Edutainment, Communitainment und Virtual-Reality-Trainings
Experten fordern: Den Mitarbeitern Informationssicherheit unterhaltsam als Wert vermitteln!
Spezialisierte Security-Awareness-Dienstleister bemühen sich im Kundenauftrag darum, Managern und Mitarbeitern in Unternehmen IT- und Informationssicherheit als Wert zu vermitteln. Dazu setzen sie auf ein breites Portfolio an Maßnahmen: von Edutainment über Communitainment bis hin zu Trainings in virtuellen Unternehmenswelten.
Der weit verbreitete Mangel an Informationssicherheit in Unternehmen oder auch nur an
Bewusstsein für die Notwendigkeit sicheren Verhaltens beim Umgang mit IT ist laut Marcus Beyer,
Awareness-Spezialist beim Schweizer Security-Anbieter
Ispin, meist
auf eklatante Unwissenheit zurückzuführen: "Als große Hürde erweist sich häufig, dass die
Mitarbeiter die geltenden Regeln des Unternehmens nicht kennen, zum Beispiel Vorgaben zum Umgang
mit Dokumenten oder mobilen Endgeräten."
http://llschnuerer.cmpdm.de//articles/bsi_veroeffentlicht_tipps_zur_it-sicherheit_auf_reisen:/2009007/31994085_ha_LL.html?thes=10191&tp=/themen/security-awareness">BSI
veröffentlicht Tipps zur IT-Sicherheit auf Reisen
http://llschnuerer.cmpdm.de//articles/krankenhaus-nachtwaechter_installiert_botware:/2009007/31993732_ha_LL.html?thes=10191&tp=/themen/security-awareness">Krankenhaus-Nachtwächter
installiert Botware
http://llschnuerer.cmpdm.de//articles/experton_group_beim_security-bewusstsein_in_den_fuehrungsetagen_besteht_handlungsbedarf:/2009007/31989731_ha_LL.html?thes=10191&tp=/themen/security-awareness">Experton
Group: Beim Security-Bewusstsein in den Führungsetagen besteht Handlungsbedarf
http://llschnuerer.cmpdm.de//articles/executive_security_empowerment_soll_unternehmen_sicherer_machen:/2009006/31964927_ha_LL.html?rss=1">"
Executive Security Empowerment" soll Unternehmen sicherer machen
http://llschnuerer.cmpdm.de//themen/security-awareness/index.html">LANline-Themenkanal Security
Awareness
Dr. Johannes Wiele, Security-Awareness-Spezialist bei der
Defense AG, fordert hier vorrangig ein "
http://llschnuerer.cmpdm.de//articles/executive_security_empowerment_soll_unternehmen_sicherer_machen:/2009006/31964927_ha_LL.html?rss=1">Executive
Empowerment", also die Aufklärung des Top-Managements, um sie zum souveränen Umgang mit
IT-Security-Themen zu befähigen. Dr. Werner Degenhardt vom
http://www.fak11.lmu.de/fakultaet/departments/dep_psy.html">Department
Psychologie der Ludwig-Maximilians-Universität (LMU) München ergänzt: "Oft fehlt es an der
Vermittlung anwendbaren Wissens. So müssen Mitarbeiter zum Beispiel lernen, ,Nein!‘ zu sagen, ohne
befürchten zu müssen, ihr Gegenüber zu verletzen."
"Das Fördern der Motivation ist bedeutsam als begleitende Maßnahme zur Wissensvermittlung", so
Dr. Thomas Schlienger, Geschäftsführer von
Treesolution. Dazu gelte es zunächst,
Aufmerksamkeit für das Thema zu erregen. Er warnt: "Es ist für CISOs (Chief Information Security
Officer) unabdingbar, hier nicht ,mit dem erhobenen Zeigefinger‘ zu argumentieren."
"Wichtig ist, dass das gewählte Vorgehen zur Unternehmenskultur passt", erläutert Ispin-Experte
Beyer. "Man muss sich von der Informationsflut abheben, die einen Mitarbeiter im Alltag umgibt."
Um Aufmerksamkeit zu erregen, setzen die Awareness-Fachleute auf Workshops und häufig witziges
Material wie Poster, Videos oder Spiele und Gadgets. Der Security-Awareness-Koffer von
Known Sense beispielsweise enthält unter anderem
ein Awareness-Quiz und den "Passworthalter", der auf die Unsitte per Post-it angebrachter
Passwörter aufmerksam macht.
Auch Degenhardt von der LMU fordert Edutainment (unterhaltsame Wissensvermittlung). Ein
gelungenes Beispiel dafür liefert der österreichische Startup
E-Sec mit der "
http://e-sec.at/products/produkte.security_awareness.php">Virtual Training
Company": Diese Virtual-Reality-Umgebung leitet den Anwender durch ein fiktives Unternehmen,
weist ihn auf Gefahrenquellen hin und trainiert ihn spielerisch.
Das virtuelle Unternehmen ist modular aufgebaut und somit laut E-Sec-Geschäftsführerin Kathrin
Prantner individuell anpassbar. Beim Klick auf eine Gefahrenquelle macht die Lösung den Anwender
interaktiv mit den Richtlinien des Unternehmens vertraut. So muss er zum Beispiel bei einem Quiz
Dokumente per Drag and Drop den Geheimhaltungsstufen seines Unternehmens zuordnen.
Dem Edutainment ähnlich, aber in der Zielsetzung weiterreichend ist der
Communitainment-Ansatz. Auch hier geht es um
die unterhaltsame Vermittlung teils komplexer technischer Sachverhalte. Der Hintergedanke ist es
jedoch, Unternehmensmitarbeiter als eine Community zu begreifen, anzusprechen und zu fördern, um
die von Web-2.0-Communities bekannte Kooperationsbereitschaft zu erschließen und das eigene
Unternehmen als respektierten Teil der Community zu etablieren.
Damit überträgt dieser Ansatz die Mechanismen des Social Marketings auf andere Bereiche wie die
kommunikative Begleitung von IT-Projekten oder eben die Schaffung einer Unternehmenskultur der
Informationssicherheit. "Communitainment", konstatiert Wiele von Defense, "könnte ein Stichwort
sein, auf das man Acht geben muss."
Das Ziel solcher Maßnahmen ist letztlich ein Wertewandel: "Security Awareness ist eben nicht nur
eine unternehmensinterne Vermarktungsaufgabe", so Michael Helisch, Inhaber von
Hecom Security Awareness Consulting. "
Sicherheit ist ein Unternehmenswert. Wie geht das Unternehmen mit den eigenen Werten um, was tut
es, damit sie gelebt werden?"
LANline/Dr. Wilhelm Greiner
Lesen Sie mehr zum Thema
