Chaos Communication Congress '97
Hamburg, Eidelstedter Bürgerhaus, 27. - 29.12.1997
Chaos-Knoten

[an error occurred while processing this directive]

Sicherheit bei der Deutschen Telekom als Wettbewerbsfaktor

Die Sensibilisierung des Personals für Sicherheitsbelange als eine Aufgabe des Zentrum für Netzsicherheit

Referent: Jürgen Haag, Deutsche Telekom AG


Die Gewährleistung der Sicherheit von Daten und Telekommunikation ist auf der einen Seite eine eindeutig technische Aufgabe. Da Sicherheit hohe Priorität genießt, ist die Kostenfrage bei technischen Lösungsansätzen meist zweitrangig.

Sicherheit ist aber auf der anderen Seite auch eine Frage des Verhaltens der Mitarbeiterinnen und Mitarbeiter. Nur wenn beide Faktoren zusammenwirken, ist der gewünschte Erfolg zu erzielen.

Unseren Kunden ist es letztlich gleichgültig, ob Sicherheitslücken aufgrund technischen oder menschlichen Versagens entstehen. Für sie ist nur das - in diesem Falle meist negative - Ergebnis von Interesse.

Viele technische Lösungen sind nur dann wirksam, wenn sie vom Mitarbeiter als feste Bestandteile des Arbeitsalltags akzeptiert und auch tatsächlich angewendet werden. Häufig findet sich jedoch die Einstellung, die technischen Sicherungsmaßnahmen reichten allein schon aus, um Eingriffe Unbefugter zu verhindern. Alltägliches Beispiel: Daten auf Einzelplatzrechnern können mit verschiedenen und fast immer vorhandenen Maßnahmen gesichert werden. Doch wessen PC ist tatsächlich verschlossen und mittels eine Paßwortes geschützt, das etwas komplizierter als der eigene Name, der Name (Kosename) der Frau oder des Mannes, oder das eigene Geburtsdatum ist? Oft wird auch der Inhalt der gespeicherten Daten im Hinblick auf das Erfordernis der Datensicherung unterschätzt. Schwer vorstellbar, welches Interesse Dritte zu Zeiten des Fernmeldemonopols an den Interna der Deutschen Telekom gehabt haben sollten.

Mit der Öffnung des Marktes und dem Eintritt in den Wettbewerb ist es jedoch mehr denn je erforderlich, maximale Sicherheit zu gewährleisten. Hierzu reicht eine Verbesserung der Technik allein nicht aus. Die Mitarbeiterinnen und Mitarbeiter, die mit dieser Technik arbeiten, müssen sich der besonderen Risiken und Anforderungen in diesem Bereich bewußt sein.

Die Sensibilisierung für Sicherheitsfragen und eine entsprechende Weiterbildung ist eine wichtige Maßnahme für die Beschäftigten zur Verhinderung des Mißbrauchs von Informationen und TK-Netzen und damit zur Abwendung eines hierdurch entstehenden wirtschaftlichen Schadens. Eine solche Sensibilisierung führt auch dazu, daß die bestehenden gesetzlichen Verpflichtungen, nämlich die Wahrung des Fernmeldegeheimnisses und des Datenschutzes, erfüllt werden.

Durch das Zentrum für Netzsicherheit wurde in enger Zusammenarbeit mit der Weiterbildung eine Seminarreihe entwickelt, die den Titel "Aktion Sicheres Netz" trägt. Die Schulungen sollen bei den Beschäftigten ein Bewußtsein für das Thema Sicherheit nicht nur im Bezug auf die Netztechnik, sondern auch im Hinblick auf den verantwortungsvollen Umgang mit telekominternen Informationen am eigenen Arbeitsplatz schaffen.

In einer ersten Seminarreihe, die wir "Pilotmaßnahme Aktion sicheres Netz" genannt haben, wurden Verhaltenstrainerinnen und -trainer der Bildungszentren in einem sog. "train the trainer" geschult. Dabei wurde diesem Personenkreis vertiefte Kenntnisse vermittelt, u.a. auch die Information, wie andere Firmen mit dem Thema "Sicherheit" umgehen.

Diese Verhaltenstrainerinnen und -trainer geben ihr Wissen direkt an ca. 5000 Kräfte mit Führungsfunktionen des Unternehmensbereichs TN weiter. Die Schulungen dauern 2 Tage, an denen durch Gruppenarbeiten und Rollenspiele ein sicherheitsbewußtes Verhalten eingeübt wird. Aus didaktischer Sicht reicht ein Vortrag bzw. Frontalunterricht nicht aus, um tatsächlich eine Verhaltensänderung zu erzielen. Die eigenen fehlerhaften Verhaltensweisen müssen erkannt und sicherheitsbewußtes Verhalten eingeübt werden.

