Im Test: Open Beware
Awareness-Tool als Open Source
Wer das Sicherheitsbewusstsein seiner Mitarbeiter steigern will, kann seit neuestem auf das Open-Source-Lernprogramm "Open Beware" zurückgreifen. Das Produkt ist eine rundum solide Basis für eine kleine Awareness-Kampagne.
Große Firmen leisten sich aus gutem Grund teure Awareness-Kampagnen und ganze Spezialistenteams,
um ihre Mitarbeiter als Verbündete gegen IT-Risiken und Verletzungen der Informationssicherheit zu
gewinnen. Das SAP-Konzept der Belegschaft als "wichtigster Firewall (LANline 7/2005, Seite 56) ist
dafür ein gutes Beispiel. Der Aufwand, den ein Weltkonzern mit eigenen Videos, Plakataktionen, fest
angestellten Spezialisten und weiteren Maßnahmen treiben kann, ist für kleine Unternehmen
allerdings zu groß.
Das Unternehmen BDG hat die Einstiegsschwelle für sinnvolle Awareness-Maßnahmen nun
dankenswerter Weise ein wenig gesenkt. Unter dem Namen "Open Beware" stellt der
IT-Sicherheitsanbieter ein Lernprogramm unter der General Public License ins Web, das frei
verwendet, verändert und weitergegeben werden darf – nur der kommerzielle Vertrieb der Software und
ihrer Abkömmlinge ist nicht erlaubt.
Open Beware ist ein attraktiv gestaltetes, übersichtliches Online-Lernprogramm auf der Basis von
XHTML und Javascript. Um es einzusetzen, muss der Anwender oder Administrator lediglich das etwa
1,5 MByte große ZIP-Archiv von www.open-beware.de laden und auf einem lokalen oder Netzlaufwerk
entpacken.
Gutes Basiswissen vermittelt
Gestartet wird standardmäßig über die Datei index.html. Die Software ist in fünf Lektionen zu
den Themen "Sicherer Umgang mit E-Mails", "Bedrohung durch Computerviren", "Passworte", "Surfen im
Internet" und "Umgang mit vertraulichen Informationen" aufgeteilt. Jede Lektion ist mit Bildern und
Beispielen angereichert, kann vom Anwender im Wunschtempo durchgeblättert werden und mündet in
einen Abschlusstest, der ausschließlich der Selbstkontrolle des Lernenden dient: Klickt er auf die
richtigen Antworten, kommt er weiter, klickt er auf die falschen, erhält er noch einmal die
richtige Information in Kurzform. Stress wird nicht aufgebaut, denn der Benutzer erfährt sofort,
dass seine Testergebnisse nicht festgehalten werden. Die Lerneinheiten sind auf etwa 10 bis 15
Minuten berechnet, insgesamt dürfte ein Anwender etwa eine Stunde für die kompletten Lektionen
benötigen.
Inhaltlich schafft es Open Beware, Basiswissen zu vermitteln, das durchaus dazu geeignet ist,
die Vorsicht beim Umgang mit Mail und Web zu erhöhen – so erfährt der Anwender beispielsweise, wie
leicht Absenderadressen gefälscht werden können, was Trojaner und andere Schadprogramme anrichten
und wie man mit etwas Umsicht Risiken beim Umgang mit Attachments minimiert. Fast überall – nur
einmal ist plötzlich von "Domains", "Protokollen" und anderen Internet-Interna die Rede – spricht
das Programm dabei eine allgemeinverständliche Sprache. Die Grenzen eines Basis-Lernprogramms
zeigen sich nur bei Themen wie der Überprüfung von Webzertifikaten, die Open Beware bestenfalls
anreißen kann. Gut ist, dass auch die Social-Engineering-Problematik zumindest berührt wird, denn
die Software warnt vor der arglosen Weitergabe von Kennwörtern bei vermeintlichen
Helpdesk-Anrufen.
Kleine Eingriffe bewusst provoziert
Zumindest an einer Stelle kommt ein Unternehmen um eine Ergänzung der Open-Source-Version nicht
herum, wenn er Open Beware ernsthaft zur Schulung seiner Mitarbeiter einsetzen will: Die
Kontaktdaten von Personen wie dem Sicherheits- und Datenschutzbeauftragten müssen hinterlegt
werden, damit der Lernende sie im Programm nachschlagen kann. "Damit wollen wir die Unternehmen
dazu bringen, selbst ihre grundlegenden Organisationsstrukturen zu überdenken", erklärt John von
Simson, Geschäftsführer von BDG, diesen Punkt. Dass ein Lernprogramm ohne Verankerung in einem
sinnvollen Sicherheitskonzept nur begrenzte Schlagkraft besitzt, zeigt sich deutlich auch am
Kapitel zum Umgang mit vertraulichen Daten: Helfen können dort vermittelte Inhalte zu
Vertraulichkeitsstufen natürlich nur, wenn unabhängig von der IT im Unternehmen tatsächlich eine
Klassifizierungsstruktur für mehr oder weniger vertrauliche Dokumente existiert und wenn das
Unternehmen seinen Angestellten die entsprechenden Bewertungskriterien zugänglich gemacht und den
Wert der ihm anvertrauten Dokumente vermittelt hat. Open Beware könnte in manchem Unternehmen
durchaus Schritte zur professionelleren Behandlung von IT-Sicherheitsfragen auslösen.
An Policies anpassen
Open Beware ist in der von BDG distribuierten Version nicht konkret auf Unternehmen
eingerichtet, das spezielle Regelungen zur Privatnutzung von E-Mail und Internet aufgestellt haben.
BDG hat die Texte so gestaltet, dass sie notfalls auf jede Umgebung zutreffen. Hier sollte der
Administrator gegebenenfalls eingreifen und die allgemein gehaltenen Formulierungen den geltenden
Sicherheitsregeln anpassen.
Generell fällt auf, dass Verschlüsselung in Open Beware sehr kurz kommt und im Virenkapitel
sogar eher negativ als hinderlich für Virenscanner präsentiert wird. Angesichts des aktuellen
Trends zu mehr Verschlüsselung am Arbeitsplatz könnte auch dies ein Bereich sein, der Veränderungen
oder Erweiterungen verdient. Nützlich wäre es auch, Fragen der Rechte der Mitarbeiter aufzunehmen,
um Open Beware auf diese Weise zu einem Tool zu machen, das die Angestellten im eigenen Interesse
aufsuchen.
Zur eigenen Weiterentwicklung von Open Beware benötigt man Basiswissen über HTML und Javascript
sowie einen guten Webeditor – beispielsweise den ebenfalls freien NVU von www.nvu-composer.de.
Gedanken machen sollte man sich schließlich um ein Detail, das unglückliche Konsequenzen hat, aber
schwer auszumerzen ist: Wer Open Beware im aktuellen Internet Explorer mit unveränderten
Sicherheitseinstellungen startet, wird sofort zu Beginn vor den aktiven Inhalten des Lernprogramms
gewarnt und muss die Java-Scripts selbst frei schalten. Im Kurs wird er dann allerdings lernen,
dass genau dieses Vorgehen eine recht risikoreiche Handlung darstellt.
Info: BDG Tel.: 0221/9542310 Web: www.bdg.de
Lesen Sie mehr zum Thema
