Bundesverband Deutscher Sachverständiger und Fachgutachter
Kompetenzpartner von SICHERHEIT. Das Fachmagazin.
Artikel zum Thema Wie Sicherheitsmaßnahmen zu Mitarbeitern vordringen (können)!
Sicherheitsmaßnahmen in den Köpfen verankern: Wie das Thema „Sicherheit“ zu Mitarbeitern vordringen kann!
In jedem Betrieb gibt es Mitarbeiter, die die Gefahren und Risiken im Zusammenhang mit den Themen „Unternehmenssicherheit“ und „Wirtschaftsschutz“ inklusive der damit verbundenen Sicherheitsmaßnahmen nicht ernst nehmen. „Auslöser“ von Sicherheitslücken und Sicherheitsvorfällen werden vielerorts bedingt durch Unwissenheit, mangelndes Verständnis für das Thema „Sicherheit“, Unbekümmertheit oder fehlendes Verantwortungsbewusstsein. Viele Sicherheitsverantwortliche fragen sich daher, wie sie Mitarbeitern – aber auch Besuchern, Dienstleistern oder Fremdfirmenmitarbeitern – die vielfältigen Sicherheitsmaßnahmen und Sicherheitsvorkehrungen im Betrieb näherbringen können. Auf diese Frage möchten wir mit diesem Artikel einen ersten Anreiz geben.
Sicherheitsdefizite und Sicherheitslücken lassen sich durch rein technische Maßnahmen nicht lösen. Denn „Sicherheit“ ist stets ein Zusammenspiel von baulichen, technischen, personellen und organisatorischen Sicherheitsmaßnahmen, die nur im Einklang miteinander funktionieren, wenn der Faktor „Mensch“ mit seinen diversen Einflussfaktoren („menschliches Verhalten“) als Anwender und Nutzer diese auch korrekt und wie vorgesehen anwendet. Menschen sind schon immer das zentrale Bindeglied zwischen der Sicherheitsarchitektur und der Sicherheitsinfrastruktur. Denn der Mensch ist es, der Türen offenlässt, Passwörter zu einfach gestaltet, den Firmenausweis Dritten überlässt, den Laptop mit wichtigen Daten verliert, Informationen zu bereitwillig teilt, vertrauliche Unterlagen offen liegen lässt etc.
Viele Unternehmen etablieren technische Vorsorgemaßnahmen und schaffen Redundanzen. Das ist natürlich gut, jedoch teilweise zu kurz gedacht, denn zu diesen präventiven Maßnahmen, die ein gewisses Problembewusstsein implizieren, gehören strategische Sicherheitsüberlegungen genauso dazu, um alle Glieder der Sicherheitskette zu integrieren.
Somit ist es der Mensch, der verstanden, erreicht und am Ende auch von der Sinnhaftigkeit der Maßnahmen überzeugt werden muss. Veränderungen und damit einhergehende (neue) Prozesse brauchen immer ihre Zeit. Mitarbeiter, die bis heute Türen aufgehalten haben, werden es nicht unterlassen, nur weil einmal erwähnt wurde, dies nicht mehr zu tun.
DIE RELEVANZ VON AWARENESS-KAMPAGNEN
Awareness-Maßnahmen sind i. d. R. nur schwer nachweisbar und somit nicht eindeutig messbar. Daher agieren viele Unternehmen wie eh und je und hoffen, dass am Ende nichts passiert und falls doch, dann wird zumindest dieses eine Problem abgestellt.
Doch ein System (eine Organisation, ein Unternehmen) kann nur funktionieren, wenn Menschen intervenierend in sicherheitsrelevante Prozesse oder Arbeitsabläufe eingreifen, um die sichere Fortführung des unternehmerischen Handelns aufrechtzuerhalten. Dies führt uns beispielsweise insbesondere die Informationssicherheit und der Datenschutz regelmäßig vor Augen.
ZUR RISIKOERKENNUNG/-VERMEIDUNG REICHT WISSEN ALLEIN NICHT AUS Ganzheitliches Lernen besteht aus den Komponenten: WISSEN, KÖNNEN
und WOLLEN.
WISSEN: Wenn wir etwas wissen, aktivieren wir Gelerntes und Erfahrenes, erkennen somit Probleme und wissen, was zu tun ist.
KÖNNEN: Wenn wir etwas können, wenden wir das erworbene Wissen im organisatorischen Umfeld an, in dem sicherheitskonformes Handeln grundsätzlich umsetzbar und möglich ist.
WOLLEN: Wenn wir etwas wollen, orientieren wir uns an dem Ziel des sicherheitskonformen Handelns. (Intrinsische) Motivation sorgt dabei für den nötigen Antrieb.