Diese ca. 5000 Führungskräfte erhalten den Auftrag, das erlernte Wissen in ihrem Verantwortungsbereich weiterzuvermitteln und umzusetzen. Für die Weitervermittlung werden die Führungskräfte mit Schulungsmaterial (Leitfaden, Video, Folien etc.) ausgestattet. Das Schulungsmaterial (Koffer) ist professionell erstellt worden und berücksichtigt didaktische und pädagogische Elemente.

Die geschulten Führungskräfte werden somit in die Lage versetzt, die selbsterfahrene Schulung an ihren Mitarbeitern und Mitarbeiterinnen weiterzugeben.


Vorstellung des Inhalts des Schulungskoffers:

  1. Seminarunterlagen
    Beinhalten
    1. ein didaktisches Konzept für den Dienstunterricht
    2. eine vertiefende Darstellung der 10 Sicherheitsregeln mit Beispielen aus der Praxis der einzelnen Zielgruppen
    3. Anleitungen für Einzel- und Gruppenarbeiten und Rollenspiele
      - Übung der Sicherheitsregeln.
      - Sicherheitsmängel in meinem eigenen Arbeitsumfeld.
      - Wie kann ich die Sicherheitsregeln an meinem Arbeitsplatz anwenden?

  2. Plakate
    Diese dienen als Hinweis für die Schulungsveranstaltung

  3. Video:
    1. Einführende Rede unseres VTN Gerd Tenzer.
    2. "Sind Meinungen Tatsachen?", Darstellung der Deutschen Telekom im Deutschen Fernsehen.
    3. "Ein Tag wie jeder andere". Spielfilm, der einen Tag bei der Deutschen Telekom beschreibt. Mit möglichen Sicherheitslücken und deren Bewältigung durch die Mitarbeiter/innen.

  4. Folien

  5. Diskette (Powerpoint)

  6. Broschüre
    (zur Weitergabe an die Mitarbeiter/innen)
Ziel ist es, alle TN-Mitarbeiter und Mitarbeiterinnen - insgesamt ca. 70.000 Beschäftigte - in Sicherheitsfragen zu unterweisen. Der zu vermittelnde Inhalt besteht zunächst aus einem Überblick, was unter dem Begriff Sicherheit verstanden wird. Des weiteren soll verdeutlicht werden, wer von dem Wissen der Beschäftigten der Deutschen Telekom profitiert. Es soll aufgezeigt werden, welche Bedeutung Sicherheit als Wettbewerbsfaktor hat.

Kernstück dieser Aktion Sicheres Netz sind die folgenden Punkte, die griffigerweise in 10 Sicherheitsregeln gefaßt worden sind. Diese lauten:

  1. Sie wissen mehr als Sie glauben
    • Wissen kann mosaikartig zusammengesetzt werden.
    • Unbedachte Äußerungen liefern wichtige betriebliche Informationen.
    • Viele sagen, ich weiß ohnehin nichts.
    • Mein Wissen ist doch allgemein bekannt.
    • Negativhinweise geben Hinweise auf Schwachstellen. Auch die Informationen können für Wettbewerber nützlich sein.

  2. Die Konkurrenz hat ein waches Auge
    • Keine Interna an Wettbewerber.
    • Besondere Achtsamkeit bei ehemaligen Kollegen, die jetzt z.B. beim Konkurrenten tätig sind.
    • Bei Planungsverfahren nur die Informationen weitergeben, die wirklich benötigt werden.
    • Geplante Leistungsmerkmale mit Einführungsterminen und Zeitschienen.
    • Telefonverzeichnisse u.s.w. sind ebenfalls für die Konkurrenz sehr interessant.

  3. Informationen sind unser Kapital
    • Sämtliche Vertragsunterlagen geben tiefgreifende Einblicke.
    • Sensible Informationen - ob auf Papier oder Diskette oder dem Laptop - nicht im Auto liegen lassen.
    • Geplante Netzknotenstandorte sind für Wettbewerber sehr wichtig, denn sie verraten die Netzstrategiekonzepte der Deutschen Telekom. Mit diesen Informationen können Wettbewerber Einblicke in die Marktstrategie gewinnen und die eigene Planung darauf abstimmen.
    • Datenträger jeder Art (Disketten, Bänder, MO-Disk, etc.) sind immer an sicheren und nicht frei zugänglichen Orten zu verwahren.
    • Keine Standleitungen unter Unix oder Windows offen stehen lassen; Datenpiraterie.

  4. Erst sind die Daten weg, dann der Kunde
    • Gebührendaten (Kommunikationsdatensätze) sind besonders sorgfältig zu behandeln.
    • Es ist sicherzustellen, daß solche Daten nicht manipuliert werden.
    • Auch der Umgang mit statistischem Material über Verbindungsdaten,
    • Verkehrsaufkommen und Anschlüsse muß mit großer Vorsicht erfolgen.

