Usertraining Phishingmails

[Maniska]

Hallo zusammen,

ich bin letzte Woche über ein interessantes Programm gestolpert (ich nenne hier erst mal keine Namen) und wollte wissen wie ihr das arbeitsrechtlich beurteilen würdet:

Diese Suite stellt vereinfacht gesagt eine Möglichkeit dar, „sichere Phishingmails“ zu verschicken und die User so für dieses Thema zu sensibilisieren. Also aus Sicht der IT also potentiell sehr nützlich.

Wie schaut das  aus Datenschutzsicht aus?

• Die ganze Geschichte gibt es nicht onPrem, wird (bei diesem Programm) in der Amazon Cloud gehostet
• ADV Vertrag mit dem Hersteller gibt es, da stehen auch alle relevanten Dinge (inkl. Verweis auf Amazon als Hoster) drin.
• Das Tool ist AD integriert, man kann aber auch händisch Kontakte hinzufügen

Man kann verschiedene Testszenarien (Abgreifen von Zugangsdaten, gefakte Bewerberlinks, "Du hast Pr0n geschaut und wir haben dich gefilmt"...) über einen definierten Zeitraum (damit nicht die komplette Abteilung die Mail zeitgleich) bekommt für bestimmte Nutzergruppen definieren. Jeder bekommt einen personalisierten Link, und "gewinnt" eine Minischulung mit Multiple Choice Test am Ende. Spaßfaktor für die IT, wenn die Mail weitergeleitet wird und der neue Empfänger klickt, bekommt der ursprüngliche User die Schulung :) .

Im Webportal kann man einsehen,

• wie viele Mails des jeweiligen Testszenarios schon verschickt wurden (unbedenklich*)
• wie viele User (unbedenklich*) und wer (fraglich*) reingefallen ist
• wer von denen die darauf reingefallen sind das Training absolviert und bestanden hat (fraglich*)

Im Hinblick auf die Auswertungen bin ich mir unsicher, da ich nicht weiß ob ich meine User im Vorfeld informieren müsste dass wir so etwas machen (was den Sinn eines solchen Trainings m.E. verfälscht) oder ggf. deren Einwilligung bräuchte.

Laut unsrem Datenfuzzi besteht aus Datenschutzsicht erst mal keine Bedenken, allerdings ggf. bei den Auswertung auf MA-Ebene. Läuft so etwas schon unter MA-Überwachung? Ein Betriebsrat muss wohl entweder informiert werden oder sogar zustimmen, aber wir haben keinen... Also habe ich auch niemanden den ich in der Hinsicht fragen kann.

Sicherheitstechnisch ist das meiner Meinung nach ab einem gewissen Punkt notwendig, da es "unmöglich" ist, jede einzelne Phishingmail abzufangen bevor sie zugestellt wird. Zumindest nicht dann, wenn der Mailserver online bleiben soll. Daher würde ich lieber auf Schulung setzen als mich nur auf Technik zu verlassen.

[RipperFox]

Im Gegensatz zu z.B. Testkäufen im Supermarkt wäre das wohl schon eine "technische Einrichtung" und hätte ein BR ein somit ein Mittspracherecht lt.   Betriebsverfassungsgesetz § 87 Mitbestimmungsrechte Satz 6 . 

Schulung und Aufklärung halte ich generell für sinnvoll - aber warum muss man dazu prüfen, ob ein Anwender auf eine bestimmte Art von Mail hereinfällt?

[ErB777]

vor 3 Stunden schrieb Maniska:

Wie schaut das  aus Datenschutzsicht aus?

 

Im Webportal kann man einsehen,

• wie viele Mails des jeweiligen Testszenarios schon verschickt wurden (unbedenklich*)
• wie viele User (unbedenklich*) und wer (fraglich*) reingefallen ist
• wer von denen die darauf reingefallen sind das Training absolviert und bestanden hat (fraglich*)

Im Hinblick auf die Auswertungen bin ich mir unsicher, da ich nicht weiß ob ich meine User im Vorfeld informieren müsste dass wir so etwas machen (was den Sinn eines solchen Trainings m.E. verfälscht) oder ggf. deren Einwilligung bräuchte.

