Rahmenbedingungen. Aus rechtlicher Sicht ist zu beachten, dass der Personal- bzw. Betriebsrat in die Gestaltung der Kampagne mit einbezogen werden müssen. Außerdem ist abzuklären, dass die geplante Art der Information für die Mitarbeitenden und die Auswertung der erhobenen Daten arbeits- und datenschutzrechtlich zulässig ist. Es ist auch zu beachten, dass ein schlechtes Ergebnis einzelner Mitarbeitenden keine arbeitsrechtlichen Konsequenzen für diese haben darf. Außerdem müssen Urheber- und Markenrechte für die verwendeten E-Mails (theregister.com) beachtet werden.
Bezüglich der Information an die Mitarbeitenden im Vorfeld der simulierten Phishing Kampagne ist folgendes zu beachten: Umfangreiche Informationen vorab haben eine negative Auswirkung auf die Aussagekraft der Ergebnisse, da die Mitarbeitenden vorgewarnt sind. Bei zu wenige Informationen über die Kampagne fühlen sich Mitarbeitende oft überrumpelt oder vorgeführt, was das Vertrauen der Mitarbeitenden in die Institution reduzieren und letztendlich das Sicherheitsverhalten verschlechtern kann. Darüber hinaus können einzelner der im nächsten Abschnitt beschriebenen Security Probleme verstärkt werden.
Potenzielle Sicherheitsprobleme. Phishing-Kampagnen verfolgen im Allgemeinen das Ziel, das Sicherheitsniveau der Institution langfristig zu erhöhen. Doch insbesondere für den Zeitraum der Durchführung der Kampagnen setzen sie dieses herab. Dies gilt beispielsweise, wenn die Nachrichten von einem externen Dienstleistungsunternehmen verschickt werden und die automatische Security-Prüfung angepasst wird, damit diese Nachrichten bei den Mitarbeitenden ankommen. Ebenso problematisch ist es, wenn keine klaren IT-Sicherheitsmeldeprozesse in der Institution vorhanden sind, und wenn die Phishing-Kampagne und die damit verbundenen Aufgaben und Erwartungen an die Angestellten nicht klar kommuniziert wird, etwa dass sie bei jeglichen verdächtigen Nachrichten nicht mit dieser interagieren sollen. Viele Mitarbeitende klicken aus Neugier – weil sie eben wissen möchten, was denn eigentlich passiert, wenn man mit einer simulierten Phishing-Nachricht interagiert.
Vertrauens-, Fehler- und Sicherheitskultur. Bevor eine Phishing-Kampagne simuliert wird, sollten sich Institutionen der potenziellen negative, Auswirkungen für Produktivität und die Vertrauens-, Fehler- und Sicherheitskultur bewusst sein. Wenn z.B. simulierte Phishing-Nachrichten so aussehen als kämen sie von anderen Mitarbeitenden, kann sich dies negativ auf das Arbeitsklima auswirken. Wenn diese Art von Angriff aber nicht simuliert wird, hat das Ergebnis wenig Aussagekraft über die Anfälligkeit der Institution.
Wird die Kampagne nicht ausführlich angekündigt und wird nicht bereits vor der ersten simulierten Nachricht eine entsprechende Schulung angeboten, kann das Vertrauen in die Leitung der Institution Schaden nehmen, da dieses Vorgehen als unfair empfunden wird. Dies kann außerdem einige der Sicherheitsprobleme verschärfen. Darüber hinaus ist zu beachten, dass die Durchführung indirekt auch einen Einfluss auf die Produktivität hat: Mitarbeitende, die Angst haben, Fehler zu machen, werden verunsichert, und Fragen mehr nach – wodurch ihre Produktivität sinkt.
Der Vertrauensverlust wird besonders stark, wenn Phishing Nachrichten Belohnungen in Aussicht stellen, diese Erwartungen dann enttäuscht werden, und darüber hinaus auch noch Kritik geübt wird. Zusätzlich zum internen Vertrauensverlust zeigen immer mehr News-Beiträge (kreiszeitung.de, itpro.co.uk, latesthackingnews.com, washingtonpost.com, theguardian.co.uk), dass auch das externe Image der Institution leiden kann, wenn Mitarbeitende ihrem Ärger über soziale Netzwerke Luft machen und dies in den Medien berichtet wird – eine Institution, in der man gerne arbeiten würde, sieht anders aus.
Aussagekraft von simulierten Phishing-Kampagnen. Einer der wesentlichsten Einflussfaktoren auf die Aussagekraft von Phishing-Kampagnen ist der Umfang der Information, die die Mitarbeitenden erhalten. Unvermeidbar ist, dass ein Großteil der Mitarbeitenden in Erwartung einer Phishing-Nachricht skeptischer sein wird als üblich und häufiger die Meinung von Kollegen und Kolleginnen zu Rate zieht. Andere könnten dem Vorhaben gegenüber derart abgeneigt sein, dass sie absichtlich auf Phishing-Nachrichten eingehen – unter anderem damit dann aber auch auf nicht simulierte Phishing-Nachrichten. Beides senkt die Produktivität, die langfristig Kreativität und Innovation.
Eine andere wichtige Frage, noch ungeklärte Frage ist, ob der „Teachable Moment“ (heinz.cmu.edu) funktioniert, die Mitarbeitenden sich anschließend zum Thema Phishing informieren und die bereit gestellten Informationen überhaupt geeignet sind, echte Phishing-Nachrichten zu erkennen.
Darüber hinaus hängt die Aussagekraft einer simulierten Phishing-Kampagne von den simulierten Nachrichten ab. Um die Realität möglichst genau darzustellen, müssten die Simulationen wirkliche Angriffe abbilden. Dafür müssten jedoch wiederum Nachrichten von Angestellten und externen Anbietern verwendet werden, deren Nachteile bereits geschildert wurden.
Fazit. Zusammenfassend ist die Aussagekraft allgemein und insbesondere in konkreten Ausgestaltungsformen äußerst umstritten. Der Aufwand für eine Phishing-Kampagne ist hoch und die unterschiedlichen Kosten wiegen den ohnehin bisher nicht nachgewiesenem Nutzen nicht auf. Entsprechend wird empfohlen, andere Maßnahmen zur Steigerung der IT-Sicherheit umzusetzen (vdz.org). Nicht zuletzt ist es auch wichtig zu sehen, dass es im Kontext von Phishing immer reicht, wenn ein Mitarbeitender einen Fehler macht. Entsprechend ist eine bessere bzw. angemessene technische Absicherung für alle zielführender als die beschriebenen Kampagnen.
Eine ausführlichere Diskussion ist online verfügbar (kit.edu).
Diesen Beitrag haben Prof. Dr. Melanie Volkamer (KIT), Prof. Dr. Franziska Boehm (KIT) und Prof. Dr. Martina Angela Sasse beigesteuert (Ruhr-Universität Bochum) beigesteuert. Vielen Dank!
GI-MELDUNGEN
INFORMATIK 2021: Workshopprogramm und Countdown. Das Workshopprogramm ist mittlerweile nahezu vollständig (gi.de). Und noch bis zum 31. Juli können Sie sich zu zu rabattierten Preisen zu unserer Jahrestagung anmelden. Das Schwerpunktthema ist in diesem Jahr Nachhaltigkeit. Wir nähern uns dem Thema in unterschiedlichen Formaten und freuen uns auf eine rege Beteiligung. weiterlesen
Leitfaden für gendersensible Sprache. Bereits seit dem letzten Jahrhundert gibt es in der GI einen Leitfaden zum Thema Sprache. Diesen hat sich eine Arbeitsgruppe jetzt vorgenommen, ihn überarbeitet, neu bebildert, mit vielen Beispielen versehen und als „Leitfaden für gendersensible Sprache“ dem Präsidium zur Verabschiedung vorgelegt. In der Juni-Sitzung hat das Präsidium zugestimmt. Nun wurde der Leitfaden veröffentlicht. weiterlesen
GI-Youtube-Kanal. Kennen Sie eigentlich unseren Youtube-Kanal? Hier veröffentlichen wir Interviews, Mitschnitte, Projekte, Webtalks … ganz viel von dem, was in der GI passiert. Die neuesten Videos sind zum KI-Camp, aber auch andere spannende Dinge gibt es dort. Schauen Sie doch mal rein. weiterlesen
Forschungsdaten-Soirée: Neues Veranstaltungsformat zum Forschungsdatenmanagement (FDM) in der Informatik. Am 19. August legt die GI eine neue Reihe auf: eine Soirée zum Thema Forschungsdatenmanagement. Nach kurzen Impulsvorträgen zu Subthemen der Informatik möchten wir mit Fachleuten ins Gespräch kommen, wie in der Wissenschaft mit diesem Thema umgegangen wird. In der ersten Soirée widmen wir uns den Forschungsdaten im Hochleistungsrechnen (HPC) und diskutieren über Datensicherheit im FDM. Die Anmeldung ist ab sofort möglich. weiterlesen
Kennen Sie eigentlich den GI-Pressespiegel? Dort sammeln wir die Berichterstattung über unsere Fachgesellschaft in Zeitungs-, Radio- und Fernsehbeiträgen. Schauen Sie rein, es gibt da immer wieder Neues.
FUNDSTÜCK
Mehr Frauen für die Cyber-Sicherheit – wie gelingt das? In den meisten IT-nahen Berufsfeldern ist der Frauenanteil niedrig, und leider gelingt es trotz vielfältiger Bemühungen nicht immer, die Anzahl der Frauen in IT-Berufen zu steigern, Vorurteile auszuräumen und das Interesse von Frauen für diese Berufe zu wecken. Im Themenfeld Cyber-Sicherheit gab es in den letzten Jahren jedoch einen deutlichen Anstieg des Frauenanteils. Die Gründe hierfür und auch Maßnahmen, um dies in der eigenen Institution zu erreichen, hat die (ISC)² Cybersecurity Workforce Study 2020 beleuchtet. Zum Fundstück (kes.info)
Dieses Fundstück wurde von Isabel Münch eingereicht. Vielen Dank! Welches Fundstück hat Sie zuletzt inspiriert? Senden Sie uns Ihre Ideen!
Dies war Ausgabe 292 des GI-Radars. Zusammengestellt hat sie Dominik Herrmann, der Ihnen versichert, dass wir Sie im GI-Radar niemals nach Ihrem Passwort fragen werden – und diesen Mailverteiler auch nicht für simulierte Phishing-Kampagnen nutzen werden. Die Mitteilungen und Meldungen hat GI-Geschäftsführerin Cornelia Winter zusammengetragen. Das nächste GI-Radar erscheint am 13. August 2021.
Im GI-Radar berichten wir alle zwei Wochen über ausgewählte Informatik-Themen. Wir sind sehr an Ihrer Meinung interessiert. Für Anregungen und Kritik haben wir ein offenes Ohr, entweder per E-Mail (redaktion@gi-radar.de) oder über das Feedback-Formular bei SurveyMonkey. Links und Texte können Sie uns auch über Twitter (@informatikradar) zukommen lassen.
|