  5. Wenn Sie ein Auge zudrücken, entgeht Ihnen manches
    • Bei Kundenanträgen auf ungewöhnliche Umstände achten. 100 Anschlüsse in 30 m2 Raum.
    • Auffälliges Verhalten von Kollegen, arbeitet am Rechner unter einer anderen als der eigenen Kennung, liest fremde Korrespondenz.
    • Wahrgenommene Sicherheitsschwachstellen oder ungewöhnliche Vorkommnisse in der Umgebung nicht einfach ignorieren, sondern den Vorgesetzten darauf ansprechen.
    • Kundenreklamationen ernstnehmen und auf mögliche Manipulationen hin auswerten.

  6. Ein Paßwort ist keine stille Post
    • Das Paßwort dient dazu, daß der Bediener sich im System eindeutig indentifiziert.
    • Nicht aus Bequemlichkeit jemandem das eigene Paßwort mitteilen. Keine einfachen Paßwörter benutzen.
    • Am besten ein Paßwort mit Buchstaben, Zahlen und Sonderzeichen. Möglichst nicht notieren.

  7. Vorsicht beim Telefonieren - manchmal hören mehr Leute zu, als Sie denken
    • Telefonische Auskunftsersuchen Fremder mit Skepsis begegnen. Offen herumstehende Anrufbeantworter sind ein Gefahrenpotential. Beim Weiterschalten eines Gespächs darauf achten, daß keiner mehr in der Leitung ist.
    • Bei vertraulichen Telefonaten, die Türen schließen.

  8. Ihr Papierkorb kann reden
    • Beim Versenden von E-Mails, Vorsicht bei der Adreßeingabe.
    • Wichtige Dokumente gehören nicht in den Papierkorb.
    • Faxen über Kurzwahltaste. Vorsicht!
    • Protokolle über den Ein- und Ausgang von rechtsverbindlichen Faxen führen.

  9. Offene Türen und Fenster laden ungebetene Gäste ein
    • Büros beim Verlassen verschließen.
    • Verlust von Schlüsseln ist sofort dem Ressortleiter zu melden.
    • Nach Dienstschluß Kontrolle durchführen, ob tatsächlich alle Räume und Fenster verschlossen sind.

  10. Fragen Sie Fremde, wo sie hinwollen
    • Generell gilt der Grundsatz: Fremde sollen nicht ohne Begleitung durch das Haus gehen. Dies ist bei Kunden wie auch unbekannten Kollegen einzuhalten.
    • Fremde Personen, die sich alleine im Gang aufhalten fragen, wo sie hinwollen und dann begleiten.
    • Ganz besonders in Technikräumen sind Fremde unbedingt anzusprechen.
Diese 10 Sicherheitsregeln sollen in Rollenspielen eingeübt werden. Des weiteren soll der einzelne ausführen, wie er die Sicherheitsregeln an seinem Arbeitsplatz anwenden kann.

Hinweise auf Sicherheitsmängel oder auch Vorschläge können an das ZfN weitergegeben werden.

Evtl. mögen einzelne Regelungen für einzelne Bereiche überzogen wirken. Doch auch bei der Sensibilisierung der Mitarbeiter gilt, daß mit gesundem Menschenverstand gearbeitet werden muß. Nicht alle Verhaltensweisen sind für alle Bereiche gleich verbindlich. Das eigene Know-how sollte jedoch auf keinem Fall unterschätzt werden.

Die oben aufgeführten Regeln tragen dazu bei, daß das Sicherheitsbewußtsein der Beschäftigten steigt und damit das Vertrauen der Kunden in die Deutsche Telekom erhalten bleibt. "Sicherheitspannen" bzw. "-lücken" müssen möglichst vermieden werden. Der wirtschaftliche Schaden durch sie ist immens. Nur wenn der Kunde Vertrauen in die Sicherheit seiner Daten und der Telekommunikation hat, werden neue Dienste der Deutschen Telekom auch angenommen. Doch wie bereits oben ausgeführt: Sicherheit kann es nur geben, wenn die Technik sichere Lösungen bietet und die Mitarbeiter und Mitarbeiterinnen, die mit dieser Technik arbeiten, sich dieser besonderen Risiken und Anforderungen bewußt sind und entsprechend verhalten.

Die "Aktion Sicheres Netz" ist eine erste Maßnahme, der noch weitere folgen sollen, um kontinuierlich einen hohen Stand an Sicherheitsbewußtsein zu halten. Mit einer hohen Sicherheit erzielt die Deutsche Telekom einen entscheidenden Erfolgsfaktor im künftigen Wettbewerb.


Folien zum Vortrag: 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12



[ Start | Inhalt | Impressum | Hinweise | Fahrplan ]

Copyleft © 1997 by Chaos Computer Club
Veröffentlichung ausdrücklich erwünscht, Belegexemplar erbeten.