Der Weg zu einer gelebten Sicherheitskultur

Security Awareness in der Unternehmenspraxis aktiv umsetzen

Wissen und Innovation sind die zentralen Objekte der Wertschöpfung in unseren Unternehmen. Wissen ist dabei mittlerweile zum vierten Produktionsfaktor geworden. Jedoch: Kein Wissen ohne Informationen. Information ist unabdingbare Ressource im Leistungserstellungsprozess, gleichsam wesentlicher Faktor für erfolgreiches unternehmerisches Handeln. Sie ist die Basis für unternehmerische Entscheidungsprozesse, denn ohne Information keine (sinnvolle) Entscheidung. Informationen sind zugleich ein wesentlicher Wettbewerbsfaktor.

Um die Sicherheit des Wissens und der damit verbunden Informationen in Unternehmen zu erhöhen und zu stärken, werden viele organisatorische Maßnahmen ergriffen. Unternehmen betreiben dabei oft eine physische „Sicherheitsaufrüstung“ und schotten sich mit allen ihnen zur Verfügung stehenden Sicherheitswerkzeugen ab. Viele Maßnahmen – auch im Risikomanagement bzw. Compliancemanagement – reglementieren dabei die Mitarbeitenden im täglichen Arbeitsablauf, sehr schnell spricht man bei Nicht-Einhaltung von gesetzten Regeln Mahnungen oder gar Kündigungen aus. Die effizienteste und eigentlich einfachste Möglichkeit – die direkte und positive Kommunikation zum Thema und die persönliche Ansprache zu den Mitarbeitenden – erfolgt mit niedriger Priorität und kommt dementsprechend oftmals noch viel zu kurz.

Hier besteht also bis dato immer noch substantieller Nachholbedarf. Zwar ist zu beobachten, dass man in jüngster Zeit häufiger bereit ist, dem Thema Gehör zu schenken, dennoch: Der Mensch wird in der betrieblichen Realität als Sicherheitsfaktor leider (noch) zu häufig vernachlässigt. Die relevanten Elemente der viel zitierten Sicherheitskette sind also nicht stabil genug. In der Konsequenz bedeutet dies, dass ein ganzheitliches, die relevanten Risikofaktoren integrierendes Sicherheitsmanagement in der Praxis eher die Ausnahme als die Regel darstellt.

Wachsamkeit versus Überwachung

Neben Wachsamkeit im Unternehmen, dem gesunden Misstrauen und dem nachhaltigen Einsatz von Sicherheitsrichtlinien im Unternehmen ist angesichts der aktuellen Entwicklung der Sicherheitsbedrohungen ein weiterer Begriff von immenser Bedeutung bei der Bekämpfung von Internet-Kriminalität: Sensibilisierung. Wird berücksichtigt, dass in 80 Prozent aller Sicherheitsvorfälle der Mensch und nur in 20 Prozent die Technik versagt hat, kann man schnell ein ungenutztes Sicherheitspotenzial bei den Mitarbeitenden feststellen.

Vielen Unternehmen fehlt also eine gelebte Sicherheits- und Präventionskultur. Je nachdem, welches Verhalten der Mitarbeitenden im Umgang mit der IT-Infrastruktur und damit mit seinen eigenen oder den Informationen des Unternehmens an den Tag legt, wird er zu einem Risikofaktor oder einem entscheidenden Instrument zur Risikominimierung. Der Mensch spielt als „Risikofaktor“ im Sicherheitskontext eine zentrale Rolle. Hier muss die Verhaltensänderung beginnen, eben der Aufbau einer unbewussten Kompetenz, das Ziel und nicht die bloße Vermittlung von Wissen. Letzteres führt nur für einen kurzzeitigen Moment zu einer Steigerung des Sicherheitsbewusstsein – ist aber nicht nachhaltig im Kopf und dem Verhalten der Mitarbeiter verankert.

Security Awareness – von Menschen für Menschen gemacht

Awareness ist von Menschen für Menschen gemacht. Da menschliches Verhalten nicht „programmierbar“ ist, müssen die menschliches Verhalten beeinflussenden Faktoren mitberücksichtigt werden. Das macht Awareness aber schnell zu einem komplexen Vorhaben.

Was also tun? Einfach so weitermachen wie bisher? Abwarten, bis etwas passiert, in der Hoffnung, dass nichts passiert? Falls etwas passiert, einfach den Ursachen auf den Grund gehen und daran arbeiten? Warum, so die berechtigte Frage, sollte man sich den mit Awareness verbundenen Aufwand freiwillig aufhalsen? Die Antwort darauf ist simpel: Wo der Mensch intervenierend in sicherheitsrelevante Prozesse oder Arbeitsabläufe einwirkt, ist er automatisch Teil der „Sicherheitskette“. Dabei muss jedes Glied dieser Kette stark sein, sonst wird sie den ihr zugedachten Zweck, Sicherheit zu gewährleisten, nicht erfüllen können. Wer also ein nachhaltiges Risiko- bzw. Sicherheitsmanagement anstrebt, der kommt an der Einbeziehung des Faktors Mensch nicht vorbei.