Laut unsrem Datenfuzzi besteht aus Datenschutzsicht erst mal keine Bedenken, allerdings ggf. bei den Auswertung auf MA-Ebene. Läuft so etwas schon unter MA-Überwachung? Ein Betriebsrat muss wohl entweder informiert werden oder sogar zustimmen

Also grundsätzlich gilt mit Datenschutz, dass die betroffene Person/Gruppe betrachtet wird und aus der Sicht des "Opfers" argumentiert wird, ob solche Aktionen datenschutzkonform sind.

Man müsste mal genauer wissen, was für Daten erfasst und gespeichert werden. Abgesehen vom "vollständigen Namen":

• welche Daten können vom Programm noch erfasst werden?
• Wo werden die Daten gespeichert? (Cloud -> No Go! Deutschland, USA oder woanders???)
• Ist das Transportweg zur Cloud verschlüsselt? (-> MotM Angriff, ...)
• Was passiert mit "abgegriffenen Zugangsdaten"?
• Wie lange werden Daten gespeichert? (Wichtig zu beachten, ob Backups von Amazon solche Daten mit speichern - und das werden sie bestimmt teilweise auch)
• Löschfristen? (Achtung: Backups!)
• Warum ist es nötig einzelne Benutzer zu erfassen und nicht Gruppen?

Datenschutzbedenklich wird es, wenn man die ganzen Fragen beantwortet und einiges nicht konkret beantworten lassen. Aus meiner Sicht (in Hinblick auf Informationssicherheit/Datenschutz) ist das Programm bedenklich, weil du keine Kontrolle mehr über die Daten hast, wenn diese mal in der Cloud liegen. Wer garantiert dir, dass die Daten nicht weitergegeben werden? Erzählen kann man dir es, dass sie es nicht tun, aber ob das stimmt?

Dich müsste eher interessieren, wieviele Anfälligkeiten/Scheitern passiert sind. Wer gescheitert ist, sollte nicht interessieren, sondern wirklich nur der prozentuale Anteil. Die Schulung sollte immer auf die Allgemeinheit (sprich: für jeden) aufgebaut sein und nicht auf einzelne Personen.

Alle führenden Fachkräfte müssen informiert werden sowie auch der Betriebsrat. Der Mitarbeiter "muss" davon auch wissen, was mit seinen Daten passiert, sodass er auch ein Recht auf Widerspruch hat. Gerade, wenn es um personenbezogene Daten geht. (Name, E-Mail, ...)

Wenn ich dein Informationssicherheits- und Datenschutzbeauftragter wäre, würde ich dir erstmal direkt den Riegel vor deine Nase schieben und dürftest mir großes "Pamphlet" an Fragen beantworten. Und das sage ich als normaler IT-Administrator ^^ (Ich wurde darauf sensibilisiert). Interessanterweise ist Datenschutz teilweise so ungenau, dass 2 Datenschützer unterschiedliche Meinungen dazu haben können. Jedenfalls ist bei meinem Datenschützer so: Cloud? Keine Chance!

 

EDIT:

Übrigens fällt mir dazu noch ein. Wenn ihr das Programm wirklich nutzen und auf der sicheren Seiten sein wollt, kommt ihr mit einem Audit beim Software Hersteller sowie Amazon Cloud (Rechenzentrum) nicht drumherum. Die müssen dann richtig die Hosen runterlassen.

Bearbeitet 22. Oktober 2018 von ErB777

[Maniska]

vor 6 Minuten schrieb RipperFox:

Im Gegensatz zu z.B. Testkäufen im Supermarkt wäre das wohl schon eine "technische Einrichtung" und hätte ein BR ein somit ein Mittspracherecht lt.   Betriebsverfassungsgesetz § 87 Mitbestimmungsrechte Satz 6 . 

Wie gesagt, Betriebsrat haben wir nicht...

