Wie sage ich es meinem Digital Native?

Junge Arbeitnehmer sind die begehr­tes­ten. So sagt man. Sie sind zeit­lich fle­xi­bel, belast­bar, form­bar und haben häu­fig noch nicht die Ansprüche an eine rie­si­ge Bezahlung. Etwas ande­res ist ihnen häu­fig sehr viel wich­ti­ger: Sie gehö­ren zur Generation der digi­tal Natives – also die Personen, die von klein auf mit digi­ta­len Medien umge­hen und die Nutzung des Internets jeder­zeit und über­all eine Selbstverständlichkeit ist. Persönliche Gedanken wer­den mit der gan­zen Welt geteilt. Immer online. Alle Daten. Auf allen Geräten. Überall.

Nun ist die­ser Anspruch häu­fig nur schwer auf die Arbeitswelt über­trag­bar. Hier gibt es oft vor­ge­ge­be­ne Geräte aus vor­ge­ge­be­nen Gerätekategorien. Beschränkte Zugriffe, ein­ge­schränk­te Dienste, Berechtigungsstrukturen und schon gar nicht den hei­ßen Shice von der letz­ten Keynote. Also genau das Gegenteil von dem, was die­se Generation so kennt.

Diesem Thema hat sich vor Kurzem eine Studie, die von der Firma Centrify in Auftrag gegeben worden ist, ange­nom­men. Die ermit­tel­ten Werte unter­stüt­zen die vor­ge­nann­te These: So pos­ten 13% der 18 bis 24-jäh­ri­gen Arbeitnehmer Gedanken über sozia­le Netzwerke. 21% küm­mern sich nicht dar­um, ob ihre Äußerungen im Internet dem Arbeitgeber scha­den kön­nen. Im Gegenteil: 18% geben offen zu, dass ihre Posts die Sicherheit gefähr­den kön­nen. Nur 14% füh­len sich ver­ant­wort­lich für den Schutz der Daten. 44% sehen die­se Rolle bei der IT (was für ein Trugschluss!), 21% bei ihrem Chef (schon bes­ser – aber auch nicht gut).

Dieses Verhalten führt zu eini­gen Ängsten bei den Entscheidern gegen­über der jun­gen Arbeitnehmer-Generation. So befürch­ten 35% der Entscheider, dass die­se Generation von Arbeitnehmern für Datenlecks ver­ant­wort­lich ist, dass sie zu leicht­fer­tig Informationen teilt (30%) und sich zu sehr auf die Technologie ver­lässt (35%).

Dies hat zwei Aspekte: Technische Maßnahmen & Awareness.

Was zur Technik zu sagen wäre:
Das Umgehen von Sicherheitsrichtlinien wird Beschäftigten häu­fig leicht gemacht. So wird bei 40% der Beschäftigten kein Passwortwechsel erzwun­gen, was dazu führt, dass 14% ein Passwort nut­zen, das älter als ein Jahr ist. 14% benut­zen das glei­che Passwort für pri­va­te und dienst­li­che Anmeldungen. Ein Bewusstsein für Sicherheit ent­steht auch dann, wenn Menschen hin und wie­der auf­ge­for­dert wer­den, etwas dafür zu tun (Passwortwechsel) oder wohl­do­siert an ent­spre­chen­de Grenzen sto­ßen. Wohldosiert wohl­ge­merkt.

Was zur Awareness zu sagen wäre:
Warum ver­hal­ten sich jun­ge Arbeitnehmer so, wie sie es tun? Nur, wenn sich damit aus­ein­an­der­ge­setzt wird, kann nach­hal­ti­ge und erfolg­rei­che Awarenesskommunikation statt­fin­den. Jedoch nur 39% der Entscheider sagen, dass sie genug tun, um die Anforderungen die­ser Generation zu ver­ste­hen. Viele ver­sa­gen auch in ihrer Rolle als Vorbildfunktion in Punkto Informationssicherheit: 14% der Entscheider kli­cken auf ver­däch­ti­ge Links – nur 9% in der jun­gen Generation. Das Weitergeben von Passworten ist lei­der in bei­den Gruppen recht beliebt: 16% der Jungen bzw. 15% der Entscheider. Erschreckende Zahlen mit einem hohen Risiko, die nur mit wirk­sa­mer Awarenesskommunikation abge­senkt wer­den kön­nen.

Was sagt uns das alles nun?
Der Anspruch, den jun­ge Arbeitnehmer an ihren IT-Arbeitsplatz stel­len, ist geprägt durch den pri­va­ten Umgang mit IT-Technologien. Der offe­ne Umgang mit Informationen und neu­en Technologien passt häu­fig nicht in den Kontext von Organisationen, die ihre Informationen schüt­zen wol­len. Arbeitgeber, die jedoch gewis­se Freiheiten nicht zuge­ste­hen, wer­den für jun­ge Arbeitnehmer unat­trak­tiv.

Um die­se Generation von der Notwendigkeit des Schutzes für das Überleben und selbst­be­stimm­te und erfolg­rei­che Handeln von Organisationen zu über­zeu­gen, bedarf es einer Ansprache, die die­se Generation ver­steht, akzep­tiert und in Handlungen umsetzt. Verständnis weckt man nicht durch das Wiederholen von Sicherheitsvorgaben, das Verweisen auf Richtlinien oder das Verhängen von dis­zi­pli­na­ri­schen Konsequenzen (84% der Unternehmen tun das). Es geht dar­um, an der Lebenswirklichkeit jun­ger Arbeitnehmer anzu­do­cken, Betroffenheit zu erzeu­gen, mög­li­che Konsequenzen von Einstellungen zu Informationen dar­zu­stel­len und die jun­ge Generation zu moti­vie­ren, an dem Schutz Ihrer Informationen und der Informationen des Arbeitgebers aktiv mit­zu­wir­ken.

Es geht nicht um das Verteufeln alles Neuen, son­dern um Aufklärung über mög­li­che Angriffsvektoren, mög­li­che Folgen für die Firma und das Privatleben. Die tech­ni­kaf­fi­ne Generation hat häu­fig bereits eine gute Vorstellung vom Internet und sei­nen Gefahren. Darauf kann man in Sensibilisierungsmaßnahmen, die auf die­se Generation zuge­schnit­ten sind, gut auf­bau­en. Informierte, sen­si­bi­li­sier­te Beschäftigte kön­nen auf Basis die­ses Wissens selbst sehr gute Entscheidungen tref­fen. Richtlinien wer­den in die­sem Falle als Unterstützung und hilf­rei­chen Leitfaden ange­se­hen.