Awareness ist Psychologie
Erfahrungsgemäß ist die Wirksamkeit der bisher üblichen didaktischen Methoden bzw. Awareness-Maßnahmen im Bereich der IT/Information Security begrenzt. Irgendetwas hält viele Mitarbeiter davon ab, die ihnen weitgehend bekannten Sicherheitsmaßnahmen auch in die Tat umzusetzen. Die Tatsache, dass z.B. Schulungen u.a. Trainingsveranstaltungen an Grenzen stoßen, ohne dass diese Grenzen offensichtlich werden, lässt darauf schließen, dass die Probleme, die durch unachtsame Mitarbeiter entstehen, entweder unbewusst sind oder im Rahmen von didaktischen Settings nicht offen bzw. ungenau oder nicht in ihrer umfänglichen Drastik angesprochen werden.
Auf diese und ähnliche Störstellen und Barrieren werden wir bei known_sense sehr häufig angesprochen. Als Security-Dienstleister, dessen Tools und Services im Bereich Awareness bewusst auf das know-how einer erfahrenen Kommunikationsagentur setzen, erwarten unsere Kunden Antworten auf diese und weitere Fragen zum Thema Awareness, die weder mithilfe herkömmlichen BWL-Lateins noch mit der üblicher Management-Methoden genügend beantwortet werden können.
Zahlreiche Unternehmer und Security-Officer, denen wir unsere Konzepte vorstellen, gehen inzwischen soweit, zu fragen, warum sich Mitarbeiter oder Kollegen - in der Regel überdurchschnittlich begabte und besonnene Menschen - quasi selbst aktiv ENTsichern, auch dann, wenn umfangreiches Security-Wissen bzw. regelmäßig intensive Schulungsmaßnahmen diese ENTsicherungen eigentlich verhindern sollten.
"Vergesslichkeit", sagen die einen. "Faulheit" die anderen. Wir bei known_sense vermuten: Hinter dem, was der Einfachheit halber unter derlei Schlagwörtern und weiteren (austauschbaren) wie etwa "Unkonzentriertheit" oder gar "Sabotage" subsummiert wird, stecken in Wahrheit Verhaltensprinzipien, die nach einer bestimmten "geheimen" Logik funktionieren.
Wenn diese offensichtlich verdeckten Prinzipien untersucht und verstanden werden würden, könnte jedes Unternehmen auch seine Mitarbeiter und deren Verhalten in punkto Sicherheit besser verstehen und sein Personal effizienter einstellen. Um aber diese Mitarbeiter-Verfassungen und die damit verbundenen Wirkprinzipien zu enkodieren, mithin tatsächlich sichtbar werden zu lassen, müssten im Rahmen von Awareness kulturelle Rahmenbedingungen ausgelotet und der Fokus stärker auf Kommunikation und Psychologie gesetzt werden als auf Richtlinien, Kontrolle oder technologische Details, die in der Regel die "eigentlichen" Motive verdecken sollen.
Wie stark Unternehmenskultur mit Information Security verknüpft ist und welche Rolle die Psychologie dabei spielt, lässt sich anhand von Beispielen beschreiben, die hypothetisch mögliche Wirkprinzipien verdeutlichen sollen.
1. Security ad absurdum
Stellen Sie sich vor, ihr ganzes Leben lang wäre Ihnen gesagt worden - und zwar von Ihren Eltern, Tanten und Onkels, von ihren Lehrern, ihren Freunden und sogar von Ihrem Chef und Ihrem Bundestagsabgeordneten -, Sie müssten nur gut in der Schule sein, einen ordentlichen Beruf lernen und Ihren Vorgesetzten folgen um dann nach einem (1!) Job und knapp 40 Jahren Arbeit auf dem Buckel mit 65 eine hübsche Rente zu erhalten. Pustekuchen, wie wir alle wissen. Ähnlich - nur mit umgekehrten Vorzeichen - ergeht es denjenigen, die (noch) über Arbeit verfügen dürfen. Diese sehen sich aktuell über Medien, Unternehmen, deren Interessensverbände und einer zunehmend in wirtschaftlichem Pragmatismus verstrickten Politik mit dem Leitsatz konfrontiert: "Du musst MEHR Risiko eingehen!"
Ein Unternehmen, das Mitarbeiter entlässt, sie mithin ENTsichert und von den Verbliebenen die Aufweichung ihrer Arbeitsplatz-Versicherung fordert, gleichzeitig aber Ihre Information Security in einem hohen Maße kultiviert, kann das Geld für Security Awareness im Grunde direkt aus dem Fenster werfen, wenn es diesen, von den Mitarbeitern zumindest unbewusst wahrgenommenen Widerspruch "Risiko versus Security-Kultur" nicht offensiv durch geeignete begleitende kommunikative Maßnahmen auflöst.
2. Digitaler Nippes
Mehr Risiko bedeutet aber auch mehr Selbstverantwortung und ergibt eine engere Verzahnung von Privatleben und Arbeit. Der Lebensraum wird Arbeitsraum und umgekehrt, die Arbeitsstätte (wenn sie es nicht schon war) zum Lebensmittelpunkt, eine Situation, die u.U. auch mit einer zunehmenden Anonymisierung einhergeht. Was für alle Freiberufler seit jeher Realität darstellt, steht den meisten Angestellten, etwa in Form der sehr trefflich bezeichneten "Ich-AG" noch bevor.
So deuten unsere psychologisch ausgebildeten Berater und Coaches z.B. Passwörter als "Brühwürfel für Wünsche". Denn laut einschlägiger Studien, wählen Mitarbeiter an IT-Arbeitsplätzen als Log-in überwiegend sinnvolle Begriffe und damit "schlechte", sprich triviale Passwörter, die noch dazu in der Regel positive Assoziationen vermitteln, z.B. Namen von Partnern, Kindern oder Freunden oder Begriffe, die mit den Begriffsfeldern Urlaub/Reise/Freizeit und Co. verknüpft sind. Wenn nun Passwörter quasi als Medium genutzt werden, um Beziehungen zu stärken oder Emotionen eine Basis zu verleihen, so sagt das sehr viel über die Unternehmenskultur der hiesigen Companies und die (mögliche) Bindungslosigkeit Ihrer Mitarbeiter. Man beachte in diesem Zusammenhang auch einmal die Nähe der Bezeichnung „Passwort“ zu „Passport“ (Ausweis)!
Nun haben wir aus der Kulturpsychologie über Lebensräume (resp. Arbeitsräume) gelernt, dass der Mensch das Bedürfnis verspürt, seinen Mittelpunkt mehr oder weniger individuell auszugestalten. Kaum ein Büro, in dem nicht auch Fotos der Liebsten Schreibtische zieren oder Aufkleber, Poster, persönliche Kaffeetassen mit eigenem Namenszug ein "Besetzt" proklamieren. "Dies ist der Platz von Hans Schmidt. Hier arbeite ich, habe Erfolge, freue mich und leide. Ich bin Fan von Schalke 04. Und das auf dem Foto ist meine Familie." So oder so ähnlich lauten in der Regel die Botschaften personalisierter Arbeitsplätze.
Was das alles mit Information Security zu tun hat? Ein wie oben beschriebenen Gestaltungsdrang hat bereits seit langem auch den digitalen Raum vollständig erfasst: Statt PE oder Baryt in Rahmen sind es nun Bitmaps auf dem Desktop. Gadgets oder private Favoriten imBrowser und Mails von und an Freunden. Störstellen, die Security-Verantwortlichen die Haare zu Berge stehen lassen, weil sie für Infrastruktur der IT im Unternehmen ein erhebliches Risiko darstellen. "Digitaler Nippes", behaupten die meisten Administratoren (und sind dabei meist selber die "schlimmsten Dekorateure").
Unternehmen, die allerdings eine private Ausgestaltung und Nutzung von IT-Arbeitsplätzen untersagen, fördern bei Ihren Mitarbeitern, durch das bloße Verbot der Arbeitsplatzgestaltung ein seelisches Vakuum, das dann durch Verlagerung auf andere Szenarien wieder belebt und bewegt werden will, z.B. durch sinnige und somit triviale Passwörter (s.o.) oder eine Verlebendigung, die sich Sicherheitslücken zunutze macht.
3. Security-Lecks als Verlebendigung
Denn gerade dort, wo der mechanische, IT-gestützte Umgang dem zu Routine erstarrten (Arbeits-)Leben auch den letzten Funken an Thrill nimmt, sind z.B. Malware und Cybercrime eine willkommene Abwechslung, die Mitarbeitern zu (Ersatz-)Spannung verhilft, wenn eine solche durch Arbeit bzw. individualisiertem Arbeitsumfeld nicht gewährleistet ist. Unterm Strich ist z.B. die "Einladung" an einen Hacker, etwa über eine aktive ENTsicherung eines Mitarbeiters, eine äußerst erfolgsversprechende Strategie, Beziehungen zu schaffen.
Grundsätzlich ist anzunehmen: Je mehr Security-Policies die Individualität am Arbeitsplatz einschränken, je restriktiver diese gehandhabt werden, umso größer der Wunsch des Einzelnen nach weiterem Spielraum und umso spannender die Wahrnehmung von Sicherheitslücken und das Austesten ihrer Folgen – eine Dynamik, die bestimmten Persönlichkeiten offensichtlich einen regelrechten Kick versetzen kann.
Fazit: Unternehmen, die im Falle von Stellenabbau selber ENTsicherung betreiben, die individuelle Ausgestaltung und private Nutzung von IT-Arbeitsplätzen restriktiv behandeln oder über Unternehmenskultur oder den falschen Einsatz von Technologie Anonymisierung fördern, sollten geplante Awareness-Massnahmen zum Thema Security als integrierte Kommunikationskampagne ausrichten, mögliche Widersprüche in ihrer Unternehmenskultur offensiv und transparent anpacken und täten darüber hinaus gut daran, bindungslosen Mitarbeitern Alternativen zur Entfaltung ihrer Persönlichkeit anzubieten - im Idealfall über die maximale Beschleunigung von Selbstverantwortung des Einzelnen.
<hr>"ENTsicherung am Arbeitsplatz - Die geheime Logik derIT/Information Security in Unternehmen"
Um die hier beschriebenen und andere Beobachtungen zu verifizieren und weitere psychologische Faktoren auszuloten, die der Optimierung von Awarenessmaßnahmen dienen, wird known_sense im Sommer 2006 und in Kooperation mit psychologischen Marktforschern eine Studie unter dem Arbeitstitel "ENTsicherung am Arbeitsplatz - Die geheime Logik der IT/Information Security in Unternehmen" produzieren. Die Untersuchung hat zum Ziel, die ‚eigentlichen’, wahrscheinlich z. T. unaussprechbarenAspekte zu ergründen, die im Umgang mit dem Thema IT/Information Security eine Rolle spielen.
© 2012 FEiG & PARTNER