30.10.2009 von Wilhelm Greiner.

Für mich ein Highlight auf der secAware in Düsseldorf, die diese Woche der Treffpunkt der deutschsprachigen Security-Awareness-Gemeinde war (siehe auch hier): Tom Köhler, seit Sommer 2007 verantwortlich für Microsofts Sicherheitsstrategie, berichtete von der originellen und intelligent konzipierten Kampagne, die das Softwarehaus hierzulande durchgeführt hat, um für mehr Sicherheitsbewusstsein bei den deutschen Microsofties zu sorgen.

Die Herausforderungen waren beachtlich: Der Gates-Konzern bietet Hackern und Social Engineers bekanntlich ein äußerst prominentes Angriffsziel, und Redmonds Ruf in Sachen Security hat auch schon den einen oder anderen Kratzer im Lack. Weitere Rahmenbedingungen waren Microsofts bekannt offene Unternehmenskultur, eine laut Köhler sehr “liberale” Policy beim Einsatz von IT (sprich: nicht nur hauseigene Produkte) und ein “starker interner Wettbewerb um Aufmerksamkeit”. Denn Microsoft launche pro Jahr rund 120 Produkte, was natürlich im Unternehmen kommuniziert werden will.

Köhler setzte deshalb auf ein Social Engineering Assessment in Form einer Reihe aus fünf simulierten Angriffen. Diese kündigte der fiktive Angreifer - die Kampagnenfigur namens “Das Phantom”, passenderweise mit einem weißen Fehdehandschuh als Logo - jeweils kurzfristig vorab plakativ und dramatisch an.

Die Dramaturgie steigerte sich vom einfachen “Tailgating” (das Sich-Einschleusen in geschützte Bereiche via offenstehende Türen oder unbemerkt im Schlepptau von Mitarbeitern) zum Kapern nicht passwortgeschützter PCs, Phishing mittels interner Telefone und dem Diebstahl unverschlüsselter Daten auf mobilen Geräten bis zur Kompromittierung vertraulicher Informationen - dem Information-Security-GAU.

Die Maßnahmen fanden laut Köhler große Beachtung, waren als Ziele doch gezielt neuralgische Punkte gewählt worden: Finanz-, Personal- und Rechtsabteilung sowie der Bereich Public Sector.

Das Ergebnis: Als Effekte der Kampagne konnte Microsoft laut Tom Köhler bei den Mitarbeitern einen erhöhten Wissensdurst und damit Zugriffsspitzen auf Online-Ressourcen zu Sicherheitsthemen ebenso verzeichnen wie virale Marketing-Effekte per “Flurfunk” und auch direkte Verhaltensänderungen. Köhler hob hervor, dass der Wettbewerbscharakter der nach und nach angekündigten Phantom-Übergriffe den Teamgeist gefördert hat, ohne dass Security deshalb nun als Angstthema negativ besetzt wäre. Man darf gespannt sein, wie nachhaltig die Jagd auf das Phantom wirkt.

Geschrieben in Security Awareness | 2 Kommentare »

29.10.2009 von Wilhelm Greiner.

Bei der secAware vorgestern und gestern in Düsseldorf trat sich die Crème de la Crème der deutschen, österreichischen und schweizer Security-Awareness-Szene. Die rund 70 Teilnehmer diskutierten, wie Awareness-Arbeit der nächsten oder gar dritten Generation aussehen könnte - während die Masse der Unternehmen die erste Welle noch vor sich hat (oder aber von deren Notwendigkeit gar nichts weiß).

Die fast durchwegs spannenden Vorträge und Diskussionen drehten sich um Fragen wie Sicherheits- und Unternehmenskultur, Interkulturalität, Messbarkeit des Erfolgs von Awareness-Maßnahmen, die Berücksichtigung von Charaktertypen bei der Ausrichtung von Kampagnen, Involvement und Blended Learning, Einschätzung des Risikos durch den menschlichen Faktor im IT-Alltag (auf neudeutsch Human Factor Risk Assessment oder HFRA geheißen) und mehr.

Das Publikum der secAware sah zwischenzeitlich die Welt durch Security-Awareness-Brillen von known_sense. Bild: isits.

Dazu kamen Praxisberichte von Microsoft (mehr dazu morgen) und EnBW. Der gemeinsame Nenner war stets: Man muss die angesprochenen Kollegen im Haus aktiv engagieren und emotional involvieren, damit die Awareness-Arbeit eine Chance auf nachhaltige Wirkung haben kann.

In einer Mittagspause präsentierte mein Communitainment-Partner Wolfgang Traub, welche Möglichkeiten in humorvoller visueller Präsentation - genauer: in Cartoons - stecken, während ich bei der abschließenden Podiumsdiskussion für Community-gerechtere Kommunikation plädieren durfte.

Mir fiel bei der Veranstaltung vor allem auf, dass die anwesenden CISOs, Security-Experten und Awareness-Berater die Themen Social Software und Social Networks fast ausschließlich überwiegend als Bedrohung diskutiert haben. Das Potenzial von Social Software, eine Plattform für eben jene Involvierung zu bieten, die immer wieder beschworen wurde, fand kaum Beachtung.

Social Software rollt aber auf die Unternehmen zu wie ein Tsunami: Die Firmen werden mit diesen neuen Techniken spontaner, flexibler Zusammenarbeit und Kommunikation konfrontiert werden, ob sie wollen oder nicht, so wie früher mit E-Mail, PDAs oder Mobiltelefonen.

Denn erstens ist Social Software für viele Dinge einfach praktischer und einfacher zu bedienen als die unternehmensinternen Tools. Zweitens kennen und nutzen immer mehr Menschen Social Networks und Social Media im Privatleben - und die private vermischt sich immer stärker mit der beruflichen IT-Nutzung („Consumerization“ genannt) - mal von den Unternehmen gefördert, mal nicht.

Social Computing/Media/Networking/Software/was-auch-immer wäre deshalb ein ungemein gut geeignetes - weil beliebtes, schickes, aber zugleich offensichtlich problematisches - Thema, um mit den Mitarbeitern eines Unternehmens einen Dialog anzuzetteln - sorry: „Involvement zu generieren“. Man könnte die Kollegen früh und aktiv an einer Security-Debatte rund um den Einsatz und die Grenzen jener Tools beteiligen, die vielen CISOs offenbar ausschließlich als dunkle Wolken am Horizont der Informationssicherheit gelten. Vielleicht kommt das ja noch. Hilfreich wär’s.

Geschrieben in Social Software, Social Networks, Consumerization, Security Awareness, Cartoon | 2 Kommentare »

24.10.2009 von Wilhelm Greiner.

* In wenigen Jahren (für Deutschland: in fünf; für die USA: in zwei bis drei) wird das Software-Interface, an dem ein Anwender eines fortschrittlichen Unternehmens seinen Arbeitstag verbringt, zugleich sein Community-Interface sein.
* Zögerliche Unternehmer werden befürchten, dass die Community-Aspekte die Mitarbeiter von der Arbeit abhalten. Schlaue Unternehmer werden diese Community-Aspekte so zu steuern verstehen, dass sie das Geschäft bestmöglich fördern.
* Die Verschmelzung beruflicher Collaboration mit (ursprünglich privater) Community-Teilnahme ist die logische Fortsetzung der „Consumerization“ (Gartner) der Arbeitswelt und des rapide wachsenden Einflusses (Forrester: „Groundswell“) der Web-2.0-Communities.
* Um von dieser Bewegung zu profitieren, müssen Unternehmen Community-gerechter - also offener, transparenter, dialogorientierter - kommunizieren und dabei auch die Consumer- und Entertainment-Aspekte der Online-Communities berücksichtigen. Diesen Ansatz Community-gerechter Kommunikation nenne ich „Communitainment“.
* Je besser ein Unternehmen seine Geschäftsprozesse mit flexibler Kommunikation, multimedialer Team-Collaboration, Community-Orientierung sowie Entertainment-Elementen verschmelzen kann, desto produktiver und erfolgreicher wird es in seinem Markt agieren.
* Informationsbeschaffung wird in Communities stattfinden. Vermarktung und Verkauf werden in Communities stattfinden. Support wird in Communities stattfinden. Personalentwicklung wird in Communities stattfinden. Produktentwicklung wird in Communities stattfinden. Outsourcing wird ersetzt durch Crowdsourcing.
* Marketing-Manager werden Community-Manager sein.
* PR-Manager werden Community-Manager sein.
* Channel-Manager werden Community-Manager sein.
* Sales-Manager werden Community-Manager sein.
* Support-Leiter werden Community-Manager sein.
* Entwicklungsleiter werden Community-Manager sein.
* Personalentwickler werden Community-Manager sein.
* Vorgesetzte werden Community-Manager sein.
* Erfolgreiche Unternehmen werden nicht abwarten, dass die relevanten Communities sich in Social Networks formieren, sondern werden das Community-Management selbst in die Hand nehmen.
* Optimaler Zeitpunkt, um mit dem Aufbau des Community-Managements zu beginnen: jetzt.

