Das zentrale Thema der Command Control 2020 lautet Cyber Resilience. Wie verstehen Sie diesen Ansatz? Und warum sollten Unternehmen ihre Sicherheitsstrategie darauf aufbauen?

Beyer: Schaut man in die Psychologie, ist Resilienz sehr gut definiert: Es ist die psychische Widerstandskraft und Fähigkeit, schwierige Lebenssituationen ohne anhaltende Beeinträchtigung zu überstehen. Im Zuge der Begriffsdefinition von Cyber Resilience kann man die „schwierige Lebenssituation“ als Attacke auf das Unternehmen verstehen, welche ein Unternehmen und seine gesamte Arbeitsorganisation meistern muss. Es braucht Stabilität – in der Sicherheitskultur, in unternehmerischen Prozessen und in der Sicherheitsstrategie und -organisation. Man muss also vorbereitet sein und für den Fall der Fälle einen guten Plan haben. Zudem sollte im Unternehmen eine Fehlerkultur herrschen, in der die Mitarbeiter den Mut und die Chance haben, Vorfälle zu melden. Außerdem sollten Unternehmen auch in der Lage sein, aus Geschehnissen die richtigen Schlüsse zu ziehen, um für den nächsten Fall besser gewappnet zu sein. Ein cyber-resilientes Unternehmen kann man also mit einem Stehaufmännchen vergleichen, das man zwar ins Schwanken bringen kann, das aber immer immer wieder in seine ursprüngliche Stellung zurückfindet – manchmal schneller, manchmal etwas behäbiger. In jedem Fall lässt es sich nicht einfach aus der Bahn werfen.

Wo liegt Ihrer Meinung nach der Unterschied zwischen Cyber Resilience und Cyber Security?

Beyer: Ich gestehe, ich mag den Begriff „Cyber“ in diesem Kontext nicht sonderlich. Ich würde lieber von resilienten Organisationen und Informationssicherheit sprechen. Und dann wird es klarer. Während sich bei Resilienz eher alles um die Stabilität des gesamten Unternehmens in Krisen- und Gefahrensituationen dreht, geht es bei Cyber Security doch eher um die technischen und vielleicht auch hier und da organisatorischen Aspekte der Angriffsdetektion und -abwehr.

Sie leiten auf der Command Control einen LEGO Serious Play Workshop. Können Sie uns einen kurzen Einblick geben, wie diese Denk-, Kommunikations- und Problemlösungstechnologie beim Thema Cyber-Awareness hilft?

Beyer: Das ist einfach, es geht hier um das Denken mit den Händen. Das hört sich vielleicht etwas schräg an, ist es aber nicht. Ich habe in meinen mehr als 16 Jahren Beratungsarbeit noch nie eine intensivere, involvierendere und kreativere Moderationsmethode kennengelernt als LEGO Serious Play. Fast jeder spielt gerne mit LEGO Steinen. Wichtig bei der Methode ist dann eine konkrete, klare und transparente Fragestellung: Also etwa „Welche Skills soll mein Security Team haben?“, „Wie soll unsere Sicherheitskultur im Unternehmen aussehen?“ oder „Was ist die Erwartungshaltung der User an Informationssicherheit?“ Mit der Fragestellung im Hintergrund wird dann gebaut und gedacht. Dabei stehen die Metaphern bzw. das Storytelling im Vordergrund. Was meine ich mit dem, was ich gebaut habe, was will ich damit erklären?
Die Bühne gehört dabei in einem geschützten Raum den Teilnehmern. Zunächst geht es dabei jeweils um ein individuelles Modell, das dann zu einem Gruppenmodell kombiniert wird. Dadurch entsteht eine kreative Gruppendynamik – ohne dass sich jemand aus dem Prozess herausnehmen kann. Und durch die gemeinsame Erklärung und Diskussion über das Gruppenmodell entsteht ein gesunder und für alle akzeptabler Konsens hinsichtlich der Ausgangsfragestellung. Wo habe ich das schon, dass alle für das Gleiche einstehen und alle auch das Gleiche verstehen?
Ein Vorteil der Methode ist dabei auch, dass man das komplexe, schwer greifbare Digitale in eine analoge und emotionalisierte Ebene holen kann. Wir sind tagtäglich mit dem Digitalen umgeben. Es gibt deshalb ein großes Bedürfnis, etwas mit den eigenen Händen geschafft zu haben. Und das geht mit LEGO Serious Play als Methode für die Moderation von Gruppen und Teams hervorragend.