Die folgende Szene verdeutlich noch mal sehr gut, um was es uns eigentlich geht: Der legendäre Boxer Muhammad Ali saß einmal in einem Linien-Jet, als die Stewardess ihn bat, seinen Sicherheitsgurt zu schließen. „Superman braucht keinen Sicherheitsgurt“, sagte der Weltstar. Die Stewardess zögerte einen Augenblick. Dann konterte sie: „Superman braucht auch kein Flugzeug.“ Der Mitarbeitende wird schnell zum wichtigsten Teil der „Sicherheitskette“.

Damit Awareness-Aktivitäten eine realistische Chance auf Erfolg haben, muss man als Verantwortliche*r für derartige Aktivitäten wissen, welche grundsätzlichen Beeinflussungsfaktoren wirken, welche Folgen diese Faktoren haben und wie sie zusammenwirken. Um mit dieser Komplexität sinnvoll umgehen zu können bzw. sie auf ein praktikables Maß zu reduzieren, muss beurteilt werden können, welche dieser Faktoren im organisatorischen Umfeld des Unternehmens wichtig, respektive welche weniger wichtig sind.

Regeln vermitteln in Kulturen

Ob und in welchem Ausmaß Sicherheit gelebt wird, hängt neben dem grundsätzlichen Stellenwert, den Sicherheit im Unternehmen hat, sowohl vom Kulturkreis als auch von der Unternehmenskultur ab. Dass der jeweilige kulturelle Hintergrund auch zu Verhaltensunterschieden im beruflichen Kontext führt, ist nahe liegend. Das Führungs- und Entscheidungsverhalten in japanischen Unternehmen wird sich bei aller Vielfalt der Unternehmen in zentralen Punkten signifikant von dem in deutschen Unternehmen unterscheiden. Warum sind Online-Hilfen in Softwareanwendungen für asiatische Länder anders aufgebaut und stärker in das Produkt integriert als bei uns? Weil der Gebrauch eines Handbuchs dort einem Gesichtsverlust gleichkommt – die Nutzer*innen würden dann als unfähig gelten. Security Policies und Sicherheitsregeln wollen und sollen gelebt und angewendet werden. Ein klassisches Problem ist die Akzeptanz beim Mitarbeitenden – zum einen geprägt durch kulturelle Gegebenheiten und zum Anderen durch die Schwierigkeit des reinen Verstehens durch eine „fremde“ Sprache. Das ist wie beim Autofahren: Wenn man sich mit dem PKW im Urlaubsland auf fremden Straßen bewegt hat man immer seine Probleme – das zurechtfinden mit Sprachunterschieden, dem Risikobewusstsein anderer Verkehrsteilnehmer und dem „Schilderwald“.

Ein pures Übersetzen der Sicherheitsregeln ist für die Schärfung des Sicherheitsbewusstseins der Mitarbeitenden nicht ausreichend. Hier muss auf kulturspezifische Unterschiede geachtet werden. Eine sogenannten Lokalisierung der jeweiligen Policy ist also immer der bessere Weg. Der Spruch: „In Deutschland ist all das verboten, was nicht explizit erlaubt ist – und in Frankreich ist alles das erlaubt, was nicht explizit verboten ist“ zeigt schon die prekäre Unterschiedlichkeit in nahen Kulturkreisen auf.

So wird der Versuch, die in der schwedischen Unternehmenszentrale erfolgreiche Security-Awareness-Kampagne auch in der brasilianischen Niederlassung umzusetzen, erhebliche Reibungsverluste erzeugen, im schlimmsten Falle ganz auf Ablehnung stoßen. Dies lässt sich leicht vermeiden, indem kulturelle Unterschiede bei der Umsetzung solcher Security Awareness-Maßnahmen frühzeitig erkannt, respektiert und in der Planung berücksichtigt werden.

Positives Vorleben (des Managements) ist effektiver als reaktive Nachsorge

Der Aufbau einer Informationssicherheitskultur ist dann erfolgreich, wenn die Führungskräfte im Unternehmen den Umgang mit sensiblen Daten und der IT gewissenhaft vorleben. Diese Vorbildfunktion ist ein entscheidender Punkt im Aufbau und in der Pflege der Informationssicherheit. Den Führungsstab frühzeitig mit einzubeziehen, entscheidet über den Erfolg der Awareness-Maßnahme und deren Umsetzung im Unternehmen. Dabei ist allerdings auch darauf zu achten, dass die Umsetzung des Awareness-Programms keine reine Aufgabe der Informatik ist und bleibt. Die Sicherheitskultur muss abteilungsübergreifend gedacht, geführt und geprägt werden.

