Staatliche Unterstützung bei der Deradikalisierung von Mitarbeitern

12.03.2019

Der Schutz der Bevölkerung ist eine wesentliche Aufgabe des Staatsapparates. Dies inkludiert unter anderem das Hemmen und die Prävention radikaler Bestrebungen. Insbesondere seit den Anschlägen vom 11. September 2001 haben viele Behörden und Organisationen mit Sicherheitsaufgaben mehr Personal, Mittel und legislative Befugnisse erhalten. Dadurch sollen Gewalttaten und Terrorakte, die am Ende eines Radikalisierungsprozesses stehen können, verhindert werden. So ist es nicht nur wichtig auf Bedrohungen zu reagieren, sondern präventiv aktiv zu werden.

In diesem Zusammenhang scheint es sinnvoll, dass auch Unternehmen in ihrer Rolle als Arbeitgeber mit in die Prävention eingebunden werden. Vor allem Großunternehmen können hierbei ein hilfreicher Partner sein. Denn diese sind aufgrund ihrer großen Anzahl von Mitarbeitern ein Spiegelbild der Gesellschafft, wodurch sich radikalisierende Personen darunter befinden könnten. Dabei ist es für die folgende Betrachtung unerheblich, ob es sich um politischen, religiösen oder eine andere Form von Radikalisierung handelt.

Ein wesentlicher Punkt der Prävention ist die Früherkennung solcher Bestrebungen. Da sich die Mitarbeiter eine lange Zeit auf ihrer Arbeitsstelle aufhalten, kann abweichendes Verhalten durch die Kollegen festgestellt werden. Solch ein Deradikaliserungsansatz wird bereits bei der Früherkennung von radikalisierenden Schülern durch die Lehrer angewendet, um mit entsprechenden Maßnahmen entgegenzuwirken. Folglich kann das Unternehmen einen zivilgesellschaftlichen Beitrag zur Sicherheit Deutschlands leisten und das eigene Risiko der zahlreichen Folgen, wie Reputationsschaden, interpersonelle Gewalt oder Produktivitätssenkung, durch radikalisierte Mitarbeiter senken.

Infolge geeigneter präventiver und reaktiver Maßnahmen können Unternehmen dem Risiko Radikalisierung entgegenwirken. Präventiv eignet sich die Implementierung eines Bedrohungsmanagements. Konkretisiert sich jedoch der Verdacht der Radikalisierung, sollte sich an Beratungsstellen respektive einschlägige Behörden gewendet werden. Diese sind sowohl auf Bundesebene als auch auf Landesebene verfügbar. Im Folgenden wird eine Auswahl an hilfreichen Behörden vorgestellt.

Unterstützung durch das zuständige Landeskriminalamt

Das Landeskriminalamt (LKA) ist eine polizeiliche Organisation des jeweiligen Bundeslandes, welche üblicherweise dem Innenministerium nachgeordnet ist. Die ordinären Aufgaben eines LKA liegen im Bereich der Strafverfolgung und der Gefahrenabwehr. So ist das LKA auch für sicherheitsrelevante Vorfälle von Radikalisierung zuständig und stellt einen wichtigen Ansprechpartner in Fragen der Deradikalisierung des jeweiligen Landes dar. Zum Beispiel betreibt das Bayerische LKA ein „Kompetenzzentrum für Deradikalisierung“, an das sich Unternehmen wenden können. Dieses koordiniert Deradikalisierungsansätze, berät das Vorgehen bei konkreter Radikalisierung, vermittelt Ansprechpartner und unterstützt bei der Aus- und Fortbildung.

Da es sich beim LKA um eine polizeiliche Organisation handelt, ist zu beachten, dass diese gem. § 163 Abs.1 StPO dem Legalitätsprinzip unterliegt. Dieser Grundsatz im Strafverfahren verpflichtet, bei Kenntnis von einer (möglichen) Straftat, ein Ermittlungsverfahren einzuleiten.

Unterstützung durch die Inlandsnachrichtendienste

Eine weitere wichtige Anlaufstelle ist das Bundesamt für Verfassungsschutz (BfV), sowie das jeweilige zuständige Landesamt für Verfassungsschutz (LfV). Diese Institutionen dienen gemäß §1 Bundesverfassungsschutzgesetz „… dem Schutz der freiheitlichen demokratischen Grundordnung, des Bestandes und der Sicherheit des Bundes und der Länder.“. Dazu publizieren sie regelmäßig Informationsmaterial über Radikalisierung und stehen für Unternehmen als Ansprechpartner zur Verfügung. Im Falle konkreter Verdachtsmomente von radikalisierten Mitarbeitern kann sich an das vertrauliche Hinweistelefon „Anruf gegen Terror und Gewalt“, welches durch das BfV betrieben wird, gewendet werden.

Am Beispiel des LfV Hessen wird deutlich wie konkret die Kooperationen zwischen dem LfV und dem Unternehmen ist. So bietet es Unterstützung bei Aus- und Fortbildungsveranstaltungen zu extremistischen Phänomenbereichen, fallbezogene Beratung und beim Überprüfen von Informationsquellen, wie Büchern und Internetseiten, bei denen der Verdacht auf extremistische Inhalte besteht.

