Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

Anwenderausbildung im

Datensicherheitsbereich

Copyright (C) 02/1995 by Howard Fuhs


Inhalt:

   Einleitung

   Sensibilisierung

   Erläuterung bestehender Datensicherheitsmaßnahmen

   Erläuterung von Gefahren für die Datensicherheit

   Gesetzesgrundlagen der Datensicherheit

   Regelmäßige Information

   Copyright-Hinweise
 

 


Einleitung

Der Computer ist heute aus dem geschäftlichen Leben nicht mehr wegzudenken. Es werden täglich gewaltige Mengen an Daten von Computeranwendern verarbeitet, die keine oder nur eine kurze Einweisung auf ein Computersystem bekommen haben. Diese überwiegende Mehrzahl der Anwender weiß nur wie ein Programm richtig bedient wird und hat in aller Regel kein Wissen über die genaue Funktionsweise von der Hardware oder dem Betriebssystem. Solchen Anwendern gibt man nun das mitunter wichtigste Gut eines Unternehmens zur Weiterverarbeitung in die Hände. Nämlich die Datenbestände. Das es hier zu Pannen und Unfällen kommen muß ist geradezu vorprogrammiert.

Das primäre Problem bei Datenpannen ist in der Regel eine mangelhafte oder nicht vorhandene Ausbildung der Anwender im Bereich der Datensicherheit. In vielen Unternehmen wurden in den letzten Jahren mitunter erhebliche Anstrengungen unternommen um Datensicherheitsmaßnahmen einzuführen, es herrscht aber nach wie vor die Meinung es sei betreibswirtschaftlich nicht vertretbar Datensicherheitsschulungen für die Anwender durchzuführen. Dieses Argument ist auch kaum widerlegbar, denn es gibt keine zuverlässige Statistik welche die finanziellen Schäden erfasst die durch schlecht ausgebildete Anwender entstehen. Für das Jahr 1993 wurde in den USA eine Studie angefertigt, wonach die amerikanische Wirtschaft rund 4 Milliarden Dollar pro Jahr durch Datenverluste verliert, wobei ca. 80% der Datenverluste durch Nachlässigkeiten und Irrtümer von schlecht ausgebildeten Anwendern verursacht werden. Und man kann davon ausgehen, das die berühmte Dunkelziffer noch wesentlich höher liegt. Ohne konsequente Schulung der Anwender wird sich in diesem Bereich auch mittelfristig nichts ändern, denn Datenschutzsysteme sind oftmals nur so gut wie der Computeranwender, der die Datensicherheitsmaßnahmen durchführen soll. Ein Anwender, der zum Thema Datensicherheit und die dazu verwendeten Systeme nicht ausgebildet wurde, wird die Systeme nicht oder gar falsch einsetzen und die Resultate falsch interpretieren. Mit schlecht ausgebildeten Anwendern ist kein vernünftiger und wirksamer Datenschutz zu betreiben. Es sollte dem Anwender ebenfalls klar gemacht werden, daß es auch in seinem Interesse ist, wenn Daten optimal geschützt sind.

Wie sollte nun eine entsprechende Datensicherheitsausbildung für Anwender aussehen?
Es sollte auf keinen Fall eine Ausbildung zum Fachmann sein. Hier würde der Anwender mit unnötig viel Wissen belastet werden welches ihm bei der täglichen Arbeit nicht viel nützt und auch sehr schnell wieder vergessen geht. Niemand der in der Fahrschule seinen Führerschein macht muß wissen wie ein Motor funktioniert um ein Auto richtig führen zu können.


Sensibilisierung

Der erste Schritt in einer Datensicherheitsausbildung sollte eine Sensibilisierung des Anweders darstellen. Es muß dem Anwender klar gemacht werden, welches wichtige Gut er in Form von Datenbeständen bearbeitet. Zu dieser Sensibilisierung gehört vor allen Dingen das Vorführen von Datenunfällen. Es hat sich in der Vergangenheit gezeigt, das es nicht ausreichend ist einem Anwender in einem langweiligen Seminar zu erzählen was alles passieren kann. Datenunfälle müssen auf einem Testsystem vorgeführt werden. Kein normaler Anwender kann mit dem abstrakten Begriff eines Computervirus und dessen Funktionsweise unmittelbar etwas anfangen. Nachdem er aber die vernichtende Wirkungsweise eines Computervirus sozusagen live gesehen hat wird ihm eher verständlich warum Datensicherheitsmaßnahmen sein müssen. Eine solche Sensibilisierung trägt erheblich zur Akzeptanz von Datensicherheitsmaßnahmen in einem Unternehmen bei.