Wie genau trägt LEGO Serious Play dazu bei, Hindernisse bei der Planung von Security Awareness Kampagnen – wie ausgeprägtes hierarchisches Denken im Unternehmen oder unterschiedliche Vorkenntnisse und Herangehensweisen der Mitarbeiter – zu erkennen?

Beyer: Das Ziel von LEGO Serious Play ist ein gemeinsames Verständnis aller Beteiligten für eine Sache. Ganz gleich ob es um eine Sensibilisierungs- und Schulungskampagne, organisatorische und prozessuale Anpassungen oder die Formung eines Teams geht. Im Vordergrund stehen der Dialog und das gemeinsame Erschaffen. Und gerade bei interdisziplinären oder gar interkulturellen Teams ist der Mix aus Denken mit den Händen und der begleitende, erklärende Prozess unheimlich hilfreich.
Bei LEGO Serious Play wird jeder Teilnehmer auf eine eigene Weise erreicht. Jeder ist dabei. Jeder ist auch gleich wichtig. Nichts wird vergessen. Alles kommt auf den Tisch. Jeder erklärt. Alle diskutieren. Sprach- und Hierarchiebarrieren fallen hier sehr schnell – wenn man für die kreative Phase auch entsprechend Raum lässt. Der Vorteil der Methode ist, dass fast jeder in seiner Kindheit gerne mit LEGO gespielt hat. Stehen LEGO Bausteine auf dem Tisch, beginnen die meisten sofort, damit zu bauen. Das kann man auch bei einem normalen Meeting ausprobieren. Das Gegenteil erlebe ich bei PowerPoint-Vorträgen. Da verhalten sich die meisten Teilnehmer in der Regel eher passiv. Das ist bei LEGO Serious Play definitiv anders. Und das macht die Methode so wertvoll, wenn es darum geht, ein gemeinsames Verständnis für die Bedeutung von Cybersecurity zu entwickeln.

Die Command Control hat drei Haupt-Zielgruppen: Security Professionals (CISOs etc.), Privacy Professionals / Risk Manager sowie Digital Transformation Leaders (C-Level-Vertreter). Ist der Workshop für eine der Zielgruppen besonders geeignet oder glauben Sie, dass er für alle Mehrwert bietet?

Beyer: Grundsätzlich lebt die Methode von der Unterschiedlichkeit der Teilnehmer. Man ergänzt sich gegenseitig und bekommt einen „anderen“ Blick auf ein Thema, indem man sich in die Bedürfnisse und Anforderungen von anderen hineinversetzt. Dementsprechend ist der Workshop für alle Teilnehmer der Command Control geeignet.

Ganz allgemein – warum freuen Sie sich auf Command Control?

Beyer: Das Lineup der Referenten ist spannend, vielschichtig, kontrovers und ergänzend – genauso erwarte ich mir eine Konferenz. Zudem reizen mich natürlich auch die vielfältigen Kommunikationsmöglichkeiten für einen fachlichen und vor allem auch persönlichen Austausch. Darum geht es bei solchen Veranstaltungen – Netzwerken, Kollegen treffen, neue Leute kennenlernen. Bei der Command Control ist das Ganze auch noch gepaart mit Wissenstransfer und spannenden Vorträgen. Ich freue mich deshalb sehr, dieses Jahr mit dabei zu sein.

Quelle: Website CommandControl / Messe München, 17.02.2020