Hierfür empfahl der Sicherheitsexperte von Cisco die traditionelle Mundpropaganda, die wesentlich besser als etwa E-Mail-Botschaften geeignet sei: Elektronische Erinnerungen an die Bedrohungslage würden in der Regel umgehend gelöscht und vergessen. Im persönlichen Gespräch jedoch zeigten sich Kollegen aufgeschlossener für Informationen zu aktuellen Attacken und würden ab einem gewissen Punkt häufig weiterführende Fragen stellen - häufig zur Rubrik "Security-Anekdötchen".
Bei dieser Selbstvermarktungsstrategie müssten die Verantwortlichen laut Stewart darauf achten, aktuelle Bedrohungen mit einem übergreifenden Thema zu verknüpfen, das derzeit in der Firma und außerhalb diskutiert wird. Beispiele seien Compliance-Auflagen oder das Dauerthema Datenverlust. "Nutzen sie vorherrschende Stimmungen für ihre Interessen aus", forderte Stewart. Auch der Zeitpunkt ist entscheidend: Nach einem realen Vorfall sei die Sensibilität des Top-Managements für die Belange des CSO wesentlich größer als bei einer rein theoretischen Argumentation im luftleeren Raum.
Anschließend gab Stewart noch ein paar allgemeine Ratschläge, die er vermutlich von seiner Pressestelle bekommen hat: Namen von Betroffenen verschweigen sowie Details zuspitzen und überhöhen: "Scheuen sie sich nicht, die Geschichten aufzuhübschen." Und wenn die Story interessant sei, wolle das Auditorium mehr hören - Sicherheitsexperten sollten also immer eine Geschichte an der Hand haben, die sie umgehend nachschieben können. Zudem sollten Opfer von Angriffen im Unternehmen nicht gefeuert, sondern im Sinne der Security instrumentalisiert werden. Wenn diese ihre Geschichte unter Gleichrangigen erzählen würden, so Stewart, sei der Lerneffekt wesentlich höher: "Der Gruppendruck ist ein überaus effizientes Lernmittel." (ajf)
Horror-Storys
-
Datenverlust: Neuer Rekord
-
Nach dem Datenverlust: Sechs Fehler
-
Tolle Beispiele für Datenverlust
-
Wettlauf: Von Hasen und Igeln
-
CW-Knowledge-Center: IT-Sicherheit