Security-Guru: Schulungen für Nutzer sind Unsinn

Laut dem IT-Security-Guru Bruce Schneier sollten Schulungen, die zu einem stärkeren Sicherheits-Bewusstsein seitens der Nutzer führen, eigentlich gar nicht durchgeführt werden müssen. mehr... Sicherheit, Bruce Schneier, Experte Bildquelle: Schneier.com Sicherheit, Bruce Schneier, Experte Sicherheit, Bruce Schneier, Experte Schneier.com

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Mit interessierten Nutzern Schulungen abzuhalten kann niemals Unsinn sein. Die Betonung liegt natürlich bei "interessiert".
 
@jigsaw: stimmt. Aber interessierte Nutzer achten auch so auf Sicherheit. Und bei der Mehrheit hat er leider Recht. Denn vielen ist die "Bedrohung" garnicht bewusst und wird auch schnell runter geredet wenn man drüber spricht. Da kommen dann solche Äußerungen wie "was kann man bei mir schon holen". Aber das Geschrei nachher ist groß wenn die Kreditkartendaten entwendet wurden.
 
@jigsaw: Die meint er ja auch nicht. Eine Fortbildung die das Interesse des Nutzers vertieft ist nicht schlecht. Aber eine zwangsweise Schulung ist wenig hilfreich, wenn sie dem Nutzer keinen direkten Vorteil bringt. Jeder Admin wird das bestätigen können: Man kann den Leuten beliebig oft sagen, dass sie keine einfachen Passworte verwenden sollen wie z.B. password. Trotzdem nutzen ganz, ganz viele trotzdem Passworte wie password, 123456, admin, ... Das einzige was funktioniert ist Passwortregeln im System vorzugeben, z.B. 3 Zeichenklassen und 10 Zeichen sonst wird das Passwort nicht akzeptiert. So gesehen hat Bruce Schneier vollkommen recht.
 
@Nunk-Junge: Genau! Nicht der User muss auf Sicherheit achten, sondern das System sollte den großteil der Fehltritte von selbst verhindern bzw. nicht zu negativen Konsequenzen führen. Das was man mit einer richtig guten Sicherheitsarchitektur nicht abfängt, das würde man mit Schulungen bei uninteressierten Nutzern auch nicht abfangen....Wer schwache PWs zulässt, der muss damit rechnen das sie benutzt werden, da helfen auch keine Schulungen...
 
sehr interessanter artikel. meine erfahrungen bestätigen die tendenz des artikels. IT sicherheit ist aus sicht des users "nicht mein problem". es gibt nur wenige die da ganzheitlich denken.
 
@Matico: Denen die so denken braucht man keine Schulung mehr geben:) Die anderen sind eh desinteressiert und haben bis zum naechsten Arbeitstag alles vergessen und machen es wie gewohnt
 
@Matico: Ganz meine Meinung. Am schlimmsten sind die User, die bekommen eine E-mail(Auf die Firmenadresse), "Bezahlen sie Ihre Telefonrechnung!", mit einem "pdf" also einem ".pdf.exe" das exe interessiert die gar nicht also aufmachen und angucken wollen. Ende ist immer das ich als Azubi mehrmals die Woche zu leuten hinlaufen muss um einen Virus zu entfernen mit anschließendem Virenscannercheck. UND DANN darf ich mir noch anhören das dauert so lange, sie können nicht arbeiten und wir sollen sowas mal verhindern. TROTZ der Einweisung der Mitarbeiter auf sowas zu achten.
 
@Tracker92: Warum wird eine *.exe im Mailverkehr bei Euch zugelassen? Es ist auch nicht Aufgabe des Anwenders, Viren zu bekämpfen, sondern dies sollte die IT im Vorwege abwehren. Mir ist allerdings auch bewusst, dass in vielen Firmen die IT wenig Möglichkeiten hat, weil intelligente Lösungen Geld kosten würden und dieses Geld von den BWL-Managern nicht genehmigt wird. Aber das stinkt der Fisch wie immer vom Kopf.
 
