10.3.2010 von Wilhelm Greiner.

Mit der Einführung des Twitter-Konkurrenten Buzz hat sich Google letzten Monat die Entrüstung zahlreicher Benutzer zugezogen, und Datenschützer haben Beschwerden eingereicht. Für jene, die Googles Kopfsprung in den Privacy-Fettnapf ebenso verschlafen haben wie der Suchmaschinen-Gigant einst den Microblogging-Trend: Der Konzern hat Buzz als Standardkomponente von Gmail eingeführt und in typisch Googlescher Statistikverliebtheit einfach die häufigsten E-Mail-Kontakte zu Followern erklärt - ohne die Benutzer zu fragen.

Das hat der “Don’t-do-evil”-Firma nicht nur den Vorwurf von Allmachtsdenken eingebracht (etwa auf spiegel.de), Kritiker wiesen zudem auf eine riskante Datenschutzlücke hin: Die automatisch generierten “Follower” waren via Web öffentlich sichtbar; Demokratieverfechter in Diktaturen könnten so dem Regime ungewollt Kontakte verraten haben. Oder der Chef erfährt, mit welchen Headhuntern man korrespondiert. Eine erzürnte Gmail-Nutzerin schrieb über einen neuen “Follower”: “Wissen Sie, wer mein dritthäufigster Kontakt ist? Mein gewalttätiger Ex-Ehemann.”

Doch nur selten erfolgt der Angriff auf das Recht informationeller Selbstbestimmung so plump, drastisch und offenkundig wie im Fall von Google Buzz. Von der Deutschen Telekom zum Beispiel habe ich (UMTS-Flatrate-Kunde) kürzlich nach dem Kauf einer “Xtra-Card” (Prepaid-Karte) für die Familie einen Xtra-Card-Werbe-Newsletter erhalten - obwohl ich beim Kauf der Karte Werbung vertraglich untersagt hatte. Auf meine schriftliche Anfrage, woher man denn meine E-Mail-Adresse kenne, erklärte ein Call-Center-Mitarbeiter beim Rückruf: Von einer E-Mail, die ich der Deutschesten aller Telekoms Monate zuvor geschrieben hatte - und in der ich jegliche Werbung im Rahmen des UMTS-Vertrags verboten hatte!

Solch ein Verstoß gegen Datenschutzgesetze und anständiges Geschäftsgebaren, obwohl eklatant, verblasst natürlich vor dem Hintergrund großflächiger Googlescher Ignoranz, zeugt aber von der gleichen Mentalität: Wir haben es doch nicht nötig, uns um den Datenschutz zu kümmern!

Deshalb, in den Worten des Wiener Rockmusikers Ostbahn Kurti: “Basst’s auf, seid’s vursichtig und losst’s eich nix gfoin!” (Passt auf, seid vorsichtig und lasst euch nichts gefallen, Anm. des Übersetzers ;-).

Man darf den Datenschutzfressern keine kleinen Happen erlauben, sonst bekommen sie nur Hunger auf größere. Ich jedenfalls kaufe Prepaid-Karten jetzt bei der Telekom-Konkurrenz (ja, die habt ihr, Deutsche Telekom, trotz eurer Monopolistenallüren). Und den UMTS-Vertrag habe ich auch gleich gekündigt.

Geschrieben in Social Software, Worst Case, Security Awareness | Keine Kommentare »

3.2.2010 von Wilhelm Greiner.

Der deutsche Ableger des US-Analystenhauses IDC hat kürzlich ein Thesenpapier zum Umgang der Unternehmen mit dem Phänomen Social Networking herausgebracht: “Soziale Netzerke (gemeint ist: Netzwerke) im Web 2.0 Zeitalter (gemeint ist: heute)”. Der auffallend skeptische Untertitel: “Notwendiges Übel oder unvermeidbare Notwendigkeit?” Streichen wir aus dieser Gegenüberstellung auf beiden Seiten das “notwendig” heraus, dann stellt sich für die Analysten offenbar die Frage: Ist Social Networking für Unternehmen schädlich ist oder einfach nicht zu vermeiden? Dass Social Networking für die Business-Welt auch einen Fortschritt darstellen könnte, dieser Gedanke drängt sich bei der IDC-Formulierung nicht sonderlich stark in den Vordergrund.