Unterstützung durch das Bundesamt für Migration und Flüchtlinge

Das Bundesamt für Migration und Flüchtlinge (BAMF) ist eine Bundesoberbehörde des Bundesministeriums des Innern und hat die Aufgaben Asylanträge durchzuführen sowie die Integration bundesweit zu fördern.

Deren Beratungsstelle „Radikalisierung“ bietet Beratung und Unterstützung beim Verdacht auf Radikalisierung an. Konkrete Unterstützungsleistungen für das Unternehmen sind die situative Einschätzung der Radikalisierung und das Anstoßen der Deradikalisierung. Zudem vermittelt das BAMF als Informationsplattform lokale Hilfsangebote, persönliche Beratung und Betreuung durch geeignete Stellen.

Unterstützung durch die Bundeszentrale für politische Bildung

Die Bundeszentrale für politische Bildung (BpB) ist eine Bundesanstalt des Bundesministeriums des Innern. Es hat unter anderem die Aufgaben das Verständnis für politische Sachverhalte zu fördern und die Festigung des demokratischen Bewusstseins. Abgezielt wird dabei im Wesentlichen auf das Hemmen radikaler Bestrebungen durch politische Bildungsarbeit. Um dies zu erreichen, pflegt das BpB eine bundesweite Übersicht über geeignete Anlaufstellen und ein Netzwerk über unabhängige Landeszentralen für politische Bildung. Zudem betreibt die BpB den Infodienst Radikalisierungsprävention. Dieser stellt Hintergrundinformationen und umfangreiche Arbeitsmaterialien mit Praxisbezug zur Verfügung. Das Unternehmen bekommt beim BpB somit Unterstützung durch phänomenspezifische Wissensauskunft und die Vermittlung spezialisierter lokaler Anlaufstellen.

Herausforderungen bei der Zusammenarbeit mit staatlichen Akteuren

Der Radikalisierungsprozess verläuft im Allgemeinen sukzessiv, sodass von Seiten des Unternehmens in Einzelfallbetrachtung entschieden werden muss, ob und zu welchem Zeitpunkt die Behörden über den Verdacht benachrichtigt werden. Die Zusammenarbeit bringt dabei verschiedene Herausforderungen mit sich. Zum einen stehen sich unterschiedliche Herangehensweisen und Vorstellungen zum Prozessablauf der Deradikalisierung gegenüber. Diese Diskrepanz ist unter anderem abhängig von der gegenseitigen Akzeptanz und Erfahrung im Umgang mit dem jeweilig anderen Akteur.

Zum anderen sind noch ungeklärte rechtliche Aspekte zu beachten. Unsicherheiten sind insbesondere im Bereich des Datenschutzes, wodurch das Recht auf informationelle Selbstbestimmung geschützt wird, vorhanden. Somit wurde im Jahr 2016 durch die Bundesregierung in ihrer „Strategie zur Extremismusprävention und Demokratieförderung“ beschlossen die rechtliche Basis der Arbeit in verschiedenen Bereichen zu verbessern, um die Handlungssicherheit auf behördlicher und unternehmerischer Seite zu stärken.

Zudem stellt sich auf Grund des Föderalismus bei Unternehmen mit länderübergreifenden Standorten häufig die Frage nach der entsprechenden Zuständigkeit der Landesbehörde sowie die Beachtung deren unterschiedlicher Gesetzgebungen und Kompetenzen.

Keep in Mind:

• Große Organisationen sind ein Spiegelbild der Gesellschaft, wodurch sich radikalisierende Personen darunter befinden könnten

• Durch präventive und reaktive Maßnahmen können Unternehmen dem Risiko Radikalisierung entgegenwirken

• Dabei bieten zahlreiche Behörden unterschiedliche Hilfestellungen an

• Mögliche Unterstützung sind das Bereitstellen von Informationsmaterial, Vermittlung von lokalen Hilfsangeboten, Aus- und Fortbildung sowie die fallbezogene Beratung

Quellen:

• ASW (2013): Islamistische Radikalisierung von Mitarbeitern. ASW Bundesverband – Allianz für Sicherheit in der Wirtschaft e.V. Online verfügbar unter https://asw-bundesverband.de/fileadmin/user_upload/leitfaden_-blatt/14_10_16_-_Leitfaden_-_Bedrohungsmanagement__neues_Design.pdf, zuletzt geprüft am 12.02.2019.

• Hoffmann, J. & Böckler, N. (2018). Von Hass erfüllt. ISBN 978-3-868-82691-3.

• Homepage von: BAMF, BpB, BfV, Hessisches LfV und Bayerischen LKA.

• Polizeiliche Kriminalprävention der Länder und des Bundes (2017): Radikalisierung erkennen und Anwerbung verhindern.
Online verfügbar unter https://www.polizei-beratung.de/in-dex.php?eID=dumpFile&t=f&f=2286&to-ken=62a9a0ee671f0af535e863d3ae914867acb7b41f, zuletzt geprüft am 12.02.2019.

Anmerkung Seitens der Privatimus GmbH: Dies ist ein Blogbeitrag von Christian Kluge.


Verhalten bei einem Angriff auf eine Yacht

15.02.2019

Trotz einer ausgiebigen Vorbereitung und sorgfältiger Verhaltensweise im Risikogebiet kann es zu einem Überfall auf eine Yacht kommen. Der Modus Operandi variiert sehr. So gibt es Angriffe während jeder Tageszeit, jedem Betriebszustand, mit und ohne Waffen sowie unterschiedlicher Motivation. Eins haben jedoch alle Gemeinsam: es ist für den Betroffenen ein bedrohliches und traumatisches Ereignis.

