Live Blogging: Sexy-Security
Willkommen zum Live Blogging zur Veranstaltung Sexy-Security des eco-Verbands. Start der Veranstaltung ist um 13:30.
Update 12:55:
Bis zur Kaffee-Pause stehen zwei Vorträge an: “Die geheime Logik der Informationssicherheit – Security aus der Perspektive der Tiefenpsychologie” und “Security Awareness durch Blended Learning Next Generation”. Vortragen werden Dietmar Pokoyski und Katrin Prantner, zwei der Autoren des Buchs “Security-Awareness“.
Update 13:05:
Die Registrierung zur Veranstaltung ist in vollem Gange und die ersten Referenten haben den Veranstaltungsraum erreicht. Dem Start der Veranstaltung um 13:30 steht also nichts mehr im Wege.
Update 13:35:
Die Veranstaltung beginnt mit der Begrüßung durch Markus Schaffrin, dem Fachbereichsleiter E-Business bei eco e.V. Neben dem Rednerpult stehen schon die Give-Aways von Dietmar Pokoyski: Eine Sicherheitskulturtasche. Herr Schaffrin weist auf das Projekt Botnet-Disinfection-Center hin, dass der eco-Verband in der nächstesn Zeit starten wird. Auch Herr Dr. Kurt Brand, der Arbeitskreisleiter Sicherheit begrüßt die Teilnehmer – besonders die große Anzahl weiblicher Teilnehmer.
Update 13:55:
Nachdem Dietmar Pokoyski (known_sense) kurz seine Agentur known_sense vorgestellt hat, spricht er direkt den Ansatz der systemischen Kommunikation an. Dieser Ansatz bildet zusammen mit dem Marketing-Ansatz den Zweiklang der Veranstaltung.
Die erste Frage lautet: “Was ist sexy und was macht Security sexy?” Die Antwort lautet: “Sexy ist, was uns anspricht”.
Update 14:05:
Security hat nun das Problem, “unsexy” zu sein. Die Frage in diesem Umfeld lautet nun, wie man Security messen kann. quantitative Fragebögen stoßen bei dieser psychologischen Sichtweise an ihre Grenzen. Daher empfiehlt Herr Pokoyski qualitative Wirkungsanalysen, die den Befragten die Möglichkeit bieten, ihre eigenen Antworten zu geben und nicht in den Antworten eines Fragebogens denken zu müssen. Als positiv-Beispiele stellt er kurz die Ergebnisse seiner drei Studien vor (Entsicherung am Arbeitsplatz, Aus der Abwehr in den Beichtstuhl, Sicherheit von oben).
Update 14:20:
Nach einer kleinen Fragerunde steigen wir in die Welt der Prinzessin ein, die im Märchen vom Meerhäschen auf der Suche nach dem “Richtigen” ist. Die Prinzessin verkörpert in dem Märchen den absoluten Überblick und einen weitgreifenden Kontrollzwang, der in der Realität nicht zu einem Sicherheitsgewinn führt. Das Märchen dient dabei als Metapher für diesen sonst eher technisch umrissenen Sinnzusammenhang.
Update 14:35:
Fazit des Vortrags: Die vorgestellten qualitativen Analyseansätze (Tiefeninterviews, Awareness-Tools als Kommunikationsbeschleuniger, paradoxe Intervention) liefern Erkenntnisse, die weit über die quantitativen Ansätze hinausgehen. Schwierig ist es jedoch, aus diesen Ergebnissen konkrete Handlungsanweisungen abzuleiten. Diese sind ebenso “weich”, wie die Methodik der Analyse und erfordern daher viel kommunikatives Geschick.
Awareness-Marketing wird erfolgreich durch: Storytelling und kulturelle Valenz und Authentizität.
Update 14:50:
Im zweiten Vortrag stellt Frau Prantner (E-SEC) Blendet Learning Next Generation vor. Als Softwareanbieter bietet die E-SEC das Tool E-SEC Virtual Training Company an, das auch in der Initiative “Sicherheit mit System” zu Einsatz kommt. Ausgangspunkt sind nicht etwa komplizierte Fragen des Security-Managements, sondern die Fragen, die jeden einzelnen Mitarbeiter im Arbeitsaltag beschäftigen.
Update 15:05:
Das Problem von Mitarbeitern mit Sicherheitsrichtlinien ist, dass sie
- die Richtlinien nicht verstehen,
- sich die Regeln nicht merken können,
- die Regeln nicht in den Arbeitsalltag übertragen können und
- sich verpflichtend daran halten müssen.
Die Virtual Training Company nimmt die Mitarbeiter nun mit an die Stellen im Unternehmen (z.B. Besprechungsraum), an denen die zutreffenden Sicherheitsrichtlinien präsentiert werden und dort auch nachträglich abgerufen werden können.
Ob eine Security-Lösung sexy ist, hängt von der Zielgruppe ab: Unternehmensleitung, IT-Fachpersonal oder Mitarbeiter.
