Präsenz in den Medien – weil wir über Sicherheit viel zu sagen und viel zu zeigen haben

Zwei Outstanding Security Performance Awards für Security Awareness

15. Dezember 2020 Wir gratulieren allen Gewinnern der Ende Dezember verliehenen 2020er-OSPAs, deren Gewinner mit auf der deutschen OSPA-Webseite >> gelistet sind. Der Preis für die beste Trainings-Initiative  geht an die Commerzbank für die internationale Security Awareness-Kampagne „Hacker Island". Der Preis für das Lebenswerk geht an den von uns vorgeschlagenen Dr. Christoph Schog von T-Systems International.

Schauen wir auf unseren Alltime-Lieblingsprojektmanager Schog, fällt auf, dass er sich einem technisch orientiertem Security-Experten zum Fachmann in Human-Based-Security entwickelt hat. In Bezug auf produktive Ansprache halfen technischen Kenntnisse und seine Fähigkeit, den technischen Kontext sprachlich auszudrücken, hinsichtlich seiner Mission, die Menschen von der zunehmenden Bedeutung der Security-Kommunikation zu überzeugen, eine Art (guter) "Wolf" im "Schafspelz, der infolge seiner Gewandtheit in beiden Securitywelten besonders viele Multiplikatoren und Mitstreiter gewinnen konnte. Aufgrund seiner Expertise erreichte Schog Narrenfreiheit bei seinem Arbeitgeber. So ist es ihm auch gelungen, zu einem Zeitpunkt komplexe Programme, die nicht nur Wissensvermittlung dienten, mithin solche mit hohem Marketinganteilen, emotionaler Ansprache und beeindruckenden, involvierenden Narrativen, zu einem Zeitpunkt einzuführen, als andere den Awarenessbegriff noch nichtmal buchstabieren konnten. Als Erfolgs-Beleg förderte er die Entwicklung eines Security-Awarenss-Index' und führte diese empirische Evaluationsmethode 2005 bei T-Systems ein. Seine Kampagne "Mission Security" mit der bloggende Agentenleitfigur James Bit wurde 2007 mit dem Sicherheitspreis Baden-Württemberg ausgezeichnet. Ab 2009 nutzte Schog auch Elemente systemischer Kommunikation, indem er Führungskräfte Sicherheitsthemen als diskursive Elemente in Teamsettings integrieren ließ. Beim Sprechen über Sicherheit sollten 70 Moderationskarten helfen, Diskussionen vorzubereiten - eine innovative Sicherheitskultur-Modellierung, die auch von Auditoren explizit gelobt wurde. Denn sämtliche TS-Units sind unter einem ISO-Dachzertifikat zusammengefasst; die Nichterfüllung der Awareness-Ziele in nur einer Unit hätte den Verlust des Dachzertifikats und damit einen Verlust in Milliardenhöhe zur Folge gehabt. So schützte Schog also auch die TS-Wirtschaftskraft.