Um einen unmittelbar bevorstehenden Angriff abzuwehren, ist es wichtig diesen nicht nur frühestmöglich zu erkennen, sondern auch dessen Umstände zu wissen. Nur so kann mit Initiative dem Überfall entgegnet und der Konflikt gelenkt werden. Folglich hat permanente Wachsamkeit oberste Priorität.

Wird eine verdächtige Aktivität registriert, sollte nicht die gesamte Aufmerksamkeit darauf verweilen. Auch das restliche Umfeld ist im Blick zu halten, denn es besteht die Möglichkeit, dass zeitgleich von einer anderen Richtung ein weiterer Angriffsversuch durchgeführt wird.

Ist die Flucht, trotz Ausweichen und Höchstgeschwindigkeit, nicht möglich und es kommt zu einer Auseinandersetzung, sind zwei Ansätze von Verhaltensweisen denkbar: die aktive Kooperation oder die aktive Konfrontation. Welcher Ansatz verfolgt wird, ist abhängig von den persönlichen Präferenzen und dem Umstand des Angriffs (Anzahl der Boote und Angreifer, Bewaffnung, Umfeld etc.).

Je nachdem wie entschieden wird, hat die eigene Sicherheit und die der Crew stets oberste Priorität. Daher ist vom Vorteil, dass alle Crewmitglieder dieselben Verhaltensregeln kennen und beachten, denn auf der See ist man oftmals auf sich alleine gestellt. Auf Hilfe durch die lokalen Behörden, sofern diese überhaupt erreicht werden können, ist in vielen abgelegenen Orten kein Verlass.

Die Angreifer nutzen physische und psychische Gewalt, um die Kontrolle über das Schiff zu bekommen. Unter Gewaltandrohung und -anwendung geben sie der Crew Anweisungen, drohen, entziehen sie der Freiheit und verletzen sie körperlich. Dabei sind die ersten Minuten die gefährlichsten für die Crew. Denn hier ist die emotionale Anspannung auf beiden Seiten am labilsten. Dadurch können Übersprunghandlungen, wie z.B. spontane Aktivitäten, Lachen oder Weinen, mit unkontrollierbarem Ausgang hervorgerufen werden.

Zwei differierende Verhaltensweisen

Weist der Überfall eine hohe Intensität auf und die Angreifer haben eine klare Überlegenheit, ist eine aktive Kooperation denkbar. Hierbei wird kein offensichtlicher Widerstand geleistet und die Situationsbewältigung kann zum eigenen Vorteil genutzt werden.

Um den erregten Angreifer zu beruhigen und deeskalierend zu wirken, sollte, auch wenn es schwerfällt, die Höflichkeit gewahrt bleiben und der Gegenüber respektiert werden. Dazu gehört die Achtung der Kultur des Gegenübers und entsprechende Reaktion auf dessen Kommandos. Zudem sollte die Crew dicht zusammenbleiben und jede Bewegung kontrolliert ausführen.

Im Gegensatz zur Kooperation kennzeichnet sich die aktive Konfrontation durch ein energisches Abwehrverhalten aus. Dabei wird sich möglichst aggressiv den Angreifern entgegengestellt. So soll dieser durch das Aufzeigen von Waffen und lautstarker Ansprache eingeschüchtert werden. Auch Warnschüsse und das Verteilen der Crew auf der Yacht tragen zur Abwehr bei. Dabei ist in erster Linie nicht der Kampf, sondern die Vertreibung der Angreifer das Ziel.

Wird die Oberhand gewonnen, kann es zum Abbruch des Angriffs führen und erneut die Flucht ergriffen werden. Gelingt es nicht den Konflikt zu lenken, besteht jedoch die Gefahr einer Gewaltspirale, wodurch die Gegenseite zu mehr Gewalt motiviert wird, da sie weiterhin ihre Ziele durchzusetzen möchte.

Grundsätzliches Verhalten während eines Angriffs

Unabhängig von der gewählten Verhaltensweise sind einige Punkte zu beachten:

• Ruhe bewahren

• Internationales Notsignal “Mayday” über den UKW (engl. VHF) Kanal 16 absetzen

• Mit Höchstgeschwindigkeit und Ausweichmanövern die Flucht ergreifen

• Keine offensichtlichen Bild- und Videoaufnahme machen, Blitzlicht kann wie Mündungsfeuer einer Waffe wirken

• Informationen, wie Anzahl, Bewaffnung, physische Konstitution, emotionaler Zustand, Altersstruktur, Professionalisierung und Motivlage, über Angreifer sammeln, um zum einen über die nächsten Schritte vorbereitet zu sein, und zum anderen bei einer möglichen Strafverfolgung und der Prävention zu helfen

Verhalten bei Befreiung durch Einsatzkräfte

Eine Befreiung durch Einsatzkräfte ist eine extrem gefährliche Situation für alle Beteiligte. So kann beispielsweise die Crew als Druckmittel missbraucht werden, die Angreifer fürchten um ihr Leben und die Interventionskräfte sind der potenziellen Gegenwehr ausgesetzt. Sollte dieses Szenario eintreten, dann gilt:

