[datensicherheit.de, 27.11.2024] Die cirosec GmbH hat in ihrer Mitteilung vom 27. November 2024 auf die nächste Auflage der „IT-Defense“ hingewiesen – diese Konferenz mit weltweit bekannten IT-Security-Experten soll vom 12. bis 14. Februar 2025 in Leipzig stattfinden. Im Fokus würden u.a. „Social Engineering“, Schwachstellen in Software, „AD Security“, Sicherheitsrisiken der Zukunft, und Regulierungen stehen.

„IT-Defense“ findet bereits zum 22. Mal statt

Einige der weltweit bekanntesten IT-Security-Experten, Hacker und Buchautoren sollen sich vom 12. bis 14. Februar 2025 auf der IT-Sicherheitskonferenz „IT-Defense“ in Leipzig, um über aktuelle IT-Sicherheitsthemen und neue Forschungsergebnisse zu referieren.

Die „IT-Defense“ findet nach Veranstalterangaben bereits zum 22. Mal statt – „und zählt zu den größten internationalen Konferenzen zum Thema IT-Sicherheit in Deutschland“.

Das Programm der „IT-Defense“ sei stets eine Mischung aus sehr technischen Vorträgen, strategischen Präsentationen und unterhaltsamen Referenten rund um das Thema IT-Sicherheit. Zugleich garantierten hochwertige Abendveranstaltungen einen Austausch mit den Referenten und anderen Teilnehmern.

Paula Januszkiewicz hält Keynote der 22. „IT-Defense“

Die national bzw. international renommierten Referenten werden demnach aktuelle Forschungsergebnisse vorstellen, neue Schwachstellen präsentieren oder auch kritische Diskussionen zum Datenschutz anregen.

„Die weltweit renommierte IT-Security-Expertin Paula Januszkiewicz, die von Microsoft als ,Enterprise Security MVP’ ausgezeichnet wurde und den Titel des ,Microsoft Regional Director’ verliehen bekommen hat, stellt in ihrer Keynote die größten Cyber-Risiken 2025 vor.“

„Des Weiteren präsentiert Researcher Michael Bargury, wie er die Schwachstelle in ,Microsoft Copilot’ gefunden hat und wie man sie ausnutzen kann.“ Zum Abschluss des ersten Konferenztags gehe der Neurobiologe Prof. Dr. Martin Korte darauf ein, wie Denkmechanismen unsere Entscheidungen beeinflussen bzw. manchmal auch verzerren könnten.

Keynote am zweiten Konferenztag der „IT-Defense“ von Sicherheitsvisionär Winn Schwartau

Die Keynote am zweiten Konferenztag halte Winn Schwartau, ein IT-Sicherheitsvisionär, welcher bereits 1991 vor Cyber-Terrorismus, Cyberwar, Cyber-Kriminalität und dem Verlust der Privatsphäre durch das damals noch junge Internet gewarnt habe.

Im weiteren Verlauf des Tages begebe sich Dr. Christoph Wegener mit den Teilnehmern auf eine Tour durch den Regulierungs-Dschungel zwischen NIS-2, RCE und CRA. „Hagen Molzer stellt vor, wie reale Angriffe auf Unternehmen heute oftmals durch ,Vishing’ erfolgen und welche Gegenmaßnahmen ergriffen werden können.“

Diese und weitere bekannte Forscher und IT-Sicherheitsprofis sollen an zwei Kongresstagen aktuelle Fragen der IT-Sicherheit diskutieren sowie Einblicke in Strategien und Sicherheitskonzepte geben. Am dritten Tag der Veranstaltung seien wieder Gesprächsrunden („Round Tables“) vorgesehen – dort hätten die Teilnehmer die Möglichkeit, detaillierte Gespräche mit den Referenten zu führen und Einzelthemen zu vertiefen.

Zusätzliche Trainingsangebote an den Tagen vor der „IT-Defense 2025“

Zusätzlich würden an den Tagen vor der „IT-Defense“ die erfolgreichen cirosec-Trainings „Incident Handling & Response“ und „Malware und Ransomware – Hintergründe, Erkennung, Schutz“ stattfinden.

