IT-Security Awareness Penetration Testing
– ITS.APT –

überblick

Motivation

Angriffe auf IT-Infrastrukturen werden immer häufiger, da sie mit vergleichsweise geringem Aufwand über das Internet möglich sind und die Identität eines Angreifers leicht verschleiert werden kann. Ob der Angriff Erfolg hat, entscheidet oft das individuelle Verhalten der IT-Benutzer, die sich mit einer solchen Attacke konfrontiert sehen. Zur Frage, ob und in welchem Maße das Sicherheitsbewusstsein von IT-Benutzern den Ausgang sicherheitsrelevanter Vorfälle beeinflussen kann, liegen jedoch nur wenige empirische Daten vor. Die Datenerhebung ist nicht nur mit hohen Kosten verbunden, sondern kann auch datenschutz- und arbeitsrechtlich problematisch sein.

Eine Bewertung der IT-Sicherheit bei Betreibern kritischer Infrastrukturen wird üblicherweise durch klassisches „Penetration Testing“ durchgeführt. Bei diesem Vorgang wird die IT-Infrastruktur eines Unternehmens auf Verwundbarkeiten überprüft. Dabei ist das Testfeld jedoch lediglich auf die technische Infrastruktur beschränkt und lässt den Faktor Mensch bei der IT-Sicherheitsbewertung außen vor.

Ziele und Vorgehen

Das Verbundprojekt „IT-Security Awareness Penetration Testing (ITS.APT)“ adressiert derartige Schwierigkeiten mit dem Ziel, diese klassische Methode um den Faktor Mensch zu erweitern, d. h. die Benutzer der IT-Infrastruktur. Im Projekt werden neue Methoden erarbeitet, mit denen IT-Sicherheitsbewusstsein von Benutzern gemessen werden kann. Inwieweit das Sicherheitsbewusstsein von Individuen eine Rolle bei Angriffen auf die IT-Infrastruktur spielt, konnte mit traditionellen wissenschaftlichen Messwerkzeugen bisher nicht praktikabel nachgewiesen werden. Mit einem im Projekt zu definierenden einfach quantifizierbaren Indikator „IT-Sicherheitsbewusstsein“ ließe sich, zum Beispiel im Hinblick auf Kosten und zeitlichen Erhebungsaufwand wesentlich, einfacher arbeiten.

In einem umfassenden Feldtest mit anschließender Evaluation wird untersucht, welche Parameter entscheidend für das IT-Sicherheitsbewusstsein der Nutzer sind. In kritischen Infrastrukturen sind die Auswirkungen sicherheitsrelevanter Vorfälle besonders gravierend und die Anforderungen an den Datenschutz besonders hoch.

Das ITS.APT Testfeld

Innovation und Perspektive

Die angestrebte Innovation umfasst ein Werkzeug zur kosteneffizienten Messung des kollektiven IT-Sicherheitsbewusstseins ganzer Unternehmen und bietet damit neue Erkenntnisse für alle beteiligten Forschungsbereiche: Rechtswissenschaften, Psychologie und Informatik. Auch das IT-Risikomanagement von Unternehmen kann so verfeinert werden. Zudem werden neue Ansätze zur Erhöhung des IT-Sicherheitsbewusstseins der Nutzer geschaffen und exemplarisch im Rahmen des Projekts umgesetzt.

Partner

UKSH Universitätsklinikum Schleswig-Holstein, Lübeck
ITM Westfälische Wilhelms-Universität Münster: Institut für Informations-, Telekommunikations- und Medienrecht
ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel
UBO Rheinische Friedrich-Wilhelms-Universität Bonn: Institut für Informatik – AG IT-Sicherheit
UDE Universität Duisburg-Essen – Fachgebiet Allgemeine Psychologie: Kognition, Duisburg
ERNW Enno Rey Netzwerke GmbH, Heidelberg