• Den Anweisungen der Einsatzkräfte Folge leisten, auch wenn diese zunächst diffus erscheinen

• Es wird sehr laut und furchteinflößend werden (laute Ansprache, Geschrei, Mündungsknall, Irritationskörper)

• Bis die Yacht unter Kontrolle ist, zählt grundsätzlich jede Person als Verdächtiger und wird dementsprechend behandelt

• Auf den Boden legen und plötzliche, schnelle Bewegungen vermeiden

• Nichts in den Händen halten und Hände auf den Kopf legen als Zeichen der Unbewaffnung und für den Eigenschutz

• Fragen über Identität und Zustand müssen zügig beantwortet werden, um die Freund-Feinderkennung zu unterstützen

• Keine Bild- und Videoaufnahmen aufzeichnen

• Hinweise über relevante Informationen, z.B. versteckte Waffen/Personen, Verletzte, helfen den Einsatzkräften beim Vorgehen

Nach dem Angriff

Sobald die bedrohliche Situation überstanden ist, hat die Aufrechterhaltung der Schiffssicherheit und die Abwehr weiterer Gefahren oberste Priorität. Es sollte schnellst möglich ein sicherer Zielhafen angesteuert und bereits während der Fahrt mit der Auslandsvertretung und den örtlichen Behörden Kontakt aufgenommen werden. Gemeinsam können alle weiteren Schritte koordiniert werden. Für die Unterstützung der Strafverfolgung und der Prävention von Angriffen kann ein detaillierter Report über alle Umstände des Überfalls angefertigt werden.

Für die eigene Gesundheit ist eine medizinische Nachsorge wichtig. Neben offensichtlichen Verletzungen kann es durch längere Entführungen beispielsweise zur Mangelerscheinung im Vitamin- bzw. Mineralhaushalt führen, wodurch weitere längerfristige Folgen entstehen können. Zudem kann die Zuhilfenahme psychischer Nachbetreuung der Bewältigung dienen. Denn ein Angriff kann nicht nur zur Beeinträchtigung der körperlichen Unversehrtheit führen, sondern auch zur gefühlten Hilflosigkeit, Frustration, Angst und menschlicher Entwürdigung. Die nachfolgenden psychischen Folgen variieren dabei je nach dem situativen Erleben und der eigenen Kondition. Umso intensiver und anhaltender die Einflüsse waren, desto höher ist die Wahrscheinlichkeit psychische Folgen zu erleiden.

Keep in Mind

• Modus Operandi der Angriffe sind sehr verschiedenartig

• Durch Wachsamkeit ist eine frühestmögliche Erkennung eines Überfalls möglich

• Je nach Umstand des Angriffs ist eine koordinierte Verhaltensweise anzuwenden

• Aktive Kooperation dient, infolge klarer gegnerischer Überlegenheit, deeskalierend, da kein offensichtlicher Widerstand geleistet und bei der Situationsbewältigung mitgeholfen wird

• Aktive Konfrontation ist ein energisches Abwehrverhalten mit dem Ziel der Vertreibung und der Gefahr einer Gewaltspirale

• Den Anweisungen der Einsatzkräfte während einer Befreiung Folge leisten

• Nach dem Angriff sollten unmittelbare Gefahren beseitigt und ein sicherer Zielhafen angesteuert werden, um mit der Auslandsvertretung das weitere Vorgehen zu koordinieren

• Physische und psychische Nachsorge sind unabdingbar

Quelle:
Yacht 24/16 (2016). Abenteuer, aber sicher. ISSN 0043-9932.
Berswordt, F. (2018). The Complete Yacht Security Handbook: For skippers and crew. ISBN 978-1-472-95167-0.

Anmerkung Seitens der Privatimus GmbH: Dies ist ein Blogbeitrag von Christian Kluge.


Schluss mit der Cyber Panikmache! Lasst die Experten für Security ans Steuer.

28.01.2019

Rechtzeitig vor Beginn der diesjährigen globalen WEF Konferenz in Davos hat eben dieses World Economic Forum am 15. Januar 2019 den aktuelle Global Risk Report 2019 in seiner 14. Ausgabe veröffentlicht. Partner des WEF für diesen Report ist seit Jahren die Zurich Insurance. Diese Veröffentlichung ist eine Prozedur, die in jedem Januar stattfindet und den Reigen der Veröffentlichungen und Konferenzen einläutet, die sich entweder Sicherheit zum Thema machen oder es zumindest am Rande beleuchten.

Sicherheit bzw. Security ist präsent und nicht nur im digitalen Umfeld. Die 114 Seiten des Reports veranschaulichen, dass wir gelernt haben konventionellen Risiken mit einem standardisierten Risk Management Ansatz isoliert zu begegnen. Wenig Kompetenz ist jedoch vorhanden für den Umgang mit den immer schneller voranschreitenden Änderungen der voneinander abhängenden Systeme wie Organisationen, der Wirtschaft, der Gesellschaft(en) und der Umwelt. Auch sind es die geopolitischen Risiken die zu Völkerwanderungen führen und die westliche Gesellschaft, so wie wir sie kennen, nachhaltig herausfordern. Gleichzeitig kommt es zu Veränderungen der Arbeitswelt, die sogenannte Spaltung der Gesellschaft ist ein Thema. Das Grundbedürfnis für Sicherheit ist mit einem Male im Zentrum des persönlichen Interesses und auch Unternehmen bewegen sich zunehmend in einem Umfeld in dem sie die Sicherheitsrisiken nicht mehr überschauen.