„Darüber hinaus halten die beiden cirosec-Berater Hagen Molzer und Constantin Wenz die zweitägige Schulung ,Hacking und Härtung von Windows-Infrastrukturen’ und die weltweit bekannte IT-Sicherheitsexpertin Paula Januszkiewicz gibt ein Training zu ,System Forensics, Incident Handling and Threat Hunting with Entra ID Management’.“

Nach Angaben der Veranstalterin, der cirosec GmbH, findet die anmelde- und kostenpflichtige „IT-Defense 2025“ vom 12. bis 14. Februar 2025 im Hotel „The Westin“ in Leipzig statt. Die Teilnehmerzahl sei auf 200 Personen begrenzt.

Weitere Informationen zum Thema:

IT DEFENSE
IT-DEFENSE – 12.-14.02.2025 in Leipzig / Der außergewöhnliche IT-Sicherheitskongress mit hochkarätigen, internationalen Referenten findet nun schon zum 22. Mal statt

datensicherheit.de, 15.10.2018
IT-Sicherheit: Erst über Kultur und danach über Technik reden! / Ein persönlicher Rückblick auf die „it-sa 2018“ von ds-Herausgeber Dirk Pinnow

datensicherheit.de, 06.02.2020
IT-DEFENSE 2020: Grenzenlosigkeit als Chance und Risiko / Internet-Pionier Dr. Paul Vixie warnt vor unerwünschten Nebenwirkungen des globalen Internetworkings

datensicherheit.de, 05.02.2020
IT-DEFENSE 2020: Auftakt mit dem Faktor Mensch / IT-Sicherheitsexperten sollten sich von Marketing-Methoden inspirieren lassen

[datensicherheit.de, 30.09.2021] Nach aktuellen Angaben der cirosec GmbH werden sich einige der weltweit bekanntesten IT-Security-Experten, Hacker und Buchautoren vom 2. bis zum 4. Februar 2022 auf der IT-Sicherheitskonferenz „IT-DEFENSE“ in Berlin treffen, um über aktuelle IT-Sicherheitsthemen und neue Forschungsergebnisse zu referieren. Die „IT-DEFENSE“ findet dann demnach bereits zum neunzehnten Mal statt – „und zählt zu den größten internationalen Konferenzen zum Thema IT-Sicherheit in Deutschland“.

IT-DEFENSE-Programm: IT-Sicherheit in technischer und strategischer Sicht sowie unterhaltsamer Darbietung

Das Programm der „IT-DEFENSE“ soll nach Angaben der Veranstalter „stets eine Mischung aus sehr technischen Vorträgen, strategischen Präsentationen und unterhaltsamen Referenten rund um das Thema IT-Sicherheit“ sein. Zugleich garantierten hochwertige Abendveranstaltungen einen Austausch mit den Referenten und anderen Teilnehmern.
Die Referenten, welche sich national bzw. international einen Namen gemacht hätten, würden aktuelle Forschungsergebnisse vorstellen, neue Schwachstellen präsentieren oder auch kritische Diskussionen zum Datenschutz anregen.

Keynote von Paula Januszkiewicz am 1. Tag der IT-DEFENSE

Die weltweit renommierte IT-Security-Expertin Paula Januszkiewicz – von Microsoft als „Enterprise Security MVP“ ausgezeichnet – werde in ihrer Keynote erörtern, „inwieweit eine sichere Infrastruktur einerseits zwar enorme Kosten verursacht, andererseits aber auch dabei hilft, Angriffe erfolgreich zu verhindern“.
Auf den Schutz Kritischer Infrastrukturen (KRITIS) nach dem IT-Sicherheitsgesetz gehe Dr. Christoph Wegener ein. „Mit guter und schlechter Aufmerksamkeit sowie den Facetten der neuen Aufmerksamkeitsökonomie setzt sich Prof. Dr. Dueck zum Ende des ersten Veranstaltungstages auseinander.“