2011 kam als diskursiv-systemische Elemente die Lernstationen des "SECURITY PARCOURS", Minigames "out of the Box", hinzu, bei der Telekomkollegen mit Teams Securitysimulationen spielend erörtern. Andere hätten hieraus einen Container mit Goldkante gestrickt - nicht so Schog; er erkannte, dass er auf Basis eines kleinen, Game-Rollkoffers, den er zu Audits mitnahm, kleine Units en passant genauso sensibilisieren könnte wie große auf Basis mehrtägiger Events - Schog, der pragmatische Streetworker! 2013 wurde dieses Format vom ISF als "Most innovative Awareness-Campaign" ausgezeichnet. Die Liste gamifizierte Formate, derer sich Schog als erster Awarenessbeauftragter hierzulande bediente ist aber noch länger. Hierzu gehören das begehbare Social-Engineering-Teppichspiel "Bluff&Hack" oder das Risikomanagement-Workshopformat für Management-Boards, "Security Spot", mit dem er geschickt als Impactstory hinter der Coverstory des Risiko-Assessments Bordmitglieder sensibilisierte bzw. zwischen diesen und Securitybereichen Mediation betrieb. 2015 entwickelte Schog einen Awareness-KPI mit einer innovativen Balanced-Score-Card. 2016 erstellte er das weltweit erste integrative Security-Awareness-Framework, in dem Aspekte von Informationssicherheit, Didaktik, Marketing, Kommunikation und Psychologie als Standard für T-Systems geregelt sind. Diese Instrumente teilte er großzügig mit anderen Awarenessverantwortlichen, insbesondere mit dem "Dax-30-Roundtable Security Awareness", den er entscheidend prägte. Gerade seine menschliche Wärme mit seiner Offenheit gegenüber Innovationen, Kooperationen, dem Teilen und seiner Großzügigkeit, nicht nachzurechnen, dass er deutlich mehr seiner Ideen geteilt hat als ihm umgekehrt zurückgegeben wurden, machen ihn sympathisch und populär. Man kann sicher behaupten, dass es heute kein Unternehmen in Deutschland gibt, das nicht auch Methoden bzw. Tools einsetzt, die Schog nicht zumindest mitentwickelt hätte. Es steckt also überall, wo Sensibilisierung passiert, ein Schog mit drin. Insofern gibt es niemanden, auf den ein Kosename wie Mr.Awareness besser passen würde als auf ihn. Chapeau, Chris!

Ein Video mit einem Panel und der Online-Preisverleihung am Ende ist hier verfügbar https://theospas.com/2020/12/16/the-german-ospas-and-thought-leadership-webinar/



Mehr Informationssicherheit für Unternehmen im Fokus – Kick-off des Projektes ALARM an der TH Wildau

6. November 2020 Am heutigen Tage startet das Projekt „Awareness Labor KMU (ALARM) Informationssicherheit“ der Forschungsgruppe um Prof. Dr. Margit Scholl an der Technischen Hochschule Wildau (TH Wildau) >>. Schwerpunkt des Vorhabens ist es, ein Gesamtszenario zur Sensibilisierung und Unterstützung von Kleinstunternehmen sowie kleinen bis mittleren Unternehmen (KKU/KMU) für Informationssicherheit aufzubauen.

Dazu werden von dem Projektteam interaktiv-erlebbare analoge und digitale Möglichkeiten der Personalentwicklung für mehr Informationssicherheit aufgebaut, organisationsweite niederschwellige Sicherheitsanalysen zur Selbsthilfe entwickelt und Erlerntes durch Messungen, Tests sowie „Vor-Ort-Angriffe" überprüft. Gefördert wird das Projekt vom Bundeswirtschaftsministerium (BMWi) im Zeitraum vom 01. Oktober 2020 bis 30. September 2023, begleitet vom Projektträger DLR.

Das Projekt „ALARM“ ist für KKU/KMU von besonderer Bedeutung, da KKU und KMU als wichtige Glieder in der Wertschöpfungskette oft sensible Daten erheben, verarbeiten und nutzen. Dabei werden nicht selten die damit verbundenen Risiken und Bedrohungen unterschätzt. Unkenntnis der Sicherheitslücken, Sorglosigkeit, mangelnde Ressourcen, Verletzung von Standards und betrieblichen Richtlinien zur Informationssicherheit sind Sicherheitsfaktoren und stellen Risiken für Unternehmen aller Art und Größe dar. Dabei können die entstandenen Sicherheitsmängel weitreichende negative Folgen für die KMU/KKU selbst, aber auch ihrer Geschäftspartner in der Zukunft haben und können den Wirtschaftsstandort Deutschland insgesamt gefährden.

Prof. Dr. Margit Scholl (TH Wildau): „In den vergangenen Jahren wurde in der betrieblichen Sicherheitsforschung immer deutlicher, dass die Menschen in den Unternehmen ein wichtiger Faktor zur Steigerung des Sicherheitsniveaus darstellen.Im Projekt ALARM werden daher für die notwendige interaktiv-erlebbare Personalentwicklung analoge und digitale Lernszenarien sowie simulierte Vor-Ort-Angriffe entwickelt, die sich an den konkreten Tätigkeiten und Prozessen in den Unternehmen orientieren. Kombinierte Awareness-Messungen, ein Readiness-Modell für KKU/KMU und praxisorientierte Handlungsanweisungen runden die Unterstützungsmaßnahmen ab. Damit könnte ein weiterer Beitrag für die Sicherheitsforschung in Unternehmen erreicht werden.