Erläuterung bestehender Datensicherheitsmaßnahmen

Diese Maßnahme kann zeitlich gesehen einhergehen mit der Sensibilisierung des Anwenders. Hier werden dem Anwender die in einem Unternehmen eingeführten Datensicherheitsmaßnahmen erklärt. Inhalt der Erklärung sollte sein:
 

Die Erläuterung von eingeführten Datensicherheitsmaßnahmen sollte mit einem praktischen Training unterstützt werden. Der Anwender hat hier unter der Aufsicht eines Seminarleiters die Möglichkeit die Handhabung der Datensicherheitsmaßnahmen im „Learning By Doing" Verfahren zu trainieren. Damit entfallen im späteren alltäglichen Einsatz Unsicherheiten des Anwenders gegenüber der für ihn neuen Software. Nach der Durchführung einer solchen Schulung war in der nachfolgenden Arbeitspraxis zu bemerken, das (a) die Anwender Datensicherheitsmaßnahmen aktzeptierten und von selbst (ohne Aufforderung) durchführten und (b) eine stark reduzierte Fehlerrate bei der Bedienung und Anwendung der Datensicherheitsmaßnahmen.

Erst wenn ein Anwender die hier geschilderten Ausbildungsmaßnahmen erfolgreich durchschritten hat sollte er vom Systemadministrator Zugriffsrechte auf einen Computer oder das Computernetzwerk erhalten.


Erläuterung von Gefahren für die Datensicherheit

Dem Anwender müssen ebenfalls bekannte und allgegenwärtige Gefahren für die Datensicherheit geschildert werden. Es sollte eine möglichst umfangreiche Schilderung erfolgen denn Datensicherheit erstreckt sich nicht nur auf Maßnahmen die unmittelbar an Computern durchgeführt werden, sondern in diesen Themenkomplex  gehören ebenso die richtige Handhabung von Akten, die korrekte Vernichtung von Abfallpapier durch Aktenvernichter, Zutrittsrestriktionen für bestimmte Gebäudebereiche mit sensiblen Datenbeständen oder Computeranlagen, korrekte Lagerung von Datenbeständen und vor allen Dingen die Gefahr des „Social Engineering".
 


Gesetzesgrundlagen der Datensicherheit

Dieser Ausbildungsschritt ist besonders für Anwender gedacht, die in einem Unternehmen personenbezogene Daten verarbeiten (z.B. in der Personalabteilung). Diese Anwender sollten auf alle Fälle über die Gesetzesgrundlagen der Datensicherheit informiert sein.


Regelmäßige Information

Der Anwender sollte während seiner Tätigkeit im Unternehmen mehr oder weniger regelmäßig über Datensicherheitsbelange informiert werden. Dies kann in Form einer E-Mail Nachricht, einer Beilage in der firmeninternen Zeitschrift oder einem kurzen Rundschreiben oder Merkblatt geschehen. Je nach Bedarf kann eine solche Informationsmitteilung alle 3-4 Monate ohne viel Mühe herausgegeben werden. Bei der Einführung oder Durchführung von neuen Datensicherheitsmaßnahmen sollte der Anwender auf alle Fälle umfassend informiert werden. Eventuell sollten neue Schulungen durchgeführt werden welche die neue Verfahrensweise oder die neu eingesetzte Software allgemeinverständlich erklären.

Es ist ohne weiteres möglich, mit einem den Bedürfnissen im Unternehmen angepassten Ausbildungskonzepts die Datenverarbeitung wesentlich sicherer zu machen und vielen Gefahrenquellen vorzubeugen.


Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 02/1995 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!

 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher