Verschlüsselungs- und Sperrdisziplin

What Is Verschlüsselungs- und Sperrdisziplin?

Durch die Geräteverschlüsselung werden Ihre Daten in unlesbaren Code umgewandelt, der nur mit den richtigen Anmeldeinformationen entsperrt werden kann. Die vollständige Festplattenverschlüsselung (mit BitLocker unter Windows oder FileVault unter macOS) schützt alles auf Ihrer Festplatte. Wenn ein Laptop gestohlen wird oder verloren geht, ist ein verschlüsseltes Laufwerk für den Dieb im Grunde ein Hindernis. Ein unverschlüsseltes Laufwerk kann von jedem mit einem 20-Dollar-USB-Adapter und fünf Minuten Freizeit gelesen werden. Diese Simulation beginnt mit einer alltäglichen Situation: Sie verlassen Ihren Schreibtisch, um sich einen Kaffee zu holen, und lassen Ihren Laptop offen und entsperrt in einem gemeinsam genutzten Arbeitsbereich zurück. Die Übung zeigt im Schnellvorlauf, was ein Angreifer in den 90 Sekunden, in denen Sie weg sind, erreichen kann. Ich lese Ihre E-Mail. Kopieren von Dateien auf ein USB-Laufwerk. Installation eines Keyloggers. Zugriff auf Ihr Firmen-VPN, da Ihre Sitzung noch aktiv ist. Es dauert weniger Zeit als Sie denken. Sie üben sich in Gewohnheiten ein, die sowohl Gelegenheitsdiebstahl als auch gezielte Angriffe auf Ihre Geräte verhindern. Die Übung umfasst das Konfigurieren automatischer Bildschirmsperr-Timer (das empfohlene Maximum beträgt 5 Minuten, für gemeinsam genutzte Umgebungen sind jedoch 1–2 Minuten besser), das Festlegen sicherer Gerätekennwörter, die sich von Ihren Netzwerkanmeldeinformationen unterscheiden, und das Überprüfen, ob die vollständige Festplattenverschlüsselung tatsächlich auf Ihrem Computer aktiviert ist. Die Simulation befasst sich auch mit Szenarien außerhalb des Büros. Sie arbeiten in der Hotellobby, lassen ein Telefon in einer Mitfahrgelegenheit liegen oder am Flughafen wird Ihnen eine Tasche gestohlen. Jedes Szenario bekräftigt ein einfaches Prinzip: Verschlüsselung schützt ruhende Daten und Bildschirmsperre schützt Daten, wenn Sie in der Nähe sind, aber nicht aufpassen. Beides ist notwendig. Beides ist nicht optional.

What You'll Learn in Verschlüsselungs- und Sperrdisziplin

• Stellen Sie sicher, dass die vollständige Festplattenverschlüsselung (BitLocker oder FileVault) auf Ihren Arbeitsgeräten aktiviert ist, und verstehen Sie, wovor sie schützt
• Konfigurieren Sie automatische Bildschirmsperr-Timer so, dass sie je nach Arbeitsumgebung innerhalb von 1–5 Minuten nach Inaktivität aktiviert werden
• Erkennen Sie, was ein Angreifer erreichen kann, wenn er in weniger als zwei Minuten physisch auf ein entsperrtes Gerät zugreift
• Wenden Sie je nach Bedrohungsstufe der jeweiligen Umgebung unterschiedliche Sicherheitspraktiken für Büro-, Heim- und öffentliche Umgebungen an
• Verstehen Sie, warum Verschlüsselung und Bildschirmsperre unterschiedliche, sich aber ergänzende Sicherheitsfunktionen erfüllen und warum beide erforderlich sind

Verschlüsselungs- und Sperrdisziplin — Training Steps

1. Ein arbeitsreicher Morgen bei Cascade Financial

   Es ist ein arbeitsreicher Donnerstagmorgen – Sie überprüfen drei Kundenportfolios vor den vierteljährlichen Überprüfungstreffen heute Nachmittag.

2. Überprüfung von Kundenportfolios

   Alice öffnet das interne Kundenportal, um die Konten von Henderson, Park und Okafor zu überprüfen. Sie meldet sich an und ruft das Portfolio-Dashboard auf.

3. Ein dringender Anruf

   Alices Telefon klingelt. Es ist David Chen vom Henderson-Account – er braucht dringend die Leistungsübersicht für das dritte Quartal für eine Vorstandssitzung, die auf heute Nachmittag verschoben wurde. Die physische Akte befindet sich im Aktenraum am Ende des Flurs.

4. Eile zum Archivraum

   David braucht diese Datei JETZT. Alice springt von ihrem Schreibtisch auf und schnappt sich ihren Ausweis. In ihrer Eile vergisst sie völlig, ihren Arbeitsplatz abzuschließen. Die Kundenportfoliodaten – Henderson-, Park- und Okafor-Konten – bleiben vollständig auf dem Bildschirm sichtbar. Drei Kundenportfolios. Weit geöffnet. Wer vorbeigeht, kann alles sehen.

5. Zurück an Ihrem Schreibtisch

   Alice kommt mit der Henderson-Akte zurück. Ihr Bildschirm ist genau so, wie sie ihn verlassen hat – die Portfolios sind noch sichtbar, nichts scheint gestört zu sein. Sie denkt nicht zweimal darüber nach. Sie schickt David die Informationen, die er braucht, und setzt ihren Tag fort.

6. Eine normale Woche vergeht

   Eine Woche später. Alice beginnt am Montagmorgen, als eine E-Mail von der IT-Sicherheit ihr die Erkältung stoppt.

7. Der Vorfallbericht

   Die E-Mail ist verheerend. Drei von Alices Kunden – Henderson, Park und Okafor – berichteten, gezielte Phishing-E-Mails erhalten zu haben, die ihre genauen Portfoliodetails enthielten. Die Datenexponierung wurde auf Alices Workstation zurückgeführt.

8. Was geschah, während du weg warst?

   Der Vorfallbericht enthüllt genau, was in den fünf Minuten, in denen Alice weg war, passiert ist. Die Aufnahmen der Überwachungskameras und die Protokolle der Ausweisscans zeichnen ein klares Bild.

9. Der Schaden

   Die Folgenabschätzung zeigt das volle Ausmaß des Schadens. Was wie eine harmlose fünfminütige Abwesenheit erschien, hat sich zu einem schwerwiegenden Sicherheitsvorfall entwickelt.

10. Was hätte Alice tun sollen?

    Bevor wir mit der Behebung fortfahren, sollten wir darüber nachdenken, was schief gelaufen ist.