FISHA – Framework for Information Sharing and Alerting
Verteiltes europäisches Informationsnetzwerk für Bürger und kleine und mittlere Unternehmen (KMUs) zum Austausch von IT-Sicherheitsinformationen und Meldungen
Motivation
Das Institut für Internet-Sicherheit unterstützt das Projekt dabei als Partner mit seinen Erfahrungen zur Sensibilierung von Internetnutzern und legt ein besonderes Augenmerk auf die Etablierung einer effektiven Kommunikation für Bürger und KMUs.
Das FISHA-Projekt
Im Mittelpunkt des seit 2009 von der Europäischen Kommission geförderten, zweijährigen Projektes FISHA (Framework for Information SHaring and Alerting – http://www.fisha-project.eu), stehen die Bürger sowie die kleinen und mittleren Unternehmen, welche den Großteil der europäischen Bevölkerung bilden. Es ist von besonderem Interesse, diese Gruppen über neue Bedrohungen und neues Informationsmaterial zum Bereich IT-Sicherheit zu informieren. Ziel des FISHA-Projektes ist es daher, basierend auf der EISAS-Studie der ENISA, einer Machbarkeitsstudie zu einem europäischen Nachrichtendienst für IT-Sicherheit einen Prototypen zu entwickeln. Besonders wichtig ist es, dabei die Zielgruppen mit den für sie relevanten Informationen zu erreichen und diese über einen passenden Informationskanal zuzustellen. Insbesondere Bürger haben verschiedene Vorlieben und sollen daher entsprechende Kommunikationswege zur Verfügung gestellt bekommen. Zudem herrscht in den Gruppen ein ungleiches Verhältnis in Bezug auf das Vorhandensein eines IT-Sicherheitsbewusstseins, weswegen es wichtig ist, Informationen zuzustellen, die deren Kenntnisstand nicht überfordern.
Bereitgestellte Informationen
Für den europäischen Nachrichtendienst für IT-Sicherheit ist ein reichhaltiges Angebot an sicherheitsbezogenen Meldungen und Informationen geplant. Insbesondere setzen die verschiedenen Kenntnisstände verschiedene Arten von Informationen voraus. Für das System sind drei große Informationsgruppen für Alarme und Warnungen, Advisories und Informationen zum Thema IT-Sicherheitsbewusstsein geplant. In der Kategorie Alarme und Warnungen sollen technische Warnungen und Bedrohungspegel für das Internet verbreitet werden.
Bei technischen Warnungen handelt es sich typischerweise um Warnungen zu einer aktuellen Bedrohung, einem Vorfall oder einer Schwachstelle, welche für die Betroffenen mit einem hohen Risiko verbunden sind. Bedrohungspegel aggregieren die aktuelle Bedrohungslage im Internet zu einer einzelnen Kennzahl die häufig in Form einer Ampel oder einem mehrfarbigen System einen Zustand darstellen soll.
Die zweite Kategorie von Advisories beherbergt relativ ähnliche Informationen wie Alarme und Warnungen jedoch sind diese viel detaillierter beschrieben und müssen nicht unmittelbar zur Verfügung stehen. In den Advisories sollen Informationen zu aktuellen Bedrohungen, technische Warnungen auch mit mittlerem oder kleinem Risiko und Informationen zum Thema IT-Sicherheitsbewusstsein für akute Vorfälle gegeben werden. Informationen zum Thema IT-Sicherheitsbewusstsein für akute Vorfälle beziehen sich auf gegenwärtige Risiken wofür kurzfristig das Bewusstsein geschärft werden muss. Beispielsweise kann dies der Fall sein, wenn eine Phishingwelle bestimmte Bankkunden als Ziel hat und diese nun besonders aufmerksam sein sollten.
Bei der letzten Kategorie handelt es sich um Informationen zum Thema IT-Sicherheitsbewusstsein. Diese Informationen sind häufig langlebiger und erfordern auch ein höheren Aufwand bei der Erstellung. Typischerweise handelt es sich hierbei um Best Practices, erzieherische Materialen, Checklisten, Wizards, andere Tests oder auch Guides und HowTo’s.
Beispielsweise werden hier Informationen zum Schutz des persönlichen Computers, den Umgang mit dem Internet für typische Anwendungen und generelle Gefahren vermittelt. Die Information wird dabei auf vielfältige Weise in Form von Videos, Bildern, Comics oder auch Spielen vermittelt.
Ansprechen der Zielgruppen
Die Zielgruppe der kleinen und mittleren Unternehmen besteht aus Arbeitnehmern und Arbeitgebern von kleinsten, kleinen und mittelgroßen Unternehmen, welche ebenfalls über diverse Stärken und Schwächen verfügen. Einer der Unterschiede zwischen den verschiedenen großen Unternehmen besteht außerdem im Bereich der Kompetenzen für IT-Sicherheit. In Abhängigkeit der Unternehmensgrößen bewegen sich diese zwischen einem nicht-existenten und guten Wissensstand. Beispielsweise haben Kleinstunternehmen typischerweise keinen Experten für IT oder IT-Sicherheit. Mit der Größe des Unternehmens steigt daher auch die Wahrscheinlichkeit des Vorhandenseins von Experten. Die größte und wichtigste Gruppe innerhalb der Unternehmen sind die Arbeitnehmer, da die meisten Verletzungen der Sicherheitsbestimmungen auf menschliche Fehler zurückzuführen sind. Die Stärken und Schwächen orientieren sich an denen der Bürger, jedoch sind die Auswirkungen wesentlich höher, was das Erhöhen von deren IT-Sicherheitsbewusstsein besonders wichtig macht.
Bisherige Ergebnisse
Eine Recherche in Hinblick auf aktuelle Best-Practices in Bezug auf Portale, welche ebenfalls ähnliche Informationen bieten wollen, wurde bereits abgeschlossen und die Anforderungen an den Nachrichtendienst wurden definiert. Des weiteren wurden verschiedene Kommunikationskanäle evaluiert, welche sich für den Transport der Informationen zu den jeweiligen Zielgruppen eignen. Hierbei wurden vielfältige Varianten wie TV, Radio, E-Mail, Twitter, SMS, soziale Netzwerke, Zeitungen, Web-Portale, Comics, Spiele, u.v.m hinsichtlich ihrer Eignung untersucht. Die gesammelten Ideen wurden in einem Workshop präsentiert, diskutiert und als mögliche Realisierung der Problemstellung beurteilt. Die nächsten Schritte zielen nun auf die Entwicklung des Protoypen, welcher anschließend bei den Projektpartnern in einer Test- und Evaluierungsphase geprüft wird.