Der Security-Spezialist Sophos stellt auf seiner Website kostenlose Awareness-Materialien zur Verfügung, mit denen sich nach Ansicht des Anbieters „im Handumdrehen eine komplett neue Kampagne“ starten lässt. LANline untersucht, ob tatsächlich so viel Zuversicht angebracht ist.

Sophos bietet über seine Unternehmens-Website unter dem Titel „IT-Security Dos and Don´ts“ frei verfügbare Trainingsmaterialien für Awareness-Kampagnen an. Enthalten sind E-Mail-Vorlagen, ein Handbuch für Mitarbeiter, Argumentationshilfen, Poster und Videos. Weitere Informationen, die sich an Endbenutzer richten, sind das „Schreckxikon“ (Sophos Ltd., 2013), das Fachbegriffe für unterschiedliche Angriffsformen in einfacher Sprache erläutert, und der Blog „Naked Security“, der sich mit aktuellen Themen aus dem Umfeld der IT-Sicherheit befasst. Auf der Website finden sich zudem Sicherheitstipps zur Erstellung einer Security-Richtlinie und Whitepaper, die allerdings in diesem Artikel nicht weiter betrachtet werden sollen.

Bild 1. Beispiel aus dem Handbuch für Mitarbeiter.

Die E-Mail-Serie aus dem Toolkit besteht aus elf vorformulierten E-Mail-Texten, die sich in Form einer Kampagne an die Mitarbeiter eines Unternehmens senden lassen. Zehn E-Mails behandeln jeweils ein Thema und liefern Tipps für praktisch umsetzbares Verhalten. Zudem findet sich in jeder Nachricht ein Link auf das IT-Security-Handbuch, das alle Themen nochmals zusammenfasst, sowie ein Verweis auf ein Youtube-Video, in dem das Thema der E-Mail nochmals aufgegriffen wird Die elfte E-Mail ist eine Nachricht, die vor dem Start der Kampagne zu versenden ist, um das Programm anzukündigen.

Die Poster enthalten jeweils einen kurzen Merksatz und ein Bild. Beide sollen Motive aus den übrigen Materialien aufgreifen. Eines der Plakate fällt ein wenig aus der Reihe, da es gleich mehrere Dos und Don’ts zur Passwortgestaltung enthält. Das Handbuch für Mitarbeiter fasst alle Security-Tipps des Toolkits zusammen. Es betrachtet alle zehn Themen und ist als Broschüre gestaltet.

Als Argumentationshilfe für die Durchführung einer Security-Awareness-Maßnahme gegenüber dem Management liefert Sophos einen vorformulierten Text für eine E-Mail mit, der auf die Wichtigkeit solcher Programme, auf die mit Sicherheitsvorfällen verbundenen Schäden und die kostenlosen Materialien von Sophos verweist.

Bild 2. Krokodile in der Badewanne.

Zu allen Themen des Toolkits sind auf Youtube zusätzliche kurze Videos mit einer Länge von jeweils rund einer Minute verfügbar – anders als die übrigen Materialien allerdings ausschließlich in englischer Sprache.

Zur Durchführung von Frontalschulungen oder zur Verwendung in Meetings findet sich außerdem eine Powerpoint-Präsentation im Paket – und als Abrundung ist schließlich noch eine Anleitung „zum Kampagnenstart“ verfügbar, die die Vorbereitung, Durchführung und Nachbereitung einer kompletten Security-Awareness-Maßnahme behandelt. Sie befasst sich mit folgenden Schritten:

  • Gewinnen von Unterstützern,
  • Wahl der passenden Materialien aus dem Toolkit,
  • Anpassung der Materialien an die eigenen Bedürfnisse,
  • Kampagnenplanung,
  • Start der Kampagne und
  • Wiederholung der Tipps aus der Kampagne.

Bewertungskriterien

Für die Bewertung des Toolkits wurde ein eigenes Bewertungsschema entwickelt, das auf dem aktuellen Forschungsstand zum Thema „menschliche Faktoren der Informationssicherheit“ und auf Best Practices sowie Normvorgaben (zum Beispiel PCI DSS) beruht. Es ermöglichte die Vergabe von bis zu zehn Punkten in den folgenden Bereichen:

Qualität der Information: Hier spielt es eine Rolle, ob die Inhalte den Stand der Technik widerspiegeln, den Zielgruppen angemessen sind, ob die Verhaltensvorschläge nach aktuellen Erkenntnissen tatsächlich zu einem Sicherheitsgewinn führen, ob erfolgskritische Themen wie die Wechselwirkungen mit der Unternehmenskultur angesprochen werden, ausreichend Material für die typischen Zielgruppen vorhanden ist, ob auch die Verantwortlichen einer Kampagne angesprochen werden und ob Hilfen für eine Erfolgsmessung enthalten sind.

