Der Mensch als Faktor in der Cybersicherheit

EISAS von ENISA: die Europäische Kommission fördert die Bildung des Problembewußtseins in Europa.

Das 2006 eingeführte europäische Informations- und Warnsystem EISAS zielt darauf ab, die Zusammenarbeit der Mitgliedstaaten bei ihrem Vorhaben, die Endbenutzer und KMU´s mit einschlägigen Sicherheitsinformationen zu erreichen, zu verbessern. Im Jahr 2012 hat die ENISA (das European Network and Information Security Agency) ein Pilotprojekt mit großem Umfang durchgeführt. Der groß angelegte EISAS-Pilotbericht enthält detaillierte Angaben zu den erfolgreichen Maßnahmen und ermittelt die Kosteneffizienz der europäischen Zusammenarbeit zur Sensibilisierung, während der aktualisierte Fahrplan von EISAS zukünftige Maßnahmen vorsieht.

Cybersicherheit liegt in der Regel in der Hand von Spezialisten, die technische Lösungen implementieren. Nutzer und kleine und mittlere Unternehmen (KMU) werden von dieser Maßnahme ausgeschlossen, obwohl die Endnutzer ein umfassendes Bewusstsein dafür haben sollten, dass sie die erste Verteidigungslinie gegen Cyber-Bedrohungen darstellen. Daher müssen diese Spieler über die Fähigkeit verfügen, um ihre Geräte, Daten und Online-Identität zu schützen. Keine Firewall oder Sicherheitsrichtlinie kann Benutzer effizient schützen, wenn sie sich der Risiken, denen sie ausgesetzt sind, nicht ausreichend bewusst sind. Wie EU-Kommissarin Nelly Kroes sagte: „Bei der Cyber-Sicherheit geht es auch darum, sicherzustellen, dass normale Computerbenutzer „Web Wise “ sind.“

Eine kürzlich durchgeführte Eurobarometer-Umfrage zeigt, dass sich die meisten EU-Bürger nicht darauf vorbereiten, ihre Online-Informationen zu schützen. Unglücklicherweise richten sich die meisten Bemühungen zur Sensibilisierung auf ein begrenztes Publikum: Mitarbeiter eines Unternehmens oder bestenfalls bestimmte Gruppen von Bürgern eines Landes.

Um das Bewusstsein für Cybersicherheit bei allen Bürgern und Unternehmen kontinuierlich zu erhöhen, hat die Europäische Kommission beschlossen, einen kollaborativen Ansatz zur Bewusstseinsbildung in Europa zu fördern. Das 2006 eingeführte europäische Informations- und Warnsystem EISAS zielt darauf ab, die Zusammenarbeit der Mitgliedstaaten bei ihrer Arbeit zu verbessern, um Bürger und KMU mit einschlägigen Sicherheitsinformationen zu erreichen.

Nach der 2010 veröffentlichten EISAS-Roadmap4-Empfehlung und dem 2011 veröffentlichten EISAS-Bericht zur Umsetzung5 führte die ENISA dieses Jahr das EISAS-Pilotprojekt durch. Dieses Projekt folgt der kürzlich erfolgreich getesteten dreistufigen Methodik, die im EISAS Basic Toolset6 definiert ist: Informationsbeschaffung, Informationsverarbeitung und Informationsverbreitung.

Im Rahmen des EISAS-Pilotprojekts haben nationale / staatliche CERTs (Computer Emergency Response Teams) und andere Gemeinden in Deutschland, Ungarn, Portugal, Norwegen, Spanien und Polen, die sich zur Teilnahme bereit erklärt haben, zu einer kollaborativen und grenzüberschreitenden Sensibilisierungsaktion zusammengeschlossen. Innovative Materialien zur Bewusstseinsbildung wurden von wichtigen Akteuren auf nationaler Ebene gewonnen. Ein internationales Team wurde gegründet, um die Materialien gemeinsam zu bearbeiten und an die Bedürfnisse und Besonderheiten der Bevölkerung eines jeden Stakeholders anzupassen.

