Security-Awareness-Kampagnen müssen länderspezifisch zugeschnitten werden. Wir verraten Ihnen, worauf es dabei ankommt.

Wenn Sie in China zum Business Lunch eingeladen sind, sollten Sie auf die Tischsitten achten: Laute Geräusche in Form von Schmatzen, Schlürfen oder gar Rülpsen sind dabei Usus. Was hierzulande untragbar wäre, ist im Reich der Mitte Zeichen von Respekt und Höflichkeit. In Südkorea sind Sie zwar ebenfalls eingeladen, herzhaft zu rülpsen – sollten es aber tunlichst vermeiden, Ihre Nase am Tisch zu putzen. Die Unterschiedlichkeit der Kulturen kann unter Umständen erheblichen Einfluss auf Ihren Geschäftserfolg nehmen: Was in einem Kulturkreis als Zeichen der Anerkennung gilt, kann in einem anderen zur unverschämten Beleidung gereichen.

Auch wenn es um IT geht, sollten diese kulturellen Unterschiede Berücksichtigung finden. Sollen in Niederlassungen außerhalb Deutschlands IT-Security Policies ausgerollt oder Awareness-Kampagnen an den Start gebracht werden, sollte das nicht einfach am grünen Tisch zu Hause geplant, anschließend durch einen Dienstleister übersetzt und dann per Mail an die jeweiligen Länderverantwortlichen versendet werden. Das führt mit an Sicherheit grenzender Wahrscheinlichkeit lediglich dazu, dass Ihre Vorgaben missverstanden werden oder einfach verpuffen.

Sicherheitsbewusstsein als Interpretationssache?

Ihre Sicherheits-Policies werden beispielsweise in Frankreich prinzipiell anders interpretiert als in Deutschland: Im Nachbarstaat ist nämlich alles, was nicht explizit verboten ist, erlaubt. Hierzulande ist hingegen alles verboten, was nicht explizit erlaubt ist. Gelten also dieselben Policies, entsteht dabei erheblicher Interpretationsspielraum.

In der arabischen Welt verhält es sich wiederum völlig anders: Hier wird nicht nach dem „Warum“ gefragt. Der vorherrschende autoritär-paternalistische Führungsstil und die starken hierarchischen Strukturen sehen das nicht vor. Anders als in Deutschland wird dort vor allem mit Direktiven und Anweisungen gearbeitet. Diese werden allerdings unterschiedlich interpretiert und gelten oft nur über kurze Zeiträume. Eigenverantwortung wird von der Führungsetage definiert.

Diese Beispiele verdeutlichen, wie wichtig eine funktionierende interkulturelle Kommunikation ist, sowohl für den Geschäftserfolg, als auch für die nachhaltige Umsetzung von Sicherheitsmaßnahmen in anderen Ländern. In der Praxis wird dieser Aspekt allerdings häufig vernachlässigt: Statt sich auf die kulturellen Eigenheiten des jeweiligen Landes einzulassen, machen viele Security-Verantwortliche den Fehler, Security-Awareness-Maßnahmen auf Grundlage lokaler Verhältnisse auszugestalten. Dabei achtet das Gros zu wenig oder gar nicht darauf, ob und wie ihre Botschaften in anderen Kulturkreisen aufgenommen werden (können).

Um ein Verständnis für andere Kulturen aufbauen zu können, ist es essenziell, sich eingehend mit der jeweiligen Sprache, den Bildungsstandards, der Religion, den Werten, Gesetzen und natürlich auch den technologischen Rahmenbedingungen des jeweiligen Landes zu befassen. Jede Awareness-Kampagne und jede Kommunikationsmaßnahme, egal ob nun für Vertrieb oder um die Informationssicherheit zu stärken, sollte auf ihre Kompatibilität mit den kulturellen Gegebenheiten überprüft werden. Das wirft wiederum eine Reihe von Fragen bezüglich der Formulierung verständlicher, interessant aufbereiteter und widerspruchsfreier Inhalte auf. Ein Rezept für wirkungsvolle, globale (Awareness-) Kampagnen gibt es dabei leider nicht. Stattdessen sollten Sie auf ein länderspezifisches Grundgerüst setzen.

Security Awareness grenzübergreifend verankern

Nach David Pinto, Professor für interkulturelle Kommunikation, treten Probleme besonders häufig auf, weil Menschen bestimmte Verhaltensweisen falsch interpretieren. Vermeiden lassen sich solche Störungen mit der von ihm entwickelten Drei-Schritt-Methode:

1. Lernen Sie die kulturgebundenen Werte Ihrer eigenen (Unternehmens- und Interaktions-) Kultur kennen.
2. Werden Sie mit den kulturspezifischen Werten und Verhaltensweisen (Fakten) anderer Länder vertraut.
3. Versuchen Sie Ihre Umgangsweise mit den gelernten Werten und kulturellen Eigenheiten in Einklang zu bringen.

Aufbauend auf diesem Modell, lassen sich eine Reihe von Handlungsempfehlungen für international ausgerichtete Security-Awareness-Kampagnen ableiten:

• Bilden Sie ein Awareness-Core-Team am Standort des Headquarters.
• Setzen Sie sich mit den jeweiligen Kulturen auseinander.
• Binden Sie Ihre Kollegen aus den Tochtergesellschaften in eine Analyse Ihrer Sicherheitskultur und die Planung der Awareness-Kampagne ein.
• Der Rollout der Awareness-Maßnahmen sollte zunächst im Headquarter erfolgen.
• Präsentieren Sie dem Management Ihre Kampagnenbausteine und fordern Sie Engagement ein.
• Informieren Sie die Sicherheitsbeauftragten in den Tochtergesellschaften über den Ablauf (die Roadmap) der Awareness-Kampagne und sorgen Sie für Rückkopplungsmöglichkeiten.
• Kommunizieren Sie grundsätzlich „Einfachbotschaften“ – schnell erfassen und sofort verstehen lautet dabei die Devise.
• Wenn Sie externe Übersetzungsbüros einbinden, sollte stets eine Qualitätskontrolle durch Muttersprachler vor Ort erfolgen.
• Unterstützen Sie über Ihre konzernweite Security-Awareness-Kampagne wenn möglich auch die Internationalisierung des Unternehmensleitbildes.
• Vergessen Sie dabei nicht, dass sich nicht alle Konflikte auf Kulturunterschiede zurückführen lassen.

Autoren: Oliver Häußler & Marcus Beyer // Quelle: THRIVE