Sicherheit bei der Deutschen Telekom als Wettbewerbsfaktor
Die Sensibilisierung des Personals für Sicherheitsbelange als eine Aufgabe des Zentrum für Netzsicherheit
Referent: Jürgen Haag, Deutsche Telekom AG
Die Gewährleistung der Sicherheit von Daten und Telekommunikation ist
auf der einen Seite eine eindeutig technische Aufgabe. Da Sicherheit hohe
Priorität genießt, ist die Kostenfrage bei technischen
Lösungsansätzen meist zweitrangig.
Sicherheit ist aber auf der anderen Seite auch eine Frage des Verhaltens der
Mitarbeiterinnen und Mitarbeiter. Nur wenn beide Faktoren zusammenwirken,
ist der gewünschte Erfolg zu erzielen.
Unseren Kunden ist es letztlich gleichgültig, ob Sicherheitslücken
aufgrund technischen oder menschlichen Versagens entstehen. Für sie ist
nur das - in diesem Falle meist negative - Ergebnis von Interesse.
Viele technische Lösungen sind nur dann wirksam, wenn sie vom
Mitarbeiter als feste Bestandteile des Arbeitsalltags akzeptiert und auch
tatsächlich angewendet werden. Häufig findet sich jedoch die
Einstellung, die technischen Sicherungsmaßnahmen reichten allein schon
aus, um Eingriffe Unbefugter zu verhindern. Alltägliches Beispiel:
Daten auf Einzelplatzrechnern können mit verschiedenen und fast immer
vorhandenen Maßnahmen gesichert werden. Doch wessen PC ist
tatsächlich verschlossen und mittels eine Paßwortes
geschützt, das etwas komplizierter als der eigene Name, der Name
(Kosename) der Frau oder des Mannes, oder das eigene Geburtsdatum ist? Oft
wird auch der Inhalt der gespeicherten Daten im Hinblick auf das Erfordernis
der Datensicherung unterschätzt. Schwer vorstellbar, welches Interesse
Dritte zu Zeiten des Fernmeldemonopols an den Interna der Deutschen Telekom
gehabt haben sollten.
Mit der Öffnung des Marktes und dem Eintritt in den Wettbewerb ist es jedoch
mehr denn je erforderlich, maximale Sicherheit zu gewährleisten. Hierzu
reicht eine Verbesserung der Technik allein nicht aus. Die Mitarbeiterinnen
und Mitarbeiter, die mit dieser Technik arbeiten, müssen sich der besonderen
Risiken und Anforderungen in diesem Bereich bewußt sein.
Die Sensibilisierung für Sicherheitsfragen und eine entsprechende
Weiterbildung ist eine wichtige Maßnahme für die
Beschäftigten zur Verhinderung des Mißbrauchs von Informationen
und TK-Netzen und damit zur Abwendung eines hierdurch entstehenden
wirtschaftlichen Schadens. Eine solche Sensibilisierung führt auch
dazu, daß die bestehenden gesetzlichen Verpflichtungen, nämlich
die Wahrung des Fernmeldegeheimnisses und des Datenschutzes, erfüllt
werden.
Durch das Zentrum für Netzsicherheit wurde in enger Zusammenarbeit mit
der Weiterbildung eine Seminarreihe entwickelt, die den Titel "Aktion
Sicheres Netz" trägt. Die Schulungen sollen bei den
Beschäftigten ein Bewußtsein für das Thema Sicherheit nicht
nur im Bezug auf die Netztechnik, sondern auch im Hinblick auf den
verantwortungsvollen Umgang mit telekominternen Informationen am eigenen
Arbeitsplatz schaffen.
In einer ersten Seminarreihe, die wir "Pilotmaßnahme Aktion
sicheres Netz" genannt haben, wurden Verhaltenstrainerinnen und
-trainer der Bildungszentren in einem sog. "train the trainer"
geschult. Dabei wurde diesem Personenkreis vertiefte Kenntnisse vermittelt,
u.a. auch die Information, wie andere Firmen mit dem Thema
"Sicherheit" umgehen.
Diese Verhaltenstrainerinnen und -trainer geben ihr Wissen direkt an ca.
5000 Kräfte mit Führungsfunktionen des Unternehmensbereichs TN
weiter. Die Schulungen dauern 2 Tage, an denen durch Gruppenarbeiten und
Rollenspiele ein sicherheitsbewußtes Verhalten eingeübt wird. Aus
didaktischer Sicht reicht ein Vortrag bzw. Frontalunterricht nicht aus, um
tatsächlich eine Verhaltensänderung zu erzielen. Die eigenen
fehlerhaften Verhaltensweisen müssen erkannt und
sicherheitsbewußtes Verhalten eingeübt werden.