2. Tag der IT-DEFENSE mit Keynote von Fefe

Die Keynote am zweiten Konferenztag werde Felix von Leitner aka „Fefe“ zum Thema Patch-Management halten: „Er wirft die Frage auf, was beim Hersteller passiert, damit ein Patch entsteht, und welche Konsequenzen Unternehmen aus diesen Prozessen ziehen können.“
Anschließend werde Rechtsanwalt Joerg Heidrich den richtigen rechtlicher Umgang mit IT-Katastrophen erläutern. „Einen weiteren spannenden Vortrag wird auch der Hacker und Psychologe Linus Neumann vom Chaos Computer Club halten.“

Einblicke in Strategien und Sicherheitskonzepte – und Round Tables am 3. Tag der IT-DEFENSE

„Diese und weitere bekannte Researcher und IT-Sicherheitsprofis werden an zwei Kongresstagen aktuelle Fragen der IT-Sicherheit diskutieren sowie Einblicke in Strategien und Sicherheitskonzepte geben.“
Am dritten Tag der Veranstaltung seien wieder Gesprächsrunden („Round Tables“) geplant. Dort hätten die Teilnehmer die Möglichkeit, detaillierte Gespräche mit den Referenten zu führen und Einzelthemen zu vertiefen. Zusätzlich würden an den Tagen vor der „IT-DEFENSE“ die beiden bewährten cirosec-Trainings „Sicherheit in Microsoft Office 365“ und „Incident Handling & Response“ stattfinden.

Weitere Informationen zum Thema:

IT DEFENSE
IT-DEFENSE 2022 – 2.-4. Februar 2022 in Berlin / Der außergewöhnliche IT-Sicherheitskongress mit hochkarätigen, internationalen Referenten findet nun schon zum 19. Mal statt

datensicherheit.de, 05.02.2020
IT-DEFENSE 2020: Auftakt mit dem Faktor Mensch / IT-Sicherheitsexperten sollten sich von Marketing-Methoden inspirieren lassen

datensicherheit.de, 06.02.2020
IT-DEFENSE 2020: Grenzenlosigkeit als Chance und Risiko / Internet-Pionier Dr. Paul Vixie warnt vor unerwünschten Nebenwirkungen des globalen Internetworkings

[datensicherheit.de, 24.09.2020] Laut einer aktuellen Meldung der cirosec GmbH werden sich einige der weltweit bekanntesten IT-Security-Experten, Hacker und Buchautoren vom 27. bis zum 29. Januar 2021 auf der IT-Sicherheitskonferenz „IT-DEFENSE“ in Berlin treffen, um über aktuelle IT-Sicherheitsthemen und neue Forschungsergebnisse zu referieren.

IT-DEFENSE eine der größten internationalen Konferenzen zum Thema IT-Sicherheit in Deutschland

Die „IT-DEFENSE“, eine der größten internationalen Konferenzen zum Thema IT-Sicherheit in Deutschland, wird dann bereits zum neunzehnten Mal stattfinden. Das Programm ist stets eine ausbalancierte Mischung aus sehr technischen Vorträgen, strategischen Präsentationen und unterhaltsamen Referaten rund um das Thema IT-Sicherheit. Zugleich sollen hochwertige Abendveranstaltungen einen Austausch mit den Referenten und anderen Teilnehmern garantieren.
„Die Referenten, die sich national bzw. international einen Namen gemacht haben, werden aktuelle Forschungsergebnisse vorstellen, neue Schwachstellen präsentieren oder auch kritische Diskussionen zum Datenschutz anregen.“

Paula Januszkiewicz hält Keynote auf der IT-DEFENSE 2021

Die weltweit renommierte IT-Security-Expertin Paula Januszkiewicz, von Microsoft als „Enterprise Security MVP“ ausgezeichnet, werde in ihrer Keynote erörtern, „inwieweit eine sichere Infrastruktur einerseits zwar enorme Kosten verursacht, andererseits aber auch dabei hilft, Angriffe erfolgreich zu verhindern“.
Auf den Schutz Kritischer Infrastrukturen nach dem IT-Sicherheitsgesetz gehe Dr. Christoph Wegener ein. Mit guter und schlechter Aufmerksamkeit sowie den Facetten der neuen Aufmerksamkeitsökonomie setze sich Prof. Dr. Dueck zum Ende des ersten Veranstaltungstages auseinander.

