Newsletter Nr. 10 - known_sense

known.sense.de
  • Keine Tags gefunden...

Newsletter Nr. 10 - known_sense

Der Security-Newsletter www.known-sense.de www.aware-house.com 3Um zu vermeiden, dass Awareness-Maßnahmenentwickelt werden, die in derFolge nicht oder nur bedingt im besagtenBerufsalltag der Mitarbeiter durchselbige anwendbar sind, gehört an denAnfang jeglicher Awareness-Aktivitätenauch die Frage: »Was kennzeichnet IhreSicherheitskultur?« Eine differenzierteund konsequente Auseinandersetzungmit Unternehmenswerten und –kulturund den Menschen, die diese Kulturausmachen, ermöglicht es im weiterenVerlauf der Awareness-Aktivitäten die»richtigen«, die zum Unternehmen passendenSensibilisierungsmaßnahmenzu entwickeln. Hier darf ohne weiteresetwas mehr Gehirnschmalz investiertwerden, denn die Investition an dieserStelle wird sich in der Phase der Implementierungbezahlt machen.Awareness ist auch Kommunikation.Dabei macht in erster Linie der Empfängerund nicht der Sender die Botschaft, dennschließlich soll der Köder ja dem Fischeschmecken und nicht dem Angler. Wennschon die Werbetrommel für Sicherheitgerührt werden soll, dann aber bitteschönnicht nur oberflächlich. Aufmerksamkeitist zwar ein wichtiges und richtigesElement im Rahmen von Awareness-Aktivitäten,die Frage ist nur, wie Aufmerksamkeitund Interesse möglichst effizienterzeugt und beibehalten werden. Macheich mir systematisch darüber Gedanken,welches Kommunikationsmedium welcheWirkung bei welcher der Zielgruppe hat,wie die einzelnen Medien und Werkzeugeam besten zusammen wirken oder verwendeich einfach das, was der üblicheFächer der Unternehmenskommunikationhergibt?Awareness muss involvieren, heißt auch»Kontakt« - sonst passiert gar nichts! Ja,das bedeutet: Hausarbeiten erledigen undzuerst die Policy so zu transportieren,das sie auch von den Mitarbeitern verstandenwird. Es bedeutet aber auch, zuemotionalisieren - sowohl über den Inhaltals auch über die Verpackung. Sensibilisierungsmaßnahmensollten an bewusstgewählten Stellen vom unternehmenskulturellen»Mainstream« abweichen, umAufmerksamkeit und Interesse zu weckensowie eine aktive und nachhaltige Auseinandersetzungjedes einzelnen Mitarbeitersmit dem Thema Sicherheit zubewirken.Das bewusste Spiel mit unternehmenskulturellerKonformität und Non-Konformitätvon Security Awareness-Maßnahmenist also eine Option, sich in den Arbeitsalltagder Mitarbeiter zu drängen. Angesichtsder Tatsache, dass aber für einDazwischendrängen kein »Kochrezept«existiert, ist es umso wichtiger, dassder Awareness-Verantwortliche (oderseine Berater) über die entsprechendeSensibilität verfügen, genau zu wissen,was im Hinblick auf die Zielerreichungaus Sicherheitssicht sinnvoll ist respektiveder Unternehmenskultur sowie derUnternehmenskommunikation (noch)zugemutet werden kann.Fazit:Interesse für Sicherheit zu wecken, diesesInteresse in Involvement zu verwandelnund Wissen zielgruppengerecht zu vermittelnsind wichtige und richtige Aspektevon Security Awareness. Die Rahmenbedingungenzu schaffen, damit derartsensibilisierte Mitarbeiter ihr Wissen undWollen in der täglichen Arbeit umsetzenkönnen, ist eine weitere, wenn nichtdie größte Herausforderung erfolgreicherAwareness-Arbeit. Hierbei geht esum mehr als nur um Sicherheit. Es gehtdarum, hinter die Kulissen menschlichenHandelns im Unternehmen zu schauen,Unternehmensprozesse und -kultur zuhinterfragen und via Change Managementin eine ganzheitlichen Passung zuüberführen. Dies vermag eine zeitlichbegrenzte Kampagne nicht zu leisten. Sowird Security Awareness zu einem steti-


Der Security-Newsletter www.known-sense.de www.aware-house.com 4man hinter besagte Kulissen schaut, dieunbewussten, »geheimen« Faktoren derCorporate Painpoints (z.B. Mitarbeiter-Entsicherungenu.a.) aufdecken und Kommunikationsprozesseoptimieren kann. Dennwenn man schon von einer Sicherheitskulturausgeht, möchte man auch wissen, wieman die Besonderheiten der eigenen Kulturin Kommunikation, in Kontakte übersetzenkann, die die Mitarbeiter auch erreichen,weil sie sie berühren. Daher ist das Wissenum unternehmerische Wirkungseinheiten,Verfassungen Figurationen, Haupt- undNebenbilder, Geschichten, die im Unternehmenkursieren, und Spiele wichtig.Sie unterstützen die Unternehmen darin,das oft Gedachte, vielleicht Gesagte undmanchmal Gefühlte endlich zu thematisieren.Und spielerisch, wie jeder weiß und(hoffentlich) am eigenen Leib erfahren hat,lernt es sich z.B. eben leichter. So bestehtein Aufgabe von Awareness Kampagnen u.a.auch darin, auch die drei ehemals getrenntenBereiche Arbeit, Lernen und Spieleneinander näher zu bringen– auch, um den»Lernertrag« der Mitarbeiter, die kognitiveBasis der Awareness, zu erhöhen.Sicherheitskonformes Verhalten - eine mehrdimensionale und ganzheitliche Aufgabe in deren Mittelpunkt der Mensch steht.


Der Security-Newsletter www.known-sense.de www.aware-house.com 5gen und langfristigen, niemals endendenProzess. Dass der Sicherheitsverantwortlichedabei seinen originären Verantwortungsbereichverlässt und sich aufmitunter ungewohntes Terrain begibt,liegt auf der Hand. Entsprechend konsequentvoran zu schreiten, er forder t Mut undAusdauer. Dieser Mut führt letzten Endesaber zu den besseren Ergebnissen nicht nurin Bezug auf das Thema Sicherheit sondernauch für das ganze Unternehmen. SecurityAwareness ist damit ein Stück weit Loyalitäts-und Unternehmensentwicklung.(Erstveröffentlichung In: Hakin9 4/2009, S. 46ff.Mit freundlicher Genehmigung des Verlags)Michael Helisch ist Gründer und Inhaberder Firma HECOM Security AwarenessConsulting. Unternehmensinterne Kommunikationsowie die externe Vermarktungvon Dienstleistungen im KontextIT und Information Security bilden seit1998 den Schwerpunkt seines beruflichenEngagements. Dem Thema SecurityAwareness widmet sich Helisch seit2002, u.a. als Projektleiter des InternationalSecurity Awareness Program derMünchener Rückversicherungs-AG. Indieser Position war er für die Gesamtkonzeption,inhaltliche Ausgestaltung,Umsetzung und Weiterentwicklungdieser weithin bekannten Awareness-Kampagne verantwortlich. Gemeinsammit Dietmar Pokoyski hat er 2008 dieGründung des Kompetenznetzwerksaware-house initiiert. Helisch lebt mitseiner Familie in München.www.hecom-consulting.de,www.aware-house.comDietmar Pokoyski war Geschäftsführerdiverser Medienunternehmen der VerlagsundFilmbranche und ist heute Inhaber derKommunikations- und Beratungsagenturknown_sense, die seit 2002 in den FeldernProduktentwicklung und integriertebzw. systemische Kommunikation agiert.Mit known_sense sowie über die PartnerISPIN (Schweiz) und aware-house, das ergemeinsam mit Michael Helisch initiierte,hat Pokoyski einige Dutzend Kampagnenim Bereich der Mitarbeiter-Kommunikationbegeleitet, darunter u.a. zu den ThemenSecurity Awareness oder Leitbild-Implementierung.2007 erhielt das von known_senseentwickelte »askit – awareness security kit«für eine besonders vorbildliche Leistungzur Informationssicherheit den IT-SicherheitspreisNRW. www.known-sense.de, www.aware-house.com


Der Security-Newsletter www.known-sense.de www.aware-house.com 6Awareness in der GestaltpsychologieAnkha HauckeUm Ihnen ein tieferes Verständnis derPsychologie von Informationssicherheitund Security Awareness zu ermöglichen,stellen wir im folgenden Kapitel dieGrundzüge von gestaltpsychologischenAnsätzen vor und, wie diese methodisch,z.B. über Security-Wirkungsanalysen, imRahmen Ihrer Awareness-Arbeit genutztwerden können.Bereits im Rahmen meiner gestalttherapeutischenWeiterbildung hatte ich die Gelegenheit,mich mit Awareness zu beschäftigen.Dort spielt die Awareness eine zentraleRolle. Weil ich mir sicher bin, hiermit dieWahrnehmung dafür, was Awareness imRahmen von Informationssicherheit bedeutenkönnte, erweitern zu können, möchteich beschreiben, welche Bedeutung ihr inder Gestalttherapie beigemessen, wie mitihr gearbeitet und welche Erfahrungen mitihr gemacht werden.Definition von Awareness in derGestaltpsychologieDas gebräuchlichste deutsche Wort, dasder Bedeutung des Begriffs der Awarenesssehr nahe kommt, ist »Bewusstsein«. DasBewusstsein spielt bereits in der Psychoanalysevon Freud eine wichtige Rolle. Siewird als Voraussetzung für seelische Veränderungangesehen. In der Psychoanalysebedeutet dies, dass unbewusste Konfliktein der Kindheit das Verhalten und Erlebensolange belasten können, bis der Patientsich ihrer Bedeutung bewusst wird. Vondiesem Moment an kann er sich willentlichaus alten Beziehungsmustern befreien.Dieser Prozess der Bewusstwerdung wirdin der Psychoanalyse als eine rückwärtsgewandteIntrospektion und ein vorrangigrationaler Verstehensprozess aufgefasst.Awareness im Sinne der Gestalttherapieist im Gegensatz hierzu als eine gegenwartsgeleiteteInnerlichkeit zu verstehen.Das deutsche Wort »Bewusstheit« wird imgestalttherapeutischen Kontext weitgehendsynonym mit Awareness verwendet. Damitist eine ganzheitliche Erfahrung in derGegenwart gemeint, die in der Vergangenheitoder Zukunft nur dann eine Rolle spielt,wenn die Erinnerung daran bzw. eine Vorstellungdavon gegenwärtig präsent sind.Neben der Gegenwartsorientierung war dieBerücksichtigung der Sinnlichkeit und Vitalität,– kurz: des Körpers – das Anliegen derBegründer von Gestalttherapie, als sie denBegriff der Awareness in die Theorie derGestalttherapie einführten. Neben der Wahrnehmungdes Körpers, Sinnesempfindungenund Gefühlen umfasst Awareness aber auchdie Wahrnehmung von Werten, Wünschen,Phantasien, Träumen oder Gedanken.Als grobe Definition von Awareness könnenwir an dieser Stelle formulieren: »...das unmittelbareWahrnehmen all dessen, was einen Menschenerregt und worauf sich seine gegenwärtige Aufmerksamkeitrichtet.« (Gremmler-Fuhr 1999)Zwei Modi der BewusstheitFür das Thema Informationssicherheitist von Bedeutung, dass der recht vielschichtigeBegriff von Awareness in derGestalttherapie differenziert wird, indemman zwischen zwei Modi der Bewusstheitunterscheidet.Als »Achtsamkeit« wird das Richten derAufmerksamkeit auf das unmittelbarWahrzunehmende bezeichnet, wozu Empfindungen,Gefühle, Vorstellungen und