IT-Security-Risiken im Sektor Gesundheitsversorgung

IT in der klinischen Gesundheitsversorgung

Unternehmen der Gesundheitsbranche sind zur Erfüllung ihrer Kernaufgaben auf eine umfangreiche IT-Organisation und –Infrastruktur angewiesen. Industrie 4.0, eigentlich die industriellen Produktion fokussierend, durchdringt auch die Gesundheitsbranche und ver-ändert vorhandene Prozesse und generiert neue Arbeitsabläufe. Neben Patientendaten, Untersuchungs- und Therapiedaten werden Behandlungspfade und Workflows digital abgebildet. In ausgewählten klinischen und administrativen Bereichen ist Prozesssteuerung bereits seit längerem Standard (Laborstraßen, OP-Besteck Sterilisation, Essensversorgung u.a.). Kommissionierungsautomaten bereiten die Medikation jedes einzelnen Patienten tagesaktuell und vollautomatisch auf. Die Einsatzplanung von Personal, das Management der Materialflüsse, die Belegung der Operations- und Untersuchungseinheiten erfolgen mittels digitaler Tools. Diese elektronischen Werkzeuge sind zunehmend untereinander vernetzt. Über mobile Endgeräte erfasste Vitalparameter werden über Schnittstellen in der zentralen, elektronischen Krankenakte dokumentiert. Die mobil erfassten Materialverbräuche finden Eingang in die Krankenakte und lösen parallel in der Materialverwaltung die Verbuchung und bei Bedarf automatisiert die Nachbestellung bei Hersteller bzw. Lieferant aus. Mit der Online-Buchung einer Untersuchung oder Operation, werden relevante Patienteninformationen, wie z.B. Allergien, Risikofaktoren, wesentliche Medikationen etc. übermittelt. Untersucher und Behandler stehen die Informationen der elektronischen Krankenakte unmittelbar am Behandlungssystem zur Verfügung. Diese transparente Bereitstellung der notwendigen klinischen Daten direkt am Ort des Geschehens sichert einen konsistenten Informationsstand für alle Beteiligte. Der optimierte Behandlungsworkflow kommt in erster Linie der Verbesserung der Behandlung des Einzelnen aber auch den beteiligten Mitarbeitern zugute. Unnötige Aktensuche, fehlende Informationen reduzieren den administrativen Aufwands und helfen den Mitarbeitern, sich auf den Patienten zu konzentrieren.

Neben krankenhausinterner Vernetzung kommt in steigendem Maße der elektronische Datenaustausch mit Kostenträgern, Lieferanten, Herstellern, anderen Partnern der Ge-sundheitsversorgung (Ärzte, Krankenhäuser, Pflegeeinrichtungen etc.) und nicht zuletzt auch mit dem Patienten selber hinzu. Zur bereits obligatorischen Onlinepräsenz für die Außendarstellung des Krankenhauses gesellen sich Portale für Patienten, Ärzte und andere Partner. Über diese erfolgt einerseits Datenaustausch (Arztbriefe, Befunde etc.) zwischen den an einer Behandlung beteiligten Partnern, andererseits werden Behandlungspfade (ambulant – stationär – Rehabilitation) enger miteinander verzahnt, somit der Behandlungsprozess für den Patienten optimiert. Der Kontakt mit Lieferanten und Herstellern erfolgt zusehends über Internet (Mail, Online-Bestellungen etc.). Service- und Wartung erfolgen per Fernzugriff auf den betreffenden Systemen und Geräten direkt in der Krankenhaus IT-Landschaft. Die eingesetzten IT-Systeme sind sowohl innerhalb als auch außerhalb des Krankenhauses vielfältig vernetzt. Interne und externe Kommunikation und Datenverarbeitung sind dabei vielfältigen Regelungen, Normen und Standards unterworfen bzw. fußen darauf. Eine grobe Übersicht liefert die unten stehende Grafik.

Wesentliche Regelungen, Normen und Standards im Krankenhausbetrieb, die IT-Sicherheit tangierend.
NIS Netz- und Informationssicherheit
DSGVO Datenschutz-Grundverordnung
BDSG Bundesdatenschutzgesetz
LDSG Landesdatenschutzgesetz
KHEntgG Krankenhausentgeltgesetz
eHealth-Gesetz Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen
SGB V Sozialgesetzbuch Fünftes Buch
MPG Medizinproduktegesetz
MedGV Medizingeräteverordnung
MPBetreibV Verordnung über das Errichten, Betreiben und Anwenden von Medizinprodukten

Risiken des IT-Betriebs

Der Ausfall oder die Störung wesentlicher Komponenten der skizzierten Infrastruktur können erhebliche Auswirkungen – für Patienten evtl. sogar letale Komplikationen – zur Folge haben. Es ist somit unerlässlich, ja zwingend, die IT-Infrastruktur eines Krankenhauses vor Störungen und Ausfall so gut wie möglich zu schützen. Zu den altbekannten Risiken durch Stromausfall, Hardwaredefekten etc. gesellen sich in immer größerem Maße Cyberrisiken, die durch die IT-Systeme selbst (mangelndes Patch- und Release-Management), die Vernetzung (Fernwartung übers Internet, Viren- und Phishing-Mails etc.) und den Datenaustausch (z.B. Datenträger mit Patientendaten) entstehen.