2. Tag der IT-DEFENSE 2021 startet mit „Fefe“

Die Keynote am zweiten Konferenztag werde Felix von Leitner (alias „Fefe“) zum Thema Patch-Management halten: „Er wirft die Frage auf, was beim Hersteller passiert, damit ein Patch entsteht, und welche Konsequenzen Unternehmen aus diesen Prozessen ziehen können.“
Mit den Sicherheitsaspekten in „Microsoft Office 365“ setze sich Kevin Kirchner in seinem Vortrag kritisch auseinander. Anschließend erläutere Rechtsanwalt Joerg Heidrich den richtigen rechtlichen Umgang mit IT-Katastrophen. Diese und weitere bekannte Forscher und IT-Sicherheitsprofis sollen an zwei Kongresstagen aktuelle Fragen der IT-Sicherheit diskutieren sowie Einblicke in Strategien und Sicherheitskonzepte geben.

Trainings und Round Tables rahmen Kongresstage der IT-DEFENSE ein

Am dritten Tag der Veranstaltung finden laut Veranstalter Gesprächsrunden („Round Tables“) statt. Dabei hätten die Teilnehmer die Möglichkeit, detaillierte Gespräche mit den Referenten zu führen und Einzelthemen zu vertiefen.
Zusätzlich werde an den Tagen vor der „IT-DEFENSE“ nicht nur das erfolgreiche cirosec-Training „Sicherheit in AWS-Cloud-Umgebungen“ angeboten, sondern auch die beiden brandneuen Trainings „Sicherheit in Microsoft Office 365“ und „Incident Handling & Response“. Darüber hinaus halte Microsoft-Security-Expertin Januszkiewicz eine Schulung zum Thema „Hacking and Securing Windows Infrastructure“, um darzustellen, „mit welchen Mechanismen es Hackern möglich ist, in die Infrastruktur zu gelangen und in Betriebssysteme einzudringen“. Mit diesem Verständnis könnten zukünftige Angriffe erfolgreich verhindert werden.

„IT-DEFENSE 2021“
27. bis 29. Januar 2021
„Titanic Chaussee Hotel“ in Berlin
Die Teilnahme ist kostenpflichtig –
die Anzahl der Teilnehmer auf 100 Personen begrenzt (Einhaltung der Hygiene- und Abstandsregeln).

Weitere Informationen zum Thema:

IT-DEFENSE
IT-DEFENSE 2021 – 27.-29. Januar 2021 in Berlin / Der außergewöhnliche IT-Sicherheitskongress mit hochkarätigen, internationalen Referenten findet nun schon zum 19. Mal statt

datensicherheit.de, 06.02.2020
IT-DEFENSE 2020: Grenzenlosigkeit als Chance und Risiko / Internet-Pionier Dr. Paul Vixie warnt vor unerwünschten Nebenwirkungen des globalen Internetworkings

datensicherheit.de, 05.02.2020
IT-DEFENSE 2020: Auftakt mit dem Faktor Mensch / IT-Sicherheitsexperten sollten sich von Marketing-Methoden inspirieren lassen

[datensicherheit.de, 06.02.2020] Zum Auftakt des zweiten Konferenztages der „IT-DEFENSE 2020“ in Bonn hielt Internet-Pionier Dr. Paul Vixie, Mitbegründer, Vorsitzender und „CEO“ von Farsight Security, einen Vortrag über „Zustimmung, Anpassung und Zusammenarbeit im Internet-Zeitalter“. Für sein Wirken im Zusammenhang mit dem DNS und mit Anti-Spam-Technologien wurde er 2014 in die „INTERNET HALL of FAME“ aufgenommen.

Foto: Dirk Pinnow

Dr. Paul Vixie: Mahnende Worte eines Internet-Pioniers

Traditionelles Völkerrecht bedroht

Menschliche Gewohnheiten und Handlungen in der realen Welt („Meatspace“) spiegelten sich auch ziemlich eindeutig in der virtuellen Welt („Cyberspace“), im Internet, wider. Dennoch seien beiden Welten nicht vollkommen kongruent – und das Internet, gewissermaßen als „digitales Nervensystem“ der Menschheit, nehme sogar Einfluss auf die reale Welt in ungeahntem Ausmaß.
Es müsse darüber diskutiert werden, ob z.B. die anerkannten, traditionellen Regeln des Völkerrechts seit dem Westfälischen Friedensschluss von 1648 in Zukunft noch Gültigkeit haben werden bzw. ob wir nicht einem postnationalen Zeitalter entgegengehen.