Diese ca. 5000 Führungskräfte erhalten den Auftrag, das erlernte
Wissen in ihrem Verantwortungsbereich weiterzuvermitteln und umzusetzen.
Für die Weitervermittlung werden die Führungskräfte mit
Schulungsmaterial (Leitfaden, Video, Folien etc.) ausgestattet. Das
Schulungsmaterial (Koffer) ist professionell erstellt worden und
berücksichtigt didaktische und pädagogische Elemente.
Die geschulten Führungskräfte werden somit in die Lage versetzt, die
selbsterfahrene Schulung an ihren Mitarbeitern und Mitarbeiterinnen
weiterzugeben.
Vorstellung des Inhalts des Schulungskoffers:
- Seminarunterlagen
Beinhalten
- ein didaktisches Konzept für den Dienstunterricht
- eine vertiefende Darstellung der 10 Sicherheitsregeln mit Beispielen aus der Praxis der einzelnen Zielgruppen
- Anleitungen für Einzel- und Gruppenarbeiten und Rollenspiele
- Übung der Sicherheitsregeln.
- Sicherheitsmängel in meinem eigenen Arbeitsumfeld.
- Wie kann ich die Sicherheitsregeln an meinem Arbeitsplatz anwenden?
- Plakate
Diese dienen als Hinweis für die Schulungsveranstaltung
- Video:
- Einführende Rede unseres VTN Gerd Tenzer.
- "Sind Meinungen Tatsachen?", Darstellung der Deutschen Telekom im Deutschen Fernsehen.
- "Ein Tag wie jeder andere". Spielfilm, der einen Tag bei der
Deutschen Telekom beschreibt. Mit möglichen Sicherheitslücken und deren Bewältigung durch die
Mitarbeiter/innen.
- Folien
- Diskette (Powerpoint)
- Broschüre
(zur Weitergabe an die Mitarbeiter/innen)
Ziel ist es, alle TN-Mitarbeiter und Mitarbeiterinnen - insgesamt ca. 70.000
Beschäftigte - in Sicherheitsfragen zu unterweisen. Der zu vermittelnde Inhalt
besteht zunächst aus einem Überblick, was unter dem Begriff Sicherheit
verstanden wird. Des weiteren soll verdeutlicht werden, wer von dem Wissen
der Beschäftigten der Deutschen Telekom profitiert. Es soll aufgezeigt
werden, welche Bedeutung Sicherheit als Wettbewerbsfaktor hat.
Kernstück dieser Aktion Sicheres Netz sind die folgenden Punkte, die
griffigerweise in 10 Sicherheitsregeln gefaßt worden sind. Diese lauten:
- Sie wissen mehr als Sie glauben
- Wissen kann mosaikartig zusammengesetzt werden.
- Unbedachte Äußerungen liefern wichtige betriebliche Informationen.
- Viele sagen, ich weiß ohnehin nichts.
- Mein Wissen ist doch allgemein bekannt.
- Negativhinweise geben Hinweise auf Schwachstellen. Auch die Informationen können für Wettbewerber nützlich sein.
- Die Konkurrenz hat ein waches Auge
- Keine Interna an Wettbewerber.
- Besondere Achtsamkeit bei ehemaligen Kollegen, die jetzt z.B. beim Konkurrenten tätig sind.
- Bei Planungsverfahren nur die Informationen weitergeben, die wirklich benötigt werden.
- Geplante Leistungsmerkmale mit Einführungsterminen und Zeitschienen.
- Telefonverzeichnisse u.s.w. sind ebenfalls für die Konkurrenz sehr interessant.
- Informationen sind unser Kapital
- Sämtliche Vertragsunterlagen geben tiefgreifende Einblicke.
- Sensible Informationen - ob auf Papier oder Diskette oder dem Laptop - nicht im Auto liegen lassen.
- Geplante Netzknotenstandorte sind für Wettbewerber sehr wichtig, denn sie verraten die Netzstrategiekonzepte der Deutschen Telekom. Mit diesen Informationen können Wettbewerber Einblicke in die Marktstrategie gewinnen und die eigene Planung darauf abstimmen.
- Datenträger jeder Art (Disketten, Bänder, MO-Disk, etc.) sind immer an sicheren und nicht frei zugänglichen Orten zu verwahren.
- Keine Standleitungen unter Unix oder Windows offen stehen lassen; Datenpiraterie.
- Erst sind die Daten weg, dann der Kunde
- Gebührendaten (Kommunikationsdatensätze) sind besonders sorgfältig zu behandeln.
- Es ist sicherzustellen, daß solche Daten nicht manipuliert werden.
