Kontakteinschränkungen: ja — Komplexe Passwörter: nein
Als ich vor Kurzem das ZDF-Politbarometer sah, wurde dort eine für mich erstaunliche Zahl präsentiert. Es wurde gefragt, wie die Bevölkerung die aktuellen Einschränkungen aufgrund der Corona-Situation einschätzt. Die Zustimmung lag bei 95%: 75% hielten die Einschränkungen für angemessen — 20% wünschten sich sogar härtere Maßnahmen. Das ist eine bemerkenswerte Zahl — insbesondere, wenn man bedenkt, wie tief diese Maßnahmen in den Alltag aller Personen in Deutschland eingreifen.
Das Erstaunen resultierte aber auch daher, da ich mich noch an die Zahlen einer eigenen Erhebung erinnern konnte, die wir zum Thema “Einschränkungsbereitschaft durch Informationssicherheitsmaßnahmen” erstellt hatten. Dabei fragten wir, inwiefern Menschen bereit sind, auf Komfort zu verzichten, wenn sie damit den Schutz von Daten und Informationen stärken. Hier lag die Zustimmung bei gerade mal mageren 3%.
Nun sind die Verwendung von komplexen Passwörtern, die Nutzung von mehreren Faktoren bei Anmeldungen und ausgeklügelte Berechtigungssysteme sehr viel weniger einschneidend als die aktuellen Kontaktbeschränkungen. Wieso sind die Zustimmungswerte dennoch so gegensätzlich? Dies liegt an verschiedenen Faktoren, die wir uns auch in der Kommunikation von Informationssicherheit zu Nutze machen sollten:
Betroffenheit
In der Corona-Situation geht es um die eigene Gesundheit und das Überleben seiner Liebsten. Wir stellen uns vor, was der schwere Verlauf einer COVID19-Erkrankung mit unserem Leben machen könnte. Ganz unweigerlich haben wir Angst vor dem Verlust der Leute, die uns am Herzen liegen. Mehr Betroffenheit geht kaum. Die Bereitschaft, seine Verhaltensweisen anzupassen, steigt, je betroffener eine Situation macht.
Natürlich stützen wir unsere Argumentationen auch im Bereich der Informationssicherheit auf Business Impact Analysen, Risikobewertungen oder Schutzbedarfsfeststellungen. Das klingt nicht danach, dass wir auf der emotionalen Ebene angesprochen werden. Macht dies betroffen? Wohl eher weniger. Daher ist es hier wichtig, Bilder zu zeichnen und Geschichten zu erzählen, wie das Berufsleben und der Zustand des eigenen Arbeitgebers aussehen könnte, wenn Informationsrisiken eintreten. Was macht das ganz konkret mit mir, mit meiner lieb gewonnenen Arbeitskollegin und mit unser aller beruflichen Existenz(grundlage)? Diese konkrete, bildhafte Ausgestaltung adressiert viel stärker unsere Emotionen und weckt Betroffenheit.
Anschlussfähigkeit
Um die Überlastung des Gesundheitssystems zu verhindern, ist es notwendig, das exponentielle Wachstum zu verhindern. Exponentielles Wachstum ist jedoch etwas, das wir uns als Menschen in seiner Auswirkung kaum vorstellen können. Also benötigen wir Analogien, um dies greifbarer zu machen. Viele nutzen die Schachbrettaufgabe, die das exponentielle Wachstum sehr schön illustriert. Diese stellt die Frage, wie viel Weizenkörner auf dem letzten Schachbrettfeld liegen, wenn man folgende Regel anwendet: Auf das erste Feld wird ein Weizenkorn gelegt. Die Anzahl wird auf dem nächsten Feld verdoppelt — also 2 Weizenkörner -, und diese Anzahl wiederum auf dem nächsten Feld verdoppelt — 4 Weizenkörner — usw. Für das vierundsechzigste Schachbrettfeld müssten mehr Weizenkörner organisiert werden, als es im ganzen Land aus der Fabel gibt. ProTipp: Falls Ihr Chef ebenfalls kein Gefühl für exponentielles Wachstum hat, verhandeln Sie, dass Sie jeden Monat mit einem Cent Gehalt am ersten Arbeitstag beginnen. Am zweiten Tag verdoppeln Sie das Tagesgehalt. In einem Monat mit 22 Arbeitstagen — wie in diesem März — gehen Sie mit knapp 42.000 Euro nach Hause. Klar: brutto. Da geht einiges ab. :)
Analogien unterhalten und stellen Anschlussfähigkeit her. Sie bleiben im Kopf haften. Auch dieses sollten wir für die Kommunikation von Informationssicherheit nutzen.
Die Macht der Bilder
Ein weiteres schönes Beispiel für das Herstellen von Anschlussfähigkeit sind geschickte Visualisierungen — wie Infografiken oder Animationen. Dieses Beispiel des Bundesgesundheitsministeriums verdeutlicht sehr schön die Wirkmacht jedes Einzelnen, der zu Hause bleibt und räumliche Distanz zu anderen Personen aufbaut.
Dieses Video verdeutlicht, die Wirksamkeit von #WirBleibenZuhause. Durch die Einhaltung der Verhaltensregeln kann jeder und jede einen Beitrag dazu leisten, die Ausbreitung des #Coronavirus zu verlangsamen. pic.twitter.com/EyFr4vp1YK
— BMG (@BMG_Bund) March 30, 2020
Hier werden nicht unreflektiert Regeln oder gar die Sanktionen bei Nichteinhaltung thematisiert, sondern Sinne gebildet und Achtsamkeit erzeugt. Dies ist ein schönes Beispiel, da hier die Betrachtenden ganz klar ablesen können, welche positiven Folgen ihr Verhalten haben kann.
Dies ist Zugleich ist eine wichtige Maßgabe für die Kommunikation von Informationssicherheit. Nicht das reine Wahrnehmen von Sicherheitsrichtlinien erzeugt eine Veränderung in der Einstellung gegenüber dem Thema. Vielmehr ist die Darstellung des Beitrags jedes Einzelnen erfolgversprechend und nachhaltig. Erzeugen Sie bei Ihren Mitarbeitenden den inneren Monolog: “Was kann ich eigentlich an Schaden verhindern, wenn ich auch nur auf eine einzige gefährliche Phishing-Mail nicht hereinfalle?” Die Schärfung der Sinne wirkt mehr als pure Regulatorik.
Der zeitliche Aspekt
Zugegeben, die ZDF-Umfrage ist aus der letzten Märzwoche. Jetzt — einen Monat später — sinken langsam die Zustimmungswerte für die Maßnahmen, sind aber immer noch auf sehr hohem Niveau bei etwa 70% bis 75%. Dass die Zustimmung auf einem hohen Level bleibt, hängt sicherlich auch damit zusammen, dass diese sehr einschränkenden Maßnahmen in diesem aktuellen Zeitfenster endlich sind. Wir haben Hoffnung auf eine Zukunft mit der Rückkehr zur Normalität.
Diese zeitlich beschränkten Regeln haben wir in der Informationssicherheit an vielen Stellen nicht: Passwörter bleiben lang und komplex, Zugriffsrechte bleiben eingeschränkt, Phishing-Mails erreichen uns wahrscheinlich auch noch in vielen Jahren. Dennoch gibt es auch hier Zeitfenster, die genutzt werden können. So stellen wir beispielsweise aktuell einen größeren Wissensbedarf beim Thema Homeoffice fest. Viele, die jetzt zum ersten Mal in größerem Umfang zu Hause arbeiten fragen sich: Wie kann ich die Unternehmensdaten auch im häuslichen Umfeld schützen? Das erläutern wir in unserem neuen E-Learning-Kurs zu diesem Thema. Nutzen Sie dieses Zeitfenster für Ihre Organisation! Aktuell werden diese Informationen eher als willkommene Unterstützung statt als einschränkende Regeln wahrgenommen. Diesen Kurs stellen wir übrigens aktuell vielen Branchen, die diese Corona-Krise zu bewältigen helfen, kostenlos zur Verfügung.
Sinnbildung statt Regeln
Mittlerweile treten Lockerungen in Kraft, die aus wirtschaftlichen und sozialgesundheitlichen Erwägungen getroffen wurden. Diese werden von der Hoffnung begleitet, dass die letzten Wochen dazu beigetragen haben, dass sich bei vielen Menschen die Einstellung zu dem Thema geändert hat. So haben sicherlich viele von Ihnen aktuell eine höhere Aufmerksamkeit auf das Thema Hygiene oder wägen viel stärker ab, welche Aktionen wirklich notwendig und welche aktuell verzichtbar sind. Menschen verhalten sich von sich aus schützender, weil sie den Sinn verstanden haben, der sich aus einer zurückhaltenden Lebensweise ergibt. Die Hoffnung besteht, dass es geschafft wurde, dass Menschen sich auch ohne strengste Regeln situationsbezogen angemessen verhalten.
Hinzu kommt eine gewisse soziale Kontrolle, die sich mittlerweile etabliert hat. Personen werden angesprochen, die nicht genügend Abstand halten oder indem ein Handschlag nicht erwidert wird. Oder denken Sie an Ihren Kollegen im Nachbarbüro: 50 Jahre, Phil Collins-Fan und Auto-Bild-Abonnent. Wäre das nicht toll, wenn wir das auch hinbekämen, ihn freundlich anzusprechen, wenn der mal wieder seinen Rechner nicht gesperrt hat?