ψ² = Ps(i)²
Auf vielen Security-Konferenzen steht in diesem Jahr Lieblingsthema – die richtige Kommunikation mit Mitarbeitern und Führungskräften – im Mittelpunkt. Auf vier Konferenzen bin ich als Referent mit dabei. Kernthema meiner Vorträge wird es sein, der Frage nachzugehen, wie IT-Sicherheitsbeauftragte es schaffen, Mitarbeiter und Führungskräfte dabei zu unterstützen, richtig mit den Gefahren komplexer Informationssysteme umzugehen: Die richtige Kommunikationsstrategie ist gefragt.
Technik allein ist angesichts der modernen Lebens- und Arbeitswelt mit ihrem immer freieren und unvorhersagbaren Kommunikationsverhalten zunehmend machtlos. Der Anwender muss einen Teil der Verantwortung selber tragen, aber dazu fehlt ihm heute meist noch das Wissen und Können. Ich würde mich freuen Sie auf einem der Events persönlich kennen zu lernen. Wir können uns gerne auf der Veranstaltung treffen. In Zürich wird es am Vorabend eine XING-Veranstaltung der IT-Connection geben, die ich moderieren werde. Hier die Links zu den Events:
- Vortrag: Fackongress zur security-zone vom 22. bis 23.09.2010 in Zürich
- Vortrag: 2. secAware vom 29. bis 30.09.2010 in Frankfurt a.M.
- Keynote: OWASP AppSec-Konferenz als begleitende Fachveranstaltung zur it-sa vom 19. bis 21.10.2010 in Nürnberg
- Workshop und Vortrag: T.I.S.P. Community Meeting des TeleTrusT e. V. vom 03. bis 04.11.2010 in Köln
ψ² = Ps(i)²
Zuletzt veröffentlichte der Branchenverband Bitkom eine Passwort-Studie, wonach 37 Prozent der Befragten ihre Passwörter an andere weitergeben.
“Viele Menschen geben ihre Passwörter weiter, weil sie befürchten, sie selbst zu vergessen – ähnlich wie den Haustürschlüssel, den man sicherheitshalber in der Nachbarschaft hinterlegt..”
Das war damals die ebenso überraschende wie wenig überzeugende Interpretation der Studie. Diesmal lautet die wichtigste Erkenntnis der Studie:
“Deutsche sind ihren Passwörtern zu treu
- 40 Prozent ändern ihre wichtigsten Zugangscodes nie freiwillig
- Frauen argloser als Männer, Jüngere verhalten sich vergleichsweise vernünftig”
Nach der überraschenden Interpretation bleibt die Bitkom diesmal auf dem Teppich. Schade eigentlich…
ψ² = Ps(i)²
Am Samstag beschäftigte sich die FTD Deutschland mit einem Thema, dass ich auch schon mehrfach auf der Agenda hatte: Soft Skills. Demnach stehen seit der Wirtschaftskrise Themen wie Mitarbeiterführung, Empathie oder soziale Kompetenz im Mittelpunkt der Kursinhalte von Weiterbildungsprogrammen. Die IE Business School in Madrid etwa setze in ihren Programmen neuerdings auf interpersonelle Fähigkeiten. Ziel sei es, sich in andere Menschen hineinzuversetzen und von dem Wissen anderer zu profitieren – egal ob Mitarbeiter, Kunden oder Geschäftspartner.
Was für Standard-Manager gilt, gilt auch für Security-Manager. Die Anforderungen sind hier jedoch umso höher. “Normale” Linienmanager mussten sich auch bisher schon mehr oder weniger gut in Mitarbeiter, Kunden oder Geschäftspartner hineinversetzen können. Diese Anforderung ist für Security-Manager relativ neu. Viele stehen immer noch mit einem Bein im Serverraum. Mein im März erschienenes Buch “Konfliktmanagement für Sicherheitsprofis” beschäftigt sich ausführlich mit den Soft Skills, die man als IT-Sicherheitsbeauftragter, Datenschützer und Co. im täglichen Leben braucht.
