FISHA
archiv_neu3
Abgeschlossene Forschungsprojekte

FISHA – Framework for Information Sharing and Alerting

Verteiltes europäisches Informationsnetzwerk für Bürger und kleine und mittlere Unternehmen (KMUs) zum Austausch von IT-Sicherheitsinformationen und Meldungen

Motivation

Das Internet stellt seit Jahren eine wichtige Ressource für Bürger und kleine und mittlere Unternehmen (KMUs) dar. Für Bürger ist es eine Hilfe im Alltag, die es ermöglicht, typische Aufgaben wie Behördengänge, Online-Shopping, Kommunikation oder den Abruf von Informationen zu erledigen. Für kleine und mittlere Unternehmen ist es ein wichtiges Mittel zur Kommunikation und Abwicklung von Geschäftsprozessen. Bürger und KMUs bilden außerdem den Großteil der europäischen Bevölkerung und sind deswegen die wichtigste am Internet partizipierende Instanz. Aus Sicht der europäischen Agentur für Netz- und Informationssicherheit (ENISA) ist es daher eine wichtige Aufgabe, das Bewusstsein dieser Gruppe für den Umgang mit dem Internet zu schärfen. Hierfür ist es nötig, eine zielgruppengerichtete Kommunikation zu etablieren, welche stetig über neue Bedrohungen berichtet und Informationsmaterial zur sicheren Nutzung des Internets anbietet. An dieser Stelle soll das FISHA-Projekt ansetzen, welches auf Basis einer ENISA-Studie einen Prototypen für ein Informationsnetzwerk entwickeln soll.
Das Institut für Internet-Sicherheit unterstützt das Projekt dabei als Partner mit seinen Erfahrungen zur Sensibilierung von Internetnutzern und legt ein besonderes Augenmerk auf die Etablierung einer effektiven Kommunikation für Bürger und KMUs.

Das FISHA-Projekt

Im Mittelpunkt des seit 2009 von der Europäischen Kommission geförderten, zweijährigen Projektes FISHA (Framework for Information SHaring and Alerting – http://www.fisha-project.eu), stehen die Bürger sowie die kleinen und mittleren Unternehmen, welche den Großteil der europäischen Bevölkerung bilden. Es ist von besonderem Interesse, diese Gruppen über neue Bedrohungen und neues Informationsmaterial zum Bereich IT-Sicherheit zu informieren. Ziel des FISHA-Projektes ist es daher, basierend auf der EISAS-Studie der ENISA, einer Machbarkeitsstudie zu einem europäischen Nachrichtendienst für IT-Sicherheit einen Prototypen zu entwickeln. Besonders wichtig ist es, dabei die Zielgruppen mit den für sie relevanten Informationen zu erreichen und diese über einen passenden Informationskanal zuzustellen. Insbesondere Bürger haben verschiedene Vorlieben und sollen daher entsprechende Kommunikationswege zur Verfügung gestellt bekommen. Zudem herrscht in den Gruppen ein ungleiches Verhältnis in Bezug auf das Vorhandensein eines IT-Sicherheitsbewusstseins, weswegen es wichtig ist, Informationen zuzustellen, die deren Kenntnisstand nicht überfordern.

Bereitgestellte Informationen

Für den europäischen Nachrichtendienst für IT-Sicherheit ist ein reichhaltiges Angebot an sicherheitsbezogenen Meldungen und Informationen geplant. Insbesondere setzen die verschiedenen Kenntnisstände verschiedene Arten von Informationen voraus. Für das System sind drei große Informationsgruppen für Alarme und Warnungen, Advisories und Informationen zum Thema IT-Sicherheitsbewusstsein geplant. In der Kategorie Alarme und Warnungen sollen technische Warnungen und Bedrohungspegel für das Internet verbreitet werden.
Bei technischen Warnungen handelt es sich typischerweise um Warnungen zu einer aktuellen Bedrohung, einem Vorfall oder einer Schwachstelle, welche für die Betroffenen mit einem hohen Risiko verbunden sind. Bedrohungspegel aggregieren die aktuelle Bedrohungslage im Internet zu einer einzelnen Kennzahl die häufig in Form einer Ampel oder einem mehrfarbigen System einen Zustand darstellen soll.
Die zweite Kategorie von Advisories beherbergt relativ ähnliche Informationen wie Alarme und Warnungen jedoch sind diese viel detaillierter beschrieben und müssen nicht unmittelbar zur Verfügung stehen. In den Advisories sollen Informationen zu aktuellen Bedrohungen, technische Warnungen auch mit mittlerem oder kleinem Risiko und Informationen zum Thema IT-Sicherheitsbewusstsein für akute Vorfälle gegeben werden. Informationen zum Thema IT-Sicherheitsbewusstsein für akute Vorfälle beziehen sich auf gegenwärtige Risiken wofür kurzfristig das Bewusstsein geschärft werden muss. Beispielsweise kann dies der Fall sein, wenn eine Phishingwelle bestimmte Bankkunden als Ziel hat und diese nun besonders aufmerksam sein sollten.
Bei der letzten Kategorie handelt es sich um Informationen zum Thema IT-Sicherheitsbewusstsein. Diese Informationen sind häufig langlebiger und erfordern auch ein höheren Aufwand bei der Erstellung. Typischerweise handelt es sich hierbei um Best Practices, erzieherische Materialen, Checklisten, Wizards, andere Tests oder auch Guides und HowTo’s.
Beispielsweise werden hier Informationen zum Schutz des persönlichen Computers, den Umgang mit dem Internet für typische Anwendungen und generelle Gefahren vermittelt. Die Information wird dabei auf vielfältige Weise in Form von Videos, Bildern, Comics oder auch Spielen vermittelt.