Maßnahmen

Zwar lassen sich die genannten „Schnittstellen“ in die Krankenhaus IT mittels technischer Maßnahmen gegen Cyberrisiken absichern, aber diese Absicherung ist nur so gut, wie die handelnden Personen sich der Gefahren bewusst sind und verantwortlich agieren. Das vermeintlich schwächste Glied in der Abwehrkette ist der Anwender. Mails von Patienten, Krankenkassen, Lieferanten und< Herstellern können potentiell mit Malware oder „gefährlichen“ Links versehen, oder gänzlich gefaket sein. Der Anwender muss entsprechend sen-sibilisiert sein und angemessen reagieren. Auch wenn „dringend“ die mitgebrachten Befunde vom USB-Stick eingelesen werden müssen, darf der – hoffentlich etablierte – sichere Übertragungsweg über einen „Schleusenrechner“ nicht umgangen werden. Auch wenn die Einladung zu dem hochinteressanten und begehrten Kongress verlockend ist, sollte der angesprochene Anwender zunächst den „unauffälligen“ Link in der Mail nicht einfach anklicken, sondern sich von der „Echtheit“ überzeugen. Selbstverständlich erfolgen heute Bewerbungen auch per Email, dennoch sollte der Sachbearbeiter die angehängten Dateien erst dann auf seinem PC öffnen, wenn bereits eine Viren- und Malwareprüfung der Anhänge erfolgt ist und zudem auf dem PC keine unberechtigten Makros oder ausführbaren Dateien erlaubt sind. Auch der notwendige Remotezugriff zu Wartungs- und Pflegearbeiten auf Systeme darf nur unter gesicherten Verfahren erfolgen. Grundsätzlich sollten sich die betroffenen Systeme nicht aktuell im klinischen Intranet befinden und idealerweise werden die Aktivitäten des Remotezugangs beobachtet. Nach Abschluss der Arbeiten müssen die gesicherten Verbindungen getrennt und die temporär geöffneten Ports wieder verschlossen werden.

Ein Krankenhaus sollte der Verwundbarkeit seiner Mitarbeiter durch gezielte Informations- und Schulungsmaßnahmen entgegen treten. Neben gezielten Informationen zu aktuellen Bedrohungslagen (siehe Ransomware-Wellen Locky und WannaCry) gehören hier auch wiederholte Hinweise zum richtigen Umgang mit Mails, dem Internet, mitgebrachten Datenträgern etc. Awareness-Schulungen sollten fester Bestandteil des innerbetrieblichen Schulungsprogramms oder mindestens Teil der Initialschulung für neue Mitarbeiter sein. Idealerweise stehen den Mitarbeitern im Intranet neben Informationen zur Bedrohungslage und Hinweisen zur Reduzierung von Cyberrisiken interaktive Online-Schulungsmöglichkeiten zur Verfügung.

Das Verfahrensverzeichnis

Das Verbundprojekt ITS.APT stellt ein Muster für ein Verfahrensverzeichnis als Werkzeug für den Transfer in die Praxis bereit. Ein solches ist gemäß § 7 Landesdatenschutzgesetz Schleswig-Holstein für jedes von einer verantwortlichen Stelle betriebene automatische Verfahren erforderlich. Weiterhin sieht Artikel 30 der im Mai 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung, die in Deutschland unmittelbar anwendbar sein wird, ein solches Verzeichnis von Verarbeitungstätigkeiten vor.

Zweck des Muster-Verfahrensverzeichnisses

Die Verpflichtung, ein solches Verfahrensverzeichnis zu führen, trifft sämtliche verantwortliche Stellen, die Daten verarbeiten. Es ist von der verantwortlichen Stelle selbst zu erstellen und dient der Herstellung von Transparenz gegenüber den Betroffenen sowie zur besseren Überwachbarkeit der Datenverarbeitung, auch durch die zuständige Datenschutzaufsichtsbehörde. Da das Verzeichnis auch der Information der Betroffenen dient, sollte es möglichst zugänglich und verständlich formuliert sein.

Weiterhin ist das Verzeichnis eine wichtige Grundlage für eine Datenschutz-Folgenabschätzung gemäß Artikel 35 Datenschutz-Grundverordnung, die für Verarbeitungstätigkeiten, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, verpflichtend durchzuführen ist.

Auch für die Durchführung eines Tests des IT-Sicherheitsbewusstseins unterstützt sie die verantwortliche Stelle bei deren Durchführung, da durch ein solches Verzeichnis sichergestellt wir, dass die Datenflüsse und Verantwortlichkeiten innerhalb der Organisation festgelegt, Ansprechpartner verfügbar und die datenschutzrechtlichen Anforderungen umgesetzt sind.

Gemäß § 7 Abs. 3 Landesdatenschutzgesetz Schleswig-Holstein führt der Datenschutzbeauftrage, soweit ein solcher bestellt ist, das Verzeichnis. Dies ist in der Datenschutz-Grundverordnung nicht explizit vorgesehen, aufgrund der beratenden Tätigkeit des Datenschutzbeauftragten sollte dieser aber in jedem Falle frühzeitig in die Erstellung einbezogen werden.