Gemeinsam mit den Firmen known_sense (Köln), Experimental Game (Berlin/Halle), Thinking Objects (Korntal-Münchingen bei Stuttgart) und der Sudile GbR (Potsdam), sowie vier im Laufe des Vorhabens auszuwählenden Pilot-Unternehmen werden alle Materialien partizipativ im iterativen Vorgehen entwickelt und erprobt. Assoziierte Transferpartner sind die IHKs Ostbrandenburg, Cottbus und Potsdam des Landes Brandenburg sowie das Digitale Innovationszentrum Stuttgart. Über diese Kanäle sowie der zentralen Transferstelle des BMWi werden die entwickelten praxisorientierten Materialien kontinuierlich weiteren Unternehmen bundesweit bekannt gemacht und zum Projektende auch kostenlos über die Projektwebsite zur Verfügung gestellt. Zur Erreichung der Projektziele werden für und mit den Unternehmen zudem spezifische, auf die jeweiligen Bedürfnisse abgestimmte, Schulungs- und Sensibilisierungskonzepte entwickelt, getestet, evaluiert und kostenfrei zur Verfügung gestellt.

Das Projekt ALARM wird so einen praxisorientierten Beitrag zu der dringend notwendigen Sensibilisierung von Führungskräften und Mitarbeitenden für Informationssicherheit leisten. Es soll zu einer entsprechenden, gezielten Personalentwicklung in den KKU/KMU führen, wie sie derzeit breitenwirksam noch nicht vorhanden ist. Dazu wird IT-Sicherheit einerseits im Zusammenhang mit den zunehmend digitalen Arbeitsprozessen konkret (be-)greifbar gemacht und andererseits werden die Menschen emotional berührt und aktiv in die Entwicklung von Maßnahmen einbezogen. Eine nachhaltige und unternehmensweite Informationssicherheitskultur soll damit aufgebaut werden.

Über known_sense sind in den letzten 2 Jahrzehnten zahlreiche PR-Clippings erschienen. Nachfolgend eine kleine Auswahl.

• Psychologie für Hacker. In: Frankfurter Allgemeine Sonntagszeitung, 11.08.2019, S. 53
• Sicherheitskultur, das unbekannte Wesen? In: <kes>, 2019 #2, S. 6ff.
• Praktische IT-Security im Mittelpunkt. 11.10.2018, https://www.it-zoom.de/it-director/e/praktische-it-security-im-mittelpunkt-21006/
• Trau, schau, wem. In: Süddeutsche Zeitung, 04.05.2018, S. 22 (über die „Security Arena" bei der Allianz)
• Social Engineering / CEO-Fraud. Aufbereitung aktueller nationaler Forschungsbeiträge und Publikationen. Hrsg. vom Bundeskriminalamt. 10/2017 >> Wirtschaftsschutz
• Tiefenpsychologische Cybercrime-Studie „Bluff me if U can“: es fehlt an Notfallplänen und Awareness, 14.04.2016 >> Webseite
• Gefährliche Freunde. Studie: Social Engineers haben oft leichtes Spiel. In: <kes> 2015 # 2, S. 54ff (über die Studie "Bluff me if u can")
• OSPAs 2015: The winners are... In: Wik, 2015 #6 S. 12ff.
• Selbst mal ein Schwein sein. Gefahren und Abwehr bei Social Engineering. In Wik, 2015 # 4

