Qualitative Wirkungsanalyse Security Awareness in KMU - Tiefenpsychologische Grundlagenstudie im Projekt - alarm
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Qualitative Wirkungsanalyse
Security Awareness in KMU
Tiefenpsychologische Grundlagenstudie im Projekt
»Awareness Labor KMU (ALARM) Informationssicherheit«
Bibliographische Informationen der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliographische Daten sind im Internet über http://dnb.d-nb.de abrufbar. Impressum Herausgeberin und Kontakt Prof. Dr. Margit Scholl Technische Hochschule Wildau Hochschulring 1 15745 Wildau alarm@th-wildau.de Diese tiefenpsychologische Wirkungsanalyse ist die erste von insgesamt drei Studien, die im dreijährigen Projekt „Awareness Labor KMU (ALARM) Informationssicherheit“ verfasst werden: https://alarm.wildau.biz/ Das Projekt wird vom Bundesministerium für Wirtschaft und Energie (BMWi) gefördert. Projektlaufzeit 01.10.2020 – 30.09.2023 Die Studie basiert auf anonymisierten Tiefeninterviews, die von known_sense als Unterauft ragnehmer der TH Wildau innerhalb des Projekts mit KMU von Januar bis März 2021 durchgeführt wurden. Die Studienergebnisse wurden von known_sense im April und Mai 2021 zusammengefasst und mit dem Forschungsteam Scholl der TH Wildau beraten. Das BMWi hat die Veröffentlichung im August 2021 freigegeben. Das diesem Bericht zugrundeliegende Vorhaben wurde mit Mitteln des Bundesministeriums für Wirtschaft und Energie unter dem Förderkennzeichen 01MS19002A gefördert. Die Verantwortung für den Inhalt dieser Veröffentlichung liegt bei den Autoren. Verantwortlich für Inhalt und Gestaltung mit Ausnahme von Vorwort und Titelgrafik: known_sense | Jakob-Engels-Str. 39 | 51143 Köln Feldarbeit | Analyse | Autoren: Dietmar Pokoyski | Dipl.-Psychologin Ivona Matas | Dipl.-Psychologin Ankha Haucke Bilder Abbildungen 1-15 siehe jeweilige Quellen Titelgrafik: TH Wildau Illustrationen: Simple Line via Shutterstock.com August 2021 ISBN 978-3-9819225-5-4
Qualitative Wirkungsanalyse
Security Awareness in KMU
Tiefenpsychologische Grundlagenstudie im
Projekt »ALARM Informationssicherheit«
Das Projekt »Awareness Labor KMU (ALARM) Informationssicherheit« ist Teil der Initiative
„IT-Sicherheit in der Wirtschaft“ im Förderschwerpunkt Mittelstand-Digital.
Das Mittelstand-Digital Netzwerk bietet mit den Mittelstand 4.0-Kompetenzzentren, der Initia-
tive „IT-Sicherheit in der Wirtschaft“ und Digital Jetzt umfassende Unterstützung bei der Digi-
talisierung. Kleine und mittlere Unternehmen profitieren von konkreten Praxisbeispielen und
passgenauen, anbieterneutralen Angeboten zur Qualifikation und IT-Sicherheit. Das Bundes-
ministerium für Wirtschaft und Energie ermöglicht die kostenfreie Nutzung und stellt finanzi-
elle Zuschüsse bereit. Weitere Informationen finden Sie unter www.mittelstand-digital.de und
www.it-sicherheit-in-der-wirtschaft.de.
Inhaltsverzeichnis
Vorwort 6
1. Einleitung mit Ausgangslage 9
1.1 Ausgangslage KMU 9
1.2 Projekt „Awareness Labor KMU (ALARM) Informationssicherheit“ 9
1.3 Die Technische Hochschule Wildau (TH Wildau) als Projektauftragnehmer 11
1.4 Die Firma known_sense als Unterauftragnehmer 11
1.5 Exkurs: Security Awareness 11
1.5.1 Treiber von Security Awareness 11
1.5.2 Vorteile von Informationssicherheits-Sensibilisierung (Security Awareness Benefits) 11
1.5.3 Definition und Aufgaben von Security Awareness 13
1.5.4 Definition Sicherheitskultur 13
1.5.5 Methoden für Security Awareness 15
2. Stichprobe, Untersuchungsdesign und Auffälligkeiten 19
2.1 Stichprobe der Untersuchung 19
2.2 Auffälligkeiten in der Exploration 21
3. Informationssicherheit in kleinen und mittleren Unternehmen 25
3.1 Exkurs: Tätigkeits-, Sicherheits- und Kompetenzprofile
sowie daraus resultierende Themen 25
3.2 Sicherheitsrelevante Besonderheiten in der Kommunikation 27
3.3 Sicherheitskultur in KMU 27
3.4 Security Awareness in KMU 29
3.5 Incident Management und Reportingkultur 29
3.6 Psychologische Konstruktion der Sicherheitskultur in KMU 31
4. Rolle und Funktion der beteiligten Akteure mit Typologie 35
4.1 IT-Kapitän/in 35
4.2 Vorfall-Experte/Expertin 35
4.3 Verständnisvolle Tröster/in 35
4.4 IT-Notfallsirene 35
4.5 Volldelegierer/in 37
5. Evaluation exemplarischer Security Awareness-Materialien 39
5.1 Exkurs: Gamification 39
5.2 Infografik bzw. Lernkarte zum Thema „Social Media – Fake-Profile“ 39
5.3 Comic zum Thema „Passwort“ 41
5.4 Wimmelbild: „Fallstricke am Arbeitsplatz“ 43
5.5 Security-Arena-Spielfeld „Apps, Online-Services & Co.“ 43
5.6 Awareness-Monatskalender-Visuals 45
4
5.7 Corporate Media-Artikel „Cyber-Grooming“ 45
5.8 Poster „Social Engineering“ 45
5.9 Begehbares Riesenspiel „Quer durch die Sicherheit“ 47
5.10 Virusquartett „Computerluder“ 47
5.11 Security-Moderationskarten „Talking Security – sprechen wir mal über Sicherheit“ 49
5.12 Awareness Giveaway „Passwordhalter“ 49
5.13 Digitales Clean Desk Game „Schreibtischtäter“ 49
5.14 Zwischenfazit – exploriertes Security Awareness-Material 51
5.15 Psychologische Einordnung Awareness-Material 51
6. Relevante Themen für zukünftige Maßnahmen 53
6.1 Exkurs: „Awareness-Themen“ 53
6.2 Ungestützte „Awareness-Themen“ 53
6.3 Gestützte „Awareness-Themen“ 53
6.4 Zwischenfazit „Awareness-Themen“ 53
7. Learnings, Fazit und Empfehlungen, Ausblick 57
7.1 Key Learnings: Die 10 wichtigsten Erkenntnisse dieser Studie im Überblick 57
7.2 Fazit und Empfehlungen 59
7.3 Ausblick 63
Literatur 65
Glossar 66
5
Ein Vorwort mit Einführung und Zusammenfassung der Studie:
Mehrwert für KMU
Führungskräfte und Mitarbeitende sehen sich stolz als „Fehlerkultur“ der Unternehmen) und andererseits bei
Team mit hoher Identifikation und engen Bindungen in Verstößen nicht immer ohne Konsequenzen zu bleiben,
ihrem kleinen und mittelgroßen Unternehmen (KMU). was u. a. einen Imageverlust des Unternehmens bedeu-
Mit hochwertigen Produkten, flexiblen Lösungen und ten kann.