Zweck des Muster-Verfahrensverzeichnisses

Das Verfahrensverzeichnis enthält folgende Angaben:
  1. Den Namen und Kontaktdaten der verantwortlichen Stelle sowie des Datenschutz-beauftragten, soweit ein solcher bestellt ist.
  2. Eine Beschreibung der Zwecke und Rechtsgrundlagen der Datenverarbeitung. Dabei sollten der Sinn der Durchführung des Tests und der Ablauf beschrieben werden. Als Rechtsgrundlage sollte auf eine Betriebs-/Dienstvereinbarung zurückgegriffen werden, auf die an dieser Stelle verwiesen werden kann.
  3. Den Kreis der Betroffenen oder Betroffenengruppen. Dabei handelt es sich um die vorausgewählten Teilnehmer*innen des Tests, wie sie bereits in der Dienstvereinbarung festgelegt sind. Es sollten die ungefähre Anzahl der Betroffenen sowie die einzelnen Bereich/Dezernate/Abteilungen benannt werden.
  4. Die Kategorien personenbezogener Daten. Dabei ist zwischen den einzelnen Phasen des Tests, wie etwa dem Versand der Phishing-Mails, den Schulungen und der späteren Evaluation zu unterscheiden. Es sollte zudem vermerkt werden, wenn besondere Kategorien von Daten im Sinne von Artikel 9 Datenschutz-Grundverordnung verarbeitet werden.
  5. Die Löschungs- und Aufbewahrungsfristen. Diese ergeben sich aus der Dienstvereinbarung. Die Daten sollten spätestens nach Abschluss der Tests und Evaluation gelöscht werden.
  6. Die Empfänger von Daten, sowohl innerhalb der verantwortlichen Stelle, als auch außerhalb. Dabei sollten die Datenflüsse genau dargestellt werden und die Ver-antwortlichkeiten klar definiert sein.
  7. Die Empfänger von Daten in einem Drittland oder eine Internationale Organisation, soweit eine solche Übertragung vorgesehen ist. Dieses wird in den meisten Fällen nicht notwendig sein und sollte daher, mit Rücksicht auf die Risiken eines solchen Transfers, nicht umgesetzt werden.
  8. Eine Beschreibung der technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung gemäß Artikel 32 Datenschutz-Grundverordnung sicherzustellen. Dabei empfiehlt sich eine Aufgliederung der einzelnen Maßnahmen nach den Schutzzielen des Standard-Datenschutz-Modells der Aufsichtsbehörden von Bund und Ländern. Danach sind die Maßnahmen nach Verfügbarkeit (Wie wird gewährleistet, dass Verfahren und Daten zeitgerecht zur Verfügung stehen?), Vertraulichkeit (Wie wird gewährleistet, dass nur befugte Personen auf Daten und Verfahren zugreifen?), Integrität (Wie wird gewährleistet, dass Daten unversehrt, vollständig, zurechenbar und aktuell bleiben?), Transparenz (Wie wird gewährleistet, dass die automatisierte Verarbeitung von Daten mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden kann), Intervenierbarkeit (Wie kann die Daten verarbeitende Stelle nachweisen, dass sie den Betrieb ihrer informationstechnischen Systeme steuernd beherrscht und dass Betroffene die ihnen zustehenden Rechte ausüben können?) und Nicht-Verkettbarkeit (Wie wird sichergestellt, dass Daten nur zu dem ausgewiesenen Zweck automatisiert erhoben, verarbeitet und genutzt werden) zu unterteilen. Dabei ist auch zu beurteilen, ob das Schutzniveau angemessen ist und insbesondere die Risiken berücksichtigt, die mit der Verarbeitung verbunden sind, wie etwa durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

Betriebs-/Dienstvereinbarung

Zur Implementierung der ITS.APT Lösung in einem Unternehmen ist eine Vereinbarung mit der Belegeschaft unerlässlich. Diese kann mit jedem Mitarbeiter individuell oder mit der Mitarbeitervertetung (Betriebs- oder Personalrat) getroffen werden.

Zweck der Betriebs-/Dienstvereinbarung

Das Verbundprojekt ITS.APT stellt ein Muster einer Betriebs-/Dienstvereinbarung als Werkzeug für den Transfer in die Praxis bereit. Mit Hilfe einer solchen Betriebs-/Dienstvereinbarung kann eine rechtliche Grundlage geschaffen werden, um das IT-Sicherheitsbewusstsein der Beschäftigten testen zu dürfen. Sie ist ein Instrument der betrieblichen Mitbestimmung der Mitarbeitervertretung und enthält Bestimmungen mit unmittelbarer Auswirkung auf das Arbeitsverhältnis. Handelt es sich um ein privatrechtliches Arbeitsverhältnis, so wird eine Betriebsvereinbarung zwischen dem Arbeitgeber und dem Betriebsrat geschlossen. Deren Äquivalent für den öffentlichen Dienst ist die Dienstvereinbarung, die der Personalrat mit der Dienststellenleitung abschließt. Bei der Ausarbeitung der Betriebs-/Dienstvereinbarung sollte der Betriebs- bzw. Personalrat möglichst frühzeitig miteinbezogen werden. Im Rahmen der Testdurchführung kommt ihr sowohl in arbeitsrechtlicher Hinsicht als auch in datenschutzrechtlicher Hinsicht Bedeutung zu.