Der Security-Newsletter www.known-sense.de www.aware-house.com 7Gedanken ebenso gehören wie sinnlicheEindrücke aus der »Außenwelt«.Mit »Gewahrsein« ist dagegen ein Zustandgemeint, in dem umfassende Zusammenhängeunmittelbar wahrgenommen underkannt werden. Gewahrsein bedarf einerumfassenden geistigen Anstrengung, diedas erworbene Wissen mit Empfindungen,Gefühlen und Geist zu einem intuitivenErkennen von Strukturen und Mustern verbindet.»Gewahrsein ist aktiviertes Wissen undZusammenschauen, es schließt Vergangenes undZukünftiges ein.« (Gremmler-Fuhr 1999).Paradoxe Theorie derVeränderungWie kommt es nun, dass Awareness oderBewusstheit ein so hoher Stellenwert imRahmen der Gestalttherapie beigemessenwird? Wir Menschen können uns undandere weniger steuern, als wir im Allgemeinenannehmen. In der Gestalttherapieals einer psychotherapeutischen Methodegeht es aber gerade um Veränderung deseigenen Erlebens und Verhaltens. Hierkommen wir zur »paradoxen Theorie derVeränderung«. Diese besagt, dass seelischeVeränderung paradoxer Weise genauin dem Moment möglich wird, in demwir die Realität, und zwar jene, die unsumgibt, aber auch die »innere« seelische,wahr- und annehmen.»Wenn wir das, was ist, vorbehaltlos erkennen,verstehen und akzeptieren, können wir unsunserer Wahlmöglichkeiten bewusst werden,uns in Beziehung zum Umweltfeld selbst(von innen her) bestimmen.«(Gremmler-Fuhr 1999)Für unsere willentliche Steuerungsfähigkeitist der Bewusstheitsgrad entscheidend.Ohne Bewusstheit agieren wir nur inBezug auf bestimmte, vereinzelte Aspekteder Realität. Ein rein kognitives Reden undNachdenken über lebendige Prozesse vernachlässigtmöglicherweise die seelischeVerfassung zugunsten sachlicher Aspekte.Wenn dagegen z.B. die Wahrnehmung vorrangigauf die eigene Verfassung gerichtetist, werden gegebenenfalls Erfordernissedes Umfeldes vernachlässigt.Wachheit für die unmittelbarenErfahrungen»Wahlfreiheit« in Bezug auf unser eigenesErleben und Verhalten besteht nurim Zustand der Awareness im Sinne von»Wachheit für die unmittelbaren Erfahrungenim Organismus-Umwelt-Feld«. Wasim Rahmen von Psychotherapie die Wahlbedeutet, sich entsprechend der heutigenRealität zum eigenen Besten zu verhaltenoder zu fühlen, anstatt in selbstdestruktivenVerhaltensmustern zu verharren,ist im Zusammenhang von Informationssicherheitals die Freiheit zu verstehen,Security-Maßnahmen gezielt oder ebenstrategisch und bewusst durchzuführen,anstatt unbewusst anderen Motiven denVorrang zu geben, wobei eben auch »Fehlleistungen«möglich sind.Fehler im Hinblick auf Sicherheitsmaßnahmenlassen sich vor dem Hintergrundder Awareness im gestalttherapeutischenSinne als Verhaltensweisen erklären, dieohne Bewusstheit für die eigenen oderUmfeld-Belange quasi »blind passieren«.Wenn mir dagegen die vielfältigen »inneren«und äußeren Bedingungen, die michim gegenwärtigen Moment beeinflussen,bewusst sind, kann ich mich willentlichentscheiden. So kann ich – etwa dann,wenn ich mich im Büro einsam fühle – derVersuchung widerstehen, z.B. ein (triviales)Passwort zu wählen, das eine Verbindungzu geliebten Menschen herstellt.Ziel von Sicherheitsmaßnahmen ist esja, das Auftreten »blinden Agierens«, zudem auch das Vergessen von Regulariengezählt werden kann, mittels Awarenesszu verringern. Schauen wir uns an, wiedie Awareness in der Gestalttherapiegefördert wird.Awareness gilt den meisten Gestalttherapeutenneben drei weiteren als diezentrale therapeutische Methode. Da die