beständigen Innovationen versucht man, gemeinsam Durch die überschaubare Organisationsgröße, das ge-
am Markt zu bestehen. Gegenseitiges Vertrauen wird genseitige gute Kennen und der persönliche Umgang
innerhalb der „familiären Kultur“ gelebt. Doch wie sieht wird in KMU intuitiv eine diskursive Awareness genutzt,
es mit der Informationssicherheit (information securi- somit über Vorfälle und Risiken zeitnah gesprochen. Das
ty) und dem entsprechenden Bewusstsein (awareness) ist meines Erachtens ein wichtiger innerer Faktor, um
in deutschen KMU aus? Die hier von known_sense im eine anhaltende Sensibilisierung zu etablieren. Er reicht
Auftrag der TH Wildau vorgelegte tiefenpsychologische allein aber nicht für eine tatsächlich nachhaltige Be-
Grundlagenstudie will Licht ins Dunkel bringen und wusstseinsentwicklung für mehr Informationssicherheit
gleichzeitig mit ihren Empfehlungen einen Mehrwert für aus. Für eine nachhaltige Sensibilisierung fehlt in KMU
KMU aufzeigen. bislang oft die Etablierung einer Strategie für Informa-
Die Studie offenbart, dass der Begriff Informationssi- tionssicherheitsbewusstsein in allen Tätigkeitsberei-
cherheit für viele noch diffus ist und nicht selten Ex- chen. Eine solche Strategie würde auch Fundament der
perten und Dienstleistern zugeordnet wird. Zukünftig notwendigen Sicherheitskultur in KMU sein.
sollte daher die persönliche Wahrnehmung auf die ei-
gene Verantwortung für Informationssicherheit am Ar- Wissensvermittlung nicht ausreichend
beitsplatz geschärft werden. Zudem verdeutlichen die
von den Interviewten genannten relevanten Themen, Ganzheitliche Awareness-Konzepte, wie im vom BMWi
dass der Awareness-Reifegrad noch deutlich ausge- geförderten Projekt „Awareness Labor KMU (ALARM)
baut werden kann, denn auf den ersten beiden Plätzen Informationssicherheit“ vorgesehen, oder ein Aware-
liegen die altbekannten Problemfelder Passwortsicher- ness-Rahmenprogramm mit dokumentierter Strategie
heit und Phishing-Attacken. Damit wird deutlich, dass kommen bisher in den befragten KMU ebenso wenig
in KMU verstärkt für alle eine Bewusstseinsbildung zum Einsatz wie Awareness-Messungen oder andere
(awareness raising) für Informationssicherheit stattfin- Evaluationen im Kontext der Sensibilisierung von Mit
den sollte. Gerade während der Pandemie sind jedoch arbeitenden. Aktivitäten für mehr Awareness werden
Informationssicherheitsthemen in den Hintergrund bislang oft nur in Form einer reinen Wissensvermittlung
geraten und werden häufig von Existenz- und Gesund- verstanden. Aus der Forschung wissen wir allerdings,
heitsfragen dominiert. Doch zeigen immer wieder- dass dies zu kurz greift. Die Studie verdeutlicht daher das
kehrende Beispiele, dass Cyber-Attacken ebenfalls exis- Drei-Ebenen-Prinzip Wissen, Wollen, Können für mehr In-
tenzbedrohlich für KMU werden können. formationssicherheitsbewusstsein und beschreibt kon-
kret Vorteile für Unternehmen sowie konkrete Ansatz-
Risiken von außen punkte für eine gezielte Personalentwicklung in KMU.
Erste Schritte in Richtung der Etablierung einer Sicher-
Unabhängig davon wird in der vorliegenden Studie heitskultur werden von wenigen KMU durch den Kauf
die Informationssicherheit auch in KMU zunehmend von kommerziellen, digitalen Awareness-Trainings ge-
als wichtig angesehen. Sie wird jedoch in ihrer Wahr- gangen. Diese KMU mussten allerdings feststellen, dass
nehmung überwiegend durch Risiken von außen wie solche nicht an das Unternehmen angepassten Pro-
Cyber-Attacken, gesetzliche Regularien und Kundenan- dukte wenig involvierend sind. Tatsächliche Wirkung
forderungen bestimmt. Das ist verständlich, wenn z. B. können Awareness-Trainings meiner Meinung nach nur
bedacht wird, dass Regulierungen eine erhebliche Her- entfalten, wenn sie die Menschen emotional berühren
ausforderung für das Informationssicherheitsmanage- und in ein interaktives Erleben mit diskursiver Teilhabe
ment in Unternehmen darstellen können und die neuen eingebettet sind.
Anforderungen durch die EU-weite Datenschutz-Grund-
Dazu stellt die Studie eine generalisierte Typologie mit
verordnung organisationsübergreifende Auswirkungen
fünf prototypischen Strategien im Umgang mit dem
haben. Es müssen jedoch auch innere Faktoren zur Ab-
Thema Informationssicherheit bereit: IT-Kapitän/in,
sicherung der Informationssicherheit erkannt werden.
Vorfall-Experte bzw. -Expertin, verständnisvoller Trö-
Hier ist in KMU der Spagat zu bewältigen, einerseits über
ster/verständnisvolle Trösterin, IT-Notfallsirene und
Fehler und Versäumnisse reden zu können (sogenannte
6
Volldelegierer/in. Obwohl dies eine sehr grobe Klassi-
fizierung ist, macht sie dennoch die Einschätzung von
Schwachstellen und den Bedarf nach personalisierten
Schulungen in den KMU sichtbar. Dies ist für die Un-
ternehmen von großer Bedeutung, um eine passende,
für die Mitarbeitenden und Führungskräfte kompatible
Sensibilisierungsmaßnahme entwickeln und für eine
Nachhaltigkeit der Maßnahme auch Mitarbeitende und
Führungskräfte als Multiplikatoren für Schulungen oder
Sicherheitsbotschafter/innen gewinnen zu können.
KMU müssen dies als Prozess und nicht als Einzelaktion
verstehen.
Spielebasierte Elemente
Heutzutage kann ein erlebnisorientiertes Awareness-
Training mit spielebasierten Elementen bereichert
werden, um die Menschen aktiv in ein Lernszenario
einzubinden („Serious Games“). Die Studie offenbart,
dass es in deutschen KMU noch Vorbehalte gibt: das
Spielerische darf nicht im Vordergrund stehen, wenn
Akzeptanz erreicht werden soll. Nach den vielfältigen
praktischen Erfahrungen meiner Forschungsgruppe
mit unterschiedlichen Zielgruppen sind solche Vor-
behalte in Deutschland nicht selten vorzufinden und
erst, wenn die Menschen die erlebnisorientierten inter-
aktiven Lernszenarien tatsächlich durchführen, erken-
nen sie den Mehrwert zur Erreichung von mehr Sensibili-
sierung und nachhaltiger Achtsamkeit für Informations-
sicherheit.
Die Ergebnisse dieser Studie bilden im Projekt „Awa-
reness Labor KMU (ALARM) Informationssicherheit“
die Ausgangsbasis für die Entwicklung von neuen, an
die KMU angepassten Sensibilisierungsmaßnahmen.
Ihr Ziel und damit der Mehrwert für KMU ist die Bereit-
stellung integrativ verzahnter Maßnahmen für eine sys-
tematische Sensibilisierung, die eine Sicherheitskultur
tatsächlich zu entwickeln hilft und sich von gescheiter-
ten klassischen Schulungen unterscheidet.
Prof. Dr. rer. nat. Margit C. Scholl
Juli 2021
71. Einleitung
mit Ausgangslage
1.1 Ausgangslage KMU digitalen erlebnisorientierten Szenarien, sowie „Vor-
Ort-Angriffen“ und weiteren Überprüfungen entwickelt.