In arbeitsrechtlicher Hinsicht dient eine solche Vereinbarung dazu, die Rechte der Mitarbeitervertretung zu wahren. Diese hat diverse Informations- und Mitbestimmungsrechte. Beispielsweise ist sie im Rahmen ihrer Informationsrechte über die einzelnen Projektphasen umfassend zu unterrichten. Die Unterrichtung muss nicht zwingend schriftlich erfolgen. Um die Mitbestimmungsrechte zu wahren, würde ebenfalls eine formlose Absprache ausreichen. Allerdings ist eine schriftliche Fixierung der Absprachen in Form einer Betriebs-/Dienstvereinbarung rechtssicherer.

Gleichzeitig dient die Betriebs-/Dienstvereinbarung als datenschutzrechtliche Erlaubnisnorm. Um das Allgemeine Persönlichkeitsrecht der Beschäftigten zu wahren, stellt das BDSG/die DSGVO bzw. die entsprechende landesrechtliche Regelung hohe Anforderungen an den Umgang mit personenbezogenen Daten von Arbeitnehmern. Die Betriebs-/Dienstvereinbarung kann eine Erlaubnisnorm im Sinne dieser Vorschriften für den Umgang mit den Daten der Beschäftigten darstellen. Inhaltlich ist ein Abweichen von zwingendem Gesetzesrecht und grundgesetzlichen Wertungen nicht zulässig. Daher kann auch das Datenschutzniveau durch die Betriebs-/Dienstvereinbarung nicht unter das gesetzlich bestimmte Schutzniveau gesenkt werden.

Inhaltliche Anforderungen an die Betriebs-/Dienstvereinbarung

Die Betriebs-/Dienstvereinbarung sollte inhaltlich klar formuliert sein und alle wesentlichen Phasen der Testdurchführung erfassen. Neben dem Test an sich muss daher auch eine eventuelle Schulung sowie die Datenerhebung und deren Auswertung geregelt werden. Folgende Punkte sind dabei schwerpunktmäßig zu beachten:

Zunächst sind die Bewertungskriterien ausdrücklich zu benennen, anhand derer bestimmt werden soll, ob das Verhalten der Testperson für einen potentiellen Angreifer förderlich oder hinderlich wäre.

Des Weiteren empfiehlt es sich allgemeine Grundsätze der Datenverarbeitung sowie des Persönlichkeitsschutzes aufzustellen. In dem Zusammenhang ist darauf einzugehen, welche Daten erhoben bzw. nicht erhoben werden. Insbesondere sollte darauf hingewiesen werden, dass die Gestaltung des Testszenarios keine Rückschlüsse auf private Belange oder Interessen der Testpersonen zulässt und die Ergebnisse der Tests nicht zur Leistungs- oder Verhaltenskontrolle genutzt werden. Das BDSG sieht zudem vor, dass personenbezogene Daten nicht anlasslos erhoben und verarbeitet werden dürfen. Dementsprechend ist der Zweck der Datenverarbeitung anzugeben, der vorliegend in der Durchführung der Tests liegt.

Im Weiteren sollte möglichst detailliert geregelt werden, welche Daten auf welche Art und Weise erfasst werden. Beispielsweise ist anzugeben, welche konkreten Informationen, wie Name oder Alter des Getesteten, erhoben werden und ob diese Daten kumuliert werden. Zudem muss geregelt werden, ob und unter welchen Umständen die Daten pseudonymisiert oder anonymisiert werden. Außerdem ist in der Vereinbarung festzulegen, durch wen die Daten verarbeitet werden, welche technischen Sicherheitsvorkehrungen getroffen werden und wie lange die Daten gespeichert werden. Schließlich ist auf die Rechte der Betroffenen, der Mitarbeitervertretung sowie eines eventuell vorhandenen Datenschutzbeauftragten einzugehen.

Der Verbundpartner ITS.APT stellt ein Muster einer solchen Betriebs-/Dienstvereinbarung zur Implementierung der ITS.APT-Lösung in der Praxis zur Verfügung. Diese Mustervereinbarung umfasst alle zu regelnden Aspekte, um eine Mitarbeiter-Testung durchzuführen und enthält u.a. Formulierungsvorschläge zu den oben genannten inhaltlichen Punkten.

