Security Awareness Kampagne beim Flughafen München - Praxisbeispiel
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Praxisbeispiel Security Awareness Kampagne beim Flughafen München
Security Awareness Kampagne „Sicherer Flughafen“ – Die Security Awareness Kampagne bei der Flughafen München GmbH Sicherheit in der Luftfahrt ist ein vielbesprochenes Thema und das nicht erst seit den schrecklichen Ereignissen des „9/11“ in New York. Dreh- und Angelpunkt für die Sicherheit in der Luftfahrt sind die Flughäfen. Hier ist die Schnittstelle zwischen Boden und Luft, hier steigen Passagiere ein und aus, hier wird der Luftverkehr geregelt. Flughäfen müssen daher besonders sicher sein. Augenscheinlich wird das jedem Fluggast bewusst, wenn bei Sicherheitskontrollen das Gepäck durchleuchtet wird, wenn man selbst abgetastet wird oder neuerdings keine Flüssigkeiten in größeren Mengen mehr im Handgepäck mitführen darf. Manchem mögen diese Maßnahmen „lästig“ und überzogen erscheinen, letztendlich ist aber jeder um seine eigene Sicherheit besorgt und “muss“ diese Maßnahmen über sich ergehen lassen. Doch neben diesen „sichtbaren“ Sicherheitsmaßnahmen, gibt es an einem Flughafen noch einiges mehr, das „sicher“ sein muss, damit der Betrieb reibungslos läuft. Zuständig und verantwortlich für den Betrieb eines Flughafens ist der jeweilige Betreiber. Am Flughafen Franz-Josef-Strauß in München ist dies die Flughafen München GmbH (kurz FMG), deren Eigentümer der Freistaat Bayern, die Bundesrepublik Deutschland und die Landeshauptstadt München sind. Am Flughafen München starteten und landeten 2007 rund 34 Millionen Passagiere bei rund 432.000 Flugbewegungen. München ist damit der siebtgrößte europäische Flughafen und wurde bei einer jährlich stattfindenden Passagierumfrage nun schon zum dritten Mal hintereinander zum besten Airport Europas gekürt. Am Flughafen München arbeiten insgesamt über 27.000 Menschen, davon ca.6.500 bei der FMG. Um die große Zahl an Passagieren ohne Probleme abfertigen zu können, ist die Verfügbarkeit von Informations- und Kommunikationstechnologie unabdingbar. Fast jeder Vielflieger wird sich leidvoll daran erinnern, was passiert, wenn z.B. eine Gepäckförderanlage ausfällt. Oder wie schnell ein „Chaos“ herrscht, wenn die Anzeigetafeln für Ab- und Anflug nur noch schwarz sind. Seit der Eröffnung des Flughafens Franz Josef Strauß im Jahr 1992 (er löste den alten zu klein gewordenen Flughafen München-Riem ab) wurde und wird bei der FMG auf einen hohen Standard bei der IT-Sicherheit gesetzt, um die Verfügbarkeit zu gewährleisten. In einem internen Security Audit im Jahr 2004 erkannte die Abteilung IT, dass es darüber hinaus Handlungsbedarf im Bereich „Mensch“ gibt. Die Sensibilisierung zum Thema Informationssicherheit war bei etlichen Mitarbeitern kaum vorhanden, das Wissen um die richtige Nutzung der eingesetzten Technologien gering. Die Ergebnisse des Audits wurden der Geschäftsführung präsentiert, die den Bedarf erkannte und Mittel für entsprechende Maßnahmen zur Verfügung stellte. © HvS-Consulting GmbH, 2008 Seite 2 von 9
Security Awareness Kampagne
Der Bereich Informationssicherheit (IS) wurde neu gestaltet und ein
Informationssicherheitsbeauftragter eingesetzt. Als externer Berater wurde die ebenfalls in
München ansässige HvS-Consulting GmbH hinzugezogen.
Anfang 2005 wurden in einem ersten Schritt als wesentliche Grundlage die vorhandenen
Regelungen zur Informationssicherheit überarbeitet und in ein neues Rahmenwerk gefasst.