Ansprechen der Zielgruppen

Bei den Zielgruppen die von dem Nachrichtendienst angesprochen werden sollen, handelt es sich um Bürger und kleine und mittlere Unternehmen. Um zu Verstehen wie diese Zielgruppen am besten erreicht werden können, müssen die Stärken und Schwächen dieser Gruppen identifiziert werden. Die Kommunikationskanäle und Informationen müssen daher die Stärken und Schwächen der Zielgruppen berücksichtigen. Beispielsweise nutzen Bürger das Internet aus persönlichen Gründen und liefern ein breites Alterspektrum. Kinder und Jugendliche die das Internet nutzen sind typischerweise zwischen sieben und fünfzehn Jahren alt und mit der Technologie aufgewachsen. Deren Wissensstand hängt daher vom Grad der Infrastruktur im Heimatland ab. Die Stärke dieser Gruppe ist, dass sie über eine hohe Lernkapazität verfügen und offen gegenüber neuen Technologien sind.
Die Zielgruppe der kleinen und mittleren Unternehmen besteht aus Arbeitnehmern und Arbeitgebern von kleinsten, kleinen und mittelgroßen Unternehmen, welche ebenfalls über diverse Stärken und Schwächen verfügen. Einer der Unterschiede zwischen den verschiedenen großen Unternehmen besteht außerdem im Bereich der Kompetenzen für IT-Sicherheit. In Abhängigkeit der Unternehmensgrößen bewegen sich diese zwischen einem nicht-existenten und guten Wissensstand. Beispielsweise haben Kleinstunternehmen typischerweise keinen Experten für IT oder IT-Sicherheit. Mit der Größe des Unternehmens steigt daher auch die Wahrscheinlichkeit des Vorhandenseins von Experten. Die größte und wichtigste Gruppe innerhalb der Unternehmen sind die Arbeitnehmer, da die meisten Verletzungen der Sicherheitsbestimmungen auf menschliche Fehler zurückzuführen sind. Die Stärken und Schwächen orientieren sich an denen der Bürger, jedoch sind die Auswirkungen wesentlich höher, was das Erhöhen von deren IT-Sicherheitsbewusstsein besonders wichtig macht.

Bisherige Ergebnisse

Eine Recherche in Hinblick auf aktuelle Best-Practices in Bezug auf Portale, welche ebenfalls ähnliche Informationen bieten wollen, wurde bereits abgeschlossen und die Anforderungen an den Nachrichtendienst wurden definiert. Des weiteren wurden verschiedene Kommunikationskanäle evaluiert, welche sich für den Transport der Informationen zu den jeweiligen Zielgruppen eignen. Hierbei wurden vielfältige Varianten wie TV, Radio, E-Mail, Twitter, SMS, soziale Netzwerke, Zeitungen, Web-Portale, Comics, Spiele, u.v.m hinsichtlich ihrer Eignung untersucht. Die gesammelten Ideen wurden in einem Workshop präsentiert, diskutiert und als mögliche Realisierung der Problemstellung beurteilt. Die nächsten Schritte zielen nun auf die Entwicklung des Protoypen, welcher anschließend bei den Projektpartnern in einer Test- und Evaluierungsphase geprüft wird.

Konsortium

  • if(is)
  • NASK / CERT Polska
  • PTA CERT-Hungary

Projekthomepage: http://www.fisha-project.eu/