Blog

Was tun, um IT-Sicherheit attraktiver zu machen? - ein Leitfaden für Awareness-Kampagnen

Geschrieben von Lone Forland | 29.11.2023 23:00:00

Nachdem Sie meinen Blogbeitrag gelesen haben, werden Sie wissen, wie Sie Ihre nächste Awareness-Kampagne für IT-Sicherheit angehen müssen. Sie erhalten konkrete Ratschläge zur Themenwahl, zum Finden von Verbündeten und zur Messbarkeit der Wirkung der Kampagne.

IT-Sicherheit besitzt nicht gerade den Ruf einer toppinteressanten Thematik. In den Augen vieler ist sie eine zeitaufwändige, langweilige und mit Einschränkungen verbundene Angelegenheit.

Doch so wie sich beispielsweise bei einer Vorher-Nachher-Show im Fernsehen aus einem grauen Mäuschen mit Hilfe von Friseuren, Stylisten und Modeexperten eine aufsehenerweckende, interessante Erscheinung machen lässt, können Sie dem Thema IT-Sicherheit ein Umstyling verpassen, damit es präsenter, wichtiger und interessanter wird.

Hierzu müssen sie Folgendes tun:

  • sich die Unterstützung der Firmenleitung sichern
  • die richtigen Themen wählen
  • auf die Mitarbeiter zugehen

Unterstützung seitens der Firmenleitung

 

Wichtig ist vor allem, dass sich die Firmenleitung in Sachen IT-Sicherheit engagiert. Und zwar aus zwei Gründen:

Zum einen muss den Mitarbeitern durch die Firmenleitung vermittelt werden, weshalb IT-Sicherheit so wichtig ist. Denn eine von dieser Stelle ausgehende Botschaft hat mehr Gewicht.

Und zum anderen sind Awareness-Kampagnen mit Kosten verbunden. Sie kosten Arbeitszeit- und aufwand. Die benötigten Ressourcen bekommen Sie aber nur, wenn Sie der Firmenleitung nahe bringen können, warum Sie eine Awareness-Kampagne brauchen. Im Fall von Beanstandungen in der Abschlussprüfung oder wenn Sie nach ISO 27001 gehen müssen, haben Sie ein schlagkräftiges Argument. Awareness ist eine in ISO 27001 und -2 gestellte Anforderung, an der kein Weg vorbei führt. Ein verstärktes Augenmerk auf die IT-Sicherheit kann Ihnen außerdem Zeit und Kosten sparen. Und zwar geht es hier sowohl um Kosten in barer Münze als auch auf dem Image-Konto, wenn ein Benutzerfehler ein Datenleck oder einen Systemabsturz verursacht hat.

Bei Awareness geht es außerdem um Kommunikation. Zählt diese nicht zu Ihren ausgemachten Stärken, müssen Sie dafür, sofern vorhanden, Ihre Kommunikations- und Marketingabteilung zu sich ins Boot holen. Die Kollegen aus dieser Abteilung werden Ihnen dabei helfen können, die Mitarbeiter in einer Sprache zu erreichen, die sie verstehen.

 

Die Wahl der richtigen Themen

 

Mit den neuen Verbündeten im Rücken müssen Sie nun herausfinden, auf welche Gebiete sich die Awareness-Kampagne konzentrieren soll. Die Auswahl an Themen ist groß - manche sind langhaariger als andere und müssen entsprechend gekürzt werden.

Überlegen Sie sich Probleme aus Ihrer Praxis, die auf Unwissenheit von Benutzern zurückzuführen sind. Beispiele hierfür könnten sein:

  • Besucher werden bei Ankunft nicht registriert und bewegen sich ohne Zugangskarte im Unternehmen.
  • Dokumente mit vertraulichem Inhalt liegen in unverschlossenen Räumen offen herum.
  • Personenbezogene Daten werden auf unsicherem Weg (unverschlüsselt) übermittelt.

Wenn Sie unsicher sind, wenden Sie sich an Ihren HelpDesk oder IT-Support, sofern es diese Funktionen bei Ihnen gibt. Dort wird man Ihnen sagen können, zu welchen Themen die Mitarbeiter am häufigsten Fragen haben. Sie können auch überlegen, ob bei Ihnen kürzlich neue Systeme in Betrieb genommen wurden oder ob Arbeitsvorgänge verändert worden sind. Kommen die Mitarbeiter mit dem Neuen gut zurecht, oder werden viele Fehler gemacht?