Laut Definition der EU-Kommission fallen Unterneh- Das Gesamtszenario soll der dringend notwendigen
men unter die Bezeichnung KMU (kleine und mittlere Sensibilisierung von Führungskräften und Mitarbeiten-
Unternehmen), wenn sie maximal 249 Mitarbeitende den und gezielten Personalentwicklung in KMU/KKU
beschäftigen, einen jährlichen Umsatz von höchstens 50 dienen, wie sie derzeit breitenwirksam noch nicht vor-
Millionen Euro erwirtschaften bzw. über eine Bilanzsum- handen ist. Dazu wird IT-Sicherheit im Zusammenhang
me von höchstens 43 Millionen Euro verfügen [1]. KMU mit den zunehmend digitalen Arbeitsprozessen konkret
gelten als Wirtschaftstreiber, weil die Einrichtung neuer (be-)greifbar gestaltet, gleichzeitig werden die Men-
Arbeitsplätze vorwiegend auf Unternehmen dieser Grö- schen emotional berührt und aktiv in die Entwicklung
ßenordnung zurückgeht [2]. von Maßnahmen einbezogen. So soll eine nachhaltige
KMU erheben, verarbeiten, übertragen und nutzen zahl- und unternehmensweite Informationssicherheitskultur
reiche sensible Daten mithilfe digitaler Lösungen. Dabei aufgebaut werden [4].
wird ihnen jedoch allzu häufig eine gewisse Sorglosig- Die Entwicklung von Lernszenarien im Projekt „Aware-
keit in Bezug auf Datenschutz, Informationssicherheit, ness Labor KMU (ALARM) Informationssicherheit“ wird
Unkenntnis bzw. Verletzung von betrieblichen Richtli- u. a. von quantitativer und qualitativer Forschung sowie
nien sowie nichtexistente bzw. lückenhafte Sicherheits- Tests begleitet. Die Ergebnisse dieser Zwischenschritte
richtlinien zugeschrieben, die eine Risikoerhöhung zur werden miteinander verglichen und in Kontext zueinan-
Folge hat. Die vielfältigen Schwachstellen sind Sicher- der gesetzt. Die hier vorliegende tiefenpsychologische
heitsmängeln gleichzusetzen, die zukünftige verzögerte Wirkungsanalyse ist der Auftakt einer Reihe von insge-
Folgen für KMU sowie KKU (Kleinst- und Kleinunterneh- samt drei qualitativen Studien, die innerhalb der Pro-
men) haben können. „Wenn wir einmal in ein Netzwerk jektlaufzeit um qualitative Konzept- und Produkttests
eingedrungen waren, konnten wir dort machen, was wir der sukzessive zu entwickelnden Lernszenarien für KMU
wollten – wir waren praktisch wie Gott in den IT-Syste- ergänzt werden.
men“, sagt der White-Hat-Hacker Michael Wiesner in
Ziel der Auftaktstudie ist die Analyse des Ist-Zustands
dem Report Cyberrisiken in produzierenden Gewerbe
des derzeitigen Security Awareness-Niveaus in KMU im
[3]. Denn auch in KMU gilt genauso wie in Großunterneh-
Sinne einer Grundlagenstudie. Damit sollen systema-
men: Der Mensch ist und bleibt die größte Schwachstel-
tisch defizitäre Bereiche relevanter Geschäftsprozesse,
le der Informationssicherheit und ist gleichzeitig deren
Wissensstand, Kompetenzprofile, Bedarf der beteiligten
größte Chance [3] hinsichtlich einer Resilienz im Sinne
Organisationen, Zielgruppen und Passung bestehender
bewusst angewandter Abwehrmaßnahmen wie z. B. Se-
Werkzeuge, die bisher vornehmlich in Großunterneh-
curity Awareness (Sicherheitsbewusstsein).
men eingesetzt werden, erfasst werden. Hierfür werden
u. a. Kommunikationskanäle, Sicherheitskultur, zentrale
1.2 Projekt „Awareness Labor KMU Themen der Informationssicherheit und die Ansprache-
(ALARM) Informationssicherheit“ möglichkeiten der Zielgruppen identifiziert und somit
der spezifische Sensibilisierungsbedarf definiert, der in
Vor diesem Hintergrund entwickelt die Technische KMU zur Verbesserung der Informationssicherheit bei-
Hochschule (TH) Wildau im Rahmen des vom Bundesmi- tragen soll. Außerdem werden dort, wo Gegenüberstel-
nisterium für Wirtschaft und Energie (BMWi) geförder- lungen sinnvoll erscheinen, auf Basis eines Vergleichs zu
ten Projektes „Awareness Labor KMU (ALARM) Informa- internen Wirkungsanalysen von known_sense-Kunden
tionssicherheit“ gemeinsam mit Unterauftragnehmern die Unterschiede zu Security Awareness in Großunter-
und assoziierten Partnern bis September 2023 Security nehmen herausgestellt.
Awareness-Werkzeuge mit dem Ziel, die bundesweite Eine abschließende Bewertung zum allgemeinen Zu-
Verbesserung der Security Awareness in KMU und damit stand der Informationssicherheit war explizit nicht In-
eine generelle Erhöhung des IT-Sicherheitsniveaus in tention der vorliegenden Studie. Auch auf die Abfrage
Deutschland voranzutreiben. Hierzu wird ein Gesamts- hinsichtlich eines Information Security Management
zenario zur Sensibilisierung und Unterstützung der KKU/ System (ISMS) als Grundlage wurde zugunsten von Fra-
KMU für Informationssicherheit bis hin zu deren Selbst- gen bzgl. des persönlichen Erlebens der Informationssi-
hilfe aufgebaut. Im Projekt werden iterativ in drei Pha- cherheit und deren konkrete Maßnahmen verzichtet.
sen, agil und partizipatorisch, ein innovatives Prozess-
szenario für Informationssicherheit mit analogen und
91.3 Die Technische Hochschule Wildau 1.5.1 Treiber von Security Awareness
(TH Wildau) als Projektauftragnehmer Information Security Awareness (Sensibilisierung der
Mitarbeitenden zum Thema „Informationssicherheit“)
Die TH Wildau des Landes Brandenburg ist seit ihrer gehört unter anderem zu den gesetzten Bestandteilen
Gründung im Jahre 1991 eine forschungsstarke Fach- der Geschäftsabläufe auf allen Ebenen seriös agierender
hochschule mit positivem Einfluss auf die Lehrqualität. Organisationen. Gerade Bezugsgruppen wie Gesetzge-
Die Einheit von angewandter Forschung und Lehre ist ber, Gerichte, Kunden, weitere Business-Partner u. v.
für die TH Wildau ein zentrales Anliegen. Sie hat sich in m. fordern nicht nur generelle Nachweise in Bezug auf
vielen Drittmittelprojekten auch überregional als kom- Informationssicherheit, sondern zunehmend auch die
petenter und verlässlicher Partner erwiesen. Für die einer erfolgreichen Sensibilisierung der Mitarbeitenden.
Forschungsgruppe Scholl der TH Wildau steht dabei im- Im juristischen Kontext ist dies u. a. für den Fall etwaiger
mer die Anwendungsorientierung im Vordergrund, For- Compliance-Verstöße notwendig [5].
schung und Entwicklung (F&E) sowie Wissen- und Tech-
So definiert der internationale Standard ISO 27001 [7]
nologietransfer und Lehre gehören zusammen.
die spezifischen Anforderungen für ein ISMS. Durch das
Einhalten des internationalen Standards soll
1.4 Die Firma known_sense als • Informationssicherheit kontinuierlich verbessert
Unterauftragnehmer werden,
• Informationssicherheit im Unternehmensalltag
Die Firma known_sense kümmert sich als Full-Service- verankert werden,
Agentur mit Sitz in Köln um die Sicherheitskommuni-
• Informationssicherheit externen Anforderungen
kation und insbesondere um Security Awareness bzw.
gerecht gemacht werden,
Sicherheitskultur ihrer Kunden. Für Security Awareness-
Kampagnen entwickelt known_sense individuelle, zur • Vertrauen mit Geschäftspartnern und in der
jeweiligen Kultur passende Sensibilisierungs-Tools und Öffentlichkeit geschaffen werden.
