|  |
Security Awareness aus werbepsychologischer Sicht
 Security Awareness hat sich mittlerweile zu einem viel zitierten Begriff entwickelt. Allerdings ist, wie bei allen Begrifflichkeiten, das Feld der Interpretationen ein weites. Oftmals wird Awareness mit dem Begriff Schulung gleichgesetzt - „Da machen wir halt mal ´ne Schulung und dann wissen unsere Mitarbeiter schon, wo die Probleme liegen und was sie zu tun haben.“ Zwar verfügt der kritische Mitarbeiter nach einer solchen Interpretation von Awareness sehr wohl über das nötige Wissen bzgl. der unternehmensindividuellen Risiken, ob er aber auch die nötige Motivation hat, dieses Wissen in seinem Arbeitsalltag anzuwenden, darf bezweifelt werden. Eine andere Interpretationsvariante bedient sich der Einfachheit halber der Übersetzung aus dem Englischen und spricht vom Sicherheitsbewusstsein der Mitarbeiter, welches es in erster Linie und zuallererst zu verändern gilt. Dem liegt die Annahme zugrunde, dass die „richtige“ Einstellung eindeutig mit sicherheitskonformem Verhalten korreliert.
Auch wenn die beiden Beispiele den Begriff Security Awareness verkürzt darstellen, so beinhalten sie doch zwei zentrale Elemente der Awareness-Arbeit: Zum einen das Wissen, was zu tun ist sowie zum zweiten der innere und oder äußere „Anreiz“, dieses Wissen anzuwenden. Bei der systematischen Erschließung der letztgenannten Komponente ist die Nutzung grundsätzlicher Erkenntnisse der Werbung hilfreich.
Werbepsychologischer Hintergrund
In der unternehmensinternen Kommunikation konkurriert Sicherheit mit einer Vielzahl weiterer, wichtiger Themen. Damit es von den Mitarbeitern aber als „Top-Thema“ wahrgenommen wird, ist es erforderlich, Sicherheit systematisch im Unternehmen „zu vermarkten“. Dies bedeutet, sich der grundlegenden Erkenntnisse der allgemeinen Psychologie (Wahrnehmung, Lernen, Persönlichkeit), der Sozialpsychologie (psychische Prozesse aufgrund sozialer Interaktion), der Soziologie (soziale Schicht, Normen, Gruppendruck) sowie der Biologie und Medizin (Aktivierung und Reizverarbeitung) zu bedienen, um das Thema wie gewünscht bei den „internen Kunden“ zu platzieren.
Werbewirkungsmodelle
Um ein Produkt, oder, wie hier, ein bestimmtes Thema effektiv und effizient zu vermarkten, ist die Kenntnis der Wirkungszusammenhänge von Werbung erforderlich. Vergleicht man die bekanntesten Modelle der Werbewirkung miteinander, so lassen sich verschiedene Stufen psychologischer Zielgrößen ableiten. In den meisten Modellen geht es zunächst darum, eine bestimmte Sinneswirkung zu erzielen, die durch Begriffe wie Aufmerksamkeit, Interesse oder Bewusstheit am besten zu umschreiben ist. Als letzte Stufe wird fast durchgängig eine bestimmte Verhaltenskomponente genannt. Im klassischen Werbekontext ist das der Kauf als solcher, im Kontext Awareness ist es sicherheitskonformes Verhalten. Zwischen den beiden Polen Sinneswirkung und finales Verhalten vollzieht sich je nach Modell ein Prozess der unterschiedlich differenzierten, kognitiven und emotionalen Auseinandersetzung mit dem beworbenen Produkt oder Thema.
Konrad Lorenz, einer der bedeutendsten Verhaltensforscher des vergangen Jahrhunderts, weist recht anschaulich darauf hin, dass es mit der Kommunikation - und wir reden bei der unternehmensinternen Vermarktung von Sicherheit im Wesentlichen von Kommunikation - nicht ganz so einfach ist. Werbung und Security Awareness haben dennoch dieselbe Zielsetzung: Eine nach vorher definierten Kriterien abgegrenzte Gruppe von Menschen soll ein bestimmtes Verhalten zeigen und langfristig beibehalten. Im Falle der Werbung ist die Zielgröße Kauf bzw. Wiederkauf, im Fall des Themas Sicherheit soll das Verhalten der Mitarbeiter den Sicherheitsrichtlinien und -prozessen eines Unternehmens entsprechen.