Woher rührt diese Skepsis seitens IDC (während das konkurrierende Analystenhaus Forrester seit Jahren eifrig den Unternehmenseinsatz von Social Networks, Social Software und Social Media predigt)? IDC hat letztes Jahr in den USA eine Umfrage durchgeführt, die ergab, dass dieses Thema den CIOs erhebliche Kopfschmerzen bereitet. Denn: “Man muss inzwischen davon ausgehen, dass Mitarbeiter - jedenfalls bis zu einem bestimmten Grad - ihr privates und berufliches Leben auf diesen Seiten vermischen.” Unter Bezug auf eine Umfrage unter 390 Mitarbeitern mittelgroßer und großer US-Unternehmen heißt es dann: “Nahezu 90 Prozent der Befragten vermischen private und berufliche Interaktionen innerhalb einer Sitzung (Session) auf Linkedin.” Bei Facebook und Twitter seien es immerhin noch über 60 Prozent.

Für Deutschland dürften solche Zahlen deutlich niedriger liegen, da Trends ja immer ein paar Jahre brauchen, bis sie aus den USA zu uns herüberschwappen. Aber richtig - und gar nicht einmal etwas Neues - ist: Die Grenze zwischen privater und beruflicher IT-Nutzung löst sich auf. Weil es möglich ist, weil es praktisch ist, weil es Zeit spart - und weil es oft genug Arbeitsabläufe vereinfacht: Noch ein weiteres Analystenhaus, nämlich die Experton Group, verwies kürzlich auf eine (Fremd-)Studie, laut der 81 Prozent der Befragten angaben, Social Networking könne für Unternehmen ein Segen sein, da es ihnen erlaubt, leichter mit Kunden in Kontakt zu treten und Markenbildung zu betreiben.

Trotzdem haben viele Unternehmenslenker die oft sicher nicht unberechtigte Sorge, ihre Mitarbeiter könnten durch Extreme Facebooking und Power-Tweeting wertvolle Arbeitszeit verplempern - und dabei vielleicht sogar noch der Marke schaden oder Firmengeheimnisse ausplaudern. Bei diesem Szenario stellen sich einem Firmenchef natürlich die Nackenhaare auf, und über seinem Kopf bilden sich dunkle Gewitterwolken. Sein Justiziar wiederum läuft rot an und beginnt, deutlich vernehmbar zu hyperventilieren, denkt er doch an die möglichen rechtlichen Konsequenzen.

Oliver Tuszik, seines Zeichens Chef von Computacenter, brachte dies kürzlich im Gespräch mit mir auf die Formel: “Compliance-Anforderungen erzeugen beim Social-Software-Einsatz in Unternehmen ein Spannungsverhältnis: einerseits ein manchmal schon fast fatalistischer Vertrauensvorschuss der Digital Natives, andererseits die rechtlichen Verpflichtungen der Unternehmen etwa zum Datenschutz.”

Deshalb raten viele Fachleute den Unternehmenslenkern schon aus rechtlichen Gründen dazu, ihren Mitarbeitern für den Umgang mit Social Networks durch Richtlinien klare Grenzen zu setzen. Auch IDC führt im erwähten Thesenpapier zehn Richtlinien auf, die allerdings reichlich plakativ ausfallen: “Respektieren Sie den Datenschutz und die Geheimhaltung”, “Unterstreichen Sie Ihre Meinung mit Fakten”, “Geben Sie einen Fehler zu und korrigieren Sie diesen” - solche Tipps sind nie falsch, online wie offline.

So wichtig sinnvoll formulierte Richtlinien sein mögen - für Unternehmen, die Social Software hausintern oder für den Umgang mit Kunden und Partnern nutzen wollen, um ihre Produktivität oder Kundenansprache zu verbessern, bedeuten solche Policies ein böse Zwickmühle: Denn hohe Reglementierung hat häufig den Effekt, Mitarbeiter zu demotivieren - oder sie sogar völlig vor der Social-Software-Nutzung abzuhalten. Dann ist es schnell vorbei mit der Social Collaboration im Hause oder der raschen Reaktion auf Tweets von Kundenseite.

Manche Fachleute vertreten deshalb eine konträre Position. So rät zum Beispiel David Nüscheler, der CTO des Web-Content-Management-Anbieters Day Software: “Nur eingreifen, wenn es Probleme gibt.” Verfechter dieser Position neigen dazu, im Bezug auf Social Networking und Social Software in erster Linie an den gesunden Menschenverstand zu appellieren: Einfach beim Twittern, Bloggen, Chatten, auf Xing, Linkedin oder Facebook das Hirn nicht ausschalten und nichts posten, tweeten oder schreiben, was man nicht auch anderweitig - etwa dem Chef, der Konkurrenz, dem Kunden gegenüber - öffentlich kundtun würde. Ende der Durchsage.

Selbst Nüscheler gibt zwar zu: Für den Notfall braucht man eine Plattform, um zumindest auf der eigenen Website voreilig oder anstößig Gepostetes schnell wieder löschen zu können. Dennoch sei ein vertrauensvoller, vernünftiger Umgang mit den Mitarbeitern unterm Strich effektiver als ein umfangreiches Regelwerk, von dem die meisten Kollegen nicht einmal wissen, wo es überhaupt zu finden ist.

Fazit: Social Software eignet sich nur für Unternehmen mit einer auf Vertrauen und Wertschätzung der Mitarbeiter beruhenden Unternehmenskultur - alle anderen haben ein Problem.

Kollege Meier, hör’n Sie doch mal kurz auf mit der Twitterei und holen Sie einen Schluck Wasser - unser Herr Justiziar hyperventiliert schon wieder! Dass das aber auch so schwierig sein muss mit diesem Social-Gelumpe…!

Geschrieben in Social Networks, Security Awareness, Community-Management | Keine Kommentare »

17.1.2010 von Wilhelm Greiner.

Reden wir über “Social Intelligence”. Der Ausdruck klingt erst mal nach IQ und EQ - logische Intelligenz, emotionale Intelligenz, soziale Intelligenz. Aber: falsch geraten, Sie fallen runter auf 500 Euro!

“Social” meint nicht “sozial” im Sinne von “karitativ”, sondern schlicht das Online-Miteinander von Web-Nutzern: “Social” wie in “Social Network”, “Social Media”, “Social Software”, “Social (hier ein beliebiges Wort einfügen, muss aber englisch klingen)”. Und “Intelligence” bedeutet hier auch nicht “Intelligenz”, sondern “Datensammlung”: CIA statt IQ. (Der US-Geheimdienst heißt schließlich nicht “Central Intelligence Agency”, weil die Leute dort so wahnsinnig intelligent sind, sondern weil sie Daten jagen und sammeln.)

Und wieso muss uns das interessieren? Weil Social Intelligence der wirtschaftliche Motor im weltweiten Web ist, insbesondere in seiner heutigen, “Web 2.0″ oder auch “Mitmach-Web” genannten Social-Dingsbums-Ausprägung: Jene Firmen machen im Web 2.0 so richtig Reibach, denen es gelingt, das Verhalten, die Beziehungen und die Beiträge von Benutzern einer Online-Community von vorn bis hinten zu überwachen und auszuwerten. Beispiele gefällig? Social Intelligence ist das Kerngeschäft von Google wie auch von Amazon. (”Benutzer, die beim CIA arbeiten, haben sich auch für folgende Abhörgeräte interessiert…”)

Insbesondere Google - de facto die SIA (Social Intelligence Agency) des Web-2.0-Zeitalters - steht deshalb immer wieder im Kreuzfeuer der Datenschützer und kritischer Journalisten. So hat kürzlich der Spiegel (Ausgabe vom 11.1.10, S. 58ff) in einem ausführlichen, gründlichen Artikel namens “Ende der Privatheit” Selbiges beklagt: “Die eifrigsten Nutzer der (Google-) Dienste geben ihr halbes Leben preis”, warnen die Spiegel-Autoren. “Jede Website, die sie besuchen, jede Werbung, auf die sie klicken, verrät etwas über sie.” Der Spiegel fordert ein Recht auf Privatsphäre: “Kontrolle über das, was publik wird und was nicht”.

Nostalgisch reminiszierend heißt es dann: “Früher war das leicht. Da war - außer auf dem Dorf - zunächst mal alles privat”; lediglich “hie und da” habe man selbst etwas öffentlich gemacht. Im Web sei dieses Prinzip nun auf den Kopf gestellt: “Alles ist publik, es sei denn, man macht sich die Mühe, es zu verbergen.”

“Früher”? Wann genau? 1984? Damals, als man sich noch nicht ums Internet sorgte (das noch in den Kinderschuhen steckte), sondern gegen die Volkszählung, Videokameras an Bahnhöfen und die Speicherung von Telefonverbindungsdaten protestierte? Ja, was waren das glückliche Zeiten, als Orwells Big Brother noch ein klares Feindbild lieferte…

Bei uns in Bayern - ich geb’s zu, ich bin ein Münchner Eingeborener - ist das nostalgisch verklärte Früher aber nicht das herrlich anonyme Großstadtleben der 1980er-Jahre: Der gemeine wertkonservative Bayer (CSU-Wähler, katholisch, auf dem Land lebend und vor allem nicht zugereist) schwärmt in solchen Fällen vielmehr vom ausgehenden 19. Jahrhundert, von der “guten alten Zeit”, als das Tempo noch gemächlich, Bayern noch Monarchie und überhaupt die Welt noch in Ordnung war. Nicht München 1984, sondern Miesbach 1884.

Der entscheidende Punkt ist deshalb der vom Spiegel verschämt eingeschobene Zusatz “außer auf dem Dorf”: Damals auf’m Dorf, zu Zeiten von Ludwig dem II. (Gott hab ihn selig), da war das Ende der Privatheit sehr schnell erreicht: Dank neugieriger Nachbarn, Klatsch und Tratsch wusste man alles übereinander. Sich entziehen? Ja mei, … schwierig.

Google, Amazon und Co. transportieren genau diese oft nostalgisch verklärte Dorfgemeinschaft ins Web. Drum heißt’s ja auch “Global Village” und nicht “Global Metropolis”. Und wie sich “damals” die Leute nicht aussuchen konnten, in welchem Dorf sie aufwuchsen, ebenso wenig kann sich der heutige Web-Nutzer das globale Dorf aussuchen. Eben weil’s global ist: Es gibt nur das eine.

Und auf dem Land war’s schon immer so: Wer Privatheit wollte, musste sie sich selbst verschaffen. Das wusste auch Benjamin Franklin, einer der führenden Intellektuellen der US- Gründerzeit, der als Autor und Verleger in einer damals noch stark ländlich geprägten Welt lebte, in der man manuelle Arbeit schätzte und das Lesen (außer das der Bibel) oft suspekt fand. Was also machte Franklin? Er schob tagsüber immer mal wieder eine Schubkarre übern Hof, damit es für die Nachbarn so aussah, als arbeite er hart - und abends zog er dann die Vorhänge zu, um heimlich bei Kerzenschein an seinen Texten und Almanachen zu schreiben.

Umständlich, zugegeben, aber effektiv. Deshalb: Schubkarre her, Vorhänge zu! Wer im globalen Dorf neugierige Nachbarn abwehren will, muss selber verschleiern, verheimlichen und vertuschen. Das nimmt einem niemand ab - da hilft kein Jammern über das Idyll von Anno 1984.

PS: Benutzer, die blickdichte Vorhänge gekauft haben, interessierten sich auch für folgende Schubkarren…

Geschrieben in Social Software, Social Networks, Security Awareness | Keine Kommentare »

16.12.2009 von Wilhelm Greiner.

Vor dem Hintergrund einer anhaltenden Diskussion um den Datenschutz in Social Networks (siehe auch hier) hat IT-Sicherheitsexperte Bruce Schneier in der neuesten Ausgabe seines Newsletter Cryptogram eine nützliche Einteilung der anfallenden Datenmengen vorgestellt.

Schneier unterteilt Social-Networking-Daten in folgende fünf Gruppen:

1. Service-Daten: die Daten, die man bei einer Social-Network-Site angeben muss, um sie benutzen zu können (Name, Alter, ggf. Kreditkartennummer)

2. bekanntgegebene Daten: die Daten, die der Benutzer auf seinen Seiten selbst postet (Blog-Einträge, Fotos, Nachrichten, Kommentare etc.)