- Auch der Umgang mit statistischem Material über Verbindungsdaten,
- Verkehrsaufkommen und Anschlüsse muß mit großer Vorsicht erfolgen.
- Wenn Sie ein Auge zudrücken, entgeht Ihnen manches
- Bei Kundenanträgen auf ungewöhnliche Umstände achten. 100 Anschlüsse in 30 m2 Raum.
- Auffälliges Verhalten von Kollegen, arbeitet am Rechner unter einer anderen als der eigenen Kennung, liest fremde Korrespondenz.
- Wahrgenommene Sicherheitsschwachstellen oder ungewöhnliche Vorkommnisse in der Umgebung nicht einfach ignorieren, sondern den Vorgesetzten darauf ansprechen.
- Kundenreklamationen ernstnehmen und auf mögliche Manipulationen hin auswerten.
- Ein Paßwort ist keine stille Post
- Das Paßwort dient dazu, daß der Bediener sich im System eindeutig indentifiziert.
- Nicht aus Bequemlichkeit jemandem das eigene Paßwort mitteilen. Keine einfachen Paßwörter benutzen.
- Am besten ein Paßwort mit Buchstaben, Zahlen und Sonderzeichen. Möglichst nicht notieren.
- Vorsicht beim Telefonieren - manchmal hören mehr Leute zu, als Sie denken
- Telefonische Auskunftsersuchen Fremder mit Skepsis begegnen. Offen herumstehende Anrufbeantworter sind ein Gefahrenpotential. Beim Weiterschalten eines Gespächs darauf achten, daß keiner mehr in der Leitung ist.
- Bei vertraulichen Telefonaten, die Türen schließen.
- Ihr Papierkorb kann reden
- Beim Versenden von E-Mails, Vorsicht bei der Adreßeingabe.
- Wichtige Dokumente gehören nicht in den Papierkorb.
- Faxen über Kurzwahltaste. Vorsicht!
- Protokolle über den Ein- und Ausgang von rechtsverbindlichen Faxen führen.
- Offene Türen und Fenster laden ungebetene Gäste ein
- Büros beim Verlassen verschließen.
- Verlust von Schlüsseln ist sofort dem Ressortleiter zu melden.
- Nach Dienstschluß Kontrolle durchführen, ob tatsächlich alle Räume und Fenster verschlossen sind.
- Fragen Sie Fremde, wo sie hinwollen
- Generell gilt der Grundsatz: Fremde sollen nicht ohne Begleitung durch das Haus gehen. Dies ist bei Kunden wie auch unbekannten Kollegen einzuhalten.
- Fremde Personen, die sich alleine im Gang aufhalten fragen, wo sie hinwollen und dann begleiten.
- Ganz besonders in Technikräumen sind Fremde unbedingt anzusprechen.
Diese 10 Sicherheitsregeln sollen in Rollenspielen eingeübt werden. Des
weiteren soll der einzelne ausführen, wie er die Sicherheitsregeln an
seinem Arbeitsplatz anwenden kann.
Hinweise auf Sicherheitsmängel oder auch Vorschläge können an
das ZfN weitergegeben werden.
Evtl. mögen einzelne Regelungen für einzelne Bereiche
überzogen wirken. Doch auch bei der Sensibilisierung der Mitarbeiter
gilt, daß mit gesundem Menschenverstand gearbeitet werden muß.
Nicht alle Verhaltensweisen sind für alle Bereiche gleich verbindlich.
Das eigene Know-how sollte jedoch auf keinem Fall unterschätzt
werden.
Die oben aufgeführten Regeln tragen dazu bei, daß das
Sicherheitsbewußtsein der Beschäftigten steigt und damit das
Vertrauen der Kunden in die Deutsche Telekom erhalten bleibt.
"Sicherheitspannen" bzw. "-lücken" müssen
möglichst vermieden werden. Der wirtschaftliche Schaden durch sie ist
immens. Nur wenn der Kunde Vertrauen in die Sicherheit seiner Daten und der
Telekommunikation hat, werden neue Dienste der Deutschen Telekom auch
angenommen. Doch wie bereits oben ausgeführt: Sicherheit kann es nur
geben, wenn die Technik sichere Lösungen bietet und die Mitarbeiter und
Mitarbeiterinnen, die mit dieser Technik arbeiten, sich dieser besonderen
Risiken und Anforderungen bewußt sind und entsprechend verhalten.
Die "Aktion Sicheres Netz" ist eine erste Maßnahme, der noch weitere folgen
sollen, um kontinuierlich einen hohen Stand an Sicherheitsbewußtsein zu
halten. Mit einer hohen Sicherheit erzielt die Deutsche Telekom einen
entscheidenden Erfolgsfaktor im künftigen Wettbewerb.
Folien zum Vortrag:
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12