ψ² = Ps(i)²
Das berichtet der Branchenverband BITKOM in einer Pressemitteilung. Diese Freizügigkeit gelte nicht nur für private Passwörter für ihren PC, Internet-Seiten und Co., sondern auch am Arbeitsplatz, wo jeder Dritte seine beruflichen Passwörter anderen Personen anvertraue. Das ergab eine repräsentative Forsa-Umfrage im Auftrag des BITKOM.
„Dass die Bürger ihren Mitmenschen vertrauen, ist zwar grundsätzlich ein positives Zeichen – Passwörter sollten aber nur in Ausnahmesituationen weitergegeben werden“, sagte BITKOM-Präsidiumsmitglied Prof. Dieter Kempf. „In Einzelfällen kann eine zeitlich begrenzte Weitergabe des Passworts an vertrauenswürdige Personen, z.B. für Wartungsprozesse, notwendig sein. Es sollte dann jedoch zeitnah das bisherige Passwort gegen ein neues getauscht werden. Grundsätzlich empfehlen wir größtmögliche Zurückhaltung.“
Ostdeutsche seien etwas misstrauischer als Westdeutsche: 22 Prozent (Westdeutsche: 28 Prozent) geben ihre Passwörter an den Partner weiter, nur sechs Prozent an Verwandte (Westdeutsche: 10 Prozent). Auch bei der Weitergabe von beruflichen Passwörtern sind die Ostdeutschen zurückhaltender: Während jeder fünfte (19 Prozent) Westdeutsche sie Kollegen anvertraut und jeder achte dem Chef, gibt nur jeder zehnte bzw. zwölfte sie an Kollegen und den Chef weiter. Drei Viertel (75 Prozent) der Ostdeutschen vertrauen niemandem ihr Passwort an, bei den Westdeutschen sind es nur 60 Prozent.
„Viele Menschen geben ihre Passwörter weiter, weil sie befürchten, sie selbst zu vergessen – ähnlich wie den Haustürschlüssel, den man sicherheitshalber in der Nachbarschaft hinterlegt. In der digitalen Welt gibt es dafür aber bessere Alternativen“, so Kempf.
Forsa befragte in der repräsentativen Studie 1.003 zufällig ausgewählte deutschsprachige Personen ab 14 Jahren per Telefon. Bei der Frage nach beruflichen Passwörtern wurden die Nicht-Erwerbstätigen herausgefiltert, so dass sich eine neue Grundgesamtheit von 413 Personen ergab.
ψ² = Ps(i)²
Es ist soweit: Mein neues Buch “Information Security Risk Management mit ISO/IEC 27005″ kann bei Amazon vorbestellt werden. Aber selbst ich weiß noch nicht, ob man es empfehlen kann, weil ich es ja noch nicht fertig habe. 
Bis jetzt finde ich es aber ganz gut.
Aktuell schreibe ich im zweiten Kapitel zu dem Thema offizielle Übersetzungen der ISO-Standards. Kleine Kostprobe:
Auch möglich ist es, die deutschen Übersetzungen der Standards zu verwenden. Man sollte sich jedoch nicht zu viel von diesen Übersetzungen erwarten. Da wird „normative references“ schon mal mit „normative Verweisungen“ übersetzt.
Am Ende rate ich übrigens von den deutschen Übersetzungen ab und übersetze die im Buch verwendeten Begriffe selbst. Und zwar so, dass man versteht um was es geht, ohne dauernd den Original-Text zur Hand zu haben. Das Verwirrspiel um den Unterschied zwischen Risikoeinschätzung, Risikoabschätzung, Risikobewertung, Risikoanalyse und Risikobeurteilung wird so für die Leser umschifft.
Außerdem wird das Buch mit Smartphones wie dem iPhone oder dem Nokia N97 interagieren können. Wie, das wird natürlich noch nicht verraten.