Bild 3. Gesamtbewertung des Toolkits.

Umfang: Beim Umfang geht es darum, ob die nach aktuellen Erkenntnissen wichtigsten Themen behandelt sind und ob genug Material vorhanden ist, um den Bedarf von unterschiedliche Branchen sowie Organisationstypen und Zielgruppen mit divergierender Technikaffinität zu erfüllen, wobei auch verbreitete Normen (PCI DSS mit der Forderung nach dem Einsatz mehrerer medialer Kanäle, ISO 2700x etc.) zu berücksichtigen sind. Folgende Punkte spielen eine zentrale Rolle:

  • Informationen zu Malware,
  • Informationen zu Phishing,
  • Informationen zu Social Engineering,
  • Informationen zu Konfigurationsfehlern und veralteter Software,
  • Informationen zur Passwortsicherheit und
  • Bereitstellung unterschiedlicher Medien.

Verständlichkeit: Die Kernthemen sollten einfach erklärt und einprägsam dargestellt sein. Tipps sollten einen Bezug zum Arbeitsalltag der Adressaten haben und tatsächlich umsetzbar sein. Werden Forderungen gestellt („Sperren Sie ihren Computer“), muss auch erläutert werden, wie der jeweilige Adressat dies auf seinem System tun kann. Bilder können die Argumentation stützen, Themen sollten über die verschiedenen Materialientypen hinweg wiederzuerkennen sein. Geschickt eingesetzte Analogien tragen zur leichten Nachvollziehbarkeit bei.

Anpassbarkeit: Die Inhalte sollten so aufbereitet sein, dass sie für den Bedarf der Zielgruppen in den Organisationen leicht anzupassen sind. Laut Kevin Mitnick finden sich in nahezu allen Organisationen zumindest die speziell zu adressierenden Gruppen der Manager, des IT-Personals, des nichttechnischen Personals, des Empfangspersonals und des Sicherheitsdiensts. Damit wird es auch zum Qualitätsmerkmal, inwieweit die Lizenzierung des Materials Bearbeitungen durch die Anwender zulässt und inwieweit die Formate solche Änderungen erleichtert oder erschweren.

Vermittlung aktueller Inhalte: Die Materialien müssen Risiken erfassen, die mit aktueller Hard- und Software sowie Online-Diensten verbunden sind, und sie müssen aktuelle Bedrohungstrends aufgreifen. Außerdem sollte das gesamte Material es zulassen, möglichst leicht neue Themen zu integrieren – sonst werden die Maßnahmen von den Mitarbeitern allzu schnell als veraltet und irrelevant angesehen.

Motivation: Die Materialien sollten die Zielgruppen dazu motivieren, sich für Sicherheit einzusetzen, und sie sollten für das ausführende Team Hilfen enthalten, interne „Sponsoren“ wie die Geschäftsleitung oder Compliance-Abteilungen zu gewinnen.

Bewertung

Insgesamt wurde das Sophos Dos and Don’ts Toolkit am Ende mit lediglich 30 von 60 Punkten bewertet, die nach dem eingangs beschriebenen Bewertungsschema möglich gewesen wären.

Während die meisten der bewerteten Aspekte auf eine gute, mittlere Punktzahl kommen, verdient die Aktualität der Inhalte keinen Punkt. Die Inhalte des Toolkits sind 2012 erstellt und seitdem offenbar nicht weiter aktualisiert, obwohl dies am Ende des Handbuchs für Mitarbeiter so versprochen wird. Die in den Materialien des Toolkits genannten Beispiele beziehen sich allesamt auf Fälle, die vor 2012 stattgefunden haben. Damit sind diese nicht mehr aktuell und vermutlich in den meisten Fällen schon in Vergessenheit geraten.