3. anvertraute Daten: Daten, die man selbst auf den Seiten anderer Leute postet, sodass diese Daten anschließend der Kontrolle der anderen Nutzer unterliegen

4. zufällige Daten: die Daten, die andere Anwender über einen Benutzer veröffentlichen (und die man damit weder selbst generiert noch selbst kontrolliert)

5. Verhaltensdaten (Behavioral Data): die Daten, die eine Social-Network-Site über das Verhalten der Benutzer sammelt

Die Auswertung dieser Sammlungen von Daten - insbesondere der Verhaltensdaten - wird übrigens mitunter “Social Intelligence” genannt - ein nützlicher Begriff, umschreibt er doch die hier vorliegende Social-Networking-Variante der Datenauswertungen à la Business Intelligence: Worüber postet ein Anwender? Für was interessiert er sich? Mit wem ist der verlinkt? Welche Seiten besucht er? Wann und wie intensiv nutzt er Social Networks? Dies und viele Fragen mehr sind für Marketing und Vertrieb wichtige und damit wertvolle - für den Social-Site-Betreiber also teuer verkaufbare - Informationen.

Anwender haben bezüglich der jeweiligen Datentypen unterschiedliche Rechte - und, so Schneier, sie sollten durchaus unterschiedliche Rechte haben. Bei einigen Datentypen ist die Frage des Umfangs der Rechte, die der Social-Network-Betreiber und der Anwender besitzen oder besitzen sollten, heftig umstritten. Darf ich zum Beispiel verlangen, dass ein Foto einer wüsten Party gelöscht wird, auf dem ich zufällig mit abgebildet bin? Ist es mein Recht zu verlangen, dass mein Gesicht grobgepixelt wird?

Der Bereich, der jetzt schon der kritischste ist, und der mit dem zunehmenden Erfolg der Social Networks immer bedeutsamer wird, ist der Bereich der Verhaltensdaten und in der Folge die Frage der Social Intelligence. Denn das Sammeln und Auswerten (und damit letztlich der Verkauf) dieser Verhaltensdaten ist das Kerngeschäft von Social Networks. Zugleich ist dies aber auch die für den Anwender am wenigsten offensichtliche Datenart.

Um die Auswertung all dieser Service-, Nutzungs- und Verhaltensdaten werden wir mit Sicherheit noch zahlreiche hitzige Debatten erleben - und diese Debatten sind dringend notwendig.

Geschrieben in Social Networks, Security Awareness | Keine Kommentare »

8.12.2009 von Wilhelm Greiner.

Schon ein paar Jahre alt, wirkt aber immer noch frisch: In einer Videoreihe der Berufsgenossenschaften und der Deutschen Gesetzlichen Unfallversicherung  warnt die computeranimierte Trickfigur Napo vor allerlei Gefahren.

Die Verwendung des Genres Trickfilm verschafft der Filmreihe nicht nur einen knuffigen Sympathieträger als Hauptfigur, sondern zugleich eine humorvolle Distanz zum Geschehen. Schließlich wissen Menschen, die mit Tom und Jerry sowie Tweety und Sylvester aufgewachsen sind, dass den Charakteren trotz oft drastisch visualisierter Handlung nichts wirklich Schlimmes geschieht. So kann man auf unterhaltsame Weise die Risiken einmal durchspielen, wie etwa in dem Film “Napo im Reich der Gefahrensymbole” von 2001. Gelungenes Communitainment!

[Update:] Weitere Folgen der Napo-Filme gibt es hier.

Dank an Markus Wenzel von ConSol* für den Tipp.

Geschrieben in Security Awareness, Video, Kudos | Keine Kommentare »

1.12.2009 von Wilhelm Greiner.

Die Computerwoche brachte kürzlich eine von Lutz Bleyer, dem Leiter Zentrale Security bei der Fiducia IT AG, gezeichnete Case Study über die Security-Awareness-Kampagne des Hauses. Die Kampagnenarbeit der Fiducia gilt in Security-Awareness-Kreisen als Vorzeigeprojekt und war auch eines der Beispiele, die Michael Helisch und Dietmar Pokoyski in ihrem informativen Überblickswerk “Security Awareness” im Rahmen eines Interviews mit aufgeführt haben.

“Es hat sich bewährt, nicht mit erhobenem Zeigefinger herumzulaufen und die Mitarbeiter belehren zu wollen. Besser ist es, die Leute einzubeziehen”, resümiert Bleyer in dem Artikel. Zu diesem Zweck hat der IT-Dienstleister zum Beispiel Filmmaterial gedreht und dazu hauseigene Mitarbeiter als Darsteller gecastet. “Indem eigene Mitarbeiter als Darsteller Teil der Kampagne werden, wirkt die Aktion integrativ und motiviert durch einen hohen Spaßfaktor”, so Bleyer.

Bleyer und seine Kollegin Dr. Christa von Waldthausen, Leiterin Marketing und Kommunikation bei der Fiducia, haben bereits zwei Kampagnen durchgeführt - jeweils mit Pausen dazwischen, um eine Ermüdung des Publikums zu vermeiden - und sind kürzlich mit ihrer dritten Kampagnean den Start gegangen.

Jede Kampagne setzt laut Bleyers Ausführungen auf einen  Sprach- oder Bildstil, der sich deutlich von den Vorgängern unterscheidet. Dies soll für erneute Aufmerksamkeit sorgen und es ermöglichen, auf aktuelle Stimmungen und Trends zu reagieren.

Den Erfolg ihrer Awareness-Arbeit misst die Fiducia-Truppe - jenseits von nachweislich durch aufmerksame Mitarbeiter verhinderten Übergriffen - per Mitarbeiterbefragung für einen “Security Awareness Index”.

Die Frage, wie sich der nachhaltige Erfolg von Awareness-Aktivitäten messen und damit das Budget rechtfertigen lässt, sorgt immer wieder für Diskussionsstoff in der Awareness-Dienstleister-Branche, zumal es den Awareness-Arbeitern ja nicht nur um kurzfristige Aufmerksamkeit geht, sondern um eine nachhaltige Verankerung des Sicherheitsbewusstseins in den Köpfen und im Verhalten der Mitarbeiter.

So verweist auch diese Case Study darauf, Ziel sei letztlich eine “gemeinsame Sicherheitskultur” - und eine solche ist ein flüchtiges Wesen und damit nur schwer in kalte Messdaten zu fassen. Hinzu kommt das klassische Problem der Ethnologen: der Einfluss des Beobachters selbst. Antworten die befragten Eingeborenen nur so, wie sie antworten, eben weil ich sie dazu befrage? Tanzen sie nur, weil die Kamera läuft? Vielleicht ist ja der Awareness-Arbeiter nur ein Tourist in der Sicherheitskultur seines Kollegen-Völkchens…

P.S.: Dank an Patrik Edlund von HP für den Lese-Tipp!

Geschrieben in Security Awareness | Keine Kommentare »

15.11.2009 von Wilhelm Greiner.

Die Website www.nativeintelligence.com führt ein umfangreiches Sortiment generischer Security-Awareness-Materialien: Zur Auswahl stehen neben Hunderten von Postern auch zahlreiche andere Materialien wie Kalender, Bookmarks, Notizblöcke, Broschüren oder auch Verpackungen für Süßkram, um Mitarbeiter förderliches Verhalten zu belohnen. Die Materialien sind praktisch alle auf Englisch (von einigen spanischen Postern abgesehen) und taugen damit für ein deutsches Unternehmen lediglich als Pool für die Ideensammlung.

Bild: Native Intelligence, Inc.

Security-Awareness-Experten warnen außerdem vor der Benutzung generischen Materials, so auch kürzlich wieder auf der Awareness-Konferenz secAware in Düsseldorf (siehe auch hier). Allerdings benutzen Fachleute wie zum Beispiel Dietmar Pokoyski von known_sense für ihre Awareness-Arbeit gerne originelle Gadgets als Eye-Catcher und Incentives; diese Gadgets - etwa Pokoyskis Giveaways à la Passworthalter, Lego-Virenbausatz oder Virenquartett - können in abgewandelter Form durchaus für mehrere Projekte Verwendung finden.

Im Spannungsfeld zwischen ausgefeilten, unternehmensspezifischen Awareness-Projekten und billigem, aber vielleicht auch schnell wieder vergessenem Awareness-Material stellt sich die Frage, wie jene Unternehmen zu einer nachhaltigen Sicherheitskultur kommen sollen, die sich kein teures Individual-Consulting leisten können.

Experten wie Michael Helisch von Hecom betonen hier die Bedeutung einer Unternehmenskultur, die den einzelnen Mitarbeiter ernst nimmt und ein angenehmes und damit motivierendes Arbeitsumfeld schafft, während Dr. Johannes Wiele von der Defense AG auf das Coaching der Führungskräfte setzt, die dann wiederum als Vorbild für ihre Kollegen dienen (sollten).