Security-Awareness ausschließlich auf den Faktor „Wissen“ zu reduzieren, ist zu kurz gedacht. Nachhaltige Effekte der kontinuierlichen Veränderung erzielt man nur mit interaktiven Prozessen und interagierend mit allen Beteiligten im Unternehmen. Ein Mitarbeiter allein (der z. B. unbehelligt Türen offenlässt, Phishing-Mails öffnet etc.) reicht aus, um (mitunter schwerwiegende) Sicherheitslücken zu schaffen. Daher ist für eine Security-Awareness-Kampagne essenziell, dass alle Personen (intern und ggf. extern) im Organisationsgebilde zielgruppengerecht angesprochen werden, um erlerntes Sicherheitswissen und somit sicheres Handeln dauerhaft einzusetzen. Insbesondere die Loyalität und Identifikation der Mitarbeiter mit dem Unternehmen müssen im Rahmen einer guten Awareness-Kampagne thematisiert werden, denn nur motivierte und loyale Mitarbeiter werden sich langfristig an (Sicherheits-)Regeln und (Sicherheits-)Maßnahmen halten sowie an (Sicherheits-)Richtlinien orientieren.
Allein der Kontext, in dem Security-Awareness Betrachtung findet, bietet viele Interpretationsmöglichkeiten: IT-Sicherheit, Informationssicherheit, Datenschutz, Risikomanagement, Compliance, Unternehmenssicherheit, Wirtschaftsschutz …
AWARENESS-MAßNAHMEN
Security-Awareness ist ein vielfältiger Begriff mit einer vielfältigen Bedeutung, der aus den unterschiedlichsten Blickwinkeln betrachtet wird. Da wären die psychologischen Aspekte der Werbung und Gestaltung sowie der tiefenpsychologische Ansatz ebenso wie Kommunikationstheorien, Marketingaspekte, die Sicherheits- und Unternehmenskultur als solches und das „Sicherheit lernen“. Sensibilisierung lässt sich mit den unterschiedlichsten Mitteln erreichen, die je nach Reifegrad der Organisation, der Unternehmenskultur sowie der Vorkenntnisse und Lernerfahrung unterschiedlich sein können:
Präsenzschulungen, Workshops
Webinare, Onlineschulungen
E-Learning
Poster, Flyer
Give-Aways
Spiele
Newsletter, Blogs, Beiträge, Intranet
Filme, Hörspiele, Podcasts, Apps
u. v. m.
Bringen Sie Ihre Mitarbeiter dazu, mitzudenken und mitzuwirken, denn Sicherheit steht und fällt mit der Aufmerksamkeit und Achtsamkeit der Personen im Unternehmen.
KENNEN SIE DAS?
Viele Awareness-Schulungen laufen immer nach dem gleichen Schema ab: allgemeine Phrasen und jedes Jahr dieselben Themen. Mitarbeiter sind oft schon gelangweilt, noch bevor sie den Schulungsraum betreten. Leider wird das Thema „Sicherheit“ im Unternehmen oft als Hindernis wahrgenommen. Sicherheitsmaßnahmen sollen aber nicht hindern oder hemmen, sondern die Mitarbeiter aktiv begleiten, nachhaltige Akzeptanz schaffen und am Ende auch „Spaß“ machen.
Unterschiedliche MAßNAHMEN
und HERANGEHENSWEISEN
im Bereich „Security-Awareness“ sind zwingend notwendig, um die unterschiedlichen Personen (und Lerntypen!) individuell und zielgerichtet anzusprechen.
ETWAS AUDITIVES: z. B. Präsenzschulungen, Podcasts, Hörspiele etc.
ETWAS VISUELLES ZUM LESEN: z. B. Newsletter, Intranet-Rubrik, Bildschirmschoner etc.
ETWAS VISUELLES ZUM ANSCHAUEN: z. B. Poster, Faltblätter, Präsentationsfolien, Videos etc.
ETWAS HAPTISCHES: z. B. Give-Aways, Mitmach-Stationen, Live-Demonstrationen etc.
ETWAS KOMMUNIKATIVES: z. B. Mitarbeitergespräch, Workshop, Austausch innerhalb der Belegschaft etc.
Die Möglichkeiten der Kreativität sind schier unendlich. Es müssen jedoch sinnvolle Anreize geschaffen werden, um die Zielgruppen (Personen) im Unternehmen zum Mitdenken anzuregen. Im Vorfeld jeder „Security-Awareness-Idee“ sollte das Gespräch mit der Geschäftsführung, dem Betriebsrat/Personalrat sowie den zuständigen (Sicherheits-)Abteilungen wie z. B. IT, Informationssicherheit, Datenschutz, Compliance etc. stehen, nicht zuletzt, um erforderliche Ressourcen zu definieren und gemeinsame Lösungen und Kampagnen abzustimmen und zu verabschieden.
TIPP:
Ggf. kann hier auch die Marketingabteilung eine hilfreiche (und nicht selten unterschätzte) Stütze sein!