![[Info-Plakat: Meinen Laptop kriegt niemand in die Hände! zeigt einen Mitarbeiter, der einen Koffer fest umklammert, der an sein Handgelenk gekettet ist]](07-6-068-1.jpg)
Eine persönliche Ansprache mit "Identifikationspotenzial" sowie Interaktion und erkennbarer Nutzen sind wesentliche Erfolgsfaktoren einer Awareness-Kampagne.
Maßnahmen zur Sensibilisierung von Mitarbeitern für das Thema Sicherheit ersetzen keine strukturierten Sicherheitskonzepte, sie wecken jedoch Verständnis für Sicherheitsrichtlinien und motivieren Mitarbeiter dazu, diese einzuhalten. Im Mai und Juni dieses Jahres führte die Fiducia IT AG eine unternehmensweite Security-Awareness-Kampagne durch. Sicherheit ist für das Unternehmen als IT-Dienstleister von rund 800 Volksbanken und Raiffeisenbanken naturgemäß besonders wichtig.
Angesichts der allgegenwärtigen Viren- und Hacker-Thematik wird gern einmal übersehen, dass ein großer Teil aller Sicherheitsprobleme hausgemacht ist: Seit jeher landen jedoch "Irrtum und Nachlässigkeit eigener Mitarbeiter" in den <kes>-Sicherheitsstudien auf Platz 1 der Bedrohungsskala. Zu einem ähnlichen Ergebnis kam auch das britische Beratungsunternehmen Deloitte in seiner "Global Financial Security Survey 2007", für das weltweit 169 Finanzdienstleister zum Thema Sicherheit befragt wurden: In den meisten Fällen entstanden dort Sicherheitslücken aufgrund von Irrtümern, fahrlässigem Verhalten oder durch die Preisgabe sicherheitsrelevanter Daten durch Mitarbeiter.
Um diesen Risikofaktor zu minimieren und Mitarbeiter in eine "unternehmensinterne Firewall" zu verwandeln, empfiehlt Deloitte Betriebsangehörige über Sicherheitsrisiken zu informieren und sie für das Thema Sicherheit zu sensibilisieren: "Unternehmen können das beste Sicherheitssystem installieren. Es wird nicht effektiv funktionieren, solange die Menschen nicht über ihre Pflichten aufgeklärt sind und man ihnen zeigt, wie sie diese erfüllen können", kommentierte hierzu Mike Maddison, Leiter der Sparte Security- und Private-Services bei Deloitte.
Der Erfolg einer Kampagne zur Security-Awareness setzt einige Vorbereitung und vor allem eine gute Konzeption voraus. Besonders wichtig sind dabei eine emotionale Ansprache der Mitarbeiter, um deren Interesse für das Thema Sicherheit zu wecken, sowie die Messbarkeit der Projekt-Ergebnisse.
Gut informierte und verantwortungsbewusste Mitarbeiter können für eine Vielzahl von Unternehmen heute von großer strategischer Bedeutung sein und einen entscheidenden Erfolgsfaktor darstellen – für die Fiducia als IT-Dienstleister für Banken gehört Sicherheit klar zu den Markenwerten. Die Kunden der Fiducia müssen sich schließlich darauf verlassen können, dass ihre hochsensitiven Daten sicher verwahrt sind und ihr Dienstleister in hohem Maß in die IT-Sicherheit investiert. Die Fiducia setzt dabei neben technischen Sicherheitslösungen sowie organisatorischen Prozessen und Richtlinien auch auf die kontinuierliche Sensibilisierung der Mitarbeiter und Kunden.
Eine persönliche Ansprache mit "Identifikationspotenzial" sowie Interaktion und erkennbarer Nutzen sind wesentliche Erfolgsfaktoren einer Awareness-Kampagne.
Voraussetzung für sicherheitsbewusste Mitarbeiter ist nicht zuletzt der offene und offensive Umgang eines Unternehmens mit dem Thema IT-Sicherheit: Fiducia-Mitarbeiter können daher permanent auf umfangreiche Informationen über die IT-Sicherheitsanforderungen und die Sicherheitspolitik des Unternehmens zugreifen. Bereits seit April 2002 informiert die Fiducia Kunden und Mitarbeiter auf einem eigenen Security-Portal im Extranet über Sicherheitsthemen. Die IT-Sicherheitsleitlinien für die Mitarbeiter enthalten beispielsweise auch Hinweise auf die Sicherheitsstandards, denen sich das Haus verpflichtet. Sie basieren auf dem IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI) und sind sowohl für Mitarbeiter als auch für Vertragspartner, Berater und Zulieferer bindend.
Um möglichst alle Facetten des Themas Sicherheit für die Mitarbeiter zu beleuchten und den Markenwert Sicherheit innerhalb des Unternehmens weiter zu stärken, hat die Fiducia unter der Leitung der "Zentralen Security" und des Bereichs "Marketing und Kommunikation" im Frühsommer dieses Jahres zudem die eingangs beschriebene Awareness-Kampagne durchgeführt.
Vor der eigentlichen Konzeption wurden im Hause sechs Schwerpunkte definiert, die durch die Kampagne erreicht werden sollten:
Bereits bei der Definition dieser Ziele gab es eine klare Kommunikationsstrategie, bei der die Einbindung der Unternehmensleitung eine wichtige Rolle gespielt hat. Denn die Sicherheit innerhalb eines Unternehmens muss Teil der Unternehmenskultur sein und von den Entscheidungsträgern vorgelebt werden. "Führungskräfte haben einen Vorbildcharakter, was sicherheitsbewusstes Verhalten angeht, und sind eine glaubwürdige Informationsquelle", begründet Dr. Christa von Waldthausen als Leiterin "Marketing und Kommunikation" dieses Commitment. Aus diesem Grund wurde die Kampagne von Anfang an mit dem Vorstand der Fiducia abgestimmt, Führungskräfte und Mitarbeitergremien rechtzeitig vor Beginn der Aktion informiert und mit weiterführenden Informationen über die Ziele und die Umsetzung der Kampagne versorgt. Wichtig war auch, dass alle Mitarbeiter persönlich von der Unternehmensführung über den Start der Kampagne informiert wurden.
"Information und Spaß miteinander verbinden" war der Leitgedanke bei der finalen Konzeption: "Unsere Mitarbeiter sollten sich freiwillig und motiviert an den verschiedenen Aktionen beteiligen. Schließlich sollte die Kampagne Wertschätzung für das Thema Sicherheit hervorrufen", betont von Waldthausen. Neben klassischen Kommunikationsmitteln wie Plakaten oder Faltblättern wurden auch moderne Kommunikationselemente eingebunden, um so die Aufmerksamkeit zu erhöhen und möglichst alle Mitarbeiter auch auf emotionaler Ebene zu erreichen.
----------Anfang Textkasten----------
Anregen statt belehren: Sorgen Sie für eine positive emotional-affektive Ansprache!
Weniger ist mehr: Konzentrieren Sie sich auf das Wesentliche!
Kommunikation auf hohem Niveau: Ein integrierter Maßnahmenmix spricht alle an.
Alle ziehen an einem Strang: Eine Einbindung der Führungskräfte ist unerlässlich!
----------Ende Textkasten----------
Hierzu griff man zudem einen aktuellen Trend auf, um Wissen auf spielerische Art zu vermitteln: Ein interaktives Wissensquiz mit Game-Show-Charakter, das fünf Wochen lang Wissen zum Thema Sicherheit abfragte, bildete den Mittelpunkt der Security-Awareness-Kampagne. Aus Datenschutzgründen registrieren sich die Mitarbeiter dazu nicht auf Fiducia-Servern, sondern auf Systemen einer beauftragten Agentur. Als "Publikums-Joker" konnten die Mitarbeiter im Intranet Security-Tipps abonnieren, die beim Beantworten der Fragen halfen.
Vier Filme im Comedy-Stil klärten die Mitarbeiter außerdem über verschiedene Sicherheitsaspekte wie Passwortschutz, Versand vertraulicher Daten und den Umgang mit infizierten E-Mails, den Schutz mobiler Geräte sowie Verhaltensregeln zum Schutz vertraulicher Informationen auf. "Wissensvermittlung funktioniert am besten mit Geschichten. Der Anekdoten-Charakter der Filme funktionierte hier als Erkenntnisbeschleuniger", erklärt von Waldthausen das Konzept der Kurzfilme.
Um eine Identifikation der Mitarbeiter mit den dargestellten Szenen zu erhöhen, waren darüber hinaus alle Akteure in den Filmen Fiducia-Mitarbeiter. Die Filme wurden im Sinne des so genannten viralen Marketings durch die Mitarbeiter versendet, die Verbreitung erfolgte also durch Mund- und Mail-Propaganda – zudem liefen die Filme im Betriebsrestaurant. Die Spots verteilen sich in Windeseile im gesamten Unternehmen und waren gleichzeitig Gesprächsthema bei den Mitarbeitern.
Begleitet wurde diese Aktion von ausführlichen Informationen über das Thema Sicherheit im Intranet auf Plakaten und Faltblättern. Höhepunkt der Kampagne war der Security-Cup, das Abschluss-Event am Karlsruher Hauptsitz, zu dem alle Fiducia-Mitarbeiter eingeladen waren und bei dem die Gewinner des interaktiven Wissens-Quiz ihre Preise in Empfang nahmen.
![[Info-Plakat: An mein Passwort kommt niemand ran! zeigt einen Mitarbeiter, der einen Zettel mit notiertem Passwort isst]](07-6-068-2.jpg)
Mitarbeiter sollten emotional und "auf Augenhöhe" angesprochen werden – "erhobene Zeigefinger" sind fehl am Platze.
Führen Unternehmen Aufklärungs- oder Sensibilisierungs-Kampagnen durch, werden häufig kritische Stimmen laut: Wie kann man anschließend die (veränderte?) Einstellung der Mitarbeiter zu einer bestimmten Problematik feststellen? Den Organisatoren war von Anfang an klar, dass eine Kampagne, die auf das Verhalten und die Einstellung der Mitarbeiter Einfluss nehmen soll, auch mess- und auswertbar sein muss. So sind die gewonnenen Erkenntnisse eine wichtige Grundlage für die Konzeption zukünftiger Projekte, themenverwandte Aufklärungsarbeit und Schulungen.
Schon erste Zahlen zeigten, dass die Aktion sehr gut angenommen wurde: Jeder zweite Mitarbeiter nahm an dem interaktiven Wissensquiz teil, die Zugriffe auf das Security-Portal im Intranet stiegen im Aktionszeitraum auf das Zehnfache.
Das Sicherheitsbewusstsein der Mitarbeiter und die Qualität der durchgeführten Maßnahmen sollten aber ebenfalls evaluiert werden: Für eine objektive Erfolgskontrolle und um Vergleichszahlen für zukünftige Security-Awareness-Kampagnen zu gewinnen, entschied sich die Fiducia für die Zusammenarbeit mit Prof. Dr. Konrad Zerr vom Steinbeis-Beratungszentrum "marketing.intelligence.consulting". Zerr hat einen Security-Awareness-Index (SAI) für das Sicherheitsbewusstsein von Unternehmensmitarbeitern entwickelt: eine verdichtete Kennzahl, die auf Basis eines standardisierten Fragebogens ermittelt wird. Das Ergebnis kann zwischen 0 und 100 Prozent liegen, wobei der Wert 100 einem "maximalen" Sicherheitsbewusstsein entspricht. Die verwendete Methode ist wissenschaftlich fundiert, der SAI eines Unternehmens lässt sich daher mit den Werten anderer Unternehmen vergleichen.
Im Auftrag der Fiducia lud Zerr kurz nach Ende der Kampagne sämtliche Fiducia-Mitarbeiter dazu ein, den SAI-Fragebogen online auszufüllen. Der Index liegt demzufolge bei gut 73 %, das Sicherheitsbewusstsein erwies sich bei den Mitarbeitern als sehr gut ausgeprägt. Im Benchmarking mit Unternehmen vergleichbarer Größe kam Steinbeiss zu dem Ergebnis, dass der Anteil an sicherheitsbewussten Mitarbeitern höher und der an weniger sicherheitsbewussten Mitarbeitern geringer ist. Besonders hebt Steinbeiss den "sehr guten Awareness-Wert" der Kampagne hervor.
Kritik an der Kampagne wurde seitens der Mitarbeiter nur verhalten geäußert: Einige wenige fühlten sich durch die ständige Präsenz der Kampagne irritiert, andere stellten das Kosten-Nutzen-Verhältnis infrage. Positive Stimmen gab es dagegen für die verschiedenen Kampagnenelemente: Besonders viel Lob erhielten die Videos und die Plakate für ihre Originalität. Insgesamt hat die Security-Awareness-Kampagne ihre Ziele erreicht, und vor allem eine unternehmensinterne Diskussion zum Thema IT-Sicherheit angekurbelt. Fast alle Mitarbeiter gaben an, mit Kollegen, Vorgesetzten und teilweise sogar mit Freunden und Familienangehörigen über IT-Sicherheitsrisiken diskutiert zu haben. Im September wurde die Kampagne zudem als "ein herausragendes Projekt der betrieblichen Sicherheit" mit dem Sicherheitspreis des Landes Baden-Württemberg ausgezeichnet.
Lutz Bleyer ist Leiter "Zentrale Security" bei der Fiducia IT AG.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#6, Seite 68
tag:kes.info,2007:art:2007-6-068
| 