Das ITS.APE-Framework

Im Rahmen des Projekts ITS.APT wurde ein Framework zur Messung von IT-Security-Awareness entwickelt, das ITS.APE-Framework (ITS.APE: IT-Security Awareness Penetration Testing Environement). Dieses Framework wird im Folgenden vorgestellt.

IT-Security-Awareness-Messmethoden

Nach dem aktuellen Stand der Wissenschaft wird die IT-Security-Awareness als handlungsrelevanter Faktor der Entscheidungsfindung angesehen. Derartige Entscheidungen werden zumeist in bestimmten Situationen durch Individuen getroffen. Somit ergeben sich weitere handlungsrelevante Faktoren, welche die Entscheidungsfindung beeinflussen. Diese Faktoren reichen von situativ bestimmten Faktoren wie Motivation oder aktueller Konzentrationsfähigkeit bis hin zu Charaktereigenschaften der Entscheidenden wie genereller Risikobereitschaft, Selbstsicherheit, Neugier und vielen mehr.

»Situation awareness is the perception of the elements in the environment within a volume of time and space, the comprehension of their meaning, and the projection of their status in the near future.«

-- Mika R. Endsley, 1995

Aus dem Forschungsbereich der situativen Awareness auf Basis der Arbeiten von Mika Endsley sind bereits verschiedene Messmethoden bekannt und nach ihren Eigenschaften klassifiziert worden. Die unten stehende Grafik zeigt die verschiedenen Methoden. Zunächst lassen sich diese Methoden in direkte und indirekte Methoden gruppieren. Direkte Messmethoden setzen einen interaktiven Kommunikationskanal mit dem Probanden voraus. Dieser wird durch den Versuchsleiter unter Laborbedingungen in eine kontrollierte Simulation einer Situation versetzt und dann während der Entscheidungsfindung interviewt. Dies passiert entweder inline in der Situation, indem der Versuchsleiter beispielsweise einen Schreibtischnachbarn verkörpert der Fragen zu der Situation stellt oder outline, indem die Simulation angehalten wird und dem Proband entsprechende Fragen gestellt werden. Ein derartiger Aufbau ist jedoch für die Belegschaft eines gesamten Unternehmens durch die hohen Kosten nicht zu realisieren.

Methoden zur Messung von situativer Awareness.

Indirekte Messmethoden ergeben sich entweder durch die Selbsteinschätzung eines Probanden oder durch eine schlussfolgernde Messung. An der Messmethode mit Indirektion durch Selbsteinschätzung (Fragebögen) wurde schon viel Kritik geübt und die Existenz einer Verzerrung der Ergebnisse auch experimentell belegt. Die einzig praktikable Vorgehensweise ist die schlussfolgernde Messung.

Hier ergeben sich wieder zwei Untergruppen Gesamtleistungsmessung und individuelle Resonanzmessung. Die Gesamtleistungsmessung vergleicht Indikatoren die das Gesamt-bild widerspiegeln, etwa „Wie viele sicherheitsrelevante Vorfälle sind im Zeitraum X aufgetreten?“, „Wie viele sicherheitsrelevante Vorfälle wurden von Nutzern berichtet?“ oder „Wie oft glaubte ein Nutzer ein sicherheitsrelevanter Vorfall läge vor, obwohl dies nicht der Fall war?“.

Die Gesamtleistungsmessung gewährt jedoch nur wenig Möglichkeit zur Einsicht in die Zusammenhänge zwischen den Faktoren. Individuelle Resonanzmessung bietet hier eine Alternative. Bei dieser Messmethode wird ein Proband in eine Situation versetzt, in der eine sicherheitsrelevante Entscheidung getroffen werden muss. Das Ergebnis dieses Prozesses ist die ergriffene Handlungsoption, diese kann nun bewertet werden.

IT-Security-Awareness-Messung mit Hilfe von Artefakten

Für die korrekte Interpretation der durch den Proband ergriffenen Handlungsoption ist das Wissen um die entscheidungsrelevanten Elemente der Situation, in der die Entscheidung getroffen wurde, unabdingbar. Da eine Situation, die ein Computernutzer in seinem Alltag durchlebt nicht vollständig zu erfassen und die Kontrolle über die entscheidungsrelevanten Elemente der Situation unabdingbar ist, gilt es, diese in die Situation einzubringen.

Schematische Darstellung der verschiedenen Elementtypen in den, durch einen Nutzer durchlaufenen, Situationen.