Geschrieben in Consumerization, Community-Building, Community-Management, Basics | Keine Kommentare »

23.10.2009 von Wilhelm Greiner.

Das bekannte Marktforschungshaus Gartner hat diese Woche anlässlich seines Gartner Symposiums in Orlando, Florida seine Einschätzung der zehn wichtigsten Technologietrends für das kommende Jahr vorgestellt. In die Top 10 der Analysten haben es geschafft: das allgegenwärtige Modethema Cloud Computing, simulationsfähige Analysewerkzeuge für effizientere Geschäftsprozesse, zentral verwaltete virtualisierte Clients (also Virtual Desktops), “IT for Green” (Umweltschutz durch IT-Einsatz), kleinteilig skalierbare Rechenzentren, Aktivitäts-Monitoring für mehr Sicherheit, Flash-Speicher (als Ersatz für Festplatten), Virtualisierung als Mittel für höhere Verfügbarkeit, Applikationen für mobile Endgeräte sowie Social Computing.

Unter dem Label “Social Computing” fordert das Analystenhaus die Verknüpfung der individuellen Arbeitsumgebungen der Mitarbeiter im Unternehmen mit deren jeweils bevorzugten Informationsquellen - ein weiterer Aspekt der von Gartner schon vor Jahren ausgerufenen “Consumerization“, also der Verschmelzung von beruflicher und privater IT-Nutzung.

Die Folgerung der Analysten: Unternehmen müssen sich auf den Einsatz von Social Software und Social Media ebenso konzentrieren wie auf die Integration dieser Plattformen in externe Communities - seien sie vom Unternehmen geförderte externe Communities oder aber öffentliche Plattformen. Das “soziale Profil” sei dabei ein Mittel der Verbindung dieser beiden Welten.

Dieser Brückenschlag zwischen privat und beruflich genutzten Social-Software-Umgebungen erfordert eine neue Art der Kommunikation seitens der Unternehmen, die eben diese Bewegung nachvollzieht. Denn der Tonfall ist in den beiden Social-Software-Welten durchaus unterschiedlich. Kommt ein Unternehmen diesen unterschiedlichen Bedürfnissen an den schnellen, oft auch informellen Austausch von Informationen, Meinungen und Fragen nicht entgegen, dann errichtet es Motivationshürden, schafft Unsicherheiten und bremst damit das Potenzial dieser neuen, dynamischen Kommunikationsformen aus.

Geschrieben in Social Software, Social Networks, Consumerization | Keine Kommentare »

22.10.2009 von Wilhelm Greiner.

Auf der RSA Conference Europe in London arbeitete Hugh Thompson, Chief Security Strategist bei People Security, in seiner ebenso informativen wie amüsanten Keynote (1A Communitainment, yay!) die Gefahren der heute weit verbreiteten, aber oft gedankenlos betriebenen Social-Media-Nutzung heraus. Den Anwendern sei noch viel zu wenig bewusst, welche Arten von Informationen man überhaupt öffentlich machen sollte - und welche eben nicht. Social Media und Social Networks eröffnen jedenfalls Hackern und Social Engineers einen umfangreichen, bequemen Informationspool.

Ausnutzbar seien hier, so Thompson, nicht nur der Anwender selbst, sondern auch redselige Zeitgenossen aus seinem Umfeld, die leichtfertig Daten herausgeben oder zumindest erschließbar machen, sowie der Umstand, dass im Web Gepostetes wie zum Beispiel Lebensläufe für eine praktisch nicht kontrollierbare Zeit erhalten bleibt.

Thompson führte deshalb den Begriff der “Gateway-Daten” ein: Daten, die für sich genommen harmlos erscheinen, aber listig ausgenutzt Zugang zu persönlichen Informationen und damit zu allen Arten von Online-Konten ermöglichen - entweder durch direkte Nutzung, durch Verstärkung (Amplification - laut Thompson “die neue Form des Social Engineerings”) oder durch Aggregation von Kollektivdaten (Collective Intelligence).

Direkt ausnutzen lassen sich laut Thompson personenbezogene Angaben, wie zahlreiche Menschen sie in Social Networks, Blogs, Twitter oder Lokalisierungsdiensten wie Loopd posten. Deshalb seien im heutigen Social-Media-Zeitalter Passwort-Reset-Fragen wie die nach dem Geburtsnamen der Mutter oder dem Lieblingsbuch “völlig widersinnig”.