Die inzwischen schon einigermaßen verbreiteten und erschwinglichen Social Software-Lösungen bietet zudem eine geeignete technische Basis, um schnell und hierarchiearm unternehmensweite Diskussionen über Aspekte wie zum Beispiel den Umgang der Mitarbeiter mit IT-Sicherheit auszudiskutieren und gemeinsame Richtlinien für das erforderliche Verhalten zu erarbeiten. Wenn denn Dinge wie “schnell und hierarchiearm”, “ausdiskutieren” und “gemeinsam erarbeiten” überhaupt erwünscht sind…

Best Practices für Awareness-Arbeit diesseits aufwändiger individueller Consulting-Projekte müssen sich wohl erst noch etablieren.  Wer weiß Beispiele dafür?

Geschrieben in Social Software, Security Awareness, Cartoon | Keine Kommentare »

8.11.2009 von Wilhelm Greiner.

Während F-Secure, Anbieter von Anti-Viren-Software, für Security-Awareness-Arbeit auf gemeinsam mit der Wreckamovie-Community erarbeitete Web-Movies setzt (siehe hier), geht Sourcefire ebenfalls multimediale, aber vergleichsweise konservative Wege: Der IT-Security-Anbieter stellt jeweils im Nachfeld von Microsofts allmonatlichem Patch Day Schwachstellen-Reports als Videos vor.

Diese Videos sollen dem Publikum laut Sourcefire einen Überblick über die Hauptrisiken des aktuellen Monats verschaffen, damit Unternehmen die Bedrohungslage und mögliche Auswirkungen auf ihr Geschäft besser einschätzen können.

Der Anbieter verspricht “fundiertere, in gedruckter Form nicht vermittelbare Einblicke in Sicherheitslücken” zur besseren Planung von Abwehrmaßnahmen. Das aktuelle Video steht auf YouTube, auf www.snort.org/vrt sowie auf iTunes als Podcast zur Verfügung

Die beiden Multimedia-Kampagnen haben ganz unterschiedliche Zielgruppen und Einsatzbereiche und sind damit nicht direkt vergleichbar. Dennoch: Wenn man jetzt nur über verlässliche Messmethoden verfügen würde, um zu beurteilen, welche der beiden Kampagnen nachhaltigere Erfolge erzielt…

Geschrieben in Security Awareness, Video | Keine Kommentare »

7.11.2009 von Wilhelm Greiner.

Mit „Griffin“ droht ein neuer Virenbefall, gefährlicher als Conficker und höööchst dramatisch: Denn „Griffin“ ist ein Online-Filmprojekt des Anti-Viren-Software-Herstellers F-Secure zusammen mit der Wreckamovie-Community. Laut F-Secure will man damit die Öffentlichkeit wachrütteln, sich mehr für IT-Security-Themen zu interessieren, da beim Thema Internet-Sicherheit nach wie vor großer Aufklärungsbedarf bestehe.

Die auf sechs Episoden angelegte Serie von Web-Movies handle von einem “sympathischen Jungen von nebenan” namens Griffin Sharp (ein Wortspiel: “griffin” ist das Sagentier “Greif”, “sharp” heißt unter anderem “schlau”), der offenbar als Hobby der Internet-Kriminalität frönt.

Teil des Projekts ist es, die Fangemeinde von Wreckamovie mit einzubeziehen: Sie soll Story und Ablaufpläne liefern und als Pool für die Darsteller fungieren. Dazu Griffin-Produzent Timo Vuorensola, der auch schon “Star Wreck” produziert hat: „Bei unserem Projekt ,Star Wreck‘ haben wir die Foren gezielt angesprochen und waren von der Resonanz überwältigt. Mit ‚Griffin‘ spinnen wird die Erfolgsgeschichte weiter und setzen vom ersten Tag an auf eine enge Zusammenarbeit mit der Community von Wreckamovie.”

Das Projekt läuft laut Wreckamovie-Infos seit April dieses Jahres, der Pilotfilm soll 2010 starten. F-Secure lädt Interessierte ein, der Community beizutreten und damit an der Geschichte mitzustricken. Infos gibt es hier, einen F-Secure-Trailer dazu hier.

