Awareness 2012/13: Teil 3
Menschen, Medien und Geschichten
Medien, die zu Awareness-Kampagnen dienen sollen, müssen auf die jeweiligen Zielgruppen zugeschnitten sein. Alter, Bildung und Art der Tätigkeit sind dabei nur einige der bestimmenden Faktoren. Wichtiger als der Kanal der Vermittlung ist jedoch immer noch die eingängige inhaltliche Aufbereitung der sperrigen Themen IT-Sicherheit und Datenschutz.Die Frage, wie man die Mitarbeiter eines Unternehmens für Fragen der Informationssicherheit überhaupt noch erreicht, resultiert aus einem der Grundprobleme der Informationsvermittlung in der modernen Zeit. Angesichts der allgemeinen Reizüberflutung durch Medien und Kommunikationskanäle sowohl im Privatleben als auch am Arbeitsplatz hat es eine Sicherheitsabteilung mit ihrem begrenzten Budget schwer, das Grundrauschen von E-Mails, Short und Instant Messages, Videokonferenzen, Telefonaten auf allen Kanälen und mehr oder weniger interaktiven Video-Events im Internet und im klassischen Fernsehen mit ihren Anliegen zu übertönen. Als Notanker der Wahl betrachten viele Unternehmen Internet-gestützte Online-Kurse mit obligatorischer Wissensabfrage am Schluss. Die Pflicht zur Teilnahme scheint den notwendigen Grad an Aufmerksamkeit automatisch zu garantieren. Selbst wenn man die Teilnahme an diesen Web-Schulungen - oft auf Wunsch der Arbeitnehmervertreter - konsequent anonymisiert, lässt sich technisch gut festhalten, ein wie großer Anteil einer Belegschaft "erfolgreich" daran teilgenommen hat. Damit ist der Dokumentationspflicht für den Datenschutzbeauftragten und eventuelle Sicherheits-Management-Systeme Genüge getan. Wenn allerdings wiederholt dieselbe Schulung ohne Veränderungen zu absolvieren ist, fällt die reale Wirkung des Verfahrens gering aus. Mitarbeiter klicken sich dann möglichst schnell durch den allzu bekannten Fragenkatalog und vergessen sofort wieder, was sie laut Dokumentation soeben gelernt haben. CISOs und Datenschützer, die tatsächlich etwas erreichen wollen, müssen also deutlich mehr Mühe aufwenden. Ein erster Schritt dazu ist die Ermittlung der verschiedenen Zielgruppen in der eigenen Organisation, die durchaus völlig unterschiedliche Präferenzen bei der Mediennutzung haben können. Zielgruppen und mediale Präferenzen Die Zielgruppen im Unternehmen ergeben sich aus den verschiedenen Verantwortungsebenen (Führungskräfte, Mitarbeiter ohne Führungsaufgaben, Personalverantwortliche etc.), den Tätigkeiten und ihren praktischen Folgen (Innendienst, Außendienst, Home Office, Produktion, Entwicklung, IT-Administration etc.) und überlagernden Faktoren wie dem Alter oder - wiederum unabhängig davon der Professionalität im Umgang mit komplexer abstrakter Materie und Medien (Digital Natives, Silver Surfer, Akademiker, Medienprofis und etc.). Kaum ein Unternehmen wird es schaffen, allen Zielgruppen gleichermaßen individuell aufbereitete Inhalte zu liefern. Zumindest die Hauptzielgruppen oder solche, um die herum ein besonders hohes Informationssicherheitsrisiko besteht, sollten jedoch in jedem Fall gezielt angesprochen werden. Ein typisches Beispiel für eine "besondere" Gruppe wäre ein hoch kreatives Designerteam, das zugleich über besonders vertrauliche Informationen verfügt und eine eher freie Kommunikationskultur pflegt. Eine intensive Auseinandersetzung mit dem Thema "Zielgruppen" lohnt sich, denn oft genug übersehen Verantwortliche für IT-Sicherheit besonders heikle Gruppen, etwa die externen Dienstleister oder die Web-Entwickler aus den eigenen Reihen. Gerade Personen, die sich selbst als Profis im Umgang mit Informationen verstehen, sind anfällig dafür, Sicherheitslücken aufzureißen. Häufig besteht die Aufgabe eines Awareness-Verantwortlichen darin, die wichtigsten Zielgruppen so prägnant wie möglich anzusprechen. Es kann sich lohnen, für ein junges und kreatives Team kurze Videos zu produzieren, oder eine Abteilung, in der Theoretiker mit traditionellem akademischem Hintergrund arbeiten, mit professionell formulierten Hintergrundinformationen zu versorgen. Der CIO sollte sich dazu genau ansehen, auf welchen Wegen die jeweiligen Personen im Rahmen der Unternehmenskultur gewöhnlich die für sie wichtigsten Businessinformationen aufnehmen. Dies können bei der Digital-Native-Generation bereits soziale