Und ob so eine Software die Voraussetzungen von Satz 6: Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen; erfüllt möchte ich ja eben wissen... Bzw. welcher Teil da genau die Voraussetzungen einer MA-Überwachung erfüllt. Es ist keine Leistungsermittlung möglich, da nicht nachvollziehbar ist warum der (personalisierte) Link nicht angeklickt wurde (Mail als das erkannt was es ist, nicht gesehen, nicht bekommen, ignoriert...). Abgesehen davon ist auch nicht ersichtlich, wer diese Mail während der Kampagne schon erhalten hat, und wer nicht.

Fällt ein User auf das Phishing herein, bekommt er den Link zu einem kurzen Schulungsvideo, welches auf die Kampagne abgestimmt ist. Also hat der User seine Daten weitergegeben wird nochmal auf den Punkt Kennwortsicherheit und "warum fragen mich legitime Stellen nicht nach meinem Kennwort" mit anschließendem MC Test ob das Problem verstanden wurde.

Zitat

Schulung und Aufklärung halte ich generell für sinnvoll - aber warum muss man dazu prüfen, ob ein Anwender auf eine bestimmte Art von Mail hereinfällt?

Schon mal eine Schulung bzgl. IT-Sicherheit gehalten? Ich schon, und ich kann dir sagen dass solche Schulungen bei Standardusern entweder keinen, oder nur kurzfristigen Effekt haben. Maximal erhöhst du die Anrufwahrscheinlichkeit NACH dem Klick/Übermitteln der Daten etc.

Daher der Gedanke an eine solche Software: Es werden in einem bestimmten Zeitraum (innerhalb einer Woche/Monat...) Fakemails an einen definierten Userkreis geschickt. Diese Mails sind je nach Einstellung der Kampagne leicht/mittel/schwer erkennbare Phishingmails mit einstellbarem "Ziel" (Accountdiebstahl, Herunterladen von Malware...).

Ich kann nicht die komplette Belegschaft 4x im Jahr zu einer Hablbtagesschulung schicken, aber ich kann so zumindest die User mit Schulungsbedarf herausfinden. Es ist daher sehr wohl interessant, WER auf diese Mails hereinfallt. Vielleicht nicht in der einzelnen Kampagne, aber wenn es immer die selben Kandidaten sind, kann ich diese gezielt intensiv Schulen.

Zitat

Man müsste mal genauer wissen, was für Daten erfasst und gespeichert werden. Abgesehen vom "vollständigen Namen", welche Daten können vom Programm noch erfasst werden?

Da man nur Name und Mailadresse eingeben kann: Name und (Firmen)Mailadresse.*

Zitat

Wo werden die Daten gespeichert? (Cloud -> No Go! Deutschland, USA oder woanders???)

Ist das Transportweg zur Cloud verschlüsselt? (-> MotM Angriff, ...)

AWS Cloud, wenn man da in der Lage ist FFM und nicht Timbukutu auszuwählen --> Deutschland. Was die Vernetzung und den Austausch der Rechenzentren untereinander angeht muss man genau wie bei allen anderen Diensten dem Anbieter glauben, oder es lassen... Ansonsten https + mögliche 2 Faktor Auth.*

Zitat

Was passiert mit "abgegriffenen Zugangsdaten"?

Wie lange werden Daten gespeichert? (Wichtig zu beachten, ob Backups von Amazon solche Daten mit speichern - und das werden sie bestimmt teilweise auch)

Löschfristen? (Achtung: Backups!)

Wäre noch zu prüfen, wie gesagt, bis jetzt kenne ich von dem Teil nicht mehr wie eine LiveDemo. Es sah so aus, als würde das Formular verworfen werden, aber... Klar, das wäre im Zweifelsfall ein Punkt der zu klären wäre.

Gerade eben schrieb ErB777:

Warum ist es nötig einzelne Benutzer zu erfassen und nicht Gruppen?

Dich müsste eher interessieren, wieviele Anfälligkeiten/Scheitern passiert sind. Wer gescheitert ist, sollte nicht interessieren, sondern wirklich nur der prozentuale Anteil. Die Schulung sollte immer auf die Allgemeinheit (sprich: für jeden) aufgebaut sein und nicht auf einzelne Personen.