Der Security-Newsletter www.known-sense.de www.aware-house.com 9men zu entscheiden, dürfte den meistenMenschen nämlich schwer fallen. Esdürfte aber bis hierhin deutlich gewordensein, dass Awareness ein ganzheitlichesPhänomen ist, weil eine Förderungvon Awareness nur unter Einbeziehungdes »Feldes«, sprich der »Arbeitsumwelt«,möglich und überhaupt sinnvollsein kann. Das bedeutet, dass Awareness-Maßnahmennur in Bezug auf dieUnternehmenskultur und unter Berücksichtigungder Arbeitsbedingungen wirksamsind.Existentialismus»Die Befreiung von der Illusion der Verantwortungslosigkeit...« (Frank M. Staemmlerund Werner Bock)Die Gestalttherapie sieht sich in der Traditiondes Existentialismus und geht davonaus, dass wir Menschen zwar durch unserUmfeld beeinflusst werden, jedoch nichtvollständig determiniert sind. Vielmehrwählen wir bewusst, wie wir uns verhaltenund was wir erleben. Aus dieserexistentiellen Tatsache erwächst eineVerantwortlichkeit, die schwer zu tragenist und die wir daher gerne verleugnenoder verdrängen. Die gute Nachrichtaber ist, dass wir in der Lage sein sollten,uns selbst bzw. unseren Blick auf dieWelt verändern zu können.»Der Mensch ist lediglich so, wie er sichkonzipiert [...];der Mensch ist nichts anderes, als wozu er sichmacht.« (Sartre 1969)Gestalttherapeuten wenden existentialistischeMethoden an, um Menschen imRahmen ihrer Suche zu unterstützen, wiesie ihre Welt bisher konstruiert habenund wie sie diese in Zukunft möglicherweiseauf befriedigendere Art und Weiseals in der Gegenwart konstruieren könnten.Innerhalb dieses Erforschens geht esvor allem darum, welche Bedeutung dieMenschen ihren persönlichen Erlebnissenzuschreiben und wie sie hierauf reagieren.Neben der schon erwähnten Wahlfreiheitdürfte die existentialistische Methodeinsofern eine Anregung für die SecurityAwareness darstellen, als es sinnvoll seinkann, den Blick dafür zu schärfen, dasswir auch für so genannte Fehlleistungenverantwortlich sind und es sinnvoll ist,sich klar zu machen, wie diese zustandegekommen sind anstatt diese als gegebenhinzunehmen bzw. hierfür triviale Ursachenohne Tiefung anzugeben. Außerdemmacht die existentialistische Wurzel derGestalttherapie deutlich, dass man denMenschen als ein Wesen betrachten kann,das sich weitgehend selbst »erschaffen«hat, sich demnach auch aus eigener Kraftverändern kann.Gestaltpsychologie und SecurityAwarenessFür die Security würde die Essenz all’dieser Theorien bedeuten, dass Awareness– sofern sie tatsächlich stattfindet– auch etwas bewirken kann. Wenn ichmich z.B. bisher in einer resignativen Haltungals jemanden wahrgenommen habe,der wenig Kontakt zu Kollegen und wenigEinflussmöglichkeiten hat und infolgedessenunbewusst meine Passwörter vergessenhabe, um z.B. einen Anlass für einenGang zum IT-Administrator zu haben,kann mich die Bewusstheit dieses Zusammenhangsin die Lage versetzen, meineHaltung und mein Verhalten aktiv zu verändern.Dann habe ich die Wahl zwischenverschiedenen Möglichkeiten, statt unbewusstimmer wieder dieselben »Fehler zuwiederholen«, die meine Not nur kurzfristiglindern und darüber hinaus etlicheweitere Nachteile für meine Kollegen, fürmein Unternehmen inkludieren.Die in der Gestalttherapie untrennbar mitder Awareness verbundene Selbstverantwortlichkeitmöchte ich an dieser Stelleauch deshalb noch einmal hervorheben,da in unseren Studien zum Themenfeld»Psychologie in der Informationssicherheit«immer wieder die Neigung vonMitarbeitern deutlich wurde, die Verantwortungfür Sicherheit zu delegieren.


Der Security-Newsletter www.known-sense.de www.aware-house.com 10Insofern muss es ein Ziel von Awareness-Maßnahmen sein, die Bewusstheit derMitarbeiter nicht nur für Gefahren, sondernauch für ihre eigene Verantwortungund wechselseitige Loyalität zu fördern.Awareness findet mithin – im therapeutischenwie im Kontext der Informationssicherheit– nicht nur auf einer kognitivenEbene statt, sondern als Teil eines umfassenden(z.T. unbewussten, geheimen)Prozesses.Fazit GestaltpsychologieAus Sicht der Gestaltpsychologie hatSecurity Awareness weniger mit der Vermittlungvon Informationen, z.B. durchTrainings, gemein als mit dem Bewusstseinfür die eigene Wahrnehmung.Awareness lässt sich vielmehr fördern durch ...Diese Schwerpunkte der Gestalttherapiekorrespondieren im Wesentlichen mit denim Grundzügen der morphologischen Psychologie,über die in diesem Newsletterbereits häufig geschrieben wurde, auchwenn sich diese eines zum Teil abweichendenVokabulars bedient.(Auszug aus Haucke, Ankha und Pokoyski, Dietmar:Das geheime Drehbuch der Security – Awarenessin Gestalt- und Tiefenpsychologie. In:Helisch, Michael und Pokoyski, Dietmar (Hrsg.):Security Awareness: Neue Wege zur erfolgreichenMitarbeiter-Sensibilisierung. Wiesbaden:Vieweg + Teubner, 2009. Mit freundlicherGenehmigung des Verlags)Berücksichtigung aller Arbeitsbedingungen und derherrschenden Unternehmenskultur,Schulung der Wahrnehmung persönlich bedeutsamer Prozesseim Kontext der umgebenden Unternehmens- und Sicherheitskultur,Verdeutlichung von Selbstverantwortung und Dialog aufAugenhöhe.Ankha Haucke ist Dipl.Psychologin und arbeitet alsTherapeutin, Supervisorinund Wirkungsforscherinin Köln. Bis 2001 arbeitetesie als Marktforscherinund Projektleiterin fürdas rheingold Institut.Als Projektleiterin CorporateIdentity und SecurityResearch hat sie für dieKommunikations- und Beratungsagenturknown_senseu.a. tiefenpsychologischeForschungsprojekte zu denThemen UnternehmensundSicherheitskultur undzu anderen Themenfeldernder Informations- bzw.Unternehmenssicherheitbegleitet.www.known-sense.de, www.paartherapie-koeln.de


