Kontakteinschränkungen: ja — Komplexe Passwörter: nein

Als ich vor Kurzem das ZDF-Politbarometer sah, wur­de dort eine für mich erstaun­li­che Zahl prä­sen­tiert. Es wur­de gefragt, wie die Bevölkerung die aktu­el­len Einschränkungen auf­grund der Corona-Situation ein­schätzt. Die Zustimmung lag bei 95%: 75% hiel­ten die Einschränkungen für ange­mes­sen — 20% wünsch­ten sich sogar här­te­re Maßnahmen. Das ist eine bemer­kens­wer­te Zahl — ins­be­son­de­re, wenn man bedenkt, wie tief die­se Maßnahmen in den Alltag aller Personen in Deutschland ein­grei­fen.

Das Erstaunen resul­tier­te aber auch daher, da ich mich noch an die Zahlen einer eige­nen Erhebung erin­nern konn­te, die wir zum Thema “Einschränkungsbereitschaft durch Informationssicherheitsmaßnahmen” erstellt hat­ten. Dabei frag­ten wir, inwie­fern Menschen bereit sind, auf Komfort zu ver­zich­ten, wenn sie damit den Schutz von Daten und Informationen stär­ken. Hier lag die Zustimmung bei gera­de mal mage­ren 3%.

Nun sind die Verwendung von kom­ple­xen Passwörtern, die Nutzung von meh­re­ren Faktoren bei Anmeldungen und aus­ge­klü­gel­te Berechtigungssysteme sehr viel weni­ger ein­schnei­dend als die aktu­el­len Kontaktbeschränkungen. Wieso sind die Zustimmungswerte den­noch so gegen­sätz­lich? Dies liegt an ver­schie­de­nen Faktoren, die wir uns auch in der Kommunikation von Informationssicherheit zu Nutze machen soll­ten:

Betroffenheit

In der Corona-Situation geht es um die eige­ne Gesundheit und das Überleben sei­ner Liebsten. Wir stel­len uns vor, was der schwe­re Verlauf einer COVID19-Erkrankung mit unse­rem Leben machen könn­te. Ganz unwei­ger­lich haben wir Angst vor dem Verlust der Leute, die uns am Herzen lie­gen. Mehr Betroffenheit geht kaum. Die Bereitschaft, sei­ne Verhaltensweisen anzu­pas­sen, steigt, je betrof­fe­ner eine Situation macht.

Natürlich stüt­zen wir unse­re Argumentationen auch im Bereich der Informationssicherheit auf Business Impact Analysen, Risikobewertungen oder Schutzbedarfsfeststellungen. Das klingt nicht danach, dass wir auf der emo­tio­na­len Ebene ange­spro­chen wer­den. Macht dies betrof­fen? Wohl eher weni­ger. Daher ist es hier wich­tig, Bilder zu zeich­nen und Geschichten zu erzäh­len, wie das Berufsleben und der Zustand des eige­nen Arbeitgebers aus­se­hen könn­te, wenn Informationsrisiken ein­tre­ten. Was macht das ganz kon­kret mit mir, mit mei­ner lieb gewon­ne­nen Arbeitskollegin und mit unser aller beruf­li­chen Existenz(grundlage)? Diese kon­kre­te, bild­haf­te Ausgestaltung adres­siert viel stär­ker unse­re Emotionen und weckt Betroffenheit.

Anschlussfähigkeit

Um die Überlastung des Gesundheitssystems zu ver­hin­dern, ist es not­wen­dig, das expo­nen­ti­el­le Wachstum zu ver­hin­dern. Exponentielles Wachstum ist jedoch etwas, das wir uns als Menschen in sei­ner Auswirkung kaum vor­stel­len kön­nen. Also benö­ti­gen wir Analogien, um dies greif­ba­rer zu machen. Viele nut­zen die Schachbrettaufgabe, die das expo­nen­ti­el­le Wachstum sehr schön illus­triert. Diese stellt die Frage, wie viel Weizenkörner auf dem letz­ten Schachbrettfeld lie­gen, wenn man fol­gen­de Regel anwen­det: Auf das ers­te Feld wird ein Weizenkorn gelegt. Die Anzahl wird auf dem nächs­ten Feld ver­dop­pelt — also 2 Weizenkörner -, und die­se Anzahl wie­der­um auf dem nächs­ten Feld ver­dop­pelt — 4 Weizenkörner — usw. Für das vier­und­sech­zigs­te Schachbrettfeld müss­ten mehr Weizenkörner orga­ni­siert wer­den, als es im gan­zen Land aus der Fabel gibt. ProTipp: Falls Ihr Chef eben­falls kein Gefühl für expo­nen­ti­el­les Wachstum hat, ver­han­deln Sie, dass Sie jeden Monat mit einem Cent Gehalt am ers­ten Arbeitstag begin­nen. Am zwei­ten Tag ver­dop­peln Sie das Tagesgehalt. In einem Monat mit 22 Arbeitstagen — wie in die­sem März — gehen Sie mit knapp 42.000 Euro nach Hause. Klar: brut­to. Da geht eini­ges ab. :)

Analogien unter­hal­ten und stel­len Anschlussfähigkeit her. Sie blei­ben im Kopf haf­ten. Auch die­ses soll­ten wir für die Kommunikation von Informationssicherheit nut­zen.

Die Macht der Bilder

Ein wei­te­res schö­nes Beispiel für das Herstellen von Anschlussfähigkeit sind geschick­te Visualisierungen — wie Infografiken oder Animationen. Dieses Beispiel des Bundesgesundheitsministeriums ver­deut­licht sehr schön die Wirkmacht jedes Einzelnen, der zu Hause bleibt und räum­li­che Distanz zu ande­ren Personen auf­baut.

Hier wer­den nicht unre­flek­tiert Regeln oder gar die Sanktionen bei Nichteinhaltung the­ma­ti­siert, son­dern Sinne gebil­det und Achtsamkeit erzeugt. Dies ist ein schö­nes Beispiel, da hier die Betrachtenden ganz klar able­sen kön­nen, wel­che posi­ti­ven Folgen ihr Verhalten haben kann.

Dies ist Zugleich ist eine wich­ti­ge Maßgabe für die Kommunikation von Informationssicherheit. Nicht das rei­ne Wahrnehmen von Sicherheitsrichtlinien erzeugt eine Veränderung in der Einstellung gegen­über dem Thema. Vielmehr ist die Darstellung des Beitrags jedes Einzelnen erfolg­ver­spre­chend und nach­hal­tig. Erzeugen Sie bei Ihren Mitarbeitenden den inne­ren Monolog: “Was kann ich eigent­lich an Schaden ver­hin­dern, wenn ich auch nur auf eine ein­zi­ge gefähr­li­che Phishing-Mail nicht her­ein­fal­le?” Die Schärfung der Sinne wirkt mehr als pure Regulatorik.

Der zeitliche Aspekt

Zugegeben, die ZDF-Umfrage ist aus der letz­ten Märzwoche. Jetzt — einen Monat spä­ter — sin­ken lang­sam die Zustimmungswerte für die Maßnahmen, sind aber immer noch auf sehr hohem Niveau bei etwa 70% bis 75%. Dass die Zustimmung auf einem hohen Level bleibt, hängt sicher­lich auch damit zusam­men, dass die­se sehr ein­schrän­ken­den Maßnahmen in die­sem aktu­el­len Zeitfenster end­lich sind. Wir haben Hoffnung auf eine Zukunft mit der Rückkehr zur Normalität.

Diese zeit­lich beschränk­ten Regeln haben wir in der Informationssicherheit an vie­len Stellen nicht: Passwörter blei­ben lang und kom­plex, Zugriffsrechte blei­ben ein­ge­schränkt, Phishing-Mails errei­chen uns wahr­schein­lich auch noch in vie­len Jahren. Dennoch gibt es auch hier Zeitfenster, die genutzt wer­den kön­nen. So stel­len wir bei­spiels­wei­se aktu­ell einen grö­ße­ren Wissensbedarf beim Thema Homeoffice fest. Viele, die jetzt zum ers­ten Mal in grö­ße­rem Umfang zu Hause arbei­ten fra­gen sich: Wie kann ich die Unternehmensdaten auch im häus­li­chen Umfeld schüt­zen? Das erläu­tern wir in unserem neuen E-Learning-Kurs zu diesem Thema. Nutzen Sie die­ses Zeitfenster für Ihre Organisation! Aktuell wer­den die­se Informationen eher als will­kom­me­ne Unterstützung statt als ein­schrän­ken­de Regeln wahr­ge­nom­men. Diesen Kurs stel­len wir übri­gens aktu­ell vie­len Branchen, die die­se Corona-Krise zu bewäl­ti­gen hel­fen, kos­ten­los zur Verfügung.

Sinnbildung statt Regeln

Mittlerweile tre­ten Lockerungen in Kraft, die aus wirt­schaft­li­chen und sozi­al­ge­sund­heit­li­chen Erwägungen getrof­fen wur­den. Diese wer­den von der Hoffnung beglei­tet, dass die letz­ten Wochen dazu bei­getra­gen haben, dass sich bei vie­len Menschen die Einstellung zu dem Thema geän­dert hat. So haben sicher­lich vie­le von Ihnen aktu­ell eine höhe­re Aufmerksamkeit auf das Thema Hygiene oder wägen viel stär­ker ab, wel­che Aktionen wirk­lich not­wen­dig und wel­che aktu­ell ver­zicht­bar sind. Menschen ver­hal­ten sich von sich aus schüt­zen­der, weil sie den Sinn ver­stan­den haben, der sich aus einer zurück­hal­ten­den Lebensweise ergibt. Die Hoffnung besteht, dass es geschafft wur­de, dass Menschen sich auch ohne strengs­te Regeln situa­ti­ons­be­zo­gen ange­mes­sen ver­hal­ten.

Hinzu kommt eine gewis­se sozia­le Kontrolle, die sich mitt­ler­wei­le eta­bliert hat. Personen wer­den ange­spro­chen, die nicht genü­gend Abstand hal­ten oder indem ein Handschlag nicht erwi­dert wird. Oder den­ken Sie an Ihren Kollegen im Nachbarbüro: 50 Jahre, Phil Collins-Fan und Auto-Bild-Abonnent. Wäre das nicht toll, wenn wir das auch hin­be­kä­men, ihn freund­lich anzu­spre­chen, wenn der mal wie­der sei­nen Rechner nicht gesperrt hat?