Siehe oben, es geht auch darum, den Schulungsbedarf einzelner sichtbar zu machen (auch für denjenigen selbst).

Gerade eben schrieb ErB777:

Wer garantiert dir, dass die Daten nicht weitergegeben werden? Erzählen kann man dir es, dass sie es nicht tun, aber ob das stimmt?

Stichwort AV Vertrag.

So wie jede andere Auftragsverarbeitung auch geregelt ist. Dass sich meine Vertragspartner an Verträge halten, davon muss ich nun mal ausgehen, oder die Firma offline nehmen.

Zitat

Alle führenden Fachkräfte müssen informiert werden sowie auch der Betriebsrat. Der Mitarbeiter "muss" davon auch wissen, was mit seinen Daten passiert, sodass er auch ein Recht auf Widerspruch hat. Gerade, wenn es um personenbezogene Daten geht. (Name, E-Mail, ...)

Ich musste bei meiner Einstellung nicht zustimmen, dass meine Daten an die Krankenkasse weitergegeben werden, oder dass ich bei der Rentenversicherung gemeldet werde, Lohnabrechnung... Und widersprechen kann ich da so oft ich will, es wird nichts ändern.

Rechtmäßigkeit der Verarbeitung 

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Ob ein berechtigtes Interesse vorliegt oder nicht, das ist hier die Frage. Zeiterfassung wäre z.B. ein berechtigtes Interesse, ob IT Sicherheit das auch ist? Wenn ja, wäre die Übermittlung an Dritte kein Problem (die Auswertung hingegen vielleicht schon, das ist aber dann nicht DSGVO)

Ein "das darfst du nicht, der Betroffene muss immer zustimmen" stimmt so nicht.

vor 48 Minuten schrieb ErB777:

Und das sage ich als normaler IT-Administrator ^^ (Ich wurde darauf sensibilisiert).

Dito, deswegen frag ich nach wenn ich nicht sicher bin.

Wie schon gesagt, unser Datenfuzzi hat "nur" wegen der Möglichkeit der MA-Überwachung Bedenken angemerkt, nicht wegen pb Daten.

Zitat

Interessanterweise ist Datenschutz teilweise so ungenau, dass 2 Datenschützer unterschiedliche Meinungen dazu haben können. Jedenfalls ist bei meinem Datenschützer so: Cloud? Keine Chance!

Wenn Cloud generell nicht gehen soll, dann frage ich mich, wie das mit Azure, gehostetn Services... funktionieren soll. Genau dafür gibt es ADV Verträge, die die Einhaltung des Datenschutzes von Dritten -  auch in der Cloud regeln. Rechnet ihr über DATEV ab? Cloud!

*Meine Infos und damit auch meine Antworten beziehen sich auf den Vortrag + Live Demo auf der Messe.

[ErB777]

vor einer Stunde schrieb Maniska:

Und ob so eine Software die Voraussetzungen von Satz 6: Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen;

Das ist eine Ansichtssache, finde ich. Direkt findet keine Auswertung und Verhalten statt, wenn es sich um eine einmalige Aktion handelt. Wenn die Daten nach der Aktion weiterhin gespeichert werden für zukünftige Auswertungen bei neuen Tests, dann kann man ein Verhalten ermitteln.

Hier muss abgewogen werden, was mehr Gewicht hat: Abwenden von möglichen Schäden für Firma vs. Schutz von Verhaltensdaten von Mitarbeiter.

Also auch die Frage, wann ist ein Verhalten ermittelbar. Welchen Vor- und Nachteil kann es für die Firma haben. Alles eine Frage der Abwägung von Interessen und Risiko.

 

vor einer Stunde schrieb Maniska:

Ich kann nicht die komplette Belegschaft 4x im Jahr zu einer Hablbtagesschulung schicken, aber ich kann so zumindest die User mit Schulungsbedarf herausfinden. Es ist daher sehr wohl interessant, WER auf diese Mails hereinfallt. Vielleicht nicht in der einzelnen Kampagne, aber wenn es immer die selben Kandidaten sind, kann ich diese gezielt intensiv Schulen.