Der Security-Newsletter www.known-sense.de www.aware-house.com 13Dokumentation, vor allem Security Policies.Es gibt sie zwar – viele Unternehmenund Organisationen geben auch ganz plakativvor, auf die ISO 2700X Zertifizierungzu setzen – die Regeln werden aber in derPraxis deutlich weniger als bei uns eingehalten,geschweige denn gelebt. Bei derVermittlung von Policies wird ein großerWert auf »Gesichtswahrung« gelegt.Ein Nein gilt in der arabischen Welt alsunhöflich und Kritik wird allenfalls indirektausgeübt. Im Kern fand ich also allesandere als eine perfekte Sicherheitsstrategie– auch nicht eine positive bzw.bewusste Kommunikation des Themas.Anders als im eher kooperativ-geleitetendeutschsprachigen Raum wird im arabischenRaum mithilfe von Direktiven bzw.Anweisungen gearbeitet. Diese sind allerdingsmehr oder weniger Verhandlungssache.Was heute gilt, kann schon morgenwieder »passé« sein. Diese Sprunghaftigkeiterschwert natürlich auch das alltäglicheProjektgeschäft. Abgesehen davonpassiert in Dubai sehr viel gleichzeitig(polychrone Zeitorientierung) frei nachdem Motto: »Ihr habt die Uhr, wir habendie Zeit.«Außer viel Zeit hat man auch viele Kameras.Beinahe überall wird man überwacht.Und überall sieht man patroullierendeSicherheitsdienste. Auch die MitarbeiterInterview von Marcus Beyer mit Gunnar Siebert, CEO, ISPIN MEAWoher entstammen Sie ursprünglichund wo liegt Ihr derzeitiger Wohn- bzw.Arbeitsort?Mittlerer Osten bzw. Dubai.Wie werden nach Ihren ErfahrungenRegeln wie z.B. Security Policies inUnternehmen Ihres derzeitigen Kulturkreisesbzw. im Vergleich zu anderenkommuniziert? Was ist nötig, damitdiese auch verstanden, umgesetzt undgelebt werden?Eine sehr schwierige Frage, da nichtnur jedes Land in GCC dies anders handhabt,sondern alleine auch in UAE derUnterschied z.B. zwischen Dubai undAbu Dhabi schon sehr groß ist. Kommuniziertwerden sie meistens via Intranetund Papier. Selten finden diesbezüglichz.B. Awareness-Maßnahmen statt. Dieaktuelle Form ist m.E. nach nicht ausreichend,so dass die Regeln daher auchnicht gelebt werden. Einige Organisationenin UAE haben daraus gelernt undsind dabei, Policies mithilfe von Awareness-Kampagnenund Social EngineeringAssessments in das Bewusstseinder Mitarbeiter zu tragen.Policies müssen auch erst einmal in dereigenen Organisation identifiziert unddann spezifisch ausgearbeitet, nichtkopiert und angepasst werden. Seltenkommt etwas Praktisches bzw. Begreifbaresdabei raus. Sie sollten in dengesamten Prozess von der Einstellungder Mitarbeiter, Arbeitswirklichkeit imUnternehmen bis zum Verlassen desUnternehmens kontinuierlich dargestelltwerden. Und das über verschiedeneeKanäle, z.B. unterstützt durchgeeignete und am besten individuellausgearbeitete Awareness Materialien.Filme, Roll-Up-Banner und Präsentationenmit guten Beispielen helfen, dasumzusetzen, was man sich vorgenommenhat.Dann aber beginnt die eigentlich wichtigeund schwierige Aufgabe, nämlichdie Sicherung der dauerhaften AnwendungHierzu bedarf es mehr als nureinmaliger Aktionen. Denn gerade dienachhaltige Sicherung wird überwiegendvernachlässigt. Daher sind z.B.ISO27001 Zertifizierungen auch soerfolgreich, denn es kommt hier vorallem auf den regelmäßigen Beleg einerAnwendung an.Welche Tipps haben Sie hinsichtlichder internen Unternehmenskommunikationin Kulturkreisen, in denen Siegelebt bzw. gearbeitet haben?.Die aktive Einbindung des Top Managementsund die aktive Mitarbeithinsichtlich der Kommunikation. Vorbildfunktionist hier gefragt und vorallem auch die Diskussion der Policiesmit den Mitarbeitern. Auch anschaulicheBeispiele sind beliebt. Sie werdenin der Kommunikation auch leichterakzeptiert als nacktes Regelwerk unddaher in der Praxis eher umgesetzt. I


Der Security-Newsletter www.known-sense.de www.aware-house.com 14werden beobachtet. »Security by obscurity«– Sicherheit wird ad absurdumgeführt. Während wir in Europa – zumindestin der Theorie – auf Eigenverantwortungder Mitarbeiter, z.B. im Umgangmit vertraulichen Daten pochen, liegt dieVerantwortung in der arabischen Weltdeutlich sichtbar bei der Führungskraft.Eine Awareness-Kampagne mit einemSocial Engineering Audit zu starten, isteigentlich nicht meine klassische Vorgehensweise– in Dubai funktionierte dasprima. Denn Motivation erfolgt immerextrinsisch über Lob, Tadel und Kontrolle.Die Freiräume, die wir daheim in Unternehmenzumindest zu haben glauben,weichen in Dubai also klar vorgegebenen,definierten Vorgaben. Ob sie am Endeeingehalten werden (?) – siehe oben ...Bei der Vermittlung von Wissen stehtreaktives Lernen, das auf ein Auswendigkönnensetzt, an erster Stelle. Vorgabensteuern auch hier den Prozess der Wissensvermittlung.Detaillierte Strategien oder umfangreiche,aber eher statische Konzepte fürAwareness-Kampagnen führen bei Entscheidernin der arabischen Welt nichtunbedingt zu Sympathiebekundungen.Flexibilität, Reaktionsvermögen undsituationsbedingte Abläufe stellen den»Goldene Weg dar, denn das, was sich inarabischen Unternehmen an Sicherheitsvorfällenereignet, scheint vorbestimmt(Inschallah – so Gott will).Security Awareness für DubaiDa das Projekt erst kürzlich auf den Weggebracht wurde, wäre es an dieser Stelle zufrüh, über konkrete Ergebnisse zu berichten.Ich kann zum jetzigen Zeitpunkt kurznach dem Launch sagen, dass der bishergewählte Weg in Dubai wunderbar funktioniert,während ich im deutschsprachigenRaum von einem derartigen Medien-Mix,wie wir ihn hier einsetzen, abraten würde.Leite ich z.B. für Unternehmen im D.A.CH-Raum Schulungen im Zuge von Awareness-Kampagnen,ist oftmals »SecurityEntertainment« im Spiel. Classroom-Trainingsmit einer klassischen Schüler-Lehrer-Beziehungfunktionieren in unseremKulturkreis nur noch bedingt bis gar nicht.Ob bei einer Präsenzschulung oder demE-Learning – es muss involvierend sein. DerEinsatz von interaktiven oder multimedialenElementen wie Videos, spielerischenElementen, Animation, etc. gehört heutein allen Schulungsdisziplinen zum Basisreportoire.So gut das auch zu Hause funktionieren mag– schaue ich in den arabischen Raum, istdas Bild ein komplett anderes. Schulungenerfolgen im Frontalunterricht mit vielenPersonen gleichzeitig. Der Dozierendegibt den Lernstoff vor und ist in diesemMoment auch die Bezugs- und Autoritätsperson.Auswendiglernen steht auf derTagesordnung. Man hat den Wunsch, allesrichtig zu machen – sonst droht eben der»Gesichtsverlust«.Wie sind wir außerdem in Dubai vorgegangen?Zunächst haben wir eine quantitativeSicherheitskulturanalyse über einenstandardisierten Fragebogen produziert,denn in der arabischen Welt geht nichtsüber Zahlen. Berechenbarkeit und einezumindest faktische Kontrolle scheinenhier noch wichtiger zu sein als bei uns.Daher werden wir unsere Analyse etwa inder Mitte und an einem avisierten Endewiederholen.Auch im Rahmen der Kommunikationsetzen wir auf eher klassische Ansätze,z.B. auf Social Engineering Audits, aufPräsentationen zur »Sicherheitssituation«und zur Vermittlung der Policies an dasManagement sowie an die IT-Professionals.Diese Präsentationen werden überVideos zusätzlich multimedial aufbereitet.Zur Unterstützung der Präsentationenwerden auch alle Mitarbeiter der Verwaltungüber »Frontalschulungen« involviertund parallel via Poster penetriert.


Anzeige Der Security-Newsletter www.known-sense.de www.aware-house.com 15 Apropos Medien: hier ist auf eine stringenteZweisprachigkeit zu achten. Hauptsprachesollte Arabisch sein und dem folgend quasials Zweitsprache die englische Übersetzung.Diese Hierarchie ist in allen Kanälenstrikt einzuhalten.(Auszug aus Beyer, Marcus: Warum Weiß nichtSoebenerschienen:Security Awareness– das derzeit einzige umfassendedt.spr. Buch zumThema Faktor Mensch inder InformationssicherheitMarcus Beyer + Ankha Haucke + Michael Helisch + Dietmar Pokoyski + Kathrin Prantner | Präambel vonWolfgang Reibenspies | u.a. inkl. 21 Interviews mit Security-, Kommunikations- u. Awareness-ExpertenVieweg + Teubner | XIV, 314 S. | Mit 244 Abb. | ISBN: 978-3-8348-0668-0 | EUR 49,9003.07.2009 09:14:04 UhrPraxisbeispiele, Meinungen und Bilder von: Kanton Aargau, aware-house, Bayer (Schweiz) AG, Biotronik AG, EnBW Energie Baden WürttembergAG, E-SEC Information Security Solutions GmbH, FIDUCIA IT AG, Gemperli Consulting, HECOM Security Awareness Consulting, ISPIN AG, known_sense, LOGIS IT Service GmbH, M. Du Mont Schauberg, Münchener Rückversicherungs-AG, Novartis International AG, Pan-alpina AG, SAP AG,Red Rabbit Werbeagentur GmbH, Ringier AG, RZZ Raiffeisen Rechenzentrum Tirol GmbH, Sunrise Communications AG, Swiss Reinsurance CompanyLtd, TIWAG – Tiroler Wasserkraft AG, T-Systems, van den Bergh Thiagi Associates Gmbh, ein internationaler Spezialchemikalien-Herstellergleich Weiß und Schwarz nicht gleich Schwarz ist– Interkulturalität in Awareness-Kampagnen. In:Helisch, Michael und Pokoyski, Dietmar (Hrsg.):Security Awareness: Neue Wege zur erfolgreichenMitarbeiter-Sensibilisierung. Wiesbaden: Vieweg +Teubner, 2009. Mit freundlicher Genehmigung desVerlags)Marcus Beyer arbeitet alsArchitect Security Awarenessbei der ISPIN AG inBassersdorf bei Zürich/Schweiz. Er berät vorwiegendgrößere (Industrie-)Unternehmen hinsichtlichder Umsetzung von SensibilisierungsmaßnahmenzumThema »Informationssicherheit«.Aufgrund seinerMitwirkung im Rahmenzahlreicher internationalerMitarbeiter-Kampagnenliegt sein Fokus u.a. auchauf der Umsetzung voninterkulturellen und internenKommunikationsstrategien.www.ispin.chSecurity Awareness von der Oldschool in die Next Generation – aus Sicht von Didaktik, Marketing, systemischer Kommunikationund Psychologie. Das derzeit einzige umfassende deutsche Buch zum Thema Faktor Mensch in der Informationssicherheit03.07.2009 09:14:04 UhrWeitere Infos: www.viewegteubner.de und www.known-sense.de known_sense | Kaiser-Wilhelm-Ring 30-32 | D-50672 Köln | sense@known-sense.de


OléDer Security-Newsletter www.known-sense.de www.aware-house.com16Erstes deutschsprachigesAwareness-FachbuchFeldarbeit zur neuenCISO-Studie gestartetJubiläum beiWÖLFE & GEISSENknown_sense Vorträgein Berlin und FrankfurtDas von Dietmar Pokoyski und MichaelHelisch bei Vieweg + Teubner in der Edition herausgegebene erste deutschsprachigeFachbuch zum Thema, »SecurityAwareness – Neue Wege zur erfolgreichenMitarbeiter-Sensibilisierung«, ist erschienen.Das Buch präsentiert auf über 300Seiten und in mehr als 200 Abbildungen mitumfangreichem Farbteil neben State-of-the-Art-Methoden auch Awareness Next Generation,zahlreiche Kampagnen-Beispiele undmehr als 20 Interviews mit Awareness-Professionals.Der Preis beträgt Euro 49,90. •(Siehe auch Abb. auf S. 15)Sicher – von obenDie Feldarbeit zur zweiten tiefenpsychologischenCISO-Wirkungsanalyse, die known_sense gemeinsam mit der EnBW, derMünchener Rück und paulus.consult durchführt,hat begonnen. Nach dem Selbstbildin der ersten Studie »Aus der Abwehr in denBeichtstuhl (2008)« geht es hier um dasImage von Sicherheitsverantwortlichen ausSicht von Management und Vorstände. DerBerichtsband ist ab 27. Oktober 2009 verfügbarund kostet Euro 380,00 (Subsk.preisbei Bestellungen bis zum 12.10.2009 Euro290,00). Im Rahmen der IT-SA in Nürnberg(s. n. S.) werden am 13.10.2009 ersteErgebnisse vorgestellt. •Qualitative Imageanalyse CISO & Co.Security Manager und Informationssicherheitaus Sicht vonGeschäftsführung, Management und Vorständen- der 10. Rheinische Security Stammtisch,veranstaltet von known_sense und gesponsertvon der Landesinitiative secure-it.nrw,lädt erneut Security-Experten zu einemRoundtable mit kostenfreiem Imbiss undWein europäischer Spitzenwinzer ein. DerTermin am 1.10.2009 im Anschluss anden 8. Sicherheitstag NRW ist allerdingsbereits ausgebucht. Weitere Informationen:www.woelfegeissen.de •secaware – 1st InternationalWorkference ofSecurity AwarenessIm Rahmen der secaware der isits AG am 27.und 28. Oktober 2009 im Düsseldorfer HiltonHotel werden zahlreiche Awareness-Expertenüber aktuelle Entwicklungen berichten,darunter Kathrin Prantner, Michael Helisch,Marcus Beyer und Dietmar Pokoyski (Vortrag»Touch them if you can«), der gemeinsammit Helisch auch einen Workshop zumThema »Sicherheitskultur« anbieten wird. Indiesem Kontext wird »askitMeta«, der neueModerationskoffer mit Planspielen u.a.systemischen Materialien zur Informationssicherheit,produziert von known_sense undder ISPIN AG, präsentiert. Weitere Informationen:http://www.sec-aware.de •Beim 4. Deutschsprachigen BCI-Kongress17/18.09.2009 in Berlin wird Dietmar Pokoyskiu.a. über Krisenkommunikation sprechen.Außerdem unterstützt known_senseDr. Kurt Brand (Pallas) als Leiter des ArbeitskreisesSicherheit beim Verband der deutschenInternetwirtschaft e.V. (eco) durch dieProgrammarbeit für die beiden nächsten AK-Events. Am 7. Oktober 2009 (13 Uhr, Frankfurt)geht es um das Thema »Risiko 2.0: WieUnternehmen mit Web 2.0 umgehen« undim Februar 2010 in Köln unter dem Ttitel»Sexy Security« um das Themenfeld »Securityund Kommunikation«. Am 8.10.2009 veranstaltetder VSW in Frankfurt/M. »Sicherheitskulturund Security-Awareness« u.a.mit known_sense-Kunde Thomas Dallmann(Cytec) und Dietmar Pokoyski. Weitere Infoszu diesen drei Veranstaltungen:http://www.bciforum.org/kongress/0332d59bd61044e0a/index.html++++http://www.eco.de/arbeitskreise/sicherheit.htm++++http://www.vsw-service.com/index.php?cat=4&subcat=14&us=82&semid=444 •Eine tiefenpsychologische Studie von Medienpartner Partner Schweiz