Die oben stehende Abbildung zeigt schematisch die Situation eines Nutzers bei der Bedienung eines Computers. Der Nutzer verfolgt mit dem Haupthandlungsstrang ein Ziel. Dabei durchläuft der Nutzer eine Reihe von aufeinander folgende und ineinander übergehende Situationen. In diesen befinden sich verschiedene Elemente. Einige davon haben einen Sicherheitsbezug. Dieser kann sich natürlich ergeben, wie etwa eine Passwortabfrage beim Zugriff auf eine geschützte E-Mail, oder aber künstlich in die Situation eingebracht werden, z.B. eine Passwort-Abfrage auf einer sogenannten „Landing-Page“.

Sind diese Artefakte kontrolliert in die Situation eingebracht und wurde die ergriffene Handlungsoption erfasst, lässt sich noch nicht direkt ein Rückschluss auf die IT-Security Awareness des Nutzers ziehen. Hier ist der Einfluss der anderen entscheidungsrelevanten Faktoren zu groß. Es gilt nun den Einfluss beherrschbar zu machen. Für die entscheidungsbeeinflussenden Charaktereigenschaften lässt sich ein Fragebogen entwerfen, der diese erfassbar macht. Die Ergebnisse eines derartigen Fragebogens müssen dann mit der Be-wertung der Handlung korreliert werden. Zur Beherrschung situativer Einflüsse ohne die Möglichkeit, die Situation selbst zu kontrollieren, steht die Mehrfachausführung, angelehnt an die Effektgrößeneinschätzung einer Meta-Analyse, zur Verfügung. Dieses Vorgehen hat zur Folge, dass situative Einflüsse und die Qualitätsmerkmale der Artefakte (wie deren Sichtbarkeit) nicht signifikant in das Ergebnis einfließen. Genau hier setzt das ITS.APE-Framework ein.

IT-Security-Awareness-Messung mit dem ITS.APE-Framework

Das ITS.APE-Framework automatisiert die zur IT-Security-Awareness-Messung benötigten Vorgänge. Es ist in der Lage, auf Basis von so genannten Rezepten, Artefakte auszubringen und ergriffene Handlungsoptionen datenschutzkonform aufzuzeichnen.

Anwendbarkeit

Die Messung von IT-Security-Awareness mit dem ITS.APE-Framework ist nur dann sinnvoll, wenn die IT-Infrastruktur durch Administratoren betreut wird. Das Framework ist für den Einsatz innerhalb eines Unternehmensnetzes entworfen und benötigt entsprechende Infrastruktur. Insbesondere muss es möglich sein, zu jeder Zeit festzustellen, an welchem Gerät welche Person arbeitet (User-Tracking). Dies setzt personalisierte Nutzerkonten oder individuell nutzbare Computerarbeitsplätze voraus. Weiter geht das Framework davon aus, dass alle zu testenden Personen dieselbe Infrastruktur nutzen. Das Framework selbst ist eine Applikation die auf einem Host in der Infrastruktur installiert wird. Zur Inbetriebnahme werden drei Dinge benötigt:

  1. eine Datei in der die Teilnehmer beschrieben sind,
  2. eine Schnittstelle für das User-Tracking (als ladbares Plug-In),
  3. eine Batterie von Rezepten.

Die Rezepte entscheiden was genau passieren soll. Mit ihrer Hilfe können personalisierte Artefakte erzeugt und ausgebracht werden. Das Framework stellt den Rezepten die nötige Umgebung zur Verfügung.

Rezepte

Rezepte sind eine geordnete Sammlung von Skripten und Parametern. Sie sind der spezifische Teil der das generische Framework in konkreten Teststellungen komplettiert. Die unten stehende Abbildung verdeutlicht schematisch die Komponenten eines Rezepts.

Schematische Darstellung der Komponenten eines Rezepts.

Die Ausführung eines Rezepts wird durch das Framework terminiert. Die Durchführungsdauer (in der Abbildung mit Testdauer gekennzeichnet) wird jedoch durch das Rezept vorgegeben. Ebenso ist es dem Versuchsleiter erlaubt Einstellungen vorzunehmen (z.B. den Absender einer E-Mail ändern oder den Namen einer Datei bestimmen), sofern dies durch das Rezept unterstützt wird.

Wird die Durchführung eines Testdurchlaufs vorbereitet, so werden zunächst die erforderlichen Infrastrukturelemente aufgebaut. Hier können Webserver für Landing-Pages aufge-baut werden oder Man-in-the-Middle-Proxies aufgesetzt werden. Das Monitor-Skript wird durch das Framework in regelmäßigen Abständen ausgeführt, um die Bereitschaft der Infrastrukturelemente zu prüfen und den Versuchsleiter bei einem Fehler zu informieren. Dieser kann dann manuell in den Vorgang eingreifen. Die Aufräum-Skripte dienen dem Abbau der Infrastruktur bei Testende.