Das Informationssicherheits-Rahmenwerk der Flughafen München GmbH
Im Mittelpunkt für den Anwender steht dabei die konzernweit gültige „IT-Nutzungsrichtlinie“
(Ebene 2), die allgemeine Regeln für die Nutzung von Informations- und
Kommunikationstechnologie vorgibt. Ziel der Richtlinie ist ein verantwortungsbewusster und
sicherer Umgang mit Hard- und Software um die Verfügbarkeit und Sicherheit der IT-
Systeme sowie die Vertraulichkeit schutzbedürftiger Daten zu gewährleisten.
„Die Vorarbeit in Sachen Organisation und Richtlinien war für uns wichtig und hilfreich“, so
Harald Englert, Informationssicherheitsbeauftragter der FMG. „Wir haben bestehende
Vorschriften überarbeitet, an die neuen Gegebenheiten angepasst und vor allem an
Zielgruppen ausgerichtete Richtlinien entwickelt.“
Nachdem die Grundlagen geschaffen waren, startete die Planung der Security Awareness
Kampagne. Man war sich bewusst, dass eine solche Kampagne einmal initiiert, nie enden
wird: um Mitarbeiter für das Thema Informationssicherheit zu sensibilisieren, bedarf es einer
gewissen Zeit; die Aufrechterhaltung dieser Sensibilisierung ist aber eine nie endende
Aufgabe. Der Zeitraum der ersten „Kampagne“ wurde daher auch auf 3 Jahre festgesetzt, um
schon in der Planung die geforderte Nachhaltigkeit zu berücksichtigen.
© HvS-Consulting GmbH, 2008 Seite 3 von 9
Security Awareness Kampagne
Planung und Vorbereitung der Security Awareness Kampagne
In intensiver Abstimmung mit der Unternehmenskommunikation, der Personalabteilung, der
Schulungsabteilung, der Abteilung Sicherheitswesen für physische Sicherheit sowie der IT
wurden durch IS die wesentlichen Elemente der Kampagne definiert.
Entwicklung Logo und Slogan:
„Informationssicherheit aktiv gestalten“
Auswahl Bilder- und Farbwelten im CI
der FMG
Definition der Kernbotschaften: Was wollen wir vermitteln?
Auswahl der Maßnahmen
Festlegung der Medien
Zeitliche Planung
Kurz vor der offiziellen Bekanntgabe der Richtlinien und dem Start der Kampagne wurde der
Fall simuliert, dass ein neuartiger, auch aktuellen Virenscannern noch unbekannter Virus in
das FMG-Netz gelangt. Dieser „Testvirus“ wurde per Mail an alle FMG-Anwender versendet.
Bei Ausführung des E-Mail Anhangs wurde ein Programm ausgeführt, das die Anwender auf
die potentiellen Gefahren bei unsachgemäßem Umgang mit E-Mails hinwies. Ergebnis dieses
Tests: Eine größere Zahl von Anwendern öffnete den Anhang aus der Mail eines
unbekannten Absenders.
Der Test sprach sich natürlich innerhalb der Belegschaft herum; man war gespannt, was nun
folgen würde. Es folgte eine Mail der Geschäftsführung, in der jeder Mitarbeiter darauf
hingewiesen wurde, wie wichtig die Verfügbarkeit von IT-
Systemen und die Vertraulichkeit von Informationen für die
FMG sind. Zudem wurde die Security Awareness Kampagne
vorgestellt und die ersten Maßnahmen angekündigt.
Parallel wurden im gesamten Bereich
der FMG Poster aufgehängt, mit denen
eine Einstimmung auf die Security
Awareness Kampagne erfolgte. In der
Mitarbeiterzeitschrift „Flughafen
Report“ wurde ein Bericht veröffentlicht, im Intranet ein neuer
Bereich für Informationssicherheit gelauncht.
Jeder Mitarbeiter erhielt die neuen Richtlinien zusammen mit
der Mitarbeiterzeitschrift ausgehändigt.
© HvS-Consulting GmbH, 2008 Seite 4 von 9
Security Awareness Kampagne
Checkliste Planung und Vorbereitung
Wer unterstützt inhaus die Kampagne? Stellen Sie sicher, dass ALLE potentiell Beteiligten von Anfang an
involviert werden (Geschäftsführung, Unternehmens-kommunikation,
Personal, IT, …).
Wie „erkennt“ man die Kampagne? Visualisieren Sie Ihre Kampagne mit Logo, Bilder, Farbwelten.
Wie „spricht“ man über die Kampagne? Geben Sie Ihrer Kampagne einen Slogan.
Was wollen Sie vermitteln? Definieren Sie Kernbotschaften.
Welche Maßnahmen setzen Sie ein? Wählen Sie die für Ihr Unternehmen (Lernkultur, vorhandene
Kommunikationsmittel, etc.) geeigneten Maßnahmen.
Was sind Ihre kommunikativen Definieren Sie die Hauptkommunikationsmittel, mit denen Sie die
Plattformen? Kampagne stetig begleiten (z.B. Intranet, Mitarbeiter-zeitschrift).
Sind Sie in Organisation und in Ihren Gibt es Sicherheitsrichtlinien? Gibt es eine Sicherheits-organisation?
Prozessen richtig vorbereitet? Sind Prozesse für Sicherheitsvorfälle definiert? …
Wie lange dauert die Kampagne? Seien Sie sich bewusst, dass eine Security Awareness Kampagne nie
endet. Planen Sie mit einem entsprechenden Zeithorizont.
Haben Sie ein Budget? Denken Sie daran, dass die Security Awareness Kampagne nie endet.
Sie benötigen ein jährliches Budget.
Das Schulungskonzept sah vor, ab Mitte 2005 die FMG-Führungskräfte sowie ausgewählte
Mitarbeiter zum Thema Awareness zu schulen. Fokus der Präsenztrainings war,
Informationssicherheit als Führungsaufgabe zu verankern und erste Multiplikatoren und
Vorbilder in den einzelnen Bereichen zu setzen. Zeitgleich wurde die IS-Organisation
aufgebaut; neben den zentralen IS-Beauftragten des Konzerns wurden Bereichs-IS-
Beauftragte als Ansprechpartner vor Ort ernannt.
Ausgewählte Mitarbeiter der IT-Abteilung sowie Administratoren von technischen Systemen
(z.B. Gepäckförderanlagen, Tower-Systeme etc.) wurden im Rahmen von dedizierten IT-
Security-Trainings zum Thema „Sicherheitsaspekte bei Einführung & Betrieb von IT-
Systemen“ (z.B. System-Hardening, sichere Authentifizierung, Backup/Restore etc.) geschult.
Das zweite Kampagnenjahr (2006) stand ganz im Zeichen der Mitarbeiterschulungen. Auf
Einladung der Geschäftsführung nahmen über 800 Anwender an den Schulungen teil. Alle
Trainings (auch schon die Trainings für Führungskräfte) wurden von zwei Referenten
durchgeführt – dem stellvertretenden Sicherheitsbeauftragtem der FMG und einem
Consultant der HvS-Consulting. Spezielle Zielgruppen wie z.B. Auszubildende erhielten neben
den Standardtrainings eigene Schulungen. Der große Erfolg aller Trainings – belegt durch
eine Durchschnittsnote von 1,5 – wurde wesentlich unterstützt durch den Einsatz von Live-
Demonstrationen und multimedialen Elementen wie Security Awareness Videos.