OléDer Security-Newsletter www.known-sense.de www.aware-house.com17aware-house aufder IT-SASecurity Awareness spielerischaware-house (known_sense und HECOMSecurity Awareness Consulting) wirdgemeinsam mit der E-SEC Information SecuritySolutions GmbH seine Awareness-Angebotewährend der IT-SA vom 13.-15.10.2009in Nürnberg präsentieren (Stand 5-145). Aufder aus der ehemaligen SYSTEMS in Münchenheraus gelösten Messe erhalten dieBesucher auch die Möglichkeit, ein Security-Event-Spielzu testen (s. unt.). Nebender Vorstellung der neuen Awareness-Studievon HECOM und der aktuellen CISO-Studievon known_sense und Partnern wird DietmarPokoyski während der IT-SA u.a. auchbeim 1. it-sa-Symposium Banken »IT-Sicherheitim Kreditinstitut – heute und morgen«einen Workshop unter dem Titel »Touchthem if you can« anbieten. Weiterer Experteim Awareness-Slot: Marcus Beyer vomSchweizer known_sense-Partner ISPIN. •Beim Mitmach-Riesenspiel »Quer durch die Sicherheit« werden Messebesucher spielerischin die Awareness-Maßnahmen involviert»Wer ist für die Informationssicherheit im Unternehmen verantwortlich?« oder »In welchembekannten Märchen finden sich Motive der Grundprobleme von Informationssicherheit?«Wer bei der letzten Frage auf »Der Wolf und die sieben Geißlein« getippt hat, liegtrichtig und hat große Chance it-sa-Champion zu werden. Denn im Rahmen der Messe wirdknown_sense neuestes Securitygame »Quer durch die Sicherheit« vorstellen und den Besucherndie Möglichkeit bieten, im Wissens-Wettstreit gegeneinander anzutreten.»Quer durch die Sicherheit« ist ein lehrreicher wie unterhaltsamer Mix aus Security-QuizundZug-um-Zug-Strategiespiel. Basierend auf 49 50x50cm großen Quizkarten mit Fragenzum Thema sowie mithilfe von überdimensional großen Würfeln und Spielfiguren entstandein begehbares und ca. 20 qm großes Riesenspiel, bei dem die Mitspieler jederzeit auch dieSpielfiguren ersetzen können, um Teil des Spiels zu werden.Damit erfüllt »Quer durch die Sicherheit«, das bereist u.a. erfolgreich im Rahmen vonMitarbeiter-Events bei der EnBW eingesetzt wurde, die Basis-Anforderung jeder Awareness-Maßnahme– es richtet den Fokus der Menschen auf das Thema Security aus undwirkt zudem als Kommunikationsbeschleuniger, indem die Mitspieler quasi en passantin das Thema involviert werden. Das Riesenspiel und eine insgesamt ca. 100 x 100 cmgroße Tischversion kann für Schulungszwecke oder Veranstaltungen jederzeit auch imeigenen Firmen-Brand lizensiert. Beide Spiele können für Security-Events auch angemietetwerden.Weitere Informationen über »Quer durch die Sicherheit«:http://www.known-sense.de/quer_durch_die_sicherheit_folder.pdfoder am aware-house-Stand 5-145 während der IT-SA Hier können Besucher und Besucher-Teamsan allen Messetagen jeweils um 10, 11, 12 14, 15 und 16 h gegeneinanderantreten. •Fotos EnBW AG/Artis, Uli Deck:Mitmach-Riesenspiel »Quer durch die Sicherheit« in AktionIMPRESSUM Herausgeber: Dietmar Pokoyski (known_sense) I Kaiser-Wilhelm-Ring 30-32 I D-50672 Köln I Fon +49 221 91277778 I sense@known-sense.de I www.known-sense.de I www.aware-house.com

Weitere Magazine dieses Users
Ähnliche Magazine