Alle Beiträge, die poten­zi­ell Newsaggregatoren zur Verfügung gestellt wer­den könn­ten.

Wie sage ich es meinem Digital Native?

Junge Arbeitnehmer sind die begehr­tes­ten. So sagt man. Sie sind zeit­lich fle­xi­bel, belast­bar, form­bar und haben häu­fig noch nicht die Ansprüche an eine rie­si­ge Bezahlung. Etwas ande­res ist ihnen häu­fig sehr viel wich­ti­ger: Sie gehö­ren zur Generation der digi­tal Natives – also die Personen, die von klein auf mit digi­ta­len Medien umge­hen und die Nutzung des Internets jeder­zeit und über­all eine Selbstverständlichkeit ist. Persönliche Gedanken wer­den mit der gan­zen Welt geteilt. Immer online. Alle Daten. Auf allen Geräten. Überall.

Nun ist die­ser Anspruch häu­fig nur schwer auf die Arbeitswelt über­trag­bar. Hier gibt es oft vor­ge­ge­be­ne Geräte aus vor­ge­ge­be­nen Gerätekategorien. Beschränkte Zugriffe, ein­ge­schränk­te Dienste, Berechtigungsstrukturen und schon gar nicht den hei­ßen Shice von der letz­ten Keynote. Also genau das Gegenteil von dem, was die­se Generation so kennt.

Diesem Thema hat sich vor Kurzem eine Studie, die von der Firma Centrify in Auftrag gegeben worden ist, ange­nom­men. Die ermit­tel­ten Werte unter­stüt­zen die vor­ge­nann­te These: So pos­ten 13% der 18 bis 24-jäh­ri­gen Arbeitnehmer Gedanken über sozia­le Netzwerke. 21% küm­mern sich nicht dar­um, ob ihre Äußerungen im Internet dem Arbeitgeber scha­den kön­nen. Im Gegenteil: 18% geben offen zu, dass ihre Posts die Sicherheit gefähr­den kön­nen. Nur 14% füh­len sich ver­ant­wort­lich für den Schutz der Daten. 44% sehen die­se Rolle bei der IT (was für ein Trugschluss!), 21% bei ihrem Chef (schon bes­ser – aber auch nicht gut).

Dieses Verhalten führt zu eini­gen Ängsten bei den Entscheidern gegen­über der jun­gen Arbeitnehmer-Generation. So befürch­ten 35% der Entscheider, dass die­se Generation von Arbeitnehmern für Datenlecks ver­ant­wort­lich ist, dass sie zu leicht­fer­tig Informationen teilt (30%) und sich zu sehr auf die Technologie ver­lässt (35%).

Dies hat zwei Aspekte: Technische Maßnahmen & Awareness.

Was zur Technik zu sagen wäre:
Das Umgehen von Sicherheitsrichtlinien wird Beschäftigten häu­fig leicht gemacht. So wird bei 40% der Beschäftigten kein Passwortwechsel erzwun­gen, was dazu führt, dass 14% ein Passwort nut­zen, das älter als ein Jahr ist. 14% benut­zen das glei­che Passwort für pri­va­te und dienst­li­che Anmeldungen. Ein Bewusstsein für Sicherheit ent­steht auch dann, wenn Menschen hin und wie­der auf­ge­for­dert wer­den, etwas dafür zu tun (Passwortwechsel) oder wohl­do­siert an ent­spre­chen­de Grenzen sto­ßen. Wohldosiert wohl­ge­merkt.

Was zur Awareness zu sagen wäre:
Warum ver­hal­ten sich jun­ge Arbeitnehmer so, wie sie es tun? Nur, wenn sich damit aus­ein­an­der­ge­setzt wird, kann nach­hal­ti­ge und erfolg­rei­che Awarenesskommunikation statt­fin­den. Jedoch nur 39% der Entscheider sagen, dass sie genug tun, um die Anforderungen die­ser Generation zu ver­ste­hen. Viele ver­sa­gen auch in ihrer Rolle als Vorbildfunktion in Punkto Informationssicherheit: 14% der Entscheider kli­cken auf ver­däch­ti­ge Links – nur 9% in der jun­gen Generation. Das Weitergeben von Passworten ist lei­der in bei­den Gruppen recht beliebt: 16% der Jungen bzw. 15% der Entscheider. Erschreckende Zahlen mit einem hohen Risiko, die nur mit wirk­sa­mer Awarenesskommunikation abge­senkt wer­den kön­nen.

Was sagt uns das alles nun?
Der Anspruch, den jun­ge Arbeitnehmer an ihren IT-Arbeitsplatz stel­len, ist geprägt durch den pri­va­ten Umgang mit IT-Technologien. Der offe­ne Umgang mit Informationen und neu­en Technologien passt häu­fig nicht in den Kontext von Organisationen, die ihre Informationen schüt­zen wol­len. Arbeitgeber, die jedoch gewis­se Freiheiten nicht zuge­ste­hen, wer­den für jun­ge Arbeitnehmer unat­trak­tiv.

Um die­se Generation von der Notwendigkeit des Schutzes für das Überleben und selbst­be­stimm­te und erfolg­rei­che Handeln von Organisationen zu über­zeu­gen, bedarf es einer Ansprache, die die­se Generation ver­steht, akzep­tiert und in Handlungen umsetzt. Verständnis weckt man nicht durch das Wiederholen von Sicherheitsvorgaben, das Verweisen auf Richtlinien oder das Verhängen von dis­zi­pli­na­ri­schen Konsequenzen (84% der Unternehmen tun das). Es geht dar­um, an der Lebenswirklichkeit jun­ger Arbeitnehmer anzu­do­cken, Betroffenheit zu erzeu­gen, mög­li­che Konsequenzen von Einstellungen zu Informationen dar­zu­stel­len und die jun­ge Generation zu moti­vie­ren, an dem Schutz Ihrer Informationen und der Informationen des Arbeitgebers aktiv mit­zu­wir­ken.