Statt die User exakt zu ermitteln, ist es nicht möglich eine Art temporäre Regel aufzustellen, dass alle Teilnehmer pro Woche 1x einen Test durchführen müssen(!) und dabei erfasst wird, wer es gemacht und wer nicht? Der Geschäftsführer braucht nur eine schriftliche Anweisung an alle Mitarbeiter zu schreiben. Wer sich verweigert, kann abgemahnt werden.

Wäre halt eine Idee, um Mitarbeiter zu sensibilisieren.

 

vor einer Stunde schrieb Maniska:

Wäre noch zu prüfen, wie gesagt, bis jetzt kenne ich von dem Teil nicht mehr wie eine LiveDemo. Es sah so aus, als würde das Formular verworfen werden, aber... Klar, das wäre im Zweifelsfall ein Punkt der zu klären wäre.

Sollte definitiv geklärt und geprüft werden.

 

vor einer Stunde schrieb Maniska:

Ich musste bei meiner Einstellung nicht zustimmen, dass meine Daten an die Krankenkasse weitergegeben werden, oder dass ich bei der Rentenversicherung gemeldet werde, Lohnabrechnung... Und widersprechen kann ich da so oft ich will, es wird nichts ändern.

Das stimmt Ich meinte auch eher, dass der Mitarbeiter eine Information bekommt.

 

vor einer Stunde schrieb Maniska:

Ob ein berechtigtes Interesse vorliegt oder nicht, das ist hier die Frage. Zeiterfassung wäre z.B. ein berechtigtes Interesse, ob IT Sicherheit das auch ist?

IT-Sicherheit ist immer dann ein berechtigtes Interesse, wenn eine potentielle Gefahr besteht, dass dem Unternehmen massiv Schaden kann. Wenn also ein Mitarbeiter auf eine Pishingmail klickt, und das legt den ganzen Betrieb lahm (Worst-Case), dann ist es ein hohes Risiko. Hier muss aber auch betrachtet werden, wie häufig solche E-Mails einen erreichen.

Zum Beispiel "Mitarbeiter auf eine Pishingmail klickt, und das legt den ganzen Betrieb lahm":

Sehr häufige (Emails diesen Kalibers) -> sehr hohes Risiko

Gelegentlich (Emails diesen Kalibers) -> hohes Risiko

Gelgentlich (aber keine E-Mail, die hohen wirtschaftlichen Schaden verursachen könnte) -> mittleres Risiko

Das ist etwas, was sich am Ende "Risikobewertung" nennt in der ISMS.

 

Nutzt du eine Tabelle oder Dokument, wo du alle relevanten Datenschutzangelegenheiten eintragen und bewerten tust?

 

vor einer Stunde schrieb Maniska:

Wie schon gesagt, unser Datenfuzzi hat "nur" wegen der Möglichkeit der MA-Überwachung Bedenken angemerkt, nicht wegen pb Daten.

Das überrascht mich aber jetzt etwas. Also die Überwachung ist der eine Punkt, aber warum wurde wegen den PB Daten nicht gezweifelt zunächst? Hmm.

Aber wie ich geschrieben, 2 Datenschützer können unterschiedlichen "Meinung" (!) haben.

 

vor einer Stunde schrieb Maniska:

Wenn Cloud generell nicht gehen soll, dann frage ich mich, wie das mit Azure, gehostetn Services... funktionieren soll. Genau dafür gibt es ADV Verträge, die die Einhaltung des Datenschutzes von Dritten -  auch in der Cloud regeln. Rechnet ihr über DATEV ab? Cloud!

Ich möchte da mal ein Beispiel geben:

Gesundheitsapp Vivy.

Vivy soll ja die neue "Krankenkarte" für die Krankenkassen sein. Es wurde groß betitelt, dass alles datenschutzkonform und absolut keine Daten ins Ausland versendet werden. Und eh man sich versieht und BEVOR man sogar die Datenschutzvereinbarung liest (und bestätigen kann), werden schon vorher Daten ins Ausland versendet an Werbe-Agenturen, obwohl es hieß, es werden keine Daten ins Ausland gesendet.

Klarer Vertrauensbruch.