Alexander Cmarits (CISM), stellvertretender. IS-Beauftragter der FMG: „Die Security
Awareness Videos der HvS-Consulting besitzen einen hohen Wiedererkennungswert, die
Mitarbeiter können sich in die Situation des Betroffenen hineinversetzen und werden so
nachhaltig sensibilisiert.“
© HvS-Consulting GmbH, 2008 Seite 5 von 9
Security Awareness Kampagne Nach den Schulungen war man gespannt, ob diese Maßnahmen auch Wirkung zeigen. Ein weiterer „Testvirus“ wurde versendet – allerdings mit einer anderen Methodik als der erste Testvirus vor Beginn der Kampagne. Das Ergebnis war ermutigend: nur sehr wenige Mitarbeiter klickten den „Virus“ an. Um das Thema Sicherheit in die tägliche Arbeit weiter zu verankern, erhielt jeder Mitarbeiter mit der Einladung für das Training die „10 Goldenen Regeln der Informationssicherheit“. Diese sind eine vereinfachte Zusammenfassung der IT- Nutzungsrichtlinie mit Beispielen auf der Rückseite. Zudem wurden Kugelschreiber mit der Aufschrift „Informationssicherheit“ verteilt. Während des gesamten Zeitraums der Schulungen wurden neue Postermotive eingesetzt, die nun detaillierter auf einzelne Themen (z.B. Passwörter) eingingen. Ein weiterer Schritt, um Sicherheit „sichtbar“ zu machen, war die Installation eines Bildschirmschoners, der die wichtigsten Sicherheitsrichtlinien sowie – als „Auflockerung“ – Bilder und Daten von Flugzeugen beinhaltete, die am Flughafen München landen. © HvS-Consulting GmbH, 2008 Seite 6 von 9
Security Awareness Kampagne
„Ein wichtiges Ziel aller unserer Security Awareness Maßnahmen ist es, das Thema Sicherheit
nachhaltig in das tägliche Leben der Mitarbeiter zu integrieren“, so Harald Englert. „Nur
wenn den Mitarbeitern bewusst wird, wie wichtig ihr Beitrag zur Sicherheit ist, und wie –
relativ einfach – jeder Einzelne einen Beitrag zur Sicherheit leisten kann, werden die Ziele der
Security Awareness Kampagne erreicht“, fährt Englert fort.
Im Rahmen der im Jahr 2006 erlangten ISO 20000 Zertifizierung des Servicebereichs IT
wurden vom TÜV u.a. auch die Prozesse im Bereich Informationssicherheit geprüft -
Ergebnis: keine Beanstandungen. Positiver Punkt: Security Awareness Maßnahmen.
Das Ziel einer umfassenden Sensibilisierung der
Mitarbeiter weiter im Auge behaltend ging man im
dritten Jahr der Kampagne neue Wege, man setzte ein
Webbased Training ein. Auf Basis des Security
Awareness Trainings IS-FOX der HvS-Consulting
erstellte man ein FMG individuelles Training – BISON
(Basis InformationsSicherheit Online Nachschlage-
werk).
Die Einführung des Trainings wurde kommunikativ
unterstützt mit einem Gewinnspiel, Beiträgen in der
Mitarbeiterzeitschrift und im Intranet, einer Posterkampagne sowie durch Vor-Ort-Aktionen
(Promotion in den Kantinen). Der Lernteil war für alle Mitarbeiter ohne eine Registrierung
zugänglich, für den Test musste man sich anmelden (Daten wurden für das Gewinnspiel und
zur (anonymen) Auswertung benötigt). Obwohl ein webbasiertes Lernen bis dato bei der
FMG nicht eingeführt war, haben mehr als 500 Mitarbeiter erfolgreich an diesem Training
teilgenommen. Auch in diesem Training wurde Wert gelegt auf abwechslungsreiche Inhalte
(Text, Bilder, Videos).
Neu im dritten Jahr war auch, dass das ganze Jahr über stichprobenartige Assessments
mittels simulierter Social Engineering Angriffe durchgeführt wurden. „Angreifer“ der HvS-
Consulting simulierten Attacken auf verschiedene Bereiche der FMG um vertrauliche
Informationen ohne Wissen der Opfer zu beschaffen.
Die so gewonnenen Feststellungen flossen zusammen mit den Erkenntnissen der ersten drei
Kampagnenjahre in die Fortsetzung der Security Awareness Maßnahmen ein.
Eine Erkenntnis, insbesondere aus den Social Engineering Angriffen, war, dass der richtige
Umgang mit unternehmenskritischen Informationen noch nicht durchgehend bekannt war.
So machte man sich im Sicherheitsmanagement Gedanken, wie hier das Sicherheitsniveau
optimiert werden kann. Nach umfassenden internen Vorarbeiten wurde Anfang 2008 eine
neue Richtlinie publiziert und entsprechende Trainings aufgesetzt. Auch dies wurde durch
© HvS-Consulting GmbH, 2008 Seite 7 von 9
Security Awareness Kampagne
Poster, Intranet- und Mitarbeiterzeitschriftartikel sowie diverse Hilfsmittel (z.B. Flyer für den
täglichen Gebrauch) unterstützt.
Aktuell durchlaufen die Mitarbeiter diese Trainings, daneben werden weiterhin regelmäßig
allgemeine Informationssicherheitstrainings durchgeführt.
Harald Englert, IS-Beauftragter der FMG zieht im vierten Jahr der Security Awareness
Kampagne ein positives Fazit: „Die getroffenen Maßnahmen haben deutlich Wirkung gezeigt
und zu einem hohen Maß an Sensibilisierung der FMG-Mitarbeiter beigetragen. Und
erfreulicherweise wird Informationssicherheit von den Mitarbeitern positiv wahrgenommen.
Wir sind auf dem richtigen Weg – auch wenn dieser Weg wohl nie enden wird.“
Checkliste Umsetzung Kampagnen Maßnahmen
Wie gehe ich in der Kampagne vor? Denken Sie in einem Phasenmodell:
Phase 1: Mitarbeiter wach rütteln
Phase 2: Wissen vermitteln
Phase 3: Nachhaltigkeit sicherstellen
… und dann wieder von vorne …
Wie vermeide ich eine Reaktanz der Erheben Sie nicht den Zeigefinger und vermeiden Sie lehrerhaftes
Mitarbeiter (Abwehrreaktion)? Auftreten. Gestalten Sie die Maßnahmen positiv motivierend und
spielerisch.
Wie setze ich die Maßnahmen um? Wählen sie immer wieder neue „Zugänge“ zu den Mitarbeitern aus
(Präsenztraining, Webbased Training, Podcasts, …) und gestalten Sie die
Maßnahmen multimedial mit einer Mischung aus Text, Bild und Video.
Welche Themen und Maßnahmen setze ich Überfordern Sie die Mitarbeiter nicht. Setzen Sie gemäß Ihres
wann um? Schutzbedarfs Schwerpunktthemen und gehen Sie diese nach und nach
an.
Wie kommt die Kampagne bei den Fordern Sie Feedback von den Mitarbeitern und verfolgen Sie dies. Oft
Mitarbeitern an? erhalten Sie hier neben Optimierungsansätze für die Kampagne auch
Hinweise auf unbekannte Schwachstellen und Sicherheitslücken.
Wie erfolgreich ist die Kampagne? „Messen“ Sie den Grad der Sensibilisierung durch geeignete Tests (z.B.
Testviren).
Welchen Nutzen habe ich im Vergleich zu Stellen Sie sich vor, was es kostet, wenn Sie es nicht tun? Security
den Kosten? Awareness zahlt zudem nicht nur direkt auf die Sicherheit ein sondern
kann auch zu einer Optimierung von Prozessen und Organisation
beitragen.
Wie verstärke ich die Wirkung der Sicherheit ist eine Führungsaufgabe. Geschäftsführung und
Kampagne? Führungskräfte sind Vorbilder und Multiplikatoren. Binden sie diese
entsprechend mit ein.
Wer kann mich unterstützen? Binden Sie externe Partner als Ideengeber, als „neutrale“ Referenten
(was geschieht bei anderen Unternehmen) und kompetente Berater ein.
© HvS-Consulting GmbH, 2008 Seite 8 von 9Security Awareness Kampagne Über die Autoren Harald Englert ist Leiter Interne Services (Servicebereich IT) und Informationssicherheitsbeauftragter der Flughafen München GmbH. Alexander Cmarits, Certified Information Security Manager (CISM), ist IT-Sicherheitsmanager und stellvertretender Informationssicherheitsbeauftragter der FMG. Flughafen München GmbH: www.munich-airport.de. Andreas Schnitzer ist Senior Consultant beim auf Business Security spezialisierten Beratungsunternehmen HvS-Consulting in München (schnitzer@hvs-consulting.de, www.hvs-consulting.de). HvS-Consulting bedankt sich bei der Flughafen München GmbH, Herrn Englert und Herrn Cmarits, für die freundliche Unterstützung. Erschienen in: Sicherheit-Berater www.sicherheits-berater.de Ausgabe 14/15 vom 01.08.2008 © HvS-Consulting GmbH, 2008 Seite 9 von 9
Sie können auch lesen