Und das sagen die Medien über unsere Security-Studien

Über „Entsicherung am Arbeitsplatz“

• »Studie fordert, Mitarbeiter zu Mitstreitern zu machen (... und) erklärt, warum das höchste Sicherheitsrisiko nach wie vor die Mitarbeiter sind.« VDI-Nachrichten
• »Als Resultat kommt es dann zu einem (...) Befreiungsschlag gegen die Unternehmenskultur, gewissermaßen zum einem Schädelküssen toter Admins (...) anders wird es den jungen Hanseln nicht vorgekommen sein, die in Afghanistan mit den Schädeln spielten.« heise online
• »IT-Security beeinflusst die Unternehmenskultur in entscheidendem Maß.« eCommerce Magazin
• »Das Paradox der IT-Sicherheit: Je mehr sich der Schutz vor Ein- und Ausbrechern in ein Zwangssystem verwandelt, desto eher versuchen Mitarbeiter den Käfig zu sprengen.« Sicherheit heute
• »Mitarbeiter, die seelisch vollkommen deformiert, leblos und traurig in einem komplett überwachten abgeriegelten Unternehmen sitzen – ein wahres Horrorszenario tut sich auf, wenn es mit der IT-Security so weitergeht.« CIO
• »Eine Studie entschlüsselt erstmalig die psychologische Wirkweise des Sicherheitsverhaltens.« Sicherheits-Berater
• »Die Mitarbeiter begehen Fehler, um durch das hiermit verbundene ‚menschliche Eröffnen‘ etwas Menschliches in ihre Arbeit zu retten und damit ihre Produktivität zu sichern.« Deutsches Ärzteblatt
• »Erst sinnliches Einbeziehen in eine dramatische Geschichte erzeugt wirkliche, dauerhafte Awareness. Informations-Sicherheit braucht eine Bebilderung ihrer Tätigkeit.« <kes>
• »Eine lebendige, dramatische Vermittlung von Bedrohungen und Sicherheitsmaßnahmen kann für mehr Motivation sorgen.« FAZ Managementkompass



Über „Aus der Abwehr in den Beichtstuhl“

• »Ein guter Chief Information Security Officer (CISO) sollte so etwas Ähnliches wie ein Streetworker sein.« CIO
• »CISOs, das zeigt die Studie deutlich, werden als Vertreter einer anderen, einer unbekannten und unfassbaren Welt mit eigener Sprache und Ordnung betrachtet. Diese Sonderstellung geht mit einer gewissen Form der Entrückung vom Unternehmensbetrieb einher.« All about Security
• »Die Sicherung gegen Angreifer von außen scheint also für den CISO weniger ein Problem darzustellen als der gleichberechtigte Austausch mit den eigenen Mitarbeitern.« Info Point Security
• »Durch die Typisierung der CISOs lässt sich die Lösung des Grundproblems darstellen« IT SecCity

Über „Sicher – von oben“

• »Verantwortliche für IT-Sicherheit haben noch kein klares, eingefahrenes Berufsbild; dementsprechend unscharf sind bisweilen sowohl eigene als auch äußere Erwartungen an CISO & Co.« <kes>
• »Als Schwierigkeit ihrer Aufgaben sehen viele CISOs, selber nichts Konkretes zu produzieren, das vorzeigbar wäre und an dem man die eigene Wirksamkeit erleben und demonstrieren könnte.« eCommerce Magazin
• »IT-Sicherheitsverantwortliche müssen ihr Image nachhaltig aufpolieren und ihren Wertbeitrag für Absicherung kritischer Infrastrukturen in den Vordergrund rücken.« Computer Zeitung
• »Security-Protagonisten und Führungskräfte laufen dabei Gefahr, sich zunehmend ähnlicher zu werden und sich gegenseitig in Machtkonflikten zu blockieren.« Business Computing, Schweiz



Über „Bluff me if u can“

• »... ist es empfehlenswert, ein Bewusstsein für das eigene Kommunikationsverhalten zu entwickeln, die persönlichen Einfalltore zu erkennen und Abwehrmaßnahmen zu erlernen. Außerdem sollte ... Sicherheitskultur ... aufgebaut werden.« VDL Nachrichten
• »Je unwohler sich ein Mitarbeiter am Arbeitsplatz fühlt, desto größer ... die Hoffnung, dass Einfluss ... von außen kommt. Das macht anfällig für Fremde, die nicht die besten Absichten haben. Aufgrund ihres umfassenden Know-hows und eines hohen Performance-Drucks sind übrigens auch Manager ideale Social-Engineering-Opfer!« <kes>
• »Selbst mal ein Schwein sein ...« Wik
• »Es fehlt an Notfallplänen und Awareness ... „Ganz schön blöd, wenn der Social Engineer der netteste Mensch am Arbeitplatz meiner Mitarbeiter ist.“ So treffend bringt ein Chef den Wunsch nach Anerkennung für die Arbeitsleistung der Mitarbeiter auf den Punkt.« IT-Finanzmagazin

