Die Sensibilisierung der IT-Nutzer rückt zunehmend in den Fokus der Informationssicherheit - und das mit Recht. Die Bedrohung von IT-Infrastrukturen hat sich in den vergangenen Jahren weiter verstärkt: Die Angriffe werden professioneller und die Methoden raffinierter. Zudem werden viele Schäden intern durch eigene Mitarbeiter oder Dienstleister verursacht. Die Auslöser solcher Sicherheitslücken sind meist nicht in der Technik zu finden, sondern in der Unwissenheit und Unbekümmertheit der Anwender.

Datensicherheit ist für die Fiducia IT AG ein Muss. Schließlich fungiert sie als IT-Dienstleister für mehr als 700 Volks- und Raiffeisenbanken. Um eine sicherheitsbewusste Kultur zu etablieren, hat das Unternehmen eine umfassende Security-Awareness-Kampagne entwickelt. Ziel ist es, die Maßnahmen zur Informationssicherheit aus der Ecke der "Verhinderer" herauszuholen und positiv zu besetzen.

Alles beginnt mit dem Umdenken

Der technische und organisatorische Schutz kann noch so gut sein - er wird nicht vollends greifen, wenn der "Faktor Mensch" unberücksichtigt bleibt. Gegen technische Angriffe wie Viren und Trojaner kann sich das Unternehmen mittels Hard- und Software weitgehend schützen. Angriffe durch "Social Engineering" hingegen lassen sich nur abwehren, wenn alle Mitarbeiter mitdenken und mitwirken.

Jeder muss sich dessen bewusst sein, dass die Sicherheit der Daten auch von seinem eigenen Verhalten abhängt. Das beginnt mit der Aufmerksamkeit beim Surfen im Internet oder beim Öffnen von Dateianhängen in E-Mails.

Mit einer Sicherheitskampagne lassen sich das Wissen und die daraus abgeleiteten Maßnahmen thematisch bündeln. Genau genommen, hat die Fiducia IT bereits drei solche Kampagnen unternommen. Die erste brachte sie 2002 auf den Weg. Eine weitere folgte 2007, und die dritte ist gerade angelaufen. Sie alle bauen aufeinander auf und sind mit den Jahren zu einer festen Institution geworden. Um die Identifikation zu erhöhen, wurden Mitarbeiter als Akteure in die Kampagnen integriert.

Mitarbeiter als Filmstars

Als sich der