Update 15:15:
Zum Abschluss ihres Vortrags weist Frau Prantner auf die Gefahren der Sexy-Security hin: Es darf nicht zu sexy werden, damit die Seriosität der Plattform nicht verloren geht. Die multimediale Unterstützung muss daher immer gegen die inhaltliche Spezifikation geprüft werden und darf keine Möglichkeit bieten, sich ablenken zu lassen.
Kaffee-Pause und Networking bis 15:45Uhr.
Update 16:00:
Für den zweiten Teil der Veranstaltung stehen die Vorträge von Elmar Frey (Freylance Werbeagentur GmbH), Jens Freitag der Avira GmbH und von Herrn Dr. Brand an. Herr Frey startet mit dem Vortrag “Kontrolle ist gut, Vertrauen ist besser”. Weiter geht es danach mit Herrn Freitag und dem Vortrag “IT-Sicherheit im täglichen Kampf gegen Cybercrime – unsere neuesten Waffen und ihre Wirkungen”. Herr Dr. Brand schließt dann die Veranstaltung mit den Ergebnissen der eco-Umfrage “Internet-Sicherheit 2010″.
Update 16:10:
Herr Frey spricht mir aus der Seele, als er seinen Vortrag mit dem Sicherheitsparadoxon beginnt: Risikoabwehr schafft Verunsicherung. Ein Problem, dass ich auch in meinem Buch analytisch (und praktisch) aufgearbeitet habe. Sicherheitsverantwortliche müssen daher aus seiner Sicht Sparringspartner, Kulturgeber und Vordenker sein, um mit den Herausforderungen der Zukunft zurecht zu kommen.
Achtung: Kontrolle aus Misstrauen => Loyalitätsverlust!
Update 16:20:
Herr Frey vergleicht Sicherheitsanstrengungen mit dem Begriffspaar Krankenkasse und Gesundheitskasse: Statt Versorgungsanspruch im Krankheitsfall geht der Trend zu Eigenverantwortung und Vorsorge – mit besseren Ergebnissen.
Ein Fallbeispiel sind die Sicherheitsmaßnahmen “Sicherheitsgurt” und “Airbag” im Auto: Airbags waren und sind, im Gegensatz zum Sicherheitsgurt, nie verpflichtend gewesen und doch waren sie schon zu Beginn Verkaufsargument für PKWs, auch bei zusätzlichen Kosten. Ein weiteres Problem des Sicherheitsgurts war und ist es, dass er eine dauerhafte Mitwirkung erfordert.
Update 16:40:
“Durch falsche Kommunikation im Unternehmen entstehen Feindbilder, die zu einer Vorverurteilung der Security-Thesen führen.”
Anhand der Beispiele “Airport-Kontrollen” und “U-Bahn-Kontrollen” werden diese Feindbilder angeregt diskutiert. In den Mittelpunkt der Diskussion rücken schnell die “Erfolgserlebnisse” der Kontrolleure, die sich bei Kontrollen auf ihre Vorurteile stützen.
Anhand eines Fallbeispiels wird dargestellt, wie Akzeptanz durch Freiwilligkeit, statt Verordnung erreicht werden kann. Das Fazit des Vortrags lautet daher:
“Kontrolle ist gut, Vertrauen ist besser!”
Update 16:55:
Die Herren Jens Freitag und Michael Witt (Avira GmbH) schließen lückenlos mit ihrem Vortrag an: “IT-Sicherheit im täglichen Kampf gegen Cybercrime – unsere neuesten Waffen und ihre Wirkungen”. Jens Freitag beginnt damit, das Thema Sexy-Security zu adressieren, indem er den Teilnehmern die Tür zum Antivirenlabor von Avira öffnet. Der Weg dorthin führt über die Angriffsmöglichkeiten aus dem Umfeld von Web 2.0.
Update 17:10:
Es folgt ein Vortrag zu den üblichen Cyber-Bedrohungen: Viren, Trojaner, SPAM, Phishing etc. Dazu fallen viele Fachbegriffe und Abkürzungen – sehr viele. Ich hoffe, jeder kann folgen.
Update 17:25:
Nach 25 Minuten kommen wir nun zu den Waffen im Kampf gegen die Bedrohungen. Diese haben sich über die folgenden Stufen entwickelt:
- Antiviren-Scan
- Antiviren Heuristik
- HIPS
- Generic repair
Leider immer noch kein Einblick in die Avira-Labors.
Update 17:45:
Als letzten Vortrag des Tages stellt Herr Dr. Brand die Ergebnisse der eco-Umfrage “Internet-Sicherheit 2010″ vor. Demnach halten 82% der Befragten die Bedrohung für wachsend oder stark wachsend. In den Vordergrund sind bei den Befragten die organisatorischen Fragestellung gerückt, technische Fragen waren rückläufig. Detailierte Ergebnisse gibt es im PDF-Dokument.
Update 18:00:
Ende der Veranstaltung.