Die Sensibilisierung von Mitarbeitenden und die damit verbundenen Maßnahmen oder die Security Awareness-Kampagne als solche, führen dabei oftmals nicht nur zu einer Kulturveränderung sondern fordern auch nach Organisationsanpassungen im Unternehmen. Wenn Mitarbeitende während der Awareness-Kampagne im Positiven „provoziert“ und zum Handeln angeregt werden, bekommen IT- und Organisiationseinheiten viel zu tun – denn hier wird Awareness pure Realität. Auf jede Maßnahme muss auch eine Umsetzung erfolgen und wenn Mitarbeitende sensibilisiert werden, dann werden Sie auch aktiv! Was hilft es Mitarbeitenden zu erklären, dass Dokumente wegzuschließen sind (CleanDesk-Ansatz) wenn der Schlüssel für den Aktenschrank nicht aufzufinden ist oder vertrauliche Dokumente geschreddert werden müssen, in der Abteilung aber nirgends ein Schredder zur Benutzung steht? Security Awareness ist also Umsetzung pur.

Der „Faktor Mensch“

Sich mit dem „Faktor Mensch“ intensiv auseinander zu setzen bedeutet, mögliche Auswirkungen des Verhaltens der Mitarbeitenden besser einzuschätzen und das Bedrohungspotenzial einzuschränken. Das heißt, dass Unternehmen ihre Sicherheitsprogramme nicht nur auf die technologische Sicht begrenzen dürfen. Sie müssen vielmehr lernen zu verstehen, wie Menschen „ticken“ und mit Daten, Informationen und Unternehmenswerten umgehen. So werden sie in der Lage sein, ihre Netzwerke nicht nur vor externen Eindringlingen zu schützen, sondern auch davor, dass Nutzer*innen, wie etwa Mitarbeitende, vertrauensvolle Daten versehentlich oder wohl wissend an Dritte weitergeben.

Was braucht der Mitarbeitende, um seine Einstellung, seine Werthaltung und somit seine Kulturäußerung zu Gunsten der Unternehmenssicherheit zu verändern resp. zu verbessern? Im Sport finden wir Spielregeln. Diese verhindern, dass jede Handlung subjektiv anders verstanden wird. Was heißt ‚fair’? Was verstehen Mitarbeitende unter ‚Vertrauen’? Sollen Kulturmaßnahmen greifen, so braucht ein Unternehmen Spielregeln. Zudem muss es wissen, was Menschen brauchen, um diese umzusetzen. Beispielsweise sind Kenntnisse über Wertvorstellungen und Kulturen entscheidend, ansonsten hat ein Unternehmen keine Chance, Foul-Spiele zu erahnen.

Sensibilisierungsmaßnahmen auf dem Weg zur sicheren Unternehmung sind wie PR Maßnahmen auf dem Weg zum starken Image. Sie sind unumgänglich! Solange die PR-Verantwortlichen jedoch nicht verstehen, weshalb gute PR für die Unternehmung wichtig ist, werden PR-Maßnahmen nie gut ankommen.

Oldschool Awareness vs. Awareness 2.0?

Hier kommt in Abgrenzung zum „Oldshool“-Ansatz „Awareness 2.0“ ins Spiel. Hier geht es um das Wissen um dynamische, prozessorientierte Komponenten von Awareness-Maßnahmen im Changemanagement Prozess – weg von den reinen didaktischen bzw. ausschließlich Marketing-gesteuerten Maßnahmen, die vor allem auf die klassische Lerntheorie und Betriebswirtschafts- bzw. Organisationslehre setzen. Die Trennung ist vor allem  methodischer Art, denn das Wissen, respektive die Nutzung von „Oldschool“-Ansätzen, bildet eine Basis von Awareness 2.0, allerdings wird man sich nicht nur mit Vorträgen, Trainings, Postern & Co. zufrieden geben.

Der bis heute weitgehend verbreitete Ansatz von Security Awareness – der sogenannten Old School  – geht mehrheitlich davon aus, dass sich die Persistenz der Botschaft über die Grundzüge einer einfachen „Lerntheorie“ (Abspeichern) ergibt. Erfolgreiche Awareness für Informationssicherheit muss aber vielmehr als Lösung im ganzheitlichen Gefüge der mit ihm verbundenen Zwecke erzeugt werden. Trainings oder E-Learning-Tools sind daher oftmals viel zu personalisiert gedacht. Aufmerksamkeit im Sinne von Awareness ist nicht der erste und entscheidende Einstieg für die Wirksamkeit von Tools, sondern bereits die Folge davon, dass eine Anknüpfung stattgefunden hat.

Nachhaltig ausgerichtete Mitarbeitendensensibilisierung – „Awareness 2.0“ – darf sich nicht darauf beschränken, Informationsvokabeln über einen Vorgang zu lernen – Awareness 2.0 muss sich vielmehr der Wirkung von Risiken „andienen“, indem Probleme angesprochen werden und das Tool selbst sich als Lösung, nicht aber als Simulator, anbietet. Awareness 2.0 sollte sich nicht auf Lehren und Lernen beschränken – sie muss argumentieren und hierdurch beeinflussen.

Wenn man über Wirksamkeit redet, muss eine gute und realistische Geschichte über die Erfolge von Awareness-Kampagnen beim Alltag der Menschen beginnen. Jenem Arbeitsalltag, in dem die erwünschte Verhaltensänderung, die durch diverse Maßnahmen erzeugt werden soll, ihren Platz findet. In den meisten Darstellungen derartiger Kampagnen kommt die Lebenswirklichkeit der Menschen jedoch so gut wie gar nicht vor.

Erfolgreiche Security-Awareness-Kampagnen der 2.0-Generation haben es nicht nötig, auf Social Engineering-Tests zu setzen, um Mitarbeitenden zu desavouieren. Sie richten sich an Menschen und nicht an DAU’s (DAU = Dümmster anzunehmender User), Techies oder an abstrakten „Zielgruppen“. Awareness 2.0 hält Menschen, denen Fehler unterlaufen, nicht besserwisserisch den Spiegel vor. Sie interveniert und stiftet Sinn, statt Ängste zu schüren und den Arbeitsalltag weiter zu fragmentieren und dadurch komplizierter zu machen. Awareness 2.0 ergreift die Chance, Enabler einer neuen Unternehmenskultur zu werden und führt und bewegt die Menschen.

Awareness 2.0 orientiert sich konsequent an

  • Blended Learning,
  • klassischen und innovativem Marketing,
  • integrierter und systemischer Kommunikation (intern wie auch interkulturell),
  • psychologischen Grundlagen und
  • Changemanagement.

Last but not least sollen an dieser Stelle zwei Eigenschaften genannt werden, die für die Umsetzung von Awareness unabdingbar sind: Ausdauer und Konsequenz. Awareness ist keine bloße Aneinanderreihung von Einzelaktionen sondern ein langfristiger Prozess, mitunter auch ein langwieriger Prozess der Unternehmensentwicklung mit durchaus auch offenem Ausgang.

Die sieben Erfolgsfaktoren von Security Awareness Massnahmen

1. Strategie und Risikobewusstsein aus Führungssicht: Inwieweit wird Sicherheit als ein Teil der Führungsaufgabe des Managements verstanden?

2. Unternehmenskultur, -werte, Loyalität und Einzigartigkeit spielen eine außergewöhnlich große Rolle: Berücksichtigen Sie bei Planung und Durchführung die Grundzüge Ihrer Unternehmens- und Sicherheitskultur.

3. Interne Kooperationen erleichtern die Arbeit und stärken die Akzeptanz: Holen Sie sich Unterstützer aus Ihrem Unternehmen ins Boot.

4. Externer Support durch (Kommunikations-)Spezialisten: Verstärken Sie Ihr Security-Team um Experten aus Kommunikation/Marketing, Didaktik, Change Management und Psychologie.

5. Richtlinien bieten Orientierung im Handeln: Erledigen Sie Ihre „Hausaufgaben“ und überprüfen Sie sämtliche Policies auf Anwendbarkeit im betrieblichen Tagesgeschäft, inhaltliche Redundanz und vor allem auf Verständlichkeit.

6. Lokalisierung – „act global, think local“: Im Sinne einer interkulturellen Kommunikation sollten Sie immer auf kulturelle Unterschiede achten und frühzeitig die Kollegen der jeweiligen Standorte in die Awareness Maßnahmen einbinden.

7. Die klare Ansprache und das richtige Customizing: Nicht jeder Mitarbeiter braucht alles. Wenden Sie sich im Sinne niedriger Streuverluste nur an diejenigen, die ihnen „zuhören“ sollen.

Fazit

Loyalität ist kein Prozess, der heute beginnt und Morgen abgeschlossen ist. Hier braucht es vor allem eine aktive gelebte Führung – das Management ist hier in der Pflicht – und eine transparente und auf den Unternehmenswerten basierende Kommunikationskultur, in der Fehler erlaubt und als ein Mittel für eine qualitative Prozessverbesserung gesehen werden.

Erschienen in Risknet (14. Mai 2013) und im Kulturmanagement Network Magazin (August 2020).

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s