Sind die Infrastrukturelemente aufgebaut und betriebsbereit, so können diese (falls benötigt) durch die Ausroll-Skripte mit Artefakten bestückt werden. Ist dies geschehen so wird der Test durch das Framework aktiviert. Hierzu wird das Aktivier-Skript ausgeführt. Ab diesem Zeitpunkt ist es dem Nutzer möglich das Artefakt wahrzunehmen. Am Ende der Testdauer wird der Test durch das Deaktivier-Skript wieder deaktiviert. Diese Skripte ermöglichen auch das Pausieren der Tests in kritischen Situationen. Das kann nötig werden, wenn alle Ressourcen des Unternehmens ohne Störungen benötigt werden, z.B. in einem Krankenhaus, wenn aufgrund eines Unfalls ein stark erhöhtes Aufkommen von Patienten zu bewältigen ist.

Für die Dokumentation der Nutzerreaktionen sind die Elemente der Reaktionserfassung verantwortlich. Der Nutzer hinterlässt bei der Interaktion mit Elementen in der Situation Spuren in Form von Protokolleinträgen. Dies kann durch einen Anruf beim Helpdesk geschehen oder durch einen Klick auf den Link einer präparierten E-Mail. Diese Logs müssen entweder kontinuierlich während des Tests oder aber im Nachgang in das Framework ein-gespielt werden. Mit Hilfe der Zuordnungsmuster werden diese Spuren dann Probanden und entsprechenden Testzeiträumen zugeordnet. Lässt sich eine Spur nicht zuordnen, so wird der Eintrag gelöscht, lässt sie sich zuordnen, so wird die entsprechende Handlungsoption sowie deren Bewertung erfasst. Diese Erfassung komplettiert den Testdurchlauf.

Auswertung

Auswertungen werden anhand der festgestellten, durch den Teilnehmer ergriffenen Handlungsoptionen bestimmt. Um diese mit Hilfe eines Zahlenwertes vergleichbar zu machen, werden die einzelnen Handlungsoptionen mit einem Punktewert belegt. Dieser ent-steht zunächst durch die Einschätzung eines Experten, sollte aber im Laufe der Zeit durch einen kontinuierlichen Prozess angepasst werden. Die Tatsache, dass die ergriffene Handlungsoption sowie ihre Bewertung aufgezeichnet werden, garantiert die Vergleichbarkeit der Ergebnisse auch über größere Zeiträume hinweg.

Das Framework erlaubt dabei per Design ausschließlich pseudonymisierte oder anonymisierte Ergebnisberichte. Idealerweise werden ausschließlich nach Teilnehmergruppe oder Artefakt gruppierte Berichte genutzt. Soll jedoch etwa gezielt nach Individuum geschult werden, so müssen die Ergebnisse mit der Identität der Teilnehmer korrelierbar sein. In diesem Fall ist ein pseudonymisierter Bericht zu nutzen. Das Pseudonym jedes Teilnehmers ist dann in der Datei der Teilnehmergruppe kodiert. Die Auflösung des Pseudonyms ist ausschließlich für den Besitzer der Liste möglich. Wird die Liste nach der Testdurchführung gelöscht, so wird den Pseudonymen damit die Möglichkeit der Aufdeckbarkeit entzogen (sofern keine weitere Kopie existiert).

Das ITS.APE-Framework im Einsatz.

Fazit

Mit dem ITS.APE-Framework kann in entsprechend vorbereiteten Computernetzwerken von Unternehmen, die individuelle IT-Security-Awareness der Mitarbeiter systematisiert ermittelt werden. Dabei kommen sichere Verfahren zur Pseudonymisierung und Anonymisierung zum Einsatz, so dass die Persönlichkeitsrechte der Probanden gewahrt werden – eine Grundvoraussetzung, um die in jedem Fall notwendige Zustimmung der Personalvertretung für die Durchführung von Mitarbeiterbeobachtungen zu erzielen.

Das modulare Konzept des Frameworks und die Verwendung von flexibel anzupassenden Rezepten für unterschiedlichste Artefakte macht ITS.APE in nahezu jeder IT-Umgebung einsetzbar. Sowohl für Betreiber von kritischen Infrastrukturen (KRITIS) als auch für jedes andere Unternehmen dessen Betriebsfähigkeit auf einer funktionierenden IT-Infrastruktur basiert, stellt das ITS.APE-Framework eine Möglichkeit zur Verfügung, die etablierten PEN-Test der Infrastruktur auf die eigenen Mitarbeiter zu erweitern und damit ein vollständiges Bild des betrieblichen IT-Security-Status zu ermitteln. Auf Basis der gewonnen Ergebnisse lassen sich Mitarbeiter gezielt zu Risiken schulen und damit die Resilienz ganzheitlich erhöhen.

Downloads

This site was build on Kube and Video.js