Menschen, Medien und Geschichten
Medien, die zu Awareness-Kampagnen dienen sollen, müssen auf die jeweiligen Zielgruppen zugeschnitten sein. Alter, Bildung und Art der Tätigkeit sind dabei nur einige der bestimmenden Faktoren. Wichtiger als der Kanal der Vermittlung ist jedoch immer noch die eingängige inhaltliche Aufbereitung der sperrigen Themen IT-Sicherheit und Datenschutz.Die Frage, wie man die Mitarbeiter eines Unternehmens für Fragen der Informationssicherheit überhaupt noch erreicht, resultiert aus einem der Grundprobleme der Informationsvermittlung in der modernen Zeit. Angesichts der allgemeinen Reizüberflutung durch Medien und Kommunikationskanäle sowohl im Privatleben als auch am Arbeitsplatz hat es eine Sicherheitsabteilung mit ihrem begrenzten Budget schwer, das Grundrauschen von E-Mails, Short und Instant Messages, Videokonferenzen, Telefonaten auf allen Kanälen und mehr oder weniger interaktiven Video-Events im Internet und im klassischen Fernsehen mit ihren Anliegen zu übertönen. Als Notanker der Wahl betrachten viele Unternehmen Internet-gestützte Online-Kurse mit obligatorischer Wissensabfrage am Schluss. Die Pflicht zur Teilnahme scheint den notwendigen Grad an Aufmerksamkeit automatisch zu garantieren. Selbst wenn man die Teilnahme an diesen Web-Schulungen - oft auf Wunsch der Arbeitnehmervertreter - konsequent anonymisiert, lässt sich technisch gut festhalten, ein wie großer Anteil einer Belegschaft "erfolgreich" daran teilgenommen hat. Damit ist der Dokumentationspflicht für den Datenschutzbeauftragten und eventuelle Sicherheits-Management-Systeme Genüge getan. Wenn allerdings wiederholt dieselbe Schulung ohne Veränderungen zu absolvieren ist, fällt die reale Wirkung des Verfahrens gering aus. Mitarbeiter klicken sich dann möglichst schnell durch den allzu bekannten Fragenkatalog und vergessen sofort wieder, was sie laut Dokumentation soeben gelernt haben. CISOs und Datenschützer, die tatsächlich etwas erreichen wollen, müssen also deutlich mehr Mühe aufwenden. Ein erster Sch