@Kobold-HH: Doch .exe Dateien werden durchaus geblockt. Allerdings werden die ja immer schön im noch in zip-Files versteckt... Und die Überprüfung von .zip oder .rar dateien ist bei uns noch in arbeit, da leider für eine schnelle lösung das Geld fehlt.
 
@Tracker92: ich denke es gibt die faulen. die meisten sind aber von der komplexität der IT einfach überfordert. schon die kleinsten veränderungen in ihren abläufen zeigen das sie zumindest technisch nicht verstanden haben was sie eigentlich tun den ganzen tag. und ich denke da sollte man nicht mit überheblichkeit reagieren. ich bin auch nen mieser handwerker, was die wohl so über mich denken... :)
 
@Matico: Sry das sollte nicht überheblich sein. Es gibt auch bei uns leute die sind meister z.b. in der AUsbildungswerkstatt und gehen pc und sind auch fit darin, aber einige ändern ihre Gewohnheiten auch nach mehrfacher afforderung einfach nicht...
 
@Tracker92: Eh, Moment mal. Hab ich das richtig verstanden??? Eure Mitarbeiter dürfen auf den Firmenrechnern Software installieren????????????
Na, da is dann ja wohl ne Schulung für die IT-Abteilung nötig. Und du als Azubi solltest dir schnellstmöglich ne neue Ausbildungsstelle suchen! Eine, wo du auch was lernen kannst.
 
@Matico: Genau aus diesen Grund betreib ich folgenden Ansatz in meiner tätigkeit als Admin, nämlich genau die selbe wie Apple ... Absolute Entmündigung des Users! Dann ist des wirklich nicht mehr sein Problem, weil er net mal mehr ein USB Stick am Rechner anstecken kann und selbst Facebook und Co net erreichbar ist. Die Idee mit der HIV/AIDS Werbung ist eigentlich ein guter Ansatz ... mal sehn ob des funkt.
 
"Benutze ein Kondom oder du stirbst." erinnert mich daran wie man mir beibrachte dass Bahngleisen, etc. gefährlich sind. Kilometerweit kein Zug in Sicht: "geh nicht zu nah an die Gleisen sonst erwischt dich der Zug."
 
Solche Mitarbeiterschulungen in Unternehmen sind in erster Line dafür da, dass IT Manager etwas haben, dass Sie beim nächsten Quartals-Meeting auf die PowerPoint Präsentation klatschen können.
 
Der Mann hat wohl noch nicht verstanden das Schulungen gutes Geld Bringen und deswegen sich da eine Industrie entwickelt. Sicherheitsbewusstsein ist sicher nicht die Priorität! Geld verdienen Schon.
 
@BadMax: Dann müsste ich ja Geld verdienen, wenn ich dir was über Rechtschreibung beibringe ;)
 
"Jene, die Schulungen in IT-Security für eine gute Idee halten, möchte ich nur fragen: 'Hast du jemals einen normalen Nutzer getroffen?'"
This. Die Typen, die gegen Defaultischerheit sind mit der Begründung, die Nutzer müssten halt mündiger werden, halte ich für blöd.
 
@Kirill: reine Neugier, was bedeutet "This."?
 
@Drachen: Grundsaetzlich versucht man damit ein Argument zu bestaetigen. Es ist ein Word der Englischen Sprache und steht fuer "dies/dieser"
 
@-adrian-: Danke, als Wort der englischen Sprache ist mir this durchaus seit einigen Jahrzehnten bekannt, aber mittendrin und für sich allein als eigener Satz kam es mir noch nie unter. Und ich kann darin auch keine bestätigende Aussage erkennen. Aber ok, solche seltsamen Sachen finden sich immer mal wieder und die meisten sterben ebenso schnell wieder ab, weil außer einer handvoll Leute kein Mensch darin einen Sinn erkennen kann - nur lateinische Worte halten in solchem Kontext wohl länger :)
 
