Praktische Security Awareness am Beispiel von Passwörtern und 2-Faktor-Authentifikation

In diesem Workshop zeige ich praktische Erfahrungen aus durchgeführten Awareness-Kampagnen in verschiedenen Behörden und Unternehmen. Schwerpunkt ist dabei nicht die technische Konzeption von Sicherheitsrichtlinien oder PAM-Regeln, sondern die Schulung der Mitarbeiter, damit diese die neuen Maßnahmen verstehen und umsetzen können.

Die Awareness-Maßnahmen lassen sich auch problemlos auf andere Handlungsfelder übertragen, aus praktischen Gründen beschränke ich mich aber auf Passwörter und 2FA. Im Workshop konzentriere ich mich vorrangig auf diese vier Hürden einer Awareness-Kampagne:

• Erste Hürde: Mitarbeitermotivation
• Zweite Hürde: Didaktische Aufbereitung der Kampagne
• Dritte Hürde: Umgang mit Komplexität
• Vierte Hürde: Der Transfer an den Arbeitsplatz -- Vom Wissen zur Handlung

Desweiteren zeige ich einige Best-Practices und am konkreten Beispiel wie man eine Schulung zum Thema Passwortsicherheit so konzipiert, dass sie auch der letzte DAU versteht und das Gelernte sicher anwenden kann. Außerdem zeige ich, wie ich mit einem kleinen Live-Hacking auch skeptische Teilnehmer motivieren kann.

Referent:

Stefan Schumacher ist Direktor des Magdeburger Instituts für Sicherheitsforschung und Herausgeber des Magdeburger Journals zur Sicherheitsforschung. Seine Hackerkarriere begann Ende der 1980er Jahre auf einem Robotron KC85/3. Er erforscht Sicherheit aus pädagogisch/psychologischer Sicht und stellt seine Forschungsergebnisse in Fachpublikationen und auf internationalen Kongressen vor. Er hat Bildungswissenschaft und Psychologie studiert und berät Unternehmen in Fragen der IT-Sicherheit.