Und das sagen die Medien über unser Awareness-Kartenspiel  „Computerluder – das Virusquartett"

• „... Statt mit langweiligen Autos (...) kann man hier mit (...) Computerviren punkten und die mieslichen-fieslichen Übertäter näher kennen lernen." neues ZDF/3sat
• „Was Marken nützt: Meine Dönerbude , mein Virusquartett... ..." brand eins
• „... ganz ungefährlich ist auch dieses Vergnügen nicht, denn eine Partie kann sich hinziehen – also nicht vom Chef erwischen lassen ..." MensHealth
• „Das Spiel mit PC-Würmern – Alle hassen sie. Jetzt können Viren und Würmer ihr übles Image aufbessern.(...) Ein Quartettspiel (...) zeigt Sobig, Sasser & Co. als schräge Fabelgestalten ..." tomorrow
• „Auf der (...) Webseite der Woche geht’s (...) um (...) Störenfriede..." Bayern 3
• „Viren sind Trumpf – Kartenspiel (...) klärt auf ..." Bravo Screenfun
• „Flotter Vierer – Das Quartett ist zurück – (...) Im Auftrag von Kartenfans hat er neben Plattenbauten auch Dönerbuden und Computerviren Platz auf der Spielkarte verschafft." Berliner Zeitung
• „Das Virusquartett – Da steckt die Spielfreude mal so richtig an: ... Niemand muss Angst um seinen Rechner haben, es geht wie bei einem normalen Quartett um einen Leistungsvergleich, nur dass es dieses Mal Viren, Würmer und Trojanische Pferde sind. Welcher Virus ist größer, häufiger oder einfach nur schädlicher? – Das ist doch mal was für Computer-Freaks (...)" Radio Schleswig-Holstein
• „Virtuelles Virenquartett – Früher spielte man es mit Autos, heute zieren Viren und Würmer die Quartettkarten...Sächsische Zeitung
• „Lerne Deinen Feind kennen – Wer sich lieber von einem Spiel als von einem Computervirus infizieren lässt, für den hat die Kölner Agentur known_sense und ihr Kunde GiT ein witziges Spiel entwickelt ..." Kölner Stadtanzeiger
• „Michelangelo schlägt Melissa – (...) Die Quartett-Spieler können eine Menge über (...) Viren und Würmer lernen ..." Ruhr Nachrichten
• „Lehrreich: Es gibt dämliche Werbegags und es gibt wirklich intelligente. "Computerluder", das wohl weltweit erste Virenquartett, gehört fraglos zur letzteren Kategorie. Das Ding ist ein echtes Kartenspiel: Auf 32 "Blatt" lernt man die "Leistungsdaten" und Charakteristika von acht Virengruppen – und das macht mehr Laune als in der Realität..." Spiegel Online
• „Gefahrlos Zocken mit Viren – von Viren wie "Lovsan", "Sobig" und "Elk Cloner" lässt man in der Regel besser die Finger. Das Quartettspiel "Computerluder" erlaubt nun den gefahrlosen Umgang mit den digitalen Plagegeistern..." manager-magazin
• „Eine Art Wurmfortsatz – Viren und Würmer sind eine Seuche. Jetzt gibt es die Schädlinge auch noch in einer neuen Form: als Kartenspiel. Die Kölner Agentur known_sense und ihr Kunde GiT hatten die Idee zu diesem Quartett ... " ComputerPartner
• „...spieltechnisch nicht hoch angesiedelt, weil 'nur' ein Quartett (...) Aber als Geschenk für geplagte PC-User hat es dennoch einen gewissen Originalitätsfaktor..." spielwiese.at
  

Mehr über unsere Studien >>

Mehr über das Virusquartett und andere Security-Games >>