@Drachen: naja auf englischen seiten werden oft einfach nur "this" postings unter kommentare von anderen geschrieben. erbestaetigt die aussage aus dem artikel ob der sicherheitsexperte schon mal einen normalen nutzer getroffen hat
 
"Benutze ein Kondom oder du stirbst!" -> "Benutze einen Virenscanner oder deine Daten werden vernichtet!" ....ob das reicht? ^^
 
@lyke4k: Würde deine Aussage ausbessern in "aktuellen Virenscanner" :D Wie vielen Leuten habe ich schon einen gratis Virenscanner installiert weil der vorinstallierte Crap abgelaufen war und sie im Grunde ohne Schutz da standen. Wussten von nichts außer von der penetranten "Kaufe die Lizenz" Meldung
 
@wertzuiop123: recht haste...
 
@lyke4k: "Schütze deinen PC oder du stirbst!" :P
 
@Wuusah: "Surfen tötet. Die EU-Internetminister."
 
@lyke4k: Aus eigener jahrelanger Erfahrung: NEIN, es reicht NICHT...
 
@lyke4k: Natürlich nicht. "Wenn dein Rechner sicher sein soll - lass nen Profi ran!"
 
Naja, das soll je eigentlich ein *freies* Internet sein. Und jeder trägt für sich und seinen PC (bzw allgemeiner: seinen Netzzugang) selbst die Verantwortung. Also muß doch der Ansatz sein: wenn einer Mist baut, weil er nicht lernen will, müssen alle anderen vor den Konsequenzen bewahrt werden können. Dann kann jeder machen, was er will, wie er will, und wo er will, ohne daß andere Unbeteiligte in Mitleidenschaft gezogen werden.
 
@RalphS: gut gemeint aber das freie Internet ist genau das, was wir jetzt haben - indem wir alle herhalten müssen für ungeschütze/schlecht geschützte Client- und Server-Systeme und den Angriffen/Nebeneffekten, ob Bot/DoS/Spam/Virenverteilung, die daraus entstehen.
Nur wie soll man das technisch machen? Absolut unmöglich ...
Da wären dann die Medien voll von "Diktatur" und "chinesischen Verhältnissen" wenn die Provider anfangen würden, User zu beschränken, Daten zu filtern, Anschlüsse zu sperren usw. Ist auch meiner Meinung nach unvereinbar ... Beschränkungen kann man in einer Firma mit klar festgelegten Regeln durchsetzen, aber nicht Internet-gesamtheitlich ...
 
@pro79: Ja. Und was der Sicherheitsguru oben im Artikel empfiehlt, fördert FUD. Auch nicht optimal. Denke mal, einen "richtigen" Weg, der perfekt für alle ist, wird es wohl nicht geben.
 
@RalphS: schönes Wunschdenken... *träum*
 
Ich kenne normale Nutzer, leider, und kann Herrn Schneier leider nur bedingt recht geben.

Wenn User nämlich zum Beispiel schlampigst mit ihren Benutzerkennungen umgehen, Post-Its mit Kennwörtern auf Monitoren oder Tastaturen kleben dann sorry, muss man mit Sicherheitsschulungen mal ein Grundbewusstsein schaffen. Da hilft die beste Firewall oder der beste Content-Filter nichts wenn Zugangskennungen in falsche Hände geraten.

Die größte Gefahr sind nämlich heutzutage Social-Hacking-Angriffe, auch Hacker gehen den Weg des geringsten Widerstands - wenn irgendwo eingebrochen werden soll, dann wird man sich nicht wochenlang mit dem Hacken von komplexen Firewall-Systemen o. ä. beschäftigen sondern fängt beim schwächsten Glied in der Kette an.

Bewusstseinsbildung muss sein, auch insbesondere für die Geschäftsführung - weil sonst gibt es auch kein Geld für IT Security.
 