Mal sehen, ob das Projekt jenseits von Werberummel für den Anti-Viren-Hersteller etwas bringt - Filme mit dem Thema IT-Kriminalität gab’s ja schon einige, stets mit dem Problem behaftet, dass Hacking und Co. für Außenstehende jetzt nicht soooo brüllend spannend zu beobachten sind: Geeks an Tastaturen und Text-Interfaces - das ist wie Golf im Fernsehen anschauen. Mal sehen, wie man das Thema Viren anschaulich umsetzen will.

Jedenfalls ist ein Awareness-Spielfilm unter Beteiligung einer engagierten Community immerhin mal ein neuer Ansatz und ein Schritt in die richtige Richtung: aktive Einbeziehung einer relevanten Gemeinschaft - Communitanment, yay!

So, und jetzt zur Einstimmung erst mal “The Blob” gucken. Hat zwar nichts mit Computer-Viren zu tun, passt aber stimmungsmäßig hervorragend zum Thema…

Geschrieben in Security Awareness, Video | 1 Kommentar »

3.11.2009 von Wilhelm Greiner.

Microsoft hat der Fachpresse heute Version 7 des Security Intelligence Reports (SIRv7) vorgestellt, der die weltweit von den Microsofties beobachteten Malware-Aktivitäten zwischen Januar und Juni 2009 zusammenfasst. Redmond nutzt dafür verschiedene Quellen, darunter die Daten aus dem hauseigenen Windows Malicious Software Removal Tool, aber auch die Suchmaschinenergebnisse von Bing. Tenor des Reports: Würmer sind wieder auf dem Vormarsch, die Hauptgefahr besteht durch Trojaner.

So weit, so schlecht. Interessant war eine Bemerkung des Präsentators Tim Rains, Group Product Manager bei MS: Laut Rains stehen jene Länder vergleichsweise gut da, in denen ausgeprägte Security-Awareness-Maßnahmen üblich sind, etwa Japan.

Die Infektionsrate sei in Japan konstant sehr niedrig, mitunter nur 1/8 des weltweiten Durchschnitts. Diesmal liege der Wert aufgrund hohen Wurm-Aufkommens bei 3,0 (drei Infektionen pro 1.000 erfasster PCs), damit gleichauf mit dem ebenfalls stets gut abscheidenden Deutschland und immer noch deutlich unter dem weltweiten Durchschnitt von 8,7. Den ersten Platz belegte diesmal Finnland mit einem Wert von 1,9, gefolgt von Österreich.

Es fällt auf, dass die Länder, die vergleichsweise gut dastehen, nicht Englisch als Landessprache haben, sondern teils recht ausgefallene Sprachen (Finnland) oder andere Schriftzeichen als die westlichen (Japan). Das stellt für Malware-Programmierer angesichts einer weitgehend globalen Anglisierung offenbar eine Motivationshürde dar. Da muss man sich dann schon extra Arbeit machen, wie eben jene Angreifer, die den Online-Banking-Kunden in Brasilien auf Portugiesisch das Leben schwer machen.

Rains’ deutscher Kollege Tom Köhler, seines Zeichens Leiter Informationssicherheit und Kommunikation bei Microsoft, stellte deshalb die Frage ins Zentrum, welche Infrastruktur zu schaffen sei, damit die Anwender sich schnell und effektiv informieren können. Als Best Practices nannten die Microsoftler eine intensive Zusammenarbeit der IT-Industrie mit CERTs,  ISPs, Regierungsstellen sowie Verbänden, die sich dem Awareness-Raising verschrieben haben.

Sicherer Umgang mit IT ist im besten Fall immanenter Bestandteil der Alltagskultur - ein “in Fleisch und Blut übergegangener” Automatismus, so wie für (zumindest die meisten) Autofahrer hierzulande das inzwischen selbstverständliche Anlegen des Gurts vor der Fahrt.

Autofahrer haben wenigstens den Vorteil, sich auf’s Fahren konzentrieren zu können, statt sich fragen zu müssen, ob der Hinweis “Warnung: Die Software Ihres Sicherheitsgurts muss dringend upgedatet werden! Jetzt updaten?”ein Malware-Angriff ist. Wenn wir Pech haben, kommt das eines Tages aber auch noch…

Geschrieben in Security Awareness | Keine Kommentare »