Black Box Mensch
Ob Mitarbeiter dem Thema Sicherheit entsprechende Bedeutung zukommen lassen und im Ergebnis sicherheitskonform handeln, basiert auf einem nicht beobachtbaren, individuellen Entscheidungsprozeß, bei dem verschiedene psychische und soziale Einflussfaktoren mit einfließen (siehe Abbildung).
Auswirkung auf die Kommunikation in Sachen Sicherheit
Der Empfänger macht die Botschaft
Sicherheitsbezogene Kommunikation gleicht einem Spagat zwischen fachlich-inhaltlicher Richtigkeit und ansprechenden, leicht verständlichen Inhalten. Da allein der Empfänger bewusst oder unbewusst entscheidet, ob und welche Wirkung das Gesendete hat, ist er letztendlich der Souverän der Botschaft. Deshalb ist es unerlässlich, die Interessenslage der Zielgruppe(-n) genau zu kennen, um die dazu passenden (Sicherheits-)Botschaften zu senden.
Beteiligung statt „ja und amen“
Der Empfänger der Sicherheitsbotschaft ist in den seltensten Fällen willfähriger Befehlsempfänger sondern vielmehr aktiver Mitstreiter in Sachen Sicherheit. Als solcher will er sich auch behandelt wissen. Das bedeutet zum einen, dass die konstruktive Auseinandersetzung mit dem Thema Sicherheit kein Tabu in der sicherheitsbezogenen Kommunikation sein darf. Es bedeutet zum anderen, den Mitstreiter zu aktivem Handeln zu bewegen, und, wo immer möglich die persönliche Kommunikation mit ihm zu suchen, um so einen nachhaltigeren Eindruck bei ihm zu hinterlassen.
Sicherheit geht uns alle an – an jedem Ort und zu jedem Zeitpunkt. Dass es sich dabei nicht um eine abstrakte Aussage handelt, darf den Mitarbeitern ab und an auch gern praktisch (z.B. im Rahmen eines „Clean Desk Checks“) vermittelt werden. Ein solches Vorhaben erzeugt nicht nur Aufmerksamkeit, sondern vermittelt jedem einzelnen Mitarbeiter das Gefühl der individuellen Verantwortung für Sicherheit. Selbst bisher Unbeteiligten werden so Augen und Ohren geöffnet.
Kommunikation im Kontext Kultur
Kommunikation ist immer „gefärbt“, sei es durch die Situation oder den sozialen Kontext in den sie eingebettet ist. Die Art und Weise wie und was in einem Unternehmen kommuniziert wird, ist auch Ausdruck der Unternehmenskultur und erfolgt nach bestimmten impliziten und expliziten Regeln. Diese Regeln sollte die Awareness-Kommunikation grundsätzlich beachten. Wo es sinnvoll und erforderlich ist, darf sie hinsichtlich Form und Inhalt auch ungewohntes Terrain beschreiten, um die gewünschte Aufmerksamkeit für Sicherheit zu schaffen. Dabei sind Fingerspitzengefühl und das richtige Maß gefragt, denn allzu schnell kann sich der gewünschte Effekt auch ins Gegenteil wandeln.
Genauso, wie Kommunikation sich an den Bedürfnissen definierter Zielgruppen orientiert, gilt es Kommunikation den besonderen Erfordernissen unterschiedlicher Kulturkreise anzupassen, insbesondere wenn auf einen Pool bereits existierender Awareness-Materialien zurückgegriffen werden kann.
Awareness-Kommunikation will systematisch geplant und umgesetzt sein
Insbesondere bei großen, international agierenden Unternehmen sprechen wir in den seltensten Fällen von zwei, drei voneinander abgrenzbaren Zielgruppen. Schnell kann hier das halbe oder ganze Dutzend voll werden.
Die für die einzelnen Zielgruppen beschlossenen Awareness-Maßnahmen sollten so koordiniert sein, dass sie sich zu einem schlüssigen Gesamtbild zusammen fügen. Damit Systematik, Konsistenz und die definierten Kommunikationsziele erreicht werden, bedarf es eines „Kümmerers“, der ein stets wachsames Auge auf das Gesamtbild wie auch den zeitlichen und finanziellen Rahmen der Einzelmaßnahmen hat.