Besonders jenes Beispiel, wonach ungeschützte Web-Seiten ein Kapern von Benutzer-Accounts ermöglichen, ist stark veraltet und mittlerweile sogar falsch. Das genannte Tool „Firesheep“ wird seit 2010 nicht mehr weiterentwickelt und ist noch nicht einmal mehr mit aktuellen Firefox-Versionen kompatibel. Auch die genannten Schwachstellen der nicht durchgängigen SSL-Verschlüsselung bei Facebook sind in der Zwischenzeit behoben worden.

Das Beispiel des Toshiba-Hacks geht auf das Jahr 2011 zurück. In der Zwischenzeit dürfte sich kaum jemand noch an diesen Vorfall erinnern. Aktuellere Beispiele, die an dieser Stelle zur Sprache kommen könnten, sind die Hacks bei Yahoo und der Einbruch in E-Mailkonten von prominenten Politikern Anfang 2017.

Problematisch ist zudem, dass einige aktuelle Probleme, die Unternehmen zu schaffen machen – wie etwa der CEO-Fraud oder Ransomware – gar nicht Thema sind. Zwar vermitteln einige der in den Materialien des Toolkits genannten Tipps aus den Bereichen E-Mail-Sicherheit, Installation von Software und Social Engineering das richtige Verhalten gegen diese Bedrohungen, jedoch wäre es sinnvoll, sie konkret anzusprechen und Beispiele zu liefern – etwa, wie E-Mails aussehen, die Ransomware verteilen.

Außerdem fehlen Informationen darüber, wie der aktuelle Wissensstand der Mitarbeiter im Vorfeld der Kampagne ermittelt werden kann, damit auf eventuell vorhandenem Vorwissen aufgebaut werden kann und damit keine Langeweile aufkommt.

Negativ fällt zudem auf, dass der Leitfaden zur Gestaltung der Kampagne nur rudimentär ausgearbeitet ist und wichtige Bestandteile wie die Nachbereitung und Erfolgskontrolle vollständig vermissen lässt. Lediglich der Abschnitt zur Gewinnung der Unterstützung der Unternehmensführung ist mitsamt der zugehörigen E-Mail in ordentlichem Maße ausgearbeitet.

Der Umfang an Themenblöcken deckt die wichtigsten Bereiche Phishing, Social Engineering, Passwort-Sicherheit und Gerätesicherheit ab. Im Detail kommen in diesem Zusammenhang folgende Themenkomplexe über alle Materialientypen hinweg zur Sprache:

  1. Verhindern von Datenlecks,
  2. Arbeiten in sicheren Umgebungen,
  3. Aufbewahrung vertraulicher Dokumente,
  4. Sperren von Computern und mobilen Geräten bei Abwesenheit,
  5. das Melden ungewöhnlicher Aktivitäten,
  6. Passwortschutz für alle Daten,
  7. Passwort-Sicherheit,
  8. E-Mail-Sicherheit,
  9. unternehmensfremde Geräte und
  10. Softwareinstallation nur nach Freigabe durch das Unternehmen.

Informationen zu Malware, Konfigurationsfehlern und veralteter Software sowie zu aktuellen Themen wie Ransomware und CEO-Fraud sind nicht zu finden – wobei sich der Themenkomplex „Konfigurationsfehler und veraltete Software“ allerdings auch eher an IT-Systemadministratoren wenden müsste, während die Materialien des Sophos Dos and Don’ts Toolkits ausdrücklich an Mitarbeiter aus anderen Fachabteilungen gerichtet sind.

Da die Materialien allerdings in leicht zu bearbeitenden Formaten vorliegen, lassen sie sich recht einfach erweitern und um Informationen für andere Zielgruppen oder zu weiteren Themengebieten ergänzen, sodass sich die Lücken mit vergleichsweise geringem Aufwand füllen lassen.

So ließe sich zum Beispiel beim Tipp „Sperren Sie Ihren Computer“ ohne große Mühen hinzufügen, dass dies unter Windows ganz einfach mit der Tastenkombination WIN + L zu erreichen ist. Positiv sind die guten Beispiele und die wenigen, dafür aber passenden Analogien zu bewerten. Die gegebenen Tipps in den positiven Fällen entsprechen dem aktuellen Stand der Technik und sind zielführend, ohne zu viel technisches Verständnis vorauszusetzen. Hervorzuheben ist außerdem der Einsatz der Bilder: Über alle Medien hinweg, abgesehen von den Videos, verwendet der Anbieter dieselben Bilder, so dass eine Zusammengehörigkeit unterschiedlicher Medien für den Betrachter auf den ersten Blick erkennbar ist.

