Eine ganzheitlich erfolgreiche IT-Sicherheit kann nicht ausschließlich durch technische Maßnahmen erreicht werden. Neben der technischen Komponente ist auch die Rolle des Menschen, der das System bedient, ein elementarer Bestandteil. Viele Unternehmen und insbesondere die IT-Beschäftigten stellen sich an dieser Stelle zu Recht die Frage:
Wie schaffe ich es meine Kollegen und Kolleginnen für das Thema IT-Sicherheit zu sensibilisieren oder sogar ihr Interesse zu wecken und sie schlussendlich zum Mitwirken zu bewegen?
Leider ist es weitverbreitet, dass die Mitarbeiter eine kritische Lücke im Sicherheitssystem darstellen. Den Anwendern wird somit vorgeworfen, eine Fehlerquelle zu sein. Diesen Vorwurf bewertet der Mensch – nachvollziehbar – als negativ. Dies hat zur Folge, dass eine abwehrende Haltung gegenüber dem Thema IT-Sicherheit eingenommen wird.
Wie wird IT-Security bei den Mitarbeitern „richtig“ platziert?
Zuerst sollten Sie sich das Thema selbst zu eigen machen und als Entscheider vorangehen. Anschließend gilt es die Frage: „Wie sensibilisiere und motiviere ich meine Mitarbeiter für dieses elementare Thema?“ zu beantworten. Hierfür ist es ratsam, einen anderen Blickwinkel einzunehmen: Verstehen Sie den Menschen als zusätzlichen Abwehrschirm gegen Angriffe.
Um diesen menschlichen Abwehrschirm aufzubauen bzw. zu stärken, muss zunächst das Problembewusstsein – Security Awareness – der Mitarbeiter geschärft werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert das Ziel klar und aussagekräftig:
„Security Awareness Maßnahmen sind dann erfolgreich, wenn sie die Zielgruppen befähigen und den einzelnen Menschen für mehr Cyber-Sicherheit motivieren.“ (Quelle: BSI)
Die Wirkung und das Ergebnis Ihrer Mühen sind untrennbar damit verbunden, dass der Einzelne im Umgang mit Daten und IT-Sicherheit aufmerksamer ist als zuvor. Es ist dabei wichtig, dass jeder Mitarbeiter und jede Abteilung in Ihrem Unternehmen sensibilisiert wird. Schulungen allein reichen hierfür nicht aus. Die einzelnen Bausteine einer Awareness-Kampagne müssen zielgruppengerecht ausgewählt und mit steigendem Informationsgehalt gestaltet werden. Ein 'One size fits all'-Ansatz ist nicht erfolgsversprechend.
Identifizieren Sie im ersten Schritt die verschiedenen Zielgruppen – vom Auszubildenden in der Buchhaltung, über die Marketingabteilung, bis hin zur Führungsebene und der Geschäftsführung. Die Summe der individuellen Aufmerksamkeit führt zum gewünschten Erfolg. Dabei verfügt nicht jeder über dasselbe technische Grundverständnis. Holen Sie alle Mitarbeiter zum Thema IT-Sicherheit ab und sprechen Sie in diesem Zuge die Sprache Ihrer jeweiligen Zielgruppe.
Moderne Awareness-Kampagne – für eine nachhaltige Verhaltensveränderung
Erzählen Sie nicht alles auf einmal. Dosieren Sie die Kommunikation und begleiten Sie den Wandel. Ein methodisches Beispiel:
Awareness – Machen Sie auf das Thema aufmerksam
Warum?
Warum jetzt?
Was, wenn nicht?
Desire – Schaffen Sie den Wunsch sich zu beteiligen
Was hat die Einzelperson davon sich zu engagieren?
Was sind die Beweggründe der Organisation?
Knowledge – Erklären Sie, wie jeder sich engagieren kann
Worauf muss geachtet werden?
Was kann jeder Einzelne tun?
Ability – Begleiten Sie gezielt
Wer ist (noch nicht) in der Lage das Gelernte umzusetzen?
Wo sind Fragen offen?
Welche Maßnahmen können in der Umsetzung unterstützen?
Reinforcement – Verstärken Sie gewünschtes Verhalten
Welche Erfolge sind messbar?
Wo und wie kann Anerkennung ausgesprochen werden?
Welche Anreize können langfristiges Engagement unterstützen?
Nur mit der Erkenntnis auf der individuellen Ebene, dass jeder ein wichtiger Baustein im ganzen Konstrukt ist und das Tun des Einzelnen etwas ausmacht, kann eine Verhaltensänderung zum digitalen Umgang im gesamten Unternehmen erreicht werden.
Zusammenfassung
- Ordnen Sie Security Awareness als elementar und ganzheitlich ein
- Machen Sie IT-Security zur Chefsache
- Sprechen Sie den Einzelnen an, um ein Gesamtbewusstsein zu erhalten
- Steigern Sie den Informationsgehalt im Laufe der Kampagne
- Schaffen Sie Gelegenheiten und positionieren Sie bekannte Ansprechpartner, um Fragen stellen zu können
Nutzen Sie die Vielfältigkeit digitaler Möglichkeiten, nicht nur statische und bekannte, wie Plakate oder E-Mail. Animierte Videos oder interaktive Lernformate wirken z. B. anregend und motivierend.
Nadine Möller
Senior Consultant IT-Kommunikation, Change- und Akzeptanzmanagement
Judith Borowitz
Senior Consultant IT-Kommunikation, Change- und Akzeptanzmanagement