Introduction to Security VU - WS2018 (183.594) Lab2

Teamgröße: 4
Arbeitszeitraum: siehe (external link)tuwel

Abgabegespräch: siehe (external link)tuwel

Allgemein

In diesem Lab geht es darum, aufbauend auf den Erkenntnissen der Vorlesung zu Social Engineering, ein Security-Awareness-Programm für das in Lab1 angesprochene Unternehmen im Bereich der Kryptowährung-Verwaltung zu entwickeln und dieses anschließend zu präsentieren.

Einführung

Aktuelle IT-Systeme und -Landschaften sind vielfältig, komplex und sehr variant. Um ein entsprechendes Sicherheitsniveau zu erreichen, sind sowohl technische als auch organisatorische Maßnahmen erforderlich. Schlussendlich sind Sicherheitsmaßnahmen jedoch nur dann möglichst effektiv um- und eingesetzt, wenn sie von den AnwenderInnen richtig durchgeführt werden.

Genau hier liegt allerdings in vielen Fällen die Problematik. Die Ursachen dafür können sehr unterschiedlich sein. Oft liegt es daran, dass der Sinn hinter einer IT-Sicherheitsmaßnahme nicht (richtig) verstanden und sie somit z.B. nur als eine Behinderung der Arbeitsabläufe gesehen wird oder, dass kein Bewusstsein für die Auswirkungen bei Zuwiderhandlung bzw. bei erfolgreichen Angriffen auf die IT-Infrastruktur bei den AnwenderInnen vorhanden ist. Der Begriff Security-Awareness setzt genau an diesem Punkt an und zielt darauf ab, ein definiertes Sicherheitsniveau durch Maßnahmen, welche insbesondere organisatorischer Natur sind, zu vermitteln und zu erreichen. Diese Thematik betrifft alle Unternehmen und Organisationen, z.B. Unternehmen im Bankenbereich, im Energiebereich, Gesundheitsbereich und natürlich auch im Bereich der Verwaltung von besagter Kryptowährung (engl. cryptocurrency).

Eine Einführung in die Thematik Security-Awareness gibt z.B. die Publikation (external link)NIST Special Publication 800-50: Building an Information Technology Security Awareness and Training Program. Als weiterführende Literatur kann z.B. auch das Buch "Security Awareness" von Helisch, Pokoyski & Dietmar (2009) herangezogen werden, das als Online-Ressource in der TU-Bibliothek zur Verfügung steht.

Ausgangsbasis Aufgabenstellung

Ihre Überlegungen basieren auf einem weltweit agierenden Finanzunternehmen mit zahlreichen Standorten. Die Standorte sind untereinander vernetzt, damit ein einfacher Datenaustausch und eine zentrale Administration der IT-Systeme stattfinden kann. Das Unternehmen ist im Bereich der Kryptowährung und deren Verwaltung tätig und verarbeitet u. a. entsprechend sensible Personendaten.

Die gesamte Organisation setzt Informationstechnologie stark ein. Beschreiben Sie typische Aufgaben und Daten im Unternehmen, welche Schwachstellen speziell für diese Art von Organisation anfallen und welche Schwachstellen generell in einem auf Informationstechnologie fokussierten Bereich sowohl physisch als auch im technologischen Bereich vorkommen können und wie diese verhindert werden können. Beschreiben Sie zudem typische Endgeräte, die von den MitarbeiterInnen des Unternehmens verwendet werden. Bauen Sie darauf auf und überlegen Sie welche Daten für AngreiferInnen interessant sein können und wie mögliche Angriffe aussehen könnten.

Da die Geschäftsführung in Zeitungen in der letzten Zeit immer wieder von Angriffen auf die IT-Sicherheit anderer Unternehmen gelesen hat, möchte sie die Sicherheit der eigenen IT-Infrastruktur erhöhen. Das AdministratorInnen-Team hat versichert, dass auf technischer Seite bereits alle erforderlichen Sicherheitsmaßnahmen umgesetzt wurden. Es hat jedoch angeregt, dass aufgrund ihrer Erkenntnisse aus Support und Betrieb eine Awareness-Kampagne sinnvoll wäre, um die Awareness bei den Beteiligten zu steigern, damit IT-Sicherheitsrisiken erkannt, IT-Sicherheitsmaßnahmen richtig verstanden und auch richtig umgesetzt werden und IT-Sicherheit mit in den täglichen Ablauf einfließt und somit gelebt wird.

Aufgabe

Nachdem Sie Ihrem ehemaligen Mitschüler in Lab1 so großartig geholfen haben, konnte er sein Geschäft weiter ausbauen. Aus dem anfänglichen Startup ist mittlerweile eine große, überaus erfolgreiche Firma geworden. Dabei hat er das Gefühl, dass seine MitarbeiterInnen kein wirkliches Bewusstsein für die nun noch größere Verantwortung, die mit dem rapiden Wachstum der Firma einhergeht, haben. Deshalb will er jetzt ein einprägsames Programm zur "Security-Awareness" starten.

Man ist nun an Sie herangetreten und möchte Ideen für eine Awareness-Strategie entwickeln sowie Tätigkeiten zur IT-Sicherheit-Awareness-Steigerung umsetzen. Das ausgeschriebene Ziel ist es, durch die Maßnahmen das Risiko eines Fehlverhaltens auf menschlicher Ebene zu senken. Diese Maßnahmen sollen eine Sensibilisierung in unterschiedlichen technischen sowie organisatorischen Themengebieten eines IT-Verbundes in seiner Gesamtheit anstreben.

Jedes Team-Mitglied muss ein Tätigkeitsprofil eines Mitarbeiters/einer Mitarbeiterin des Unternehmens in der Finanzbranche auswählen, um dazu ein Programm zur Awareness-Steigerung zu entwickeln. Beispiele für solche Tätigkeitsprofile sind etwa Administrator oder Administratorin eines Standortes. Jedes Team-Mitglied muss ein eigenes Tätigkeitsprofil eines Mitarbeiters/einer Mitarbeiterin übernehmen.

Das von Ihnen erarbeitete Programm zur Awareness-Steigerung soll aus 2 Maßnahmen pro Profil bestehen. Eine Maßnahme darf jedoch nur einmal in der gesamten Ausarbeitung/Awareness-Schulung für alle Profile vorkommen (z.B. 4 Team-Mitglieder = 4 Profile mit je 2 unterschiedlichen Maßnahmen). Gehen Sie dabei auf die entsprechenden Bedürfnisse und Gegebenheiten des Tätigkeitsprofils ein und beachten Sie dessen Rolle im Unternehmen und der IT-Landschaft.

Vermitteln Sie den AnwenderInnen entsprechend ihrer Rolle sowohl das erforderliche Hintergrundwissen zu allgemeinen Bedrohungen (z.B. Viren, Hacker etc.) als auch die individuellen Richtlinien im Unternehmen, z.B. BesucherInnenregelung, private Nutzung von E-Mail und Internet, Umgang mit vertraulichen Informationen etc.

Folgende Beispiele können als Denkansatz für Themengebiete dienen und dürfen/sollen entsprechend erweitert werden:

Für die gewählten Themengebiete sind Maßnahmen zur Awareness-Steigerung zu erarbeiten. Dabei will man ganz bewusst neue, kreative oder sogar innovative Herangehensweisen an das Thema einbringen und versuchen mit unkonventionellen Maßnahmen und Methoden eine Awareness-Steigerung zu forcieren, wie z.B. im Artikel (external link)Security-awareness programs can be imaginative and fun geschildert.

Folgende Fragen/Hinweise können Sie bei der Erarbeitung der Maßnahmen unterstützen:

Ausarbeitung und Abgabe

Überlegen Sie sich ein Konzept zur Awareness-Steigerung und konkrete Maßnahmen entsprechend des Ziels, das damit umgesetzt werden soll. Diese Maßnahmen werden Sie dann im Zuge einer kurzen Präsentation vorstellen, wobei jedes Team-Mitglied das Konzept für ein Tätigkeitsprofil prägnant erläutert. Treffen Sie erforderliche Annahmen, wenn gewisse Umstände nicht aus der Angabe heraus beantwortet werden können. Vergessen Sie nicht, diese Annahmen entsprechend in der Präsentation darzustellen.

Bei der Abgabepräsentation von Lab2 werden Ihnen als Team 20 Minuten für die Präsentation Ihrer Ergebnisse zur Verfügung gestellt. Gestalten Sie die Präsentation inhaltlich ansprechend mit dem Charakter eines Beratungsgesprächs von Ihnen, IT-SicherheitsexpertInnen, vor dem Management und dem AdministratorInnen-Team des Unternehmens.

Nach Ihrer Präsentation sollen Sie Fragen zu dieser beantworten können.

Spiegeln Sie in Ihrer Präsentation anhand Ihrer Überlegungen zu den Awareness-Strategien folgendes wider, greifen Sie zur Beantwortung auch auf die Fragestellungen bezüglich der Maßnahmen aus dem Abschnitt Aufgabe zurück:

Hinweise zur Abgabe

Hinweis: Ersetzen Sie TEAMNUMMER im Folgenden jeweils durch Ihre Teamnummer.

Erstellen Sie eine gepackte (ZIP, GZIP, BZIP) Datei mit dem Namen lab2_TEAMNUMMER.DATEIENDUNG (wobei DATEIENDUNG eines von zip, tgz, tar.gz, tbz2 oder tar.bz2 sein kann), in der Ihre Präsentation im PDF-Format enthalten ist. Der Dateiname der PDF-Präsentation ist frei wählbar, darf jedoch keine Sonderzeichen enthalten (nur ASCII).

Zusätzliche Hinweise

Back to Top