Die Weltwirtschaftsführer kennen die Themen, sie diskutieren über Sicherheit auf den Podien. Sie werden auch durch Ereignisse und diese Risk Reports getrieben ihre Unternehmen sicherer zu machen und die Mitarbeiter und Werte zu schützen. Tatsächlich kann man davon ausgehen, dass die Wirtschaft auch in diesem Jahr wieder Millionen, wahrscheinlicher Milliarden von US Dollar, Euro usw. auf das Thema Cybersecurity werfen wird. Das beruhigt das Gewissen der Vorstände denn es wird „alles“ dafür getan das Unternehmen sicher zu machen. Zumindest hat man viel Geld in Sicherheit investiert.

Auch das ist eine Prozedur, wie sie in jedem Jahr abläuft und das schon seit Jahren mit steigender Tendenz. Es wird in Software und Technik investiert um die Computer und Firmennetze sicherer zu machen. Es werden Organisationen aus dem Boden gestampft mit scheinbar unbegrenzten Budget. So konnte man gerade dieser Tage nachlesen, dass das Top 4 Wirtschaftsberatungsunternehmen PWC (Price Waterhouse Coopers) in Detroit, USA ein IT Security Kompetenz Center schafft und dafür 125 Spezialisten einstellen wird. Offensichtlich erkennt PWC auch den hohen Bedarf an Sicherheitsberatung und will sich eine dicke Scheibe vom Kuchen abschneiden.

Selbst Behörden spielen mit Angstszenarien mit hinein wie auch der Leiter der Schweizer Finanzaufsicht FINMA, der soeben ein staatliches Cyberabwehrzentrum fordert. Nicht das etwas passiert wäre, was er auch in einem Interview zugibt. Er begründet es damit, dass die Gefahren zunehmen und die Schweiz bisher einfach nur Glück gehabt habe.

Wenn die Unternehmen dann zur Tat schreiten und das Thema anpacken, dann geschieht das häufig ohne sich vorher mit den Experten für Sicherheit zu beraten. Man holt sich das Wissen aus der Zeitung oder von IT Spezialisten. Obwohl es das gefühlt teuerste Sicherheitsproblem ist, mit dem man seit langem zu tun bekam, holen weder die Vorstände noch die Aufsichtsräte sich den Rat von ihren erfahrenen Sicherheitsmanagern, Sicherheitsbeauftragten, Sicherheitsreferenten oder Chief Security Officern, denen sie Jahrzehnte lang vertraut haben und die das eigene Unternehmen bisher vor allen Angriffen geschützt haben. Es gab und gibt Bedrohungen gegen Leib und Leben der Mitarbeiter wie auch der Vorstände. Es gab und gibt Bedrohungen gegen die materiellen Werte innerhalb der gesamten Supply Chain. Es gab und gibt Bedrohungen durch Unruhen und Streiks, auf Reisen, durch Anschläge oder Entführungen. Das alles ist aktuell und trotzdem drängen diese Sicherheitsthemen in den Hintergrund denn die gefühlte Bedrohung hat für die Vorstände ein neues Gesicht bekommen und nennt sich Cyber. Jeden Tag liest der Vorstand davon in der Zeitung, hört und sieht davon in Funk und Fernsehen und sogar in der Email findet er die eine oder andere Nachricht, die tatsächlich einen Trojaner enthält. Und plötzlich steht dieser Trojaner mitten im Büro des Vorstandes, des CEO und keiner weiß wie er dorthin gekommen ist. Jetzt muss es die IT richten. Ein Technology Experte muss ran und dieses völlig neue Thema von Bedrohungen und Kriminalität bekämpfen. Dafür wird noch mehr Geld lockergemacht und immer mehr Berater springen auf den Zug und verkaufen Sicherheitsleistungen, siehe oben PriceWaterhouseCoopers. Nur leider wird dabei nicht erkannt, dass die interne IT Organisation in den letzten Jahren auch nicht geschlafen hat. Es gibt Firewalls und Suchprogramme, die den einkommenden Mail Verkehr filtern, anschauen, prüfen, monitoren. Es gibt Logins und Passworte und eine Vielzahl von internen Vorschriften. Und trotzdem steht der Trojaner mitten im Büro. Wer hat ihn eingelassen? Ja, es war der CEO der dieses E-Mail und diese Anlage geöffnet hat. Wo war in diesem Moment die IT Security und die bereits investierten Millionen?

Wird jetzt endlich einmal der interne Sicherheitsexperte gefragt oder investieren wir einfach weiter in die Technologie? Wenn weiter investieren, warum? Es hat bisher wenig geholfen und es gibt keinen Grund zu glauben, dass es durch mehr IT Lösungen sicherer wird.

Die vorgenannten Sicherheitsmanager, teils von den Polizeibehörden oder von der Armee in die Wirtschaft gekommen, mit Bachelor oder Master, in dem Themenbereich Security gewachsen, geschult, erfahren, untereinander vernetzt und gewohnt ungewöhnliche Situationen, Krisen durchzustehen, diese Sicherheitsmanager stehen staunend daneben und erleben, wie sich Unternehmen den Spezialisten für IT zuwenden, sich vereinnahmen lassen und gleichzeitig die etablierten Sicherheitsstrukturen vernachlässigen, diesen die Ressourcen streichen und den Schutz einem Technologen überlassen.