Auf den ersten Blick sind die meisten Bilder nicht sprechend. Vielmehr werfen sie Fragen nach der Bedeutung auf und machen den Betrachter eher neugierig. So kommt das Motiv aus Bild 2 für den Themenbereich Passwortsicherheit zum Einsatz. Ein direkter Bezug ist zunächst nicht erkennbar. Erst die zugehörige Erklärung aus dem Mitarbeiterhandbuch erklärt den Zusammenhang von Bild und Thema: „(…) Vermeiden Sie auch Muster auf der Tastatur, etwa Tastenfolgen wie ‚12345‘ oder ‚asdfg‘. Viel sicherer sind komplexe Passwörter: Verwenden Sie dazu große und kleine Buchstaben, aber auch Ziffern, Satz- und Sonderzeichen: (..) *$ie7enKr0k0dile:inderB@d3w@nne (Sieben Krokodile in der Badewanne).“

Die Bilder regen somit dazu an, sich mit dem Thema zu befassen, und sie fallen auf. Sie sind zwar nicht immer sofort zu verstehen, prägen sich aber gut ein und erinnern so deshalb bei erneuter Betrachtung an das zugehörige Thema.

Auch die Tatsache, dass die Materialien verschiedene Tricks zur Motivation der Mitarbeiter enthalten, ist ein Plus. Ein weiterer Punkt, der hervorzuheben ist, sind die weiterführenden Informationen im „Naked Security Blog“. Leider sind diese Informationen genau wie die Videos allerdings nur in englischer Sprache verfügbar, wodurch sie nicht allen Mitarbeitern problemlos zugänglich sind.

Fazit

Das Sophos Dos-and-Don’ts Toolkit stellt eine gute Arbeitsgrundlage für Organisationen dar, die noch keinerlei Awareness-Maßnahmen durchgeführt haben und deren Kampagne sich hauptsächlich an Mitarbeiter aus verwaltungsnahen Fachbereichen richtet. Wurden bereits Awareness-Maßnahmen durchgeführt, sind Teile des Toolkits zur Wiederholung der Inhalte nutzbar – allerdings dürfte es dann meist erforderlich sein, weitere neue Themenkomplexe zu ergänzen. Gleiches gilt, wenn neben Verwaltungsmitarbeitern auch spezielle Zielgruppen wie Mitarbeiter der IT, Empfangsmitarbeiter oder Manager anzusprechen sind. Weniger gut geeignet ist das Toolkit generell für Zielgruppen, die bereits über ein gutes Grundwissen in Sachen IT-Sicherheit verfügen.

In allen Fällen sollten interessierte Anwender den Bestand um aktuelle Themen wie CEO-Fraud und Ransomware erweitern, zumal die Mitarbeiter von diesen Themen vermutlich aus den Medien erfahren haben und deshalb möglicherweise verunsichert sind. Daher ist es überaus sinnvoll, diese Themen aufzugreifen und den Mitarbeitern zu erklären, womit sie es zu tun haben und wie sie gegen die entsprechenden Bedrohungen vorgehen können. Zum Erstellen dieser Materialien können dann durchaus die ebenfalls von Sophos zur Verfügung gestellten Whitepaper (beispielsweise zum Thema Ransomware) sowie entsprechende Einträge aus dem Naked-Security-Blog dienen.

Das Sophos-Toolkit mag somit zwar nicht perfekt und für alle Zielgruppen gleichermaßen geeignet sein, stellt als kostenloses Angebot aber durchaus eine gute Grundlage dar, die eben nach Bedarf an Sprache und Stil innerhalb individueller Unternehmen angepasst und um den einen oder anderen Themenblock zu ergänzen ist.

Zum Test

Der Beitrag stellt die Kurzfassung einer Seminararbeit von Tim Ziegler dar, die 2016/17 im Rahmen des Masterstudiengang-Lernmoduls „Ausgewählte Themen aus dem Bereich Internet und Sicherheit“ im Seminar „Kommunikationsaspekte der Informationssicherheit“ (Dozent: Dr. Johannes Wiele) am Institut für Internet-Sicherheit der Westfälischen Hochschule in Gelsenkirchen entstanden ist.