Schlüssiger Gesamtrahmen erforderlich
Awareness-Kommunikation ist nur „die halbe Miete“ – sie muss in den Gesamtkontext „Mensch im Unternehmen“ eingebettet sein. Dieser basiert auf den Ergebnissen einer Analyse der Unternehmens- und daraus abgeleitet der Sicherheitskultur. Zu diesem Gesamtrahmen gehören wiederkehrende und zielgruppengerecht ausgestaltete Präsenz- oder webbasierte Schulungen, die mit dokumentierbarem Erfolg von allen Mitarbeitern zu durchlaufen sind. Die Frage: „Haben wir das gewünschte Ziel erreicht?“ kann mittels verschiedener Befragungs- und Beobachtungsmethoden wie z.B. Audits, Social Engineering Assessments, Analyse von Sicherheitsvorfällen, etc. beantwortet werden. Die daraus gewonnenen Erkenntnisse geben wiederum Input für weitere, Lücken schließende Maßnahmen. Ganzheitliche Awareness-Arbeit ist damit stetige und langfristig angelegte Kommunikation, Change Management und in manchen Fällen ein stückweit Organisationsentwicklung.
Erfolgsmessung
Wie bereits aufgezeigt wurde, sind die Einflussfaktoren im Rahmen des individuellen Entscheidungsprozesses (siehe Black Box Mensch) sehr vielfältig. Awareness ist damit eben nicht nur Einstellungssache. Modelle, die den Erfolg von Awareness-Maßnahmen ausschließlich anhand veränderter Einstellungen von Mitarbeitern messen, greifen deshalb zu kurz. Zudem zeigen wissenschaftliche Erkenntnisse, dass der Zusammenhang zwischen innerer Einstellung und tatsächlichem Verhalten vergleichsweise schwach ist. Wichtig ist vielmehr, die eigentliche Erfolgszielgröße, sprich die Handlungsausprägung respektive das Verhalten der Mitarbeiter zu messen und in die Erfolgsbeurteilung von Security Awareness-Maßnahmen mit einzubeziehen.
Fazit: „Die Hälfte meiner Werbeausgaben ist verschwendet“, meinte einst der amerikanische Kaufhausunternehmer John Wanamaker. „Das Problem ist: Ich weiß nicht, welche Hälfte.“ Diesem Zitat folgend, bedeutet Kommunikation im Kontext Awareness nicht nur „ein bisschen sicherheitsbezogene Kommunikation zu machen“, sondern Kommunikation richtig zu machen. Wird sie systematisch geplant und umgesetzt, ist Kommunikation ein wichtiger Erfolgsfaktor für Security Awareness und Compliance. Dies setzt ein klares Bild der einzelnen Zielgruppen voraus, damit die richtigen Botschaften formuliert werden, zu den richtigen Zeitpunkten und über die richtigen Medien gesendet werden, um bei den richtigen Adressaten „ins Schwarze zu treffen“.
So verstanden, kann das eigentliche Ziel, nämlich die dauerhafte sicherheitskonforme Verhaltensänderung, effektiv, effizient und nachhaltig erreicht werden.
01/2008, Michael Helisch
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | Kostenlose Praxishilfe der COMCO AG beschreibt technische Lösungsalternativen und unterstützt bei der Analyse des unternehmensindividuellen Handlungsbedarfs ... | |  | | Ein von Grazer Forschern veröffentlichter Bericht bezeichnete Google unlängst als "größte und mächtigste Detektei der Welt". Durch Data Mining - dem systematischen Durchsuchen von User-Datenbanken nach verwertbaren Informationen - habe das Unternehmen ... | |  | | In einer Keystone-Studie wurden die ERP-Lösungen von Microsoft Dynamics und SAP hinsichtlich ihrer Akzeptanz und Nutzung verglichen. | |  | | Investitionen in den Betrieb der bestehenden Sicherheitsinfrastrukturen, sei es als Inhouse Lösung oder als Managed Service, dominieren klar vor der Anschaffung neuer Sicherheitskomponenten ... | |  | | McAfee Research weist darauf hin, dass laxe Gewohnheiten im Umgang mit Passwörtern die Anwender anfälliger gegenüber Online-Betrug machen | |
Beiträge aus anderen Themenbereichen | | |
|  | | Um auf die Anforderungen des Marktes schneller und flexibler reagieren zu können, hat die Volkswagen Zubehör GmbH ihr Finanzreporting einer radikalen Frischzellenkur unterzogen... | |  | | Am 12. Oktober 2010 dreht sich auf dem Kongress der VOICE Days plus alles um aktuelle Strategien für die erfolgreiche Gestaltung der Kundeninteraktion. Interview mit Nils Müller, CEO & Founder TrendONE und Keynote-Speaker... | |  | | Gerade in kleineren und mittelständischen Unternehmen wird oft aus Zeit- und Budgetgründen die Optimierung der eigenen Website für Suchmaschinen vernachlässigt... | |
| | | |