Das Thema Sicherheit ist nicht neu, das Böse hat allerdings ein neues Gesicht dazu bekommen, das Internet.
Sie werden sich vielleicht fragen was so falsch ist wenn in die IT Security investiert wird. Schliesslich ist Cyber die Bedrohung des 21. Jahrhunderts. Ein Problem durch die Technik, ein Problem verursacht durch die IT wird doch am besten durch Technologie zu bekämpfen sein. Ist das denn wirklich so? Ist überhaupt die Technik das Problem? Benötigt nicht jedes Werkzeug den Menschen der es gebraucht oder missbraucht?

Cyberthreat, die Bedrohung durch die IT Welt ist für die meisten Menschen nicht fassbar und findet in einer Wolke statt. Man kann diese Bedrohung nicht sehen aber man erfährt aus den Medien und von den Beratern, dass sie real sein soll. Selbst wenn dem so wäre, so steht doch hinter der Cyberdrohung immer der Mensch mit seinen eher niederen Motiven. Die Mitarbeiter in den Sicherheitsabteilungen der Unternehmen kennen diesen Typ Mensch schon immer. Es ist der Kriminelle, der Betrüger, der sich zu bereichern sucht sobald er eine Gelegenheit erhält. Bisher hebelte er mit dem Schraubendreher die Tür auf, jetzt nutzten die Kriminellen auch den Computer als Tatwerkzeug.

Natürlich sollte es nicht zu einfach sein in Firmennetze zu gelangen und es braucht dafür die Technologen um den Computernetzwerken Schutz zu geben wie z.B. Firewalls, Logins, Monitoring, Passworte. Hier trifft Technologie auch schon auf das größte Sicherheitsrisiko, den Menschen, den CEO (ja auch der ist ein Mensch) der auf den Mail Anhang klickt und der Trojaner steht im Raum.
Solange wir Menschen nicht, weder Vorstand noch die Mitarbeiter/Innen mitmachen dann bringt die Firewall genauso viel Sicherheit wie eine Haustür, die nicht mit dem Schlüssel abgeschlossen wird. Die Beweggründe der Hacker und auch der Mitarbeiter/Innen sind unverändert. Der Hacker will sich bereichern oder zerstören. Die Mitarbeiter/Innen wollen ihre Arbeit machen, kommen dabei gerne schnell ans Ziel und vertrauen dabei grundsätzlich erstmal jedem und auch darauf, dass sie zumindest am Arbeitsplatz geschützt werden.

Tatsächlich sind Schutz und Sicherheit immer fragiler weil inzwischen die Mehrheit, die Entscheider in den Unternehmen den Hacker als Bedrohung empfindet und alle Ressourcen auf den Kampf gegen diesen virtuellen Feind geworfen werden. Investitionen in die Sicherheit verschieben sich vom Schutz der Menschen, vom Schutz der Gebäude, vom Schutz des Eigentums hin zu Softwareprodukten und Technikern.

Die Erfahrung und das persönliche Erleben mit der wachsenden Bedrohung im Zusammenhang mit der IT Welt, mit Email und dem Internet und der gleichzeitigen Ignorierung anderer Sicherheitsrisiken durch die Wirtschaftsführer zeigt, dass es höchste Zeit ist das Bild der Sicherheit wieder ins rechte Licht zu rücken.

Nur wenn die Unternehmensleitung versteht welchen Mehrwert eine professionell aufgesetzte Sicherheitsabteilung bringt, dann wird das Unternehmen auch bereit sein darin zu investieren und lernen wieder darauf zu vertrauen, dass der Chef der Sicherheit das Thema im Visier hat und ganzheitlich angeht. Und das bedeutet, dass ein Leiter Unternehmensschutz, dass ein CSO alle Themenbereiche der Security und dazu gehört auch Cybersecurity, zentral verantwortet und über alle Security Ressourcen verfügt und diese einsetzen kann um das Unternehmen als Ganzes zu schützen.

Lasst uns das Sicherheitsjahr 2019 mit dem Ziel beginnen die Kontrolle, die Führung in der Security zurück zu holen.

Blogbeitrag von Thomas K. Tidiks, Group Chief Security Officer (bis 2018 Zurich Insurance Company)


Chancen für vermögende Personen und Familien (HNWI´s / UHNWI´s) im Zeitalter der neuen EU-DSGVO

27.11.2018

Die neue EU-DSGVO (Datenschutzgrundverordnung) bietet im Zusammenhang mit einem anlassbezogenen oder ganzheitlich Online Risk Management neue Ansätze, um die Privatsphäre im Internet bzw. in Onlinemedien (beispielsweise im Zusammenhang mit Domainregistrierungen, Parteispendenlisten, Vermögenden- und Reichenlisten) bestmöglich zu schützen.

Aus der Praxis:

Domaininhaberdaten sind nunmehr nicht so ohne Weiteres online abrufbar … das war bis vor Kurzem noch ganz anders und so manchem Sicherheitsmanager ein Dorn im Auge.