Möglicherweise finden Sie dabei mehr Probleme, als Sie bei einer einzigen Awareness-Kampagne aufgreifen können. In diesem Fall müssen Sie die große Schere hervorkramen und sich von weniger wichtigen Dingen trennen. Allerdings sollten Sie sie nicht wegwerfen, sondern für die nächste Kampagne aufheben. Wichtig sind einfache und eingängige Botschaften. Machen Sie lieber eine kurze Kampagne zu einem Einzelthema, dann können Sie dafür öfter Kampagnen durchführen.

 

Auf die Mitarbeiter zugehen

 

Sie müssen sich aus Ihrem stillen Kämmerlein heraus begeben und auf die Leute zugehen. Ihre Mitarbeiter sitzen an ihren Rechnern, gehen zum Essen in die Kantine und kommen regelmäßig zu Besprechungen zusammen. Dort müssen Sie auf sie zugehen. Hierfür können Sie z. B. folgende Mittel einsetzen:

  • Happenings - Kleine unterhaltsame Happenings, die die Leute zum Reden bringen. Sie können den Mitarbeitern zum Beispiel kleine Figuren oder andere Dinge auf den Tisch legen oder Schokoriegel austeilen und an das Versprechen knüpfen, niemals jemand anderem sein Passwort preiszugeben. Der Fantasie sind hier keine Grenzen gesetzt, und es braucht auch nicht übermäßig teuer zu sein.
  • Nachrichten mit Tipps - Mails, die in Kürze einen Problembereich beschreiben und dem Mitarbeiter zeigen, was dabei zu tun ist.
  • Mitteilungen im Intranet - Nochmals: Halten Sie das Ganze kurz und brauchbar. Nach dem Lesen der Mitteilung muss der Mitarbeiter genau wissen, was (nicht) zu tun ist und warum das wichtig ist.
  • Plakate in der Kantine - Die Plakate machen die Mitarbeiter auf die Kampagne aufmerksam und regen sie (hoffentlich) zum Austausch über die Wichtigkeit von IT-Sicherheit an.
  • Arbeitsbesprechungen - Sie können versuchen, bei den wöchentlichen Arbeitsbesprechungen in die Tagesordnung aufgenommen zu werden, um Ihr Anliegen vorzutragen.
  • Quizze - Ein Quiz hat den Vorteil, dass es die Teilnehmer zum Mitmachen animiert. Stellen Sie dem oder der am besten abschneidenden Mitarbeiter oder Abteilung einen schönen Preis (Wein oder Schokolade) in Aussicht.

Ein Quiz kann außerdem gegenüber der Firmenleitung deutlich machen, dass Ihre Awareness-Kampagne die Zielgruppe erreicht hat. Setzen Sie sich ein realistisches Ziel. Wenn die Hälfte aller Mitarbeiter am Quiz teilnehmen, haben Sie schon viel erreicht! Ein Quiz kann auch aufzeigen, auf welchen Gebieten verstärkt Schulungsbedarf bei den Mitarbeitern besteht.

Können Sie IT-Sicherheit also attraktiver machen? Auf alle Fälle erreichen Sie viel, wenn Sie sie präsenter, wichtiger und interessanter machen.

Es gibt eine Vielzahl von Programmen für die Gestaltung von Fragespielen. Mit dem GRC Tool erhalten Sie nicht nur die Möglichkeit, Ihre eigenen Fragen und Antworten zu formulieren, sondern können auch mitverfolgen, wie viele (richtige) Antworten gegeben wurden. Ihnen wird außerdem eine ganze Bibliothek von Fragen/Antworten zur IT-Sicherheit zur Verfügung gestellt, aus der Sie auswählen können.

Mit Compliance Quiz können Sie effektiv sicherstellen, dass die Mitarbeiter über die im Unternehmen geltenden Policys und Vorschriften sowie die etwaige Compliance von Normen wie z. B. die ISO 27001 Bescheid wissen.

Sprechen Sie uns an, wenn Sie eine persönliche Vorführung von dem Compliance Tool wünschen
Vollständigen Beitrag anzeigen