Dieses Pilotprojekt hat gezeigt, dass diese Zusammenarbeit von einem Maklerakteur gefördert werden muss. Daher benötigt EISAS eine Stelle, die als Informationsvermittler und Vermittler fungiert. Die ENISA hatte diese Rolle in diesem Projekt übernommen, muss jedoch jetzt auf eine kollaborative Gemeinschaft von willigen Stakeholdern übertragen werden. In diesem Zusammenhang ist die Infrastruktur, die in diesem Jahr vom NISHA-Projekt – Network for Information Sharing and Alerting (NISHA), einem Projekt, das EISAS ergänzt und von der Generaldirektion Inneres (GD HOME) 7 mitfinanziert wird – errichtet wird, ein aussichtsreicher Kandidat zur Unterstützung der von EISAS geforderten Informationsvermittlung

EISAS Large Scale pilot-final

Projekte für die ENISA mit leitender Mitarbeit von  Code and Concept

• Studie zu „European Information Sharing and Alert System (EISAS) Basic toolset“: https://www.enisa.europa.eu/publications/eisas-basic-toolset

• Durchführung des „EISAS Large-Scale Pilot – Collaborative Awareness Raising for EU Citizens & SMEs“: https://www.enisa.europa.eu/publications/eisas-large-scale-pilot

Im Feld Informationssicherheit und Datenschutz arbeitet Code and Concept seit 2015 u.a. eng mit KomFIT (Kommunales Forum für Informationstechnik e.V.) in Schleswig-Holstein zusammen und ist dort u.a. mit der Entwicklung von Schulungskonzepten und Mitarbeitertrainings beauftragt. Die Methodik hat sich in vielen Projekten bewährt und ist – am Beispiel des Live Phishing Trainings in der Landeshauptstadt Kiel – auch öffentlich zugänglich beschrieben:

• Phishing-Simulation der Arbeitsgruppe Informationssicherheit der Landeshauptstadt (LH) Kiel: Artikel „Fisherman’s Foe“ in „<kes> – Die Zeitschrift für Informations-Sicherheit, Nr. 2 April 2018“ (In Zusammenarbeit mit dem Projekt „Sicherheit für Kommunen in Schleswig-Holstein“ (Si-KoSH), unterstützt in der Durchführung durch Code and Concept.)

• Artikel (pdf) „SiKoSH besiegt den großen Weißen Hai“ (Dr. Werner Degenhardt, Andreas Amann, Jan Koppelmann, Frank Weidemann) in: Die Gemeinde – Zeitschrift für die kommunale Selbstverwaltung in Schleswig-Holstein (70. Jahrgang, 05/2018)

• „SiKoSH Awareness für Kommunen“, YouTube-Video https://www.youtube.com/watch?v=2Lo4kpgnUAo

Die im Rahmen einer von der Landeshauptstadt Kiel einberufenen Pressekonferenz vorgestellte Kampagne wurde von der Publikumspresse gut aufgenommen:

• „Datenschutz-Training – Stadt testet Mitarbeiter mit Fake-Mail“ in: Kieler Nachrichten Online (22.06.2018): http://www.kn-online.de/Kiel/Datenschutz-Training-Stadt-testet-Mitarbeiter-mit-Fake-Mails

• „Datenschutz-Training – Kieler Verwaltung mit Fake-Mails getestet – Lob vom Städteverband“ in: shz.de (22.06.2018): https://www.shz.de/regionales/kiel/kieler-verwaltung-mit-fake-mails-getestetlob-vom-staedteverband-id20222672.html

• „Phishing im Rathaus – Drei von vier Stadtmitarbeitern waren wachsam“ in: shz.de (22.06.2018): https://www.shz.de/regionales/kiel/drei-von-vier-stadtmitarbeitern-waren-wachsamid20227837.html

• „Sensibilisierung für Phishing – Kieler Behörden fallen auf Fake-Mails herein“ in: n-tv.de (22.06.2018): https://www.n-tv.de/panorama/Kieler-Behoerden-fallen-auf-Fake-Mails-herein-article20493461.html

• „Fake-Mails: Verwaltung in Kiel getestet“ in: Lübecker Nachrichten Online (22.06.2018): http://www.ln-online.de/Nachrichten/Norddeutschland/Fake-Mails-Verwaltung-in-Kiel-getestet

• „Sensibilisierung für Cyber-Attacken – Kieler Verwaltung mit gefälschten Mails getestet“ in: Saarbrücker Zeitung (online) (22.06.2018): https://www.saarbruecker-zeitung.de/panorama/kieler-verwaltung-mit-gefaelschten-mails-getestet_aid-23575581

• „Cyber-Attacke – Verwaltung mit Fake-Mails getestet“ in: Bergedorfer Zeitung (online) (23.06.2018): https://www.bergedorfer-zeitung.de/incoming/article214665367/Verwaltung-mit-Fake-Mails-getestet.html

• „Cyber-Attacke vom Chef“ in: Hamburger Abendblatt (online) (23.06.2018): https://www.abendblatt.de/hamburg/article214665785/Cyber-Attacke-vom-Chef.html

• „Kiels Verwaltung mit Fake-Mails getestet“ in: welt.de (23.06.2018): https://www.welt.de/print/die_welt/hamburg/article178074816/Kiels-Verwaltung-mit-Fake-Mails-getestet.html