Internetworking erzwingt Kooperation – einerseits…

Zwischen den Netzwerken zu agieren („Internetworking“) erfordere Kooperation, so Dr. Vixie. Für das Internet heiße dies u.a., dem -Protokoll zu folgen, um verlässlich gehört und verstanden zu werden. Die Interoperabilität überwinde den Wettbewerb. So würden nationalstaatliche Opponenten gezwungenermaßen kooperieren, um gegenseitig verstanden zu werden. Andererseits würden in der Wirtschaft Konkurrenten im Wettbewerb um einen gerechten Marktanteil ringen. Daher bedeute Kooperation eben auch nur ein vorübergehendes Gleichgewicht.
Eigentlich habe sich das Internet entwickelt, um Monopole auf dem Kommunikationsmarkt zu umgehen. Dr. Vixie betonte, dass er nichts gegen eine kommerzielle Internet-Nutzung habe, denn nur so habe es sich in dem uns heute gewohnten Maße weiterentwickeln können – wäre es der akademischen Welt vorbehalten geblieben, wohl kaum.

Kooperation vs. Missbrauch

Kooperationsbereitschaft könne aber auch missbraucht werden. Als Beispiele führte er Spam, Phishing oder Piraterie bei Geistigem Eigentum sowie DDoS-Attacken etc. an. Konkret bedeutet dies laut Dr. Vixie, dass unsere Bereitschaft, dass Internet-Protokoll korrekt anzuwenden und die globalen Identifier-Zuweisungen zu respektieren, gegen uns verwendet werden kann. Alles, was im großen Maßstab missbraucht werden kann, sei in seiner Existenz bedroht – und das Internet sei in seinen Dimensionen überragend im Vergleich mit der realen Welt. Kooperation könne also gar als Waffe bzw. Angriffs-Vektor missbraucht werden.
Er kritisierte auch die um sich greifende „Umsonst-Kultur“: So würden Video- oder Audio-Dateien im Internet kostenlos – indes mit Werbeeinblendungen versehen – angeboten, was eine Beeinflussung des Kulturschaffens, der Schöpfung von Kunst, befürchten lasse.

Staat und Wirtschaft im globalen Kampf um Herrschaftsgebiete

Er zitierte die US-Wirtschaftswissenschaftlerin Shoshana Zuboff, welche den Begriff „Überwachungskapitalismus“ geprägt hat. Zuboff habe die Frage aufgeworfen „Who knows? Who decides who knows? Who deicides who decides who knows…?“ – sinngemäß also: „Wer weiß etwas? Wer entscheidet, wer etwas weiß? Wer entscheidet, wer entscheidet, wer etwas weiß…?“
Die Domänen des Handelns für Nationalstaaten und die Wirtschaft hätten sich aus der Geschichte über den Boden über die Meere und den Luftraum in das Weltall und nun in die IT-Welt ausgedehnt. Die Gültigkeit des anerkannten Völkerrechts seit dem Westfälischen Frieden könne unterminiert werden, zumal sich heute große IT-Unternehmen weltweit aufführten wie seinerzeit etwa die Niederländische Ostindien-Kompanie im kolonialen Kontext im 17. und 18. Jahrhundert.

Brutale Auseinandersetzungen und Angriffe befürchtet

Das Internet sei nicht mit dem Bewusstsein geschaffen worden, der Öffentlichkeit dienlich zu sein. Man könne aber nur behalten, was man verteidigen kann – Angriffe auf unsere Lieferketten seien zu erwarten, so Dr. Vixie.
Im Kontext der Politik und Wirtschaft drohe eine brutale Zukunft. Die „Westfälische Ära“ sei zwar noch nicht ganz vorüber, denn noch beherrschten Nationalstaaten ihr Gebiet, die Hoheitsgewässer und den Luftraum – im Erd-Orbit sehe es da schon anders aus und erst recht im „Cyberspace“, denn dort gebe es überhaupt keine Grenzen.

Weitere Informationen zum Thema:

IT-DEFENSE 2020
5.-7. Februar 2020 in Bonn

FARSIGHT SECURITY
Dr. Paul Vixie / Chairman, CEO and Cofounder

Wikipedia
Shoshana Zuboff

[datensicherheit.de, 05.02.2020] Die „IT-DEFENSE 2020“ findet vom 5. bis 7. Februar 2020 in Bonn statt. ds-Herausgeber Dirk Pinnow nimmt als Beobachter dieses inzwischen in 18. Auflage durchgeführten IT-Sicherheitskongresses teil und gibt nachfolgend einige ausgewählte Eindrücke des ersten Veranstaltungstages wider. Nach der Begrüßung durch den Gastgeber Stefan Strobel stellte Lance Spitzner im Auftaktvortrag die Rolle der menschlichen Komponente für die IT-Sicherheit dar.

Vorstellung des Veranstaltungsformats durch den Gastgeber

Als Gastgeber begrüßte Stefan Strobel, Geschäftsführer der cirosec GmbH, die Konferenzteilnehmer und stellte kurz vor, wie es zur Etablierung dieses Kongressformats gekommen ist. Demnach wurde 2002 beschlossen, selbst eine hochwertige Konferenz ins Leben zu rufen. Damals hatte es viele professionelle Kongressanbieter gegeben, welche für viele verschiedene Branchen Angebote machten.
Die Organisatoren der „IT-DEFENSE“ wollten indes in eigener Verantwortung gute Referenten auswählen können und dabei einen starken Praxisbezug herstellen – anders als bei den eher akademischen Formaten, zu denen Papiere einzureichen sind, sollte der Schwerpunkt auf Management & Technik mit einem Programm für alle liegen. Bewusst werde dabei auf die Einbindung von Sponsoren mit der dann damit verbundenen Werbung verzichtet.
Seit 2004 habe man regelmäßig über 200 Teilnehmer, darunter Referenten und Pressevertreter. Diese Größenordnung gelte es beizubehalten, um am Rande der Veranstaltungen auch einem wirksamen Networking Raum zu geben, betonte Strobel.

IT-Sicherheitskultur des Schutzes, der Entdeckung und Erwiderung etablieren!

Über die Herausforderung für die Entscheiderebene, eine IT-Sicherheitskultur des Schutzes, der Entdeckung und Erwiderung zu etablieren, sprach im Auftaktvortrag Lance Spitzner, Verantwortlicher für SANS-Awareness-Programme, und stellte sehr lebhaft, unterhaltsam und inspirierend dar, dass IT-Sicherheit eben nicht allein eine technische, sondern viel mehr noch eine menschliche Basis hat – diese „humane Perspektive“ gelte es immer im Hinterkopf zu behalten.
Technik-lastige Personen erwiderten auf diese Aussage oft, dass man Dummheit nicht patchen könne; die passende Erwiderung darauf sei: „Geh, blick in den Spiegel!“ Er stellte klar, dass nicht die Menschen per se das Problem seien und schon gar nicht als schwächstes Glied der IT-Sicherheits-Kette diffamiert werden sollten. Richtig sei: Menschen seien heute der bevorzugte Angriffsvektor.

Foto: Dirk Pinnow

Lance Spitzner: Kraft zur Bewegung und Weiterentwicklung ein Produkt der Motivation und der Befähigung

IT-Anwender sind nicht „Mr. Spock“, sondern „Homer Simpson“

Bei der Suche nach Lösungen sollte man davon ausgehen, dass viele Awareness-Kampagnen nicht den gewünschten Erfolg erzielten. Spitzner erinnerte an das Trägheitsgesetz der Physik (1. Newtonsches Gesetz), wonach die mechanische Kraft (F) das Produkt aus der Masse (m) eines Körpers und der ihm mitgegebenen Beschleunigung (a) ist, also z.B. ein Objekt in Ruhe verweilt, wenn keine Kraft auf es einwirkt.
Er zog als Vergleich das ADKAR-Verhaltensmodell heran, bei dem der Zusammenhang zwischen Motivation (M) und Befähigung (A – Ability) betrachtet wird. Techniker erwarteten, dass die Empfänger von Sicherheitshinweisen sich logisch und kontrolliert verhalten würden – wie die aus der ersten Staffel der US-Fernsehserie „Raumschiff Enterprise“ („Star Trek: The Original Series“) bekannte Figur „Mr. Spock“. Jedoch sei es in der Realität so: Die meisten IT-Anwender seien eher durch die Zeichentrick-Figur „Homer Simpson“ aus der Serie „Die Simpsons“ passend charakterisiert. Diese Analogie solle indes nicht bloß-, sondern klarstellen, dass es in der evolutionären Entwicklung des Menschen durchaus ein Überlebensvorteil gewesen sei, auch bei wenigen vorliegenden Informationen schnell eine Entscheidung treffen zu können. In diesem Sinne könne man sagen, dass die Kraft zur Bewegung und Weiterentwicklung ein Produkt der Motivation und der Befähigung (Ability) des Menschen sei.

Motivation wecken durch Beantwortung der Frage nach dem Warum

Die Tragik sei, dass Menschen mit hoher Technologie-Affinität zumeist schlecht in der Kommunikation vor allem mit Nicht-Technikern seien. Er stellte kurz das Motivationsmodell „Golden Circle“ von Simon Sinek vor – demnach komme es auf die richtige Reihenfolge dreier zentraler Fragen an: 1. „Warum?“ – 2. „Wie?“ und erst dann 3. „Was (ist zu tun)?“
Wenn als IT-Sicherheit gegenüber der Belegschaft eines Unternehmens als wichtig dargestellt werden soll, müsse man zunächst die rhetorische Frage beantworten können: „Warum denn ist IT-Sicherheit für uns wichtig?“ Die Ausführungen hierzu sollten einfach und durchaus unterhaltsam formuliert werden. Spitzner ermunterte, sich Motivationsmodelle aus der Marketing-Welt anzusehen und ging kurz auf das sogenannten AIDA-Modell ein (Attention – Aufmerksamkeit erregen, Interest – Interesse wecken und halten, Desire – Begehren wecken, Action – Aufruf zur konkreten Handlung z.B. Inanspruchnahme einer Dienstleistung oder Kauf eines Produktes). So könnte man die Adressaten an das Problem, sich komplizierte Passwörter zu merken, erinnern und bei gewecktem Interesse dann auf einen Passwort-Manager verweisen. IT-Sicherheit müsse so einfach wie möglich machbar sein und dargestellt werden.

Wegweisung muss einfach sein!

Er empfahl das Buch „Nudge“ von Richard H. Thaler, in dem praktische Vereinfachungen mit großem Nutzen vorgestellt würden. Als Beispiel nannte er die Herren-Toiletten des Amsterdamer Flughafens Schiphol – dort sei in den Urinalen eine Fliege abgebildet, die das Zielen vereinfachen soll und so 80 Prozent weniger Verschmutzung und damit auch Reinigungskosten erzielt würden. Daraus lasse sich lernen: Nicht die menschliche Natur bekämpfen wollen, sondern einfache Wegweisung zum Ziel geben!
Auch in Fragen der IT-Sicherheit durch Passwörter seien Vereinfachungen möglich. Dabei sollte immer in der Sprache der Adressaten kommuniziert werden und nicht in der eigenen u. U. sehr abgehobenen. Training und Tools gelte es zur Verfügung zu stellen. Die üblichen Hinweise zur Passwort-Sicherheit seien in der Praxis eher untauglich: möglichst 15 Zeichen (große und kleine Buchstaben, Sonderzeichen und Ziffern) – Änderung alle 90 Tage – niemals notieren – einzigartig für jede Anwendung… Die Empfehlung zur regelmäßigen Änderung sei sehr umstritten und könne sogar die Sicherheit mindern – also sollte darauf verzichtet werden. Zu empfehlen seien zusätzlich zum reinen Text-Passwort eine Multifaktor-Authentifizierung, „Single sign-on“ und biometrische Verfahren. Zum Merken seien „Passphrases“ besser geeignet als bloße „Passwords“. Zudem sollte ein Passwort-Manager zur Verfügung gestellt und hierzu Trainings angeboten werden.

Mitarbeiter und nicht die Technik in den Vordergrund rücken!

Schließlich könnten für Mitarbeiter in Unternehmen Standard-Prozeduren eingeführt und hierzu etwa übersichtlich Merkblätter mit einfachen Beschreibungen sowie ggf. Graphiken zur Erkennung von betrügerischen Attacken (z.B. „CEO Fraud“ etc.) herausgegeben werden.
Nochmals appellierte Spitzner zu einer Abkehr von eine „Blame Culture“ und zitierte Bruce Schneier, der gemahnt habe: „Wenn Sie glauben, Technologie könne Ihre Sicherheitsprobleme lösen, dann verstehen Sie die Probleme nicht und Sie verstehen die Technologie nicht.“

Weitere Informationen zum Thema:

IT-DEFENSE 2020
5.-7. Februar 2020 in Bonn

SANS
Lance Spitzner

Prosci
The Prosci ADKAR Model

TED
Simon Sinek: Wie große Führungspersönlichkeiten zum Handeln inspirieren

Wikipedia
Nudge

Wikipedia
Bruce Schneier

[datensicherheit.de, 27.10.2011] Einige der weltweit bekanntesten IT-Security-Experten, Hacker und Buchautoren treffen sich vom 8. bis 10. Februar 2012 auf der IT-Sicherheitskonferenz „IT-Defense“ in München, um über aktuelle IT-Sicherheitsthemen zu referieren:
Die „IT-Defense“ findet nun bereits zum zehnten Mal statt und ist eine der größten internationalen Konferenzen zum Thema IT-Sicherheit in Deutschland. Das Programm der „IT-Defense“ ist bewusst als eine Mischung aus sehr technischen Vorträgen, strategischen Präsentationen und unterhaltsamen Referenten rund um das Thema IT-Sicherheit gestaltet. Gleichzeitig sollen hochwertige Abendveranstaltungen einen Austausch mit Referenten und anderen Teilnehmern garantieren.
Zum zehnjährigen Jubiläum sollen sich prominente IT-Security-Profis ein Stelldichein geben. So werde Bruce Schneier, als „Security-Guru“ weltweit anerkannt, wird eine Keynote halten. Ebenso Kevin Mitnick, der in seinem Vortrag über sein unglaubliches Leben als der weltweit meistgesuchte Hacker berichten werde. Weitere renommierte Referenten seien Adam Laurie (Security Researcher), Mikko Hypponen (Antiviren-Experte, der als einer der 50 wichtigsten Personen im Internet bezeichnet wird), Prof. Dr. Gunter Dueck (Autor satirisch-philosophischer Bücher über das Leben, die Menschen und Manager) sowie Prof. Dr. Thomas Hoeren (vielseitig engagierter und anerkannter Experte im IT-Recht).
Diese und weitere bekannte Researcher und IT-Sicherheitsprofis sollen an zwei Kongresstagen aktuelle Fragen der IT-Sicherheit diskutieren und Einblicke in Strategien und Sicherheitskonzepte geben. Am dritten Tag der Veranstaltung sind Gesprächsrunden (Round Tables) geplant – dort hätten die Teilnehmer die Möglichkeit, ausführlich mit den Referenten ins Gespräch zu kommen und Einzelthemen zu vertiefen. Herausragende Themen seien für 2011 „Hardware Hacking“, „Data-Mining-Methoden“ und „Aktuelle Bedrohungen und Risiken und warum Cyberstrategien nicht funktionieren!“.
Die „IT-Defense 2012“ findet vom 8. bis 10. Februar 2012 im Hotel „Leonardo Royal“ im Herzen von München statt. Die Teilnehmerzahl ist auf 200 Personen begrenzt.

Weitere Informationen zum Thema:

IT-DEFENSE 2012
8. – 10. Februar 2012 / PROGRAMM