Thompson erzählte die Anekdote von einem langweiligen Dinner, bei dem er den Test angeboten habe, innerhalb einer Stunde jeden kritischen Account der Anwesenden zu knacken. Drei Dinner-Gäste hätten eingewilligt, und bei zwei dieser drei Personen sei ihm der Zugang “zu allen wichtigen Online-Konten” gelungen.

Erleichtert wird das Leben der Betrüger laut dem Security-Spezialisten dadurch, dass “es meistens ein ‘goldenes’ E-Mail-Konto gibt, das alle anderen Konten als Default benutzen”.

Die “Verstärkung von Gateway-Daten” sind laut Thompson “die neue Insider-Bedrohung”. Gemeint ist in diesem Kontext das Sammeln verteilter personenbezogener Daten, was in der Summe eine “Pseudo-Personalisierung” von Angriffen erlaubt: Betrüger können für Phishing-Angriffe gezielt Häppchen privater Angaben nutzen, also zum Beispiel die Zielperson nicht nur mit dem richtigen Namen anreden, sondern auch mit korrekten Daten zu Wohnort, Arbeitsstätte und Freundeskreis. Es gibt, wie er am Beispiel demonstrierte, eine “enorme Reife der Glaubhaftigkeitsinfrastruktur, die Betrüger aufbauen”.

Ein großes Problem für Unternehmen sieht Thompson in Collective Intelligence, also im Abgleich unterschiedlichster (Web-)Informationsquellen mit dem Ziel des Social Engineerings oder der Wirtschaftsspionage. So könnten Neugierige zum Beispiel aus einer Häufung von Linkedin-Empfehlungen für Manager eines bestimmten Unternehmens schließen, dass das Unternehmen Probleme hat, und vielleicht dienen die vielen neuen Linkedin-Verbindungen zwischen Mitarbeitern der Firma X mit denen der Firma Y ja der Kontaktpflege im Vorfeld eines Mergers?

Die Unternehmen haben jedenfalls bislang noch keine Mittel und Wege gefunden, mit diesen neuen Gefahren umzugehen. Hier bietet sich ein weites Feld für Mitarbeiter-Sensibilisierung und Awareness-Kampagnen.

Jedoch sollte man nicht aus den Augen verlieren, dass Social Media nicht nur eine Gefahrenquelle darstellen, sondern sich selbst wiederum sehr gut eignen, um im Rahmen einer Awareness-Kampagne eine Diskussion anzustoßen und für ein hohes Maß an Interaktion zu sorgen.

Geschrieben in Social Software, Social Networks, Security Awareness | 1 Kommentar »

19.10.2009 von Wilhelm Greiner.

Die BeteiligungsHolding Hanau GmbH hat seit 2008 ihre IT zentralisiert und dabei Server wie auch Desktops virtualisiert. Bis 2010 sollen rund 2.000 Arbeitsplätze von PCs auf Thin Clients von Wyse umgerüstet werden, wie der Anbieter von Thin-Computing- und Client-Virtualisierungs-Lösungen meldete. Die Kommune spare dadurch allein an Energiekosten zirka 800.000 Euro im Jahr.

Die BeteiligungsHolding zeichnet für die IT von über zwanzig Beteiligungsgesellschaften der Stadt Hanau verantwortlich.

Solche Zahlen sollten dann doch die eine oder andere Gemeinde wie auch manch ein Unternehmen dazu motivieren, über ähnliche umweltschonende Einsparmodelle nachzudenken…

Geschrieben in Green IT | Keine Kommentare »

18.10.2009 von Wilhelm Greiner.

Der Unternehmensberater, Blogger und Web-2.0-Spezialist Matthias Schwenk hat auf Slideshare eine erstklassige Präsentation über das Collaboration-Medium Wiki zugänglich gemacht: “Wozu Wikis? Eine Anleitung für Büromenschen” zielt darauf ab, dem Heer der Web-2.0-Neulinge (oder gar -Verweigerer?) das synchrone Arbeiten an einer gemeinschaftlich genutzten Dokumentenstruktur schmackhaft zu machen.

Wozu Wikis?

View more documents from bwlzweinull.

Die intelligent und witzig gemachte Präsentation arbeitet das Wesen und die Vorteile des Prinzips Wiki anschaulich und prägnant heraus.  Zugleich liefert Schwenk mit seiner durchdachten und amüsanten Erzählweise ein sehr gutes Beispiel dafür, was mit dem Medium Slideshare insbesondere in Sachen Einsteiger- oder Überblicks-Kommunikation möglich ist. Kudos - und ein Tipp für alle, die skeptischen Kollegen den Sinn und Zweck eines Wiki-Projekts erklären müssen.

Geschrieben in Social Software, Präsentation, Kudos | Keine Kommentare »

17.10.2009 von Wilhelm Greiner.

Die secAware, laut Veranstalter die erste internationale “Workference” zu Security Awareness, wird am 27. und 28. Oktober 2009 im Düsseldorfer Hilton Hotel zahlreiche Awareness-Fachleute und -Verantwortliche versammeln. Auf der Agenda stehen zahlreiche spannende Vorträgen und Workshops, darunter praxisnahe Berichte von der Münchener Rück, der Bundesakademie für öffentliche Verwaltung sowie von Microsoft, EnBW und Volkswagen.

Yours truly und mein “partner in crime” Wolfgang Traub werden ebenfalls vor Ort sein und die Trommel dafür rühren, durch Community-orientierte, unterhaltsame Kommunikation die gute Sache des sicheren Umgangs mit Informationen und IT-Equipment zu fördern.

Wolfgang wird live und in Farbe die Entwicklung einer Kampagnen-Identifikationsfigur demonstrieren, und wir beide werden zusammen mit bekannten Vertretern der Security-Awareness-Szene an der Podiumsdiskussion zum Thema “Aufmerksamkeit reicht nicht! Mit welchen Mitteln erreicht man für seine Kampagne überhaupt noch Nachhaltigkeit?” teilnehmen. Das Programm der secAware gibt es hier.

Die secAware wird mit Sicherheit eine spannende Veranstaltung - ich hoffe, man sieht sich dort!

Geschrieben in Security Awareness | Keine Kommentare »

14.10.2009 von Wilhelm Greiner.

Das Konjunkturpaket II bietet der öffentlichen Hand einmalige Chancen, ihre IT umfassend zu modernisieren, so die Experton Group - und modernisieren heißt heute auch: umweltfreundlicher gestalten. Deshalb führen die Analysten nun drei Veranstaltungen durch, die speziell im öffentlichen Sektor Interesse für „grünere“ Informationstechnik wecken sollen: Am 19.10.2009 in München, am 26.10. in Frankfurt/Main und am 27.10. in Köln erhalten die Teilnehmer auf jeweils einen Tag komprimiert umfassende Informationen zu Green IT.

Zudem verleihen die Marktforscher den “Green CIO Award 2009″ und geben damit eine motivierende Best-Practice-Anregung.

Das in Sachen Green IT seit geraumer Zeit engagierte Analystenhaus unterstützt Unternehmen und Behörden bei der Basisanalyse rund um den umweltfreundlichen IT-Einsatz. Weitere Infos zu den Green-IT-Veranstaltungen gibt es hier und hier.

Geschrieben in Green IT | Keine Kommentare »

13.10.2009 von Wilhelm Greiner.

Mit Lotus Connections, aktuell in Version 2.5, hat IBM eine umfassende Social-Software-Plattform vorgestellt. Damit will es der Anbieter Unternehmen erleichtern, mit ihren jeweiligen Communities Web-2.0-gerecht in Dialog zu treten.

Lotus Connections 2.5 bietet individuell anpassbare Community-Seiten, wie man sie von Social Networks her kennt. Hier pflegen die Anwender ihre Profile und richten sich ihre Startseiten ein. Per Watch-List können sie anderen Community-Mitgliedern und/oder getaggten Inhalten folgen.

Möglich sei nun zudem die Erstellung von Wikis inklusive Versions-Tracking sowohl als Stand-alone-Lösung wie auch als Bestandteil einer Community-Plattform.  Dateien lassen sich laut IBM nun einfach mit Tags versehen und dank Rating-Möglichkeiten u.a. sinnvoll für eine Community-Lösung nutzen.

Lotus Connections 2.5 umfasst laut IBM-Angaben einen Social-Bookmarking-Service (vormals Dogear genannt) sowie Blogs inklusive Microblogging (dem gemeinen Web-2.0-Anwender von Twitter her bekannt).  Für allzeit mögliche ambulante Updates, wie der 140-Zeichen-Blogger sie schätzt, unterstütze der Lotus-Connections-Server iPhones und das Nokia S60 als Endgeräte.

Ein Unternehmen könne sich seine Community-Plattform sowohl bezüglich der eingesetzten Tools als auch im Aussehen (via Theme-Templates) zurechtschneidern, so IBM. So genannte Extensions erlauben die Integration in andere Collaboration-Lösungen.

Über diese Neuerungen hat IBM die Welt nicht nur über die üblichen Business- und PR-Kanäle informiert, sondern zudem - durchaus Social-Software-gerecht - durch Informationen auf Slideshare.

Geschrieben in Social Software | Keine Kommentare »