-Formate und bietet in diesem Rahmen auch Good Die ISO 27001 fordert explizit auch die Schulung der Mit-
Practice aus mehr als 100 Kampagnen mit 19 Jahren arbeitenden im Bereich der Informationssicherheit und
Erfahrung in 50 Ländern an. Die methodischen Ansätze der Security Awareness und definiert die Details einer
sind tiefenpsychologisch (z. B. im Rahmen qualitativer derartigen Schulung unter dem Standard A.7.2.2 („Infor-
Security-Wirkungsanalysen), systemisch, diskursiv, kon- mation Security Awareness, Education and Training“).
struktivistisch. Das Vorzeige-Tool bei known_sense ist Ferner sind in den Kapiteln 7.1 bis 7.4 verschiedene As-
das 2011 entwickelte Lernstationsformat „Security Are- pekte von Schulung und Training bzw. Security Aware-
na“, das das Lernen aus der Einsamkeit von Online-Set- ness beschrieben [7].
tings in diskursiv-lebendige Team-Formate überführt Zusätzlich sind Legislative, Kunden und Öffentlichkeit
und ein Vorbild für die im Projekt „ALARM Informations- konkrete Treiber für Security Awareness [7].
sicherheit“ zu entwickelnden analogen Lernszenarien
darstellt.
1.5.2 Vorteile von Informationssicherheits-
Sensibilisierung (Security Awareness Benefits)
1.5 Exkurs: Security Awareness Die kontinuierliche Implementierung von Security Awa-
reness-Maßnahmen reduziert in überprüfbarer Weise
Zum Verständnis der Studie erscheint es sinnvoll, Begrif-
nicht nur das geschäftliche Risiko von Unternehmen; sie
fe im Kontext von Security Awareness zu definieren und
erhöht darüber hinaus deren Attraktivität. Denn sowohl
das Thema in Zusammenhang mit Informationssicher-
die Zusicherung von Sensibilisierungsmaßnahmen ge-
heit, spezifischer Methodik bzw. Disziplinen (z. B. Didak-
genüber Kunden als auch deren externe Kommunika-
tik, Marketing, Veränderungsmanagement) und syste-
tion sichern den Unternehmen Wettbewerbsvorteile,
mischer Kommunikation zu stellen. Grundlage hierfür
weil sie positive Imagefaktoren generieren und das Ver-
ist ein von known_sense entwickeltes, umfangreiches
trauen in das Unternehmen erhöhen [5].
Security Awareness-Rahmenwerk [5], das seit 2016 bei
zahlreichen Kunden von known_sense immer dann Damit ist Security Awareness als Teil von Sicherheits-
zum Einsatz kommt, wenn Sensibilisierung über die Be- kommunikation eine Voraussetzung für erfolgreiches
grenztheit eines Security Awareness-Kampagnenkon- Security Management. Die verschiedenen Maßnahmen
zepts hinaus, mithin als permanente Lösung gedacht der letzten Jahre haben die Unternehmenskulturen
wird. Das Security Awareness Framework kann auch von zahlreicher Organisationen im Hinblick auf Informa-
Dritten lizenziert und mit den notwendigen Adaptionen tionssicherheit sowie das sicherheitsrelevante Verhal-
in das eigene Information Security Management System ten der Beschäftigten positiv beeinflusst [8]. Wenn man
integriert werden [6]. die Gründung des Dax-30 Roundtable Security Aware-
11ness 2006 und die Aktivitäten der dortigen Mitglieder Security Awareness ist der Prozess
als Maßstab betrachtet, wird in den meisten Großun-
einer methodischen, dauerhaften und
ternehmen – aber auch vereinzelt bei KMU – Security
Awareness seit etwa 15 Jahren über diverse Einzelmaß- nachhaltigen Bewusstseinsbildung
nahmen und planvoll gebündelt über Kampagnen (und bei allen Beschäftigten zum Thema
zunehmend auch strategisch unterfüttert mit einer Ent- „Informationssicherheit“ mit dem Ziel,
wicklung, die auf Persistenz abzielt) betrieben [9].
diese in einer dem Unternehmen und
Mit der Umsetzung wirksamer und nachhaltiger Security
Awareness-Maßnahmen ergeben sich verschiedene Vor- den Beschäftigten dienlichen Form zu
teile für Unternehmen [5]: überführen.
• Belegbare Verbesserung der Sicherheitskultur
durch Übernahme von Verantwortung mit der Aufgaben von Security Awareness sind u. a. [5]:
Stärkung (Empowerment) von Beschäftigten in • Vermittlung von Security Regelwerken (Policies)
Bezug auf Informationssicherheit, der Reduktion und Erklären der dort aufgeführten Regeln
von Sicherheitsvorfällen (Security Incidents) und • Vermittlung der Ziele von Informationssicher-
der unternehmensweiten Steigerung von Akzep- heit, Aufzeigen der positiven Effekte bei Erfül-
tanz gegenüber jeglicher Form von Sicherheits- lung dieser wie auch der negativen Folgen durch
maßnahmen. Nichteinhaltung der Regeln
• Mögliche Unterstützung bei Audits, z. B. im • Reflexion des eigenen Verhaltens: jeder Mitar-
Rahmen von ISO 27001-Zertifizierungen durch beitende ist mitverantwortlich für die Unter-
nachweisbare Awareness-Maßnahmen bzw. nehmenssicherheit (z. B. als Teil einer Human
Kennzahlen. Firewall), inklusive möglicher Konsequenzen bei
• Innovative und effektive Security Awareness- Nicht-Beachtung von Security-Regeln
Maßnahmen unterstützen Bezugsgruppenbin- • Vermittlung der persönlichen Vorteile, die aus
dung (Mitarbeitende, Kunden, Partner, Medien, sicherheitskonformen Handeln entstehen
Öffentlichkeit etc.) und fördern das Geschäft, da
• Kompetenzerwerb bei allen Beschäftigten
darüber die Bedeutung von Sicherheit im Unter-
hinsichtlich der praktischen Anwendung von
nehmen deutlich wird.
Security-Regeln inner- und außerhalb des Ar-
• Image, geschäftliche Reputation und Markt- beitsalltags
wert werden aufgrund belegbarer Awareness-
• Steigerung von Bekanntheitsgrad und Ak-
Maßnahmen, Good Practice Sharing, Vorträgen,
zeptanz, d. h. Positionierung von Informati-
Sicherheitspreisen etc. verbessert.
onssicherheit und Security-Teams durch die
• Positive Rückkopplungseffekte nach innen durch nachhaltige Promotion (Förderung) von Securi-
externe Veröffentlichungen und Auftritte (z. B. ty-Themen, -Aufgaben, -Tools und ihren Protago-
über Konferenzen u. a. Fach-Events) nisten
• Unterstützung von Führungskräften in ihrer Rolle
1.5.3 Definition und Aufgaben von Security Awareness als Security-Vorbild und -Multiplikator/in
In Bezug auf das Verständnis von Security Awareness • Kundenbindung sowie grundsätzlich positive
existieren zahlreiche unterschiedliche Definitionen mit Aufladung des Unternehmensimage (u. a. gegen-
zum Teil sehr unterschiedlichen Nuancierungen. Der im über Partnern, Dienstleistern, Medien, Gover-
Projekt „ALARM Informationssicherheit“ verwendete nance und weiteren relevanten Zielgruppen der
Begriff unterliegt der folgenden Definition [5]: öffentlichen Wahrnehmung)
1.5.4 Definition Sicherheitskultur
Basierend auf diesen zuvor benannten Aufgaben ist Se-
curity Awareness sowohl Teil von Security Marketing
und Security Kommunikation, die wiederum dem Be-
griff der Sicherheitskultur untergeordnet werden [5].