Es geht nicht um das Verteufeln alles Neuen, son­dern um Aufklärung über mög­li­che Angriffsvektoren, mög­li­che Folgen für die Firma und das Privatleben. Die tech­ni­kaf­fi­ne Generation hat häu­fig bereits eine gute Vorstellung vom Internet und sei­nen Gefahren. Darauf kann man in Sensibilisierungsmaßnahmen, die auf die­se Generation zuge­schnit­ten sind, gut auf­bau­en. Informierte, sen­si­bi­li­sier­te Beschäftigte kön­nen auf Basis die­ses Wissens selbst sehr gute Entscheidungen tref­fen. Richtlinien wer­den in die­sem Falle als Unterstützung und hilf­rei­chen Leitfaden ange­se­hen.

SECUTAIN auf Veranstaltungen 2018

In 2018 fin­den noch eini­ge sehr span­nen­de Veranstaltungen rund um das Thema “Informationssicherheit” statt. Wir freu­en uns, zu die­sen Veranstaltungen einen fach­li­chen Beitrag leis­ten und ent­spre­chen­de Vorträge hal­ten zu dür­fen:

 

  • 04. bis 05. September: D-A-CH Security 2018 (Gelsenkirchen) / Vortragstitel “Neue Narrative für Informationssicherheit”
  • 20. September: cybics Konferenz (Bochum) / Vortragstitel “Security Awareness 4.0”
  • 21. bis 23. November: 17. SECUTA (Garmisch Partenkirchen) / Vortragstitel “Awareness & Sensibilisierung für Informationssicherheit”
  • 20. bis zum 23. November:  DOAG 2018 Konferenz + Ausstellung (Nürnberg) / Vortragstitel “Awareness für Informationssicherheit”

 

Wir wür­den uns freu­en, Sie dort tref­fen zu dür­fen.

Das ist das Gegenteil von Game Of Thrones!!

Immer, wenn es dar­um geht, wie wir Informationssicherheit so kom­mu­ni­zie­ren, dass mög­lichst vie­le Leute uns fol­gen kön­nen, sich gut unter­hal­ten füh­len und Sympathie und Interesse für das Thema erzeu­gen, ver­su­che ich Gleichnisse zu fin­den, die das beschrei­ben. Das ist häu­fig gar nicht so ein­fach. Es geht um Anschlussfähigkeit; es geht um Perspektivwechsel. Informationssicherheit ist nichts Abstraktes son­dern hat ganz viel mit unse­rer Lebenswirklichkeit zu tun.

Daran muss­te ich den­ken, als ich vor ein paar Tagen den groß­ar­ti­gen John Oliver bei Seth Meyers in des­sen Late Night Show gese­hen habe. John Oliver macht in Amerika so etwas wie die ‘heu­te show’ — nur in lus­tig. Außerdem führt er gera­de mit einem Kinderbuch über einen Hasen, der einen ande­ren männ­li­chen Hasen hei­ra­ten möch­te, die ame­ri­ka­ni­schen Bestsellerlisten an, wor­über sich Mike Pence wahr­schein­lich unglaub­lich ärgert. Aber das ist eine andere Geschichte.

Naja, die­ser John Oliver jeden­falls hat­te in sei­ner Show von vor zwei Wochen einen großen Beitrag über Kryptowährungen gebracht. 25 Minuten. Am Sonntag Abend. Auf HBO. Fast bes­te Sendezeit. In einer Comedy-Show. Über die­sen Beitrag sprach er mit Seth Meyers und erzähl­te dar­über, wie schwer das Thema zu erklä­ren war, wie ungern sich Leute solch ein abs­trak­tes Thema anhö­ren möch­ten. Genau das erin­ner­te mich an Informationssicherheit — wir haben genau die sel­be Herausforderung. John Oliver bringt es in die­sem Gespräch jedoch auf den Punkt:

Darauf ange­spro­chen, ob er nun ein Experte in Kryptowährungen sei, sag­te John Oliver: “Naja, ich bin jeden­falls eher ein Experte als vor fünf Wochen, als ich zum ers­ten Mal davon hör­te. Das Schwierige beim Schreiben eines sol­chen Beitrages ist, dass man sich an die Version der Person, die man vor fünf Wochen war, erin­nern muss. Denn wir erklä­ren alles auf einem sehr ein­fa­chen Level — für Leute, die bis jetzt über­haupt nichts davon ver­stan­den haben. [..] Und außer­dem ist das etwas, wovon die Leute nicht wirk­lich viel hören wol­len. Wenn man spät abends an einem Sonntag sagt: ‘Unser Hauptthema sind Kryptowährungen.’ sagen die Leute: ‘Warum hältst Du nicht ein­fach Deine <Pieeep>? Das macht die Sendepause von Game Of Thrones wirk­lich uner­träg­lich! Das ist das Gegenteil von Game of Thrones!!”

Das kann ich so nur unter­schrei­ben. Gehe offen­siv damit um, dass Leute das Thema zunächst ein­mal ableh­nen. Erinnere Dich an die Person, die Du warst, als Du von dem Thema noch nichts wuss­test. Versuche, ihr das Thema zu erklä­ren. Und dabei ist es egal, ob es sich um Kryptowährungen, Blockchains oder Informationssicherheit han­delt.