Man hat als Sicherheitsmanager mit der neuen DSGVO nun auch ein zusätzliches Druckmittel an der Hand, um etwaige ungewünschte kritische Inhalte von Internetseiten, Blogs und Foren löschen zu lassen. Das „Recht auf Vergessen“ und die damit verbundene Löschung von (alten) Datensätzen unterstützt Sicherheitsverantwortliche im Rahmen der ganzheitlichen Betreuung von vermögenden Personen.

Inwieweit die Löschung von Daten auf Parteispendenlisten und sogenannten Vermögenden- und Reichenlisten durch die DSGVO begünstigt wird, muss die Praxis in den kommenden Monaten und Jahren zeigen. Es ist gut möglich, dass es dazu in absehbarer Zeit einen Präzedenzfall vor einem Verwaltungsgericht geben wird, um in der Sache abschließend zu urteilen, ob die Persönlichkeitsrechte (auch i.Z.m. dem Schutz der Privatsphäre und Ähnlichem) Vorrang vor dem Auskunfts- und Informationsrecht der Öffentlichkeit haben.

Ähnlich sieht es im Zusammenhang mit dem „Recht auf behördliche Auskunftssperre“ für vermögende Familien und Personen aus. In der Vergangenheit haben Behörden etwaige Anträge auf Auskunftssperre häufig abgelehnt, wenn die Anschriften der betreffenden Personen anderweitig (einfach und schnell) im Internet zu recherchieren waren. Dies kann und wird sich nun zukünftig nach unserer Einschätzung ändern, wenn man als Sicherheitsmanager die richtigen Schritte und Maßnahmen vor dem Antrag auf behördliche Auskunftssperre erledigt hat.

Soviel in Kürze.

Gern erstellen wir Ihnen ein individuelles Schutzkonzept unter Berücksichtigung der DSGVO Besonderheit und unserer Best Practice Ansätze.


Schutz Ihrer Privatsphäre: Unsere Messenger – Empfehlungen

22.10.2018

Wir empfehlen zum verschlüsselten und gesicherten Austausch von Textnachrichten und zum Telefonieren derzeit die beiden Messenger Anbieter: THREEMA und WIRE

Näheres finden Sie nachfolgend:

Threema

Der verschlüsselte Messenger Threema ist eine Entwicklung der Schweizer Threema GmbH und kam 2012 auf den Markt. Die App-Server befinden sich nach eigenen Angaben ausschließlich in der Schweiz. Aktuell hat der Dienst über 4,5 Millionen Nutzerinnen und Nutzer. Die App gibt es für Android und iOS. Sie kostet 2,99 Euro und ist über die Firmen-Webseite und über die gängigen App-Stores erhältlich.

Threema ist besonders sparsam, was das Sammeln von Metadaten betrifft (mehr dazu in diesem Blogartikel). Zur Identifizierung ihrer Nutzer erstellt die App beim ersten Start eine ID. Die App erfordert weder eine Telefonnummer noch den Zugriff auf das Adressbuch.

Die App fragt zwar beim ersten Start, ob das eigene Adressbuch mit den Threema-Servern abgeglichen werden soll, um andere Nutzer/innen zu finden. Stimmt man zu, wird jedoch anonymisiert abgeglichen und anschließend wieder gelöscht.

Kontakte werden in drei Sicherheitsstufen dargestellt. Die sicherste Stufe wird nur erreicht, wenn die beiden Gesprächspartner ihre Identitäten über das Scannen eines QR-Codes bestätigt haben.

Die App und einzelne Chats lassen sich mit einem Passwort schützen. Standardmäßig nutzt die App die Google Play-Dienste, sie funktioniert aber auch ganz ohne Google.

Seit September 2017 ist über die App auch verschlüsselte Internet-Telefonie möglich. Auch die Telefonie läuft über die Threema-ID und kommt ohne die Telefonnummer der Nutzer/innen aus.

Threema ist nicht quelloffen, dadurch ist eine unabhängige Überprüfung der Sicherheit des Programms nicht möglich. Allerdings wurde Threema im Herbst 2015 einem Sicherheits-Audit der IT-Firma Cnlab Security AG unterzogen. Die Prüfer kamen zu dem Ergebnis, dass die Ende-zu-Ende-Verschlüsselung keine Schwächen aufweist.

Wer seine Threema-Inhalte von einem Gerät auf ein anderes überspielen will, sollte sowohl ein Backup seiner Threema-ID und als auch ein Backup seiner Daten erstellen.

Das Backup der ID dient dazu, die in der App genutzten Kontakte und Mitgliedschaften in Gruppen zu erhalten. Eine Anleitung liefert Threema hier. Nachdem Sie die ID überspielt haben, sollten Sie sie vom alten Gerät entfernen (Anleitung hier).

Ein Daten-Backup erstellt man bei Threema lokal über das eigene Smartphone oder Tablet. Alle App-Daten werden in einen verschlüsselten Dateiordner auf dem eigenen Gerät abgelegt, anschließend muss man diesen Ordner auf das neue Gerät überspielen. Eine Anleitung gibt es hier.