Daraus lässt sich ableiten, dass unter Sicherheitskultur
die Gesamtheit der Überzeugungen und Werte von Indi-
viduen und Organisationen verstanden wird, bei denen
eine Übereinkunft herrscht, welche Ereignisse Risiken
darstellen bzw. mit welchen Mitteln diesen Risiken be-
gegnet werden [5].
13Sicherheitskultur unterliegt einem komplexen Lern- und 1. Wissen (Elemente aus der Lerntheorie, kognitive
Erfahrungsprozess, in dem sich gemeinsame Ziele, Inter- Faktoren)
essen, Normen, Werte und Verhaltensmuster herausbil- 2. Wollen (Elemente aus dem Marketing, emotiona-
den, und ist daher als ein Teil der Unternehmenskultur le Faktoren)
zu verstehen, an der sichtbar wird, wie Beschäftigte mit
3. Können (Elemente von Veränderungsmanage-
Herausforderungen im Kontext Sicherheit umzugehen
ment bzw. systemischer Kommunikation)
pflegen. Damit beschreibt sie auch die Art und Weise,
wie Sicherheit am Arbeitsplatz organisiert wird, und gibt
somit Einstellungen, Überzeugungen, Wahrnehmungen Ebene 1: Wissen (Lerntheorie)
und Werte der Mitarbeitenden in Bezug auf Sicherheit Die klassische Kognition (Informationsverarbeitung) bil-
wieder [5]. det die (Old School-)Grundlage von Security Awareness.
Der Begriff „Sicherheitskultur“ beschreibt ein dynami- Hierüber findet die informelle Wissensvermittlung in
sches Phänomen, dessen Ausprägungen sich mit jedem Bezug auf Security-Regeln, Richtlinien (Policies), Sicher-
maßgeblichen Ereignis in der Organisation verändern heitsrisiken und möglicher Folgen von Sicherheitsver-
[5]. Dieser Entwicklung muss bei der Implementierung stößen statt. Dies geschieht in der Regel auf einer sicht-
von Security Awareness-Maßnahmen Rechnung getra- baren, d. h. nachweisbaren, faktischen Ebene (Cover-
gen werden. Story) [11] und gründet auf Methoden der klassischen
Lerntheorie und Einsatz der klassischen Lehrmedien
Security Awareness ist nach der o. g. Definition mithin
bzw. -formate [12].
Teil der Sicherheitskultur und prägt darüber hinaus die-
se maßgeblich durch u. a. folgende Faktoren [5]:
Ebene 2: Wollen (Marketing)
• Wahl und Adaption von Konzepten bzw. Frame-
works mit Festschreibungen von Intention, Da Sicherheits- und Fehlerkultur ihren Ursprung in der
Zielen, Methoden Regel auf einer unbewussten, häufig nicht sichtbaren
• Kommunizierte Security-Themen Ebene (Impact-Story) [11] haben und die reine Informa-
tionsvermittlung nicht ausreicht, um in Awareness-Pro-
• Kanal- bzw. Medienportfolio
zessen eine nachhaltige, gerade auch motivierende Wir-
• Zielgruppen, bzw. Verfassungen kung auszuüben, müssen bei sämtlichen Zielgruppen
• Zeitpunkt und Umfang der Maßnahmen auch emotionale Faktoren adressiert werden (Ebene 2).
• Art der Ansprache Diese notwendige Bewegung der Ebene 2 von Security
Awareness (Wollen) wird vor allem über den Einsatz von
• Art, Umfang u. Ausgestaltung beim Security
klassischen und innovativen Marketing-Instrumenten
Branding (Sicherheit als Marke)
erreicht [12].
• Art der Visualisierung
• Tiefe der (inter)kulturellen Diversifikation
Ebene 3: Können (systemische Kommunikation)
• Zusammensetzung, Kompetenz, Zusammenar-
Sicherheitskultur ist stets geprägt von der Interaktion
beit und Auftritt der Awareness-Organisation
mit Mitarbeitenden sowie Kunden und Partnern. Sicher-
und seiner Team-Mitglieder
heit umfasst demnach auch systemische Faktoren, dem
Zusammenspiel in einer Organisation (und ihrer Außen-
1.5.5 Methoden für Security Awareness kontakte) vor dem Hintergrund ihrer Unternehmenskul-
Dabei existieren verschiedene Methoden zur Schaffung tur. Die Besonderheiten dieses Zusammenspiels in der
und Modellierung von Awareness, deren Inhalte, Aus- Ebene 3 (Können) lassen sich produktiv über systemi-
führung und Erfolg u. a. vom Geschäftsmodell sowie der sche Kommunikation fördern. D. h., es geht hier auch
Unternehmens- und Sicherheitskultur abhängen. im Sinne von „Empowerment“ (Verstärkung von Auto-
nomie bzw. Selbstbestimmung) um das Einordnen und
Wichtig scheint uns auch der Hinweis auf Security Awa-
Einüben sicherheitskonformen Handelns. Dafür eignen
reness als ein multidisziplinärer Bereich, an dem u. a.
sich insbesondere, dialogische Konstellationen (z. B.
kognitive, emotionale und systemische Faktoren betei-
Teamformate) mit dem Ziel, soziale Handlungskompe-
ligt sind [10].
tenzen und einen für Awareness notwendigen Sicher-
Das heißt, die Schlüsselfaktoren von Security Aware- heitsdiskurs unter den Beteiligten zu fördern, damit
ness weisen Überschneidungen auf zum betrieblichem in der Awareness-Informationslogistik auch formlose,
Bildungsmanagement bzw. zur Personalentwicklung, informelle Informationsflüsse (Flurfunk, z. B. Pausen-
zur generellen Security-Kommunikation sowie zum Ver- gespräche) eingebunden sind, die nicht von den Sicher-
änderungsmanagement und prägen die drei methodi- heitsbereichen organisiert und kontrolliert werden.
schen Ebenen von Security Awareness (known_sense
spricht in diesem Kontext von „Layern“) [10]:
15Erst die durch das Marketing bedingte emotionale An- Kommunikation an einer Kampagne beteiligt sein. D. h.
sprache (Ebene 2) und das systemische Einüben von auch, dass jedes Instrument mit jedem anderen verbun-
Security relevantem Verhalten (Ebene 3) ermöglicht das den sein sollte; die einzelnen Formate sollten auf die
Abrufen der Wissensbasis aus Ebene 1. Umgekehrt las- jeweils anderen einzahlen (d. h. für diese werben). Da-
sen sich die Lernphasen einer Know-how-Vermittlung rüber hinaus muss eh ein diverses Portfolio an Formaten
(Ebene 1) erfolgreicher gestalten, wenn der Wissens- bereitgestellt werden, die unterschiedliche Lerntypen
vermittlung auch emotionale und systemische Aspekte bzw. Zielgruppen und psychologische Verfassungen an-
inhärent sind. Denn spielerisches Lernen führt zu einer sprechen.
höheren Awareness-„Haltbarkeit“ als rein kognitives
Lernen, das häufig als Arbeit wahrgenommen wird [12].
Formate und Instrumente der Ebene 1 sind z. B.
• klassisches E-Learning (z. B. Web Based Trainings
– WBTs)
• klassische Präsenztrainings
• klassischer Textcontent (z. B. Artikel in Corporate
Media wie etwa Intranet)
• Quickinfos (z. B. via E-Mail)
Formate und Instrumente der Ebene 2 sind z. B.
• Flyer und Quick Guides
• Poster, Aufsteller u. a. Visuals
• Videos, Podcasts etc.
• Mitarbeiter-Events
• Giveaways und Incentives
• weitere Marketing-Tools
Formate und Instrumente der Ebene 3 sind z. B.
• Moderationsinstrumente für diskursive Team-
Settings, z. B. Moderationskartensets, Lernkar-
ten
• Deep Dive Workshops u. a. zielgruppenspezi-
fische Intensivtrainings mit Simulationen und
weiteren diskursiven, gamifizierten bzw. interak-
tiven Elementen
• Simulationen, Lernstationen, Edutainment-
Spiele
• (interaktive) Aktionen, Tests, Assessments
Eine derartige Typologie von Formaten existiert nicht in
Reinform. D. h., die im Projekt „ALARM Informationssi-
cherheit“ zu entwickelnden Lernszenarien sind grund-
sätzlich der Ebene 3 zuzuordnen und umfassen gleich-
zeitig didaktische und emotionale Awareness-Leistun-
gen aus den Teildisziplinen Lerntheorie (Ebene 1) bzw.
Marketing (Ebene 2).
Aus zahlreichen internen, tiefenpsychologischen Stu-
dien bei known_sense-Kunden (z. B. Tiefenpsycholo-
gische Konzeptanalyse mySecurity & Privacy Box bei
T-Systems International) [13] sowie quantitativen Er-
hebungen im Kontext qualitativer und quantitativer
Erfolgsmessung, die known_sense für weitere Kunden
intern produziert hat, ergaben sich wichtige Faktoren
für die Umsetzung der Methoden. Sämtliche Ebenen
sollten wechselseitig im Sinne einer widerspruchsfreien
172. Stichprobe, Untersuchungsdesign und
Auffälligkeiten
2.1 Stichprobe der Untersuchung Zitate der Probanden/Probandinnen:
Es wurden insgesamt 16 Probanden und Probandinnen Sind jeweils kursiv in orangen Balken gesetzt.
aus KMU in 90-minütigen Online-Interviews befragt.
• Zur Durchführung wurden sichere WebEx-Räume
durch die Forschungsgruppe Scholl der TH Methodik:
Wildau zur Verfügung gestellt.
Morphologische Markt- und Medienforschung, ergänzt
• Ursprünglich waren zunächst 15 zweistündige um Sekundärforschung, u. a. vergleichende Beschrei-
Face-to-face-Interviews geplant, die aufgrund bung bzw. Kennzahlen (Key Performance Indicators)
der Pandemie ausnahmslos online durchgeführt unter Berücksichtigung interner Security Awareness-
wurden. Auf Bitten der Geschäftsführungen der Kampagnen-Evaluationen durch known_sense bei
beteiligten KMU wurden die Online-Interviews sechs deutschen Großunternehmen unterschiedlicher
um 25% (30 Minuten) gekürzt. Branchen von 2009 bis 2020.
• Die Gespräche fanden größtenteils aus den
Homeoffices heraus statt.
Team des Unterauftragnehmers known_sense:
• Bei vier Interviews befanden sich die Gesprächs-
• Dipl. Psychologin Ankha Haucke
partner/innen am Arbeitsplatz im Unternehmen.
• Dipl. Psychologin Ivona Matas
• Befragt wurden 6 Frauen und 10 Männer.
• Dietmar Pokoyski (Geschäftsführer)
• Die teilnehmenden Pilotunternehmen gehören
verschiedenen Branchen an (u. a. Software, Per-
sonalvermittlung, Anlagenbau). Wichtige Begriffe (weitere siehe Glossar):
• Die Interviews wurden im Zeitraum vom • Tiefenpsychologie fasst sämtliche psychologi-
10.02.2021 bis 12.03.2021 durchgeführt. sche Ansätze zusammen, die den unbewussten
seelischen Vorgängen einen hohen Stellenwert
für die Erklärung menschlichen Verhaltens und
Funktionen der einzelnen Gesprächspartner/innen:
Erlebens beimessen. Die zentrale Idee ist hierbei,
• Geschäftsführungen (GF): dass „unter der Oberfläche“ des Bewusstseins
4 teilnehmende Assistent/innen der (etwa jenseits einer sog. Cover Story) in den
Geschäftsführungen bzw. Führungskräfte „tieferen“ Ebenen (Layern) der Psyche weitere,
9 Teilnehmende, davon unbewusste Prozesse ablaufen, die das bewuss-
3 IT-Spezialisten/IT-Spezialistinnen te Seelenleben (entspricht etwa der Impact
• Weitere Angestellte ohne Führungsfunktion bzw. Story) stark beeinflussen [11].
Personalverantwortung: 2 Teilnehmende • Morphologische Markt- und Medienpsychologie
• Auszubildende: 1 Proband/in hat seit den 1980er-Jahren und damit weit vor
dem Marketing-Mainstream umfassende Modelle
Alter der Probanden/Probandinnen: kreiert und weiterentwickelt, die bereits vor 40
Jahren aktuell aufkeimende Diskussionen und
• 18–25 Jahre: 1 Proband/in
Anforderungen von Marketing und Kommunika-
• 26–35 Jahre: 6 Probanden/Probandinnen tion in systematischer und ganzheitlicher Weise
• 36–45 Jahre: 4 Probanden/Probandinnen aufgriffen. Das Grundprinzip ist es, die Produkt-
• 46–55 Jahre: 3 Probanden/Probandinnen bzw. Medienverwendungsformen, Markenbilder
oder generell Settings (z. B. Alltagssituationen)
• > 56 Jahre: 2 Probanden/Probandinnen
mithilfe von Tiefeninterviews und einer be-
stimmten Beschreibungs-, Analyse- und Trans-
Arbeitsorte der Probanden/Probandinnen: formationsmethode als lebendige Formenbil-
• Raum Berlin/Brandenburg dung zu erfassen und darzustellen. Durch diese
• Baden-Württemberg Perspektive wird sichtbar gemacht, inwiefern
spezifische psychologische Motive (Verhalten,
Visionen, Wünsche, Bedürfnisse etc.) komplexe
Vermittlungen von psychischen Grundtendenzen
19und -positionen sind, die z. B. known_sense spe- ihrer Arbeit, ihrem generellem Wirken und der
ziell für den Bereich der Sicherheit aufgegriffen Informationssicherheit durch Kopf und Bauch
und weiterentwickelt hat [14]. geht. Statt quantitativer Meinungsumfrage ohne
• Verfassungen sind Modelle des Verfassungsmar- Möglichkeit auf Vertiefung einzelner Aspekte
ketings, wie es die morphologische Markt- und werden offene Interviews geführt, in denen auf
Medienpsychologie betreibt. Psychologische Zusammenhänge zwischen Gesagtem, Kör-
Verfassungen werden dabei je nach Kontext persprache (wie Mimik, Gestik) und auch auf
des menschlichen Verhaltens betrachtet. D. h., Fehlleistungen geachtet wird. Dabei werden die
Menschen verhalten sich nicht in allen Situatio- geheimen bzw. nicht bewusst wahrgenomme-
nen gleich, wie es z. B. das klassische Zielgrup- nen Bedeutungszusammenhänge erforscht und
pen-Marketing suggeriert. Zu unterscheiden nachvollziehbar gemacht. In einem derartigen
ist beispielsweise, ob im Büro oder Homeoffice Setting eröffnen sich somit stets neue Wen-
gearbeitet wird, elektronisch oder Face-to-face dungen und oft überraschende Einblicke, die
kommuniziert wird und zu welchen Tageszeit dann systematisch auf ihre Verhaltensrelevanz
bzw. innerhalb welcher Settings Arbeitsprozesse weiterverfolgt werden. Der hier zugrundeliegen-
stattfinden, z. B. ob dies am Vormittag, kurz vor de Leitfaden ist ein „lernender Leitfaden“. D. h.,
oder nach der Mittagspause passiert und uns die in Tiefeninterviews überraschend auftretende
Arbeit so aufhält, dass sie nach dem eigentlichen Aspekte können ad hoc im Interview selbst
Feierabend erledigt werden muss. Diese und und innerhalb nachfolgender Explorationen
andere Kontexte geben unsere psychologischen berücksichtigt werden. Damit liefern tiefen-
Verfassungen als eine Art Stimmung vor, die psychologische Security-Studien intensive und
unser Verhalten maßgeblich beeinflussen [15]. wissenschaftlich abgesicherte Analysen auf Basis
Das Verfassungsmarketing setzt also an Stim- von kleinen, aber aussagekräftigen Stichpro-
mungen, Bestimmungen, Zuständen, Bedingun- ben. Hierbei reicht diese verhältnismäßig kleine
gen, Lebensgefühlen an, in denen sich Menschen Menge an Teilnehmenden aus, da die wirksamen
befinden, die z. B. als Konsument/in Produkte Motivkomplexe und Einflussfaktoren in jedem
kaufen oder eben mit Informationssicherheit Einzelinterview vollständig repräsentiert sind.
konfrontiert sind. Hieraus können deutlich Der Vorteil dieser Methode ist, dass alle verdeck-
einfacher als aus quantitativen oder klassisch ten Security-Motive erfasst und in einen psycho-
sozialwissenschaftlichen Verfahren Geschichten, LOGISCHen Kontext gestellt werden. Auf Basis
Metaphern, Bilder, Emotionen u. v. m. abgeleitet dieser Ergebnisse können dann zielgenaue und
werden, die sich dann produktiv innerhalb von konkrete Empfehlungen zur Verbesserung der
Kommunikation nutzen lassen. Damit adressiert Sicherheitskultur bzw. -maßnahmen eines jeden
das Verfassungsmarketing anstelle von sich Unternehmens formuliert werden [14].
auflösenden Zielgruppen der Sozialforschung
die Kommunikationsstrategien auf einer lebendi- 2.2 Auffälligkeiten in der Exploration
gen, narrativen Ebene – und das lange, bevor das
Marketing die aktuell trendigen Repräsentatio- Die Rekrutierung für die anonymisierten Interviews und
nen von Konsumenten, sogenannter „Personas“, deren Durchführung erwies sich als schwieriger als ur-
„erfunden“ hat [15]. sprünglich angenommen:
• Tiefeninterview: Beim psychologischen Tie- • Die Vereinbarung gestaltete sich sehr zeitauf-
feninterview wird im Rahmen eines sich ver- wendig, da z. B. Termine teilweise (mehrfach)
dichtenden Kommunikationsprozesses so „tief abgesagt wurden und verschoben werden
gegraben“, bis die psychoLOGISCHE Wurzel eines mussten.
Phänomens zu erkennen und zu beschreiben
• Die Sicherheitseinstellungen mancher von den
ist. Eine damit verbundene Darstellung gerät
Teilnehmenden verwendeten PCs oder Note-
so breit und umfassend, wie es die jeweilige
books verhinderten eine adäquate Durchfüh-
Fragestellung pragmatischer Weise erfordert. In
rung, da z. B. das eingeplante Testmaterial nicht
den anderthalb- bis zweistündigen Einzelinter-
per Live-Video evaluiert werden konnte.
views decken Psychologen und Psychologinnen
bei Security-Wirkungsanalysen die unbewuss- • Einige Mitarbeitende wurden von den jeweiligen
ten seelischen Wirkungen und Einflussfaktoren Geschäftsführungen zur Teilnahme beordert,
auf, die das Verhalten aller Personen in Verbin- teilweise ohne vorher deren Interesse bzw. Be-
dung mit Sicherheit bestimmen. Diese werden reitschaft zu erfragen.
motiviert, in ihrer eigenen Sprache alles zu
beschreiben, was ihnen im Zusammenhang mit
21• Die Erwartungshaltung gegenüber dem Projekt
hat sich in Einzelfällen als sehr hoch bzw. sehr
agil („Ergebnisse am liebsten sofort“) herausge-
stellt.
Die geplanten Quotierungsvorgaben zu Geschlecht, Al-
ter und den verschiedenen Funktionen bzw. Hierarchie-
ebenen konnten aufgrund der mühevollen Akquise
durch die beteiligten KMU teilweise nicht eingehalten
werden:
• So wurden statt der 20 geplanten Online-Inter-
views lediglich 6 Frauen, aber 10 Männer befragt.
• Es wurde lediglich mit 2 Angestellten und 1 Aus-
zubildenden gesprochen; die verbleibenden 13
Interviews wurden mit Führungskräften, (zukünf-
tigen) Geschäftsführungen und deren Assistent/
innen sowie den designierten IT-Fachleuten
geführt.
Unbewusste Kontrolle von
Mitarbeitenden
Die beiden Gespräche mit den Mitarbeitenden ohne Füh-
rungsfunktion fanden zudem im Unternehmen selbst
und nicht im Homeoffice statt. Zu erwähnen ist, dass
in einem Fall die Geschäftsführung das Interview kurz
unterbrach. Es stellt sich daher die Frage, ob dies einen
Einfluss auf den Gesprächsinhalt haben könnte.
Aus psychologischer Sicht stellen die schwierige Akqui-
se mit der Anpassung der Stichprobe und der (unbewus-
sten) Kontrolle der an den Interviews teilnehmenden
Mitarbeitenden keine Zufälle dar. Vielmehr offenbaren
sich dadurch relevante Hinweise auf wirksame Motive,
die im Kontext des Themenkomplexes „Informationssi-
cherheit und Mitarbeiter-Awareness“ schwer zu verein-
baren sind, etwa emotionale Ausbrüche (Hoffnungen,
Befürchtungen etc.) und generell Paradoxes.
233. Informationssicherheit in kleinen
und mittleren Unternehmen
Das Thema „Informationssicherheit“ ist unmittelbar auf Marktbedürfnisse zeichnen die KMU aus. Diese Agi-
verbunden mit den Besonderheiten von KMU. Die KMU lität hat sich in Zeiten der Pandemie bewährt, in denen
werden dabei selbstbewusst in einem Spannungsfeld das Arbeiten im Homeoffice nicht nur erlaubt, sondern
von familiärem, vertrauensvollem Miteinander und durch die zügige Bereitstellung von Equipment (Lap-
einem flexiblen Eingehen auf die Marktbedürfnisse tops, Headsets, Kameras etc.) unterstützt wurde. Dies
präsentiert. ist auch der folgenden Äußerung einer interviewten Per-
In allen Gesprächen werden die hohe Identifikation son zu entnehmen:
und Verbundenheit mit dem jeweiligen Unternehmen
deutlich. Die Geschäftsführungen und auch die anderen „Das war schon beeindruckend: innerhalb von
Führungskräfte betonen die familiäre Zusammengehö- kürzester Zeit waren 80 Laptops da und die Kollegen
rigkeit, die Loyalität sowie das hohe Vertrauen in die und Kolleginnen konnten von zu Hause arbeiten. Das
Mitarbeitenden. Es wird Verständnis für die Nöte und hat unsere IT wirklich gut gemacht.“
Eigenheiten des jeweils anderen deutlich, und ein Bild
des entspannten und meist harmonischen Miteinanders
wird gezeichnet. Die Größe der Unternehmen ermög- 3.1 Exkurs: Tätigkeits-, Sicherheits- und
licht zudem einen direkten Kontakt zu Mitarbeitenden.
Kompetenzprofile sowie daraus
Die folgenden den Interviews entnommenen Zitate ver-
deutlichen die Situation in den ausgewählten KMU: resultierende Themen
In allen Branchen und Tätigkeitsbereichen ist die Ver-
„Das ist bei uns ganz familiär.“ arbeitung von Daten bzw. die Nutzung digitaler Kommu-
nikation essenziell. In den KMU gibt es unterschiedliche
„Ich würde schon fast von einem harmonischen Tätigkeitsprofile (offizielle, vom Arbeitgeber veranlasste
Miteinander sprechen.“ Beschreibungen der mit einer Tätigkeit verbundenen
Aufgaben bzw. Erwartungen) mit differenzierten und
„Mir ist ein freundlicher, wertschätzender Umgang
individuellen Sicherheitsprofilen (Addition von sicher-
wichtig.“
heitsrelevanten Skills sowie Zutritts- bzw. Zugriffsrech-
„Das ist der Unterschied zu einem Großunternehmen: ten) und Kompetenzprofilen (Gesamtheit aller Fähig-
man kennt sich und vertraut sich.“ keiten auch der impliziten, nicht in Tätigkeitsprofilen
beschriebenen) sowie Rollen, die mehr oder weniger mit
Dieses familiäre Miteinander zeigt sich auch in den In- sensiblen Informationen und den verschiedenen Infor-
terviews selbst – die Teilnehmenden erlauben mitunter mationssicherheits- bzw. Datenschutzrisiken in Kontakt
vertraute Einsichten in das eigene (Privat-)Leben: geraten.
• Zwar starten einige Gespräche mit offiziellen, Aufgrund der Heterogenität der Stichprobe konnte
Corporate Design-affinen Bildschirmhintergrün- hinsichtlich der Diversifikation von Tätigkeits-, Sicher-
den, diese werden jedoch trotz ausreichender heits- und Kompetenzprofilen für den Bereich „Security
Bandbreite bei der Übertragung schnell ausge- Awareness“ in KMU keine unmittelbare psychologische
schaltet. Es wird deutlich, dass die Interviews Relevanz ermittelt werden.
infolge der Pandemie überwiegend aus Homeof- Über alle Unterschiede hinweg existieren allgemein-
fices geführt werden. gültige Risiken bzw. Sicherheitsthemen, die quer durch
• Private Gegenstände beleben die Hintergründe. alle Bereiche, Verfassungen und Zielgruppen benannt
werden und im Arbeitsalltag für alle der befragten Per-
• Nach einer distanzierten Aufwärmphase machen
sonengruppen eine wesentliche Rolle spielen. Zu diesen
sich die Teilnehmenden locker und involvier-
zählen z. B.:
ten die Interviewer/innen nebenbei in private
Details. • Authentifizierung, Umgang mit (komplexen)
Zugleich wird das jeweilige Unternehmen als kompetent Passwörtern
(und erfolgreich auf dem Markt agierend) präsentiert. • Identifizierung von bzw. Umgang mit Phishing-
Die eigenen Aufgaben im Unternehmen werden stolz Mails bzw. Angriffen, basierend auf Phishing und
dargestellt und die teils komplizierten Abläufe geduldig ähnlichen Angriffsprinzipien
erläutert. Gerade die hohe Flexibilität, das Finden von • Sichere Verschlüsselung von E-Mails bzw. Datei-
individuellen Lösungen und die schnellen Reaktionen anhängen
253.2 Sicherheitsrelevante Besonderheiten 3.3 Sicherheitskultur in KMU
in der Kommunikation
Dem Thema „Sicherheit“ wird auch hinsichtlich des eige-
Neben „E-Mail“ spielt in den KMU in Bezug auf Kommu- nen Geschäftserfolgs eine hohe Bedeutung zugeschrie-
nikationskanäle das Thema „Messenger“ eine große ben: Geschäftsführungen, Führungskräfte, IT-Admini-
und immer stärker werdende Rolle. stration wie auch weitere Mitarbeitende bekräftigen die
Relevanz des Themas und betonen eigene Anstrengun-
Dabei wird die Nutzung von Messenger sehr unterschied-
gen und den erreichten Schutz durch die bereits erfolg-
lich gehandhabt: In einigen Unternehmen und Unter-
ten Maßnahmen. Das eigene Unternehmen erscheint da-
nehmensbereichen wird WhatsApp kritisch betrachtet,
bei als „Festung“, die selbstbewusst den Gefahren „von
in anderen wiederum verlangen relevante Kunden nach
außen“ trotzt, wie folgende Interviewauszüge zeigen:
einem geschäftlichen Kontakt über WhatsApp und ver-
schicken mitunter sensible Daten über diesen Kanal.
„Wir sind Fort Knox.“
Folgende Zitate stammen aus den geführten Interviews
und bestätigen diese Aussagen: „Das wissen alle, wir sind da schon gut aufgestellt.“
„Sicherheit ist wichtig!“
„Es gibt Kunden, die bestellen ausschließlich per
WhatsApp, also sagen die Kollegen: entweder
machen wir Geschäft oder wir machen keins. Da kann Auf den ersten Blick umfasst der Bereich der Informa-
ich noch so erklären, wie gefährlich WhatsApp ist. tionssicherheit die technischen Schutzmaßnahmen
Das ist dann egal.“ (Firewall, Netzwerksicherheit, eigene Server vs. Cloud-
lösungen, Hard- und Software) sowie den Datenschutz
„Wir haben auch eine Firmengruppe in WhatsApp. mit Verweis auf die Datenschutz-Grundverordnung
Teilweise bin ich schon erstaunt, was die Leute da sowie Compliance mit den internen Richtlinien. Hin-
posten. Also Kinderbilder sind für mich tabu – aber sichtlich der zentralen Informationssicherheitsrisiken
das muss jeder selber wissen. Ich selber bin da wenig werden vor allem „Hackerangriffe“ und generell Cyber-
aktiv, schaue aber schon da rein.“ Kriminalität mit der steigenden Anzahl von E-Mails mit
„bösartigem Anhang“ bzw. Links benannt.
Alternative Messenger sind weder bekannt noch werden Nicht nur die Gefahren für das Unternehmen werden
diese im Unternehmenskontext genutzt. als von außen kommend gesehen. Auch der Schutz
In den befragten KMU wird oftmals „Microsoft Teams“ selbst wird in den Pilotunternehmen oftmals an externe
eingesetzt, um in Pandemiezeiten einen weiterhin en- Datenschutzbeauftragte, IT-Dienstleister oder IT-Sup-
gen Kontakt zu den Mitarbeitenden und vor allem einen port delegiert. Intern werden dann IT-Administration
reibungslosen Arbeitsalltag aufrechtzuerhalten. oder Datenschutzkoordinatoren/innen eingesetzt. In
einigen Fällen übernehmen kompetente Kollegen/Kol-
Sehr klar wird benannt, dass dem „komfortablen Hand-
leginnen auf Zuruf die Aufgabe, die laut einer der inter-
ling“ Vorrang vor möglichen Sicherheitsaspekten ge-
viewten Personen „den Bereich dann nebenher mitma-
geben wird. Dies wird von der IT-Administration in den
chen“. Die im Folgenden aufgezählten Kommentare aus
Unternehmen nicht immer positiv gesehen.
den Interviews belegen diese Perspektive:
„Wir haben jetzt Teams. Für die Entscheidung
„Durch die Cloud sind wir autark. Das lässt
war uns wichtig, dass das mit dem ganzen Office-
mich ruhig schlafen. Da muss ich mich auf die
Paket kompatibel ist. Das muss einfach reibungslos
Anbieter verlassen. Microsoft hat da ganz andere
funktionieren und das tut es auch.“
Möglichkeiten als wir.“
„Wir haben jetzt die Testversion mit 10 Mitarbeitern
„Wir haben eine große interne Serverlandschaft plus
getestet. Für uns ist es wichtig, dass es nicht
externem Datenschutzbeauftragten.“
kompliziert ist.“
„Wir nutzen den Newsletter des BSI.“
Generell steht die im Rahmen der Online-Interviews
erlebte, sehr restriktive Haltung bezüglich Videokonfe- „Unsere externen Dienstleister sind manchmal auch
renz-Tools im Widerspruch zum lockeren Umgang mit am Wochenende vor Ort, sodass es selten einen
Messengern – vor allem bei der Kommunikation mit persönlichen Kontakt gibt … eher telefonisch, wenn
Kunden. nötig.“
27Sie können auch lesen