Medien oder Info-Boards und Blogs sein - in solch einem Fall mag es sogar sinnvoll sein, über eine interne Security-Community nachzudenken. Oft gib es aber auch viel einfacher zu nutzende Ansatzpunkte. In manchen Unternehmen verfolgen wirklich alle Mitarbeiter regelmäßige Videobotschaften der Geschäftsleitung, in anderen findet sich eine besonders beliebte Kolumne in der Firmenzeitung. Die interne Kommunikation, Schulungsabteilungen für andere Themen oder die Personalabteilung können über solche Kristallisationspunkte der Aufmerksamkeit Auskunft geben. Entscheidend ist außerdem, den Mitarbeitern mit der Medienauswahl zu signalisieren, dass man sie und ihre Aufgabe ernst nimmt. Führungskräfte sollten darüber informiert sein, wie sie Sicherheit als Führungsaufgabe bewältigen können, und über Hilfsmittel wie Check-Listen und Leitfäden verfügen. IT-Fachkräfte wiederum wollen grundsätzlich als Profis in Fragen der IT-gestützten Kommunikation angesprochen werden: Bei ihnen sollte man beispielsweise tunlichst vermeiden, technische Vorgänge weitschweifig zu erklären. Marketing- und PR-Spezialisten oder Designer schließlich wenden sich von sprachlich und medial laienhaft aufbereiteten Informationen schnell ab. Solch "schwierige" Gruppen lassen sich jedoch gut in die Entwurfsphase von Awareness-Maßnahmen einbinden und damit zu Verbündeten der Initiatoren machen. Es gibt durchaus spezielle Umgebungen, in denen die gesamte Problematik der Medienwahl eine geringere Bedeutung für den Erfolg einer Awareness-Maßnahme hat. Dies ist typischerweise dann der Fall, wenn bestimmte Aspekte der Informationssicherheit aus Sicht der Mitarbeiter so sehr zum Alltagsgeschäft gehören, dass sie sich freiwillig darüber informieren. In Kliniken etwa bildet die ärztliche Schweigepflicht eine derartige Basis. Mitarbeiter von Unternehmen, die "geheime" Produkte - etwa fürs Militär - produzieren, sind ebenfalls gut vorsensibilisiert. Gleiches gilt für Firmen, deren Existenz offensichtlich von der Vertraulichkeit einzigartiger Verfahren, Formeln oder Produktkomponenten abhängt. Selbstverständlich ist es auch dort überaus wichtig, Medien auszuwählen, die den Erwartungen der Mitarbeiter entgegenkommen, aber das besonders wichtige Anfangsinteresse der Zielgruppen liegt deutlich höher. Online-Schulung ohne Lock-in-Effekt Komplette Online-Lernsysteme "von der Stange", die lediglich eine gewisse Anzahl vorgefertigter Module zur Auswahl anbieten, und die darüber hinaus nur minimale Anpassungen an die Kunden-CI (Einbau des Logos, grundsätzliche Farbgestaltung) ermöglichen, sind meist besonders preiswert. Der Kunde kann sie später jedoch oft nur mühsam modifizieren oder benötigt dazu die Hilfe des Anbieters, der für derartige Arbeiten dann mitunter recht hohe Preise veranschlagt. Erstellt ein Dienstleister ein individuelles System, räumt er dem Kunden möglicherweise auch nicht die vollständige Herrschaft über Layout und Content ein. Ein guter Mittelweg besteht darin, Produkte von Anbietern zu beziehen, die Content im Format eines Standard-Editors erstellen, der Inhalte als HTML-Seiten oder kompatibel zur Lernsystem-Schnittstelle SCORM exportieren kann. In diesem Fall hat der Kunde bei entsprechender Vertragsgestaltung mit dem Lieferanten die Möglichkeit, die Editor-Software selbst vorzuhalten und Änderungen abhängig vom Umfang in eigener Regie vorzunehmen oder erneut nach außen zu vergeben. Wichtig ist dies, weil Lernsysteme, die sich inhaltlich und medial nicht weiterentwickeln, für die Mitarbeiter schnell langweilig werden. Hinzu kommt, dass auch Aktualisierungen von Gesetzen und Normen, die Änderungen von Verfahren im Unternehmen oder die Bereitstellung des Inhalts für unterschiedliche Umgebungen und Arbeitsplätze (mit Ton/ohne Ton etc.) häufig Modifikationen notwendig machen. Sanfte Erinnerungen So attraktiv die Arbeit mit einem Online-System allerdings auch sein mag, so sehr wächst die Nachhaltigkeit einer entsprechenden Maßnahme durch das Überschreiten von Mediengrenzen. Tauchen Motive aus den Web-gestützten Lerninhalten und vielleicht sogar eine speziell entworfene Identifikationsfigur von Zeit zu Zeit auch einmal in der Unternehmenszeitschrift oder auf Plakaten auf, wirkt dies dem üblichen Abflauen der Aufmerksamkeit bis zur nächsten Pflichtschulung entgegen. Ein im Jahresgespräch mit dem Vorgesetzten verteilter Flyer ist ebenfalls hilfreich, und auch die bekannten Gadgets mit Bezug auf Fragen oder Fallbeispiele aus einem Lernkurs (Kugelschreiber oder Notizzettel mit Aufdruck "nicht für Kennwörter" etc.) behalten ihre Bedeutung. Wirksame Geschichten Bei aller Aufmerksamkeit, die den Medien zu widmen ist: Die Wirkung eines fesselnden Inhalts in der richtigen sprachlichen Form übertrifft die Bedeutung jedes medialen Aufwands bei Weitem. Vor allem Geschichten leisten dabei viel. Die Welt der IT-gestützten Kommunikation ist für viele Anwender in den Unternehmen so abstrakt, dass sie mit statistisch oder technisch begründeten Informationen und den daran gekoppelten Security- und Datenschutzrichtlinien allein wenig anfangen können. Erfahrungen mit Ereignissen wie Betrug, Diebstahl, Spionage und Manipulation oder die Tatsache, dass selbst klugen Menschen Fehler unterlaufen, stellen demgegenüber menschliche Konstanten dar. Sie bilden als vertrauter Kern des zu vermittelnden Inhalts für IT-fremde Personen gute Anknüpfungspunkte, auch den technisch-kommunikativen Kontext besser zu verstehen, der nur den Fachleuten unmittelbar zugänglich ist. Die ENISA etwa erzählt in ihren kostenlosen Awareness-Videos deshalb meist kleine Geschichten aus dem modernen Arbeitsalltag. Manche CISOs und Berater sammeln bewusst anschauliche Berichte rund um prominente Datenskandale, verlinken sie in Intranet-Auftritten und Newslettern oder erzählen sie den Anwendern bei Frontalschulungen. Typische Vorkommnisse, die sich entsprechend nutzen lassen, sind der Fall jenes britischen Antiterrorchefs, der beim Aussteigen aus einem Fahrzeug aus Versehen detaillierte Informationen über eine bevorstehende Verhaftungsaktion von Scotland Yard in die Kameras der Medienvertreter hielt und jener Fehler eines New Yorker Polizeiangestellten, der zu Thanksgiving unzureichend geschredderte Polizeiakten als Konfetti in die Straßen rieseln ließ. Instruktiv ist auch ein Vorfall aus München, der es sogar auf die Titelseiten von Boulevardzeitungen schaffte: Ein Verwaltungsangestellter gab Umschläge, mit denen Bürger Briefwahlunterlagen angefordert hatten, an den Jesuitenorden weiter. Er ging davon aus, dass man dort wie gewohnt die Postwertzeichen ablösen und über den Briefmarkenhandel Geld für gute Zwecke erlösen würden. Stattdessen gelangten die Umschläge zu einem Adresshändler, der die Anschriften - personenbezogene Daten - für Werbezwecke weiterveräußerte. Dies fiel am Ende auf, weil Münchner Prominente, darunter Dieter Hildebrandt, unerwünschte Post an bisher geheim gehaltene Wohnungen geliefert bekamen. Sowohl die Stadt als auch der Jesuitenorden gerieten damit in arge Erklärungsnöte. Gerade diese Geschichte macht verständlich, wie sich eine Fehleinschätzung des Umgangs Anderer mit gesetzlich geschützten, personenbezogenen Daten auswirken kann. Sinnvoll oder nicht? Zum Abschluss dieser Serie lohnt sich ein kurzer Blick auf eine Diskussion, die Dave Aitel und Ira Winkler im Juli 2012 auf der Plattform Csoonline geführt haben. Aitel stellte die Nützlichkeit von Awareness-Maßnahmen grundsätzlich in Frage, weil sie Fehlverhalten nie vollständig eliminieren könnten. Er sprach sich deshalb dafür aus, die Awareness-Budgets lieber den technischen Maßnahmen zuzuschlagen. Außerdem sollten CISOs gegen Projekte mit hohen Sicherheitsrisiken ein Vetorecht haben. Winkler konterte, auch technische Security-Vorkehrungen seien niemals lückenlos wirksam - und brachte dann das wohl wichtigste Argument: In der modernen Informationssicherheit gehe es um Informationen, nicht um IT, und der Umgang des Menschen mit Informationen finde eben nicht nur auf technischen Kanälen statt. Jemand, der sich "Chief Information Officer" nenne, müsse aber auch diesen Bereich adressieren. Damit gehörten Awareness-Maßnahmen zu den effektivsten Maßnahmen für Informationssicherheit überhaupt. Weiterführende Literatur [1] Sebastian Broecker: "Der Awareness? vergessene Kinder", in Kes 5/2012, S.66-70. [2] www.enisa.europa.eu/activities/cert/security-month/material/awareness-raising-video-clips [3] www.berliner-zeitung.de/archiv/chef-der-anti-terror-einheit-tritt-zurueck-scotland-yards-peinliche-panne,10810590,10632750.html