@pro79: Ich werd immer das Gefühl nicht los, daß es insgesamt an einer Konzeption fehlt: hier soll was geschützt werden und da soll was möglich sein und aber dann doch wieder nicht; aber wie es letztlich *zusammenpaßt*, darum kümmert sich keiner. Post-Its sind jedenfalls besser als Textdateien auf dem Desktop; erstere kann nur der vorm Monitor stehende Kollege lesen, letztere (potentiell) jeder. Und wenn man - nur als nicht weiter durchüberlegte Idee - Smartcards zur Authenzifizierung verwendet, die beim Rausziehen den Rechner sperren... dann klappt das, zumindest dann, wenn man die Smartcard auch braucht, wenn man sich vom Rechner entfernt *hat* - wenn man also den Schlüssel nicht nur dazu braucht, die Wohnung abzusperren, sondern auch, aus dem Haus selber rauszukommen.
 
@RalphS: Naja, in Organisationen wie Parteienverkehr wie bei uns oder Kindergärten mit nicht versperrten Büros finde ich Post-Its nicht so prickelnd :-)

Smartcards sind nett, sind aber einerseits als professionelle Systeme für größere Unternehmen teuer (~ 500 User kann schon mal auf EUR 100.000 kommen) und wenn die Leute nicht pfleglich damit umgehen (Karte stecken lassen, PIN irgendwo hinschreiben ....) dann führt es sich auch ad absurdum ...

Ein großes Problem ist aber dann, dass die Windows-Anmeldung ja nur ein kleiner Baustein ist - da gibt es ja dann zig Webseiten oder Applikationen von Behörden und Fremdanbietern, wo wieder eigene Kennungen zu verwenden sind. Da müssten dann die Leute zumindest einen "Passwort-Safe" verwenden weil die Single-Sign-On-Systeme, die sich auch mit Smartcard koppeln lassen und zentral Kennwörter speichern und ändern können, kosten halt auch was.

Aber die Kennwort-Thematik ist ja nur ein plakatives Beispiel, da geht es ja auch um andere Dinge wie Zero Day Exploits oder Phishing Mails die auch mal durch ausgefeilte Virenschutzsysteme durch kommen können - wenn man halt alles anklickt bzw. das Hirn nicht einschaltet ...

Und das geht dann weiter vom Cyberspace ins Reale, Stichwort versperrte Büros/Schränke, Dokumente nicht rumliegen lassen ("clean desk policy") usw.

Leider ist aber oft auch bei (Möchtegern-?)Admins das Sicherheitsbewusstsein schlecht ausgeprägt und leider habe ich auch schon Spezialisten erlebt, die einen groß anschauen wenn man die Windows Firewall auf Servern aktiv hat ...
 
Ich denke, dass der gute Mann einen Aspekt vergessen hat. Die erfolgreichen Angriffe und Sicherheitsprobleme liegen zunehmend im Bereich des Social Engineering und da hilft keine Firewall und kein Virenscanner oder sonst eine technische Vorrichtung. In diesem Bereich hilft leider nur "Schulung", wobei man sicherlich über den Aufbau solcher Schulungen streiten kann. Die Idee, Inhalte plakativer zu gestalten, finde ich gar nicht schlecht, denn es ist ja wie in der Werbung: die dümmstem/blödesten/provokativsten Dinge bleiben hängen, an einen künstlerisch wertvoll gestalteten Werbefilm erinnern sich dagegen die wenigsten.
 
Die einen Sagen, die Software muss so sicher sein, das das Verhalten des Nutzers egal ist. Die anderen sagen, der Nutzer muss auf die Sicherheit achten und kann dazu Software nutzen, die er aber überwachen muss. Beides extreme Positionen ... die Wahrheit liegt wohl wie so oft, irgendwo in der Mitte ...
 
Das system kann so sicher sein wie man will, der Schwachpunkt sitzt vor dem Monitor, und es kann nie schaden (jedenfalls kenne ich keine Alternative) ihm das entsprechende Bewusstsein beizubringen.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles