Cybersicherheit : Vom Ködern und Fischen

Laut Verizon Data Breach Investigations Report wurden 2022 84 Prozent der Datenabflüsse von Mitarbeitenden verursacht. Die Informationssicherheitsbranche hat sich so professionalisiert, dass es inzwischen viel einfacher ist, Menschen statt IT-Systeme zu hacken. Wir brauchen also nicht nur Fachleute, die Systeme sichern können. Wir brauchen auch Fachleute, deren methodisches Handwerk es ist, Menschen zu sensibilisieren, Wissen zu vermitteln, ihre Einstellung und im besten Fall ihr Verhalten zu ändern.

Dieses Handwerk ist interdisziplinär: Es gründet in der Psychologie, Pädagogik, Kommunikation und im Marketing. 72 Prozent der Verantwortlichen für Cybersicherheitsbewusstsein haben jedoch einen rein technischen Hintergrund und haben sich nur bedingt Wissen aus diesen Fachgebieten angeeignet (Sans Security Awareness Report 2022). Als eine der restlichen 28 Prozent habe ich vier praktische Grundsätze zusammengestellt, die sich in meinen fünfzehn Jahren Kommunikationserfahrung bewährt haben.

Der Köder muss dem Fisch schmecken

Wen will ich erreichen? Es gibt viele Begriffe mit leicht unterschiedlichen Bedeutungen im Marketing und in der Kommunikation: Zielgruppen, Stakeholder, Anspruchsgruppen, und so weiter. Vereinfacht gesagt: Mit wem rede ich? Meistens mit mehr als einer Gruppe, oft mit sehr unterschiedlichem Hintergrund.

Bevor ich eine Maßnahme plane, überlege ich mir, wen genau ich informieren, zu einer Aktion motivieren oder sogar langfristig zur Verhaltensänderung bewegen möchte. Jede Gruppe wird in der Regel anders angesprochen, um die Botschaften möglichst so zu kommunizieren, dass sie verstanden und auch angenommen werden.

Anders gesagt: Der Köder muss dem Fisch schmecken. Wenn ich als Angler:in statt des fetten Wurms lieber die schlechte Attrappe verwende, kümmert das den Fisch nicht. Er wird schlicht nicht anbeißen. Klar ist es dann das einfachste, den Fisch zu beschuldigen, weil das dumme Viech vorbeischwimmt. Letztlich will aber doch ich etwas vom Fisch. Also hilft es mir, mich mal mit seinen Futtervorlieben auseinanderzusetzen.

Es gibt aufwendige, professionelle Verfahren, um herauszufinden, welchem Fisch welcher Köder mundet. Ein einfaches Rezept: Sich eine Person vorstellen, deren Hintergrund und Alltag ich kenne. Je konkreter, desto besser.

Am Anfang steht das „Warum“

Eine neue Richtlinie ist kein motivierender Grund sein Verhalten zu ändern. Die Richtlinie wird ja auch nicht um ihrer selbst willen implementiert, sondern dient dem eigentlichen Ziel, die Organisation, das Kernbusiness zu schützen.

Warum ist Ihr Kernbusiness wichtig? Wie verändern die Mitarbeitenden im Kleinen die Welt? Welche Probleme lösen sie als Organisation? In einer positiven Organisationskultur sind Mitarbeitende stolz auf den kleinen Beitrag, den sie zum großen Ganzen leisten und erachten ihre Arbeit als sinnvoll. Wenn die neue Sicherheitsrichtlinie von diesem „Warum“ abgeleitet wird, kann sie eher als Teil der Arbeit, als Teil des großen Ganzen eingeordnet werden. Und damit stehen die Chancen besser, dass sie umgesetzt wird.

Simon Sinek, Autor des Marketingklassikers „Start With Why“, beschreibt das in seinem Ted Talk „How great leaders inspire action“. Das Konzept nennt er den Golden Circle. Er fängt beim Kern an und kommuniziert nach außen: warum, wie, was. Ein einfaches Rezept, das sich als Leitfaden verwenden lässt.

Welche Sprache sprechen wir eigentlich?

Nicht Englisch, Deutsch oder Französisch sind hier gemeint, sondern Sprache als Grundlage unserer Kommunikation, Kultur und Identität. Teenager auf einer Party, Fachleute in Forschungsgruppen, Politiker:innen im Bundesrat sprechen vielleicht alle Deutsch, aber doch mit anderem Klang, anderen Gesten und anderen Begriffen. Über Sprache definieren wir uns als Teil einer Gruppe, einer Kultur. Wie wir mit wem sprechen, passiert meist unterbewusst und folgt dem Grundbedürfnis dazu zu gehören.

Jede Organisation hat eine eigene Sprache, eine eigene Kultur, ein eigenes „Wir“. Siezen Sie Ihre Mitarbeitenden? Wie viele Begriffe gibt es in Ihrem Unternehmen, die für Außenstehende keine Bedeutung haben? Benutzen Sie Humor oder sind Meldungen eher ernst und sachlich? Liegt eine starke hierarchische Struktur vor oder ist es okay, sich direkt an Vorgesetzte zu wenden? Wie wir die Botschaften in Sprache verpacken, damit sie aufgenommen und gehört werden, kommt genau darauf an.

Sind Sie Teil eines stark konservativen Unternehmens, würden Sie die Intranet-Meldung zu den angepassten Passwortregeln höchst wahrscheinlich nicht mit einem Witz starten und auch kein lustiges Meme als Eyecatcher hinzufügen. Sie würden vielmehr einen sachlichen Text mit wenig Ausrufezeichen verfassen.

Verhaltensänderung ist die absolute Kür

„Warum machen die das immer noch nicht? Wir haben doch schon zwei E-Mails geschrieben, es gibt dazu ein e-Learning Modul und die Tests!“ Nun ja, die Verhaltensforschung hätte da die eine oder andere Erklärung. Ein spannendes, interdisziplinäres Feld, das nicht zu meinem Fachgebiet gehört. Trotzdem wage ich mich aus der Kommunikationsperspektive heran.

Wer Kampagnen professionell aufgleist und führt, kennt das: Verhalten zu ändern ist die absolute Kür und braucht unglaublich viele Ressourcen und noch mehr Zeit. Schauen Sie sich das viel benutzte Beispiel der Einführung des Sicherheitsgurtes an. Es hat jahrelange gut finanzierte Kampagnen und dann doch ein Gesetz gebraucht, um die Autofahrer:innen davon zu überzeugen sich sicherer zu verhalten. Und da ging es sogar ums eigene Leben. Auf dem langen Weg zur Verhaltensänderung gibt es einige Stationen. Vereinfacht zusammengefasst:

• Sensibilisieren: aufmerksam machen – Es gibt ein Problem und das tangiert auch dich.
• Informieren: Wissen vermitteln – Was ist das Problem und wie tangiert es dich?
• Einstellung verändern: überzeugen – Du ziehst folgenden Nutzen daraus, wenn du dein Verhalten gemäß Vorschlag anpasst.
• Verhalten verändern: gewünschtes Verhalten einfach machen, wiederholen, im Alltag verankern – Wir stellen dir Wege und Tools zur Verfügung, die das gewünschte Verhalten einfach machen und deinen Alltag unterstützen.

Und zu guter Letzt: selbst wenn wir es besser wissen, sind wir manchmal faul und inkonsequent. Oder wie oft trinken Sie eine Cola oder ein zweites Bier, obwohl sie diese Woche eigentlich auf ihre Gesundheit achten wollten? Da hilft nur eins: Verständnis – oder den Köder noch schmackhafter machen.

Cornelia Puhze ist Spezialistin für Cybersicherheitsbewusstsein bei Switch. Als Teil von Switch-Cert unterstützt sie die Schweizer Bildungs-, Forschungs- und Innovationsgemeinschaft, den „Faktor Mensch“ in der Informationssicherheit wirksam zu adressieren. 

Switch ist als Stiftung in der Schweiz die Betreiberin des Schweizer Wissenschaftsnetzes der Hochschulen des Landes und verwaltet die Landesdomain „.ch“ . Switch-Cert ist als multisektorales Computer Emergency Response Team (CERT) nicht nur für den akademischen Bereich, sondern auch für Privatunternehmen wie den Bankensektor tätig.