Vor- und Nachteile von Theresa:

Positiv:

• Standardmäßige Ende-zu-Ende-Verschlüsselung für Chats, Gruppen-Chats und Audio-Telefonie
• Desktop-Version
• Verschlüsselte lokale Backups
• Ohne Telefonnummer nutzbar
• Speichert keine Metadaten und Kontakte
• Ohne Google-Konto nutzbar

Negativ:

• Nicht Open Source
• Kostenpflichtig
• Keine Video-Telefonie
• Kein Auto-Zerstörungs-Timer für Nachrichten

Wire

Wire ist der Newcomer unter den verschlüsselten Messengern – es gibt ihn erst seit 2014. Betreiberin ist die Wire Swiss GmbH. Das Motto von Wire: Genauso stylish wie WhatsApp, aber gleichzeitig so privat wie Signal. Wire gibt es für Android und iOS sowie für den Desktop von Windows- Apple- und Linux-Rechnern. Von den drei Gründern gehören zwei zum Skype-Gründungsteam. Das Geld für die Entwicklung stammt von Risikokapitalgebern. Seit Oktober 2017 ist eine erweiterte, kostenpflichtige Version für den Business-Bereich verfügbar, über die sich das Unternehmen finanziert.

Programmiert wird der Messenger in Berlin, aber das Unternehmen hat seinen Hauptsitz in der Schweiz und fällt damit unter das eidgenössische Datenschutzrecht. Nach eigenen Angaben wurde die kostenlose App rund fünf Millionen mal heruntergeladen (Stand August 2018).

Die Wire-App können Sie für Android aus Googles Play-Store oder für iOS aus dem App-Store laden. Wire verschlüsselt Chats, Telefonie und Video-Telefonie standardmäßig Ende-zu-Ende. Zusätzlich gibt es viele nette Extras, so etwa die Möglichkeit, Fotos vor dem Versand zu bemalen, Bilder zu zeichnen, Audioaufnahmen mit Filtern zu bearbeiten oder den eigenen Standort zu senden.

Sogar Telefonkonferenzen mit bis zu zehn Personen sollen machbar sein, einschließlich Screen-Sharing, etwa, um Präsentationen zu zeigen Besonders praktisch: Nachrichten können mit einem Verfallsdatum versehen und einzeln nachträglich gelöscht werden. Seit April 2018 können per Web-Link auch Gesprächsteilnehmer zu Diskussionen hinzugefügt werden, die die Wire-App selbst nicht installiert haben.

Der Programmcode der Wire-App ist für jeden zugänglich (Open Source). Außerdem hat Wire seine Produkte bereits zweimal durch unabhängige Experten von Kudelski Security und X41 D-Sec untersuchen lassen. Die Ergebnisse beider Sicherheits-audits waren positiv.

Wire fragt beim Einrichten, ob das Adressbuch abgeglichen werden soll, um Kontakte mit Wire-Konto zu finden. Stimmt man zu, werden diese anonymisiert (gehasht) auf wires Server geladen und dort abgeglichen. Wire versichert, diese Daten nicht zu verknüpfen, um Beziehungsnetzwerke zu rekonstruieren.

Kontakte kann man auch manuell über den Wire-Nutzernamen oder die Wire-Nutzerkennung (@Name) suchen und hinzufügen. Für die Nutzung ist keine Telefonnummer nötig. Man kann sich auch mit einer E-Mail-Adresse bei Wire anmelden.

Wire nutzt standardmäßig die Google-Play-Dienste – wie die meisten anderen Messenger auch. Anders als an manchen Stellen verbreitet, gibt es derzeit keine Wire-Version, in der keine Elemente von Google enthalten sind. Die App hat aber einen „Rückfallmechanismus“. Das heißt, wenn sie auf einem Gerät läuft, auf dem keine Google-Dienste verfügbar sind, funktioniert sie trotzdem.

Aus diesem Grund ist sie aber nicht im F-Droid-Store erhältlich, in dem nur Apps zugelassen sind, die keinerlei proprietäre Elemente beinhalten. Man kann die App aber als .apk-Datei von der Wire-Webseite laden.

Wire erfasst nur sehr wenige Metadaten und speichern Chats maximal 30 Tage auf den eigenen Servern. Protokolldaten von Anrufen, also wer wann mit wem telefoniert, werden nicht erfasst.

Wer seine Chat-Verläufe sichern will, oder auf ein neues Gerät umzieht, muss manuell ein Backup erstellen. Wire weist ausdrücklich darauf hin, dass die Backup-Datei nicht mit der Ende-zu-Ende-Verschlüsselung geschützt ist und daher an einem sicheren Ort gespeichert werden soll. Bei iOS-Geräten ist die Backup-Datei dann zumindest noch mit einem Passwort verschlüsselt, das man selber setzt.

Bei Android ist die Backup-Datei überhaupt nicht verschlüsselt, wie Wire auf Nachfrage bestätigte. Ein Backup kann man in seinem Benutzer-Konto wiederherstellen, wenn man sich einmal ausloggt und dann wieder einloggt. Eine Anleitung gibt es hier.

Vor- und Nachteile von Wire

Positiv:

• Standardmäßige Ende-zu-Ende-Verschlüsselung für Chats, Gruppen-Chats, Video- und Audio-Telefonie
• Desktop-Version
• Ohne Telefonnummer nutzbar
• Benötigt keinen Zugriff auf Kontakte
• Speichert wenige Metadaten
• Ohne Google-Konto nutzbar
• Auto-Zerstörungs-Timer für Nachrichten und nachträgliches Löschen
• Verschlüsseltes lokales Backup (nur iOS)
• Offener Quellcode

Negativ

• Lokales Backup nicht verschlüsselt (nur Android)

Quelle: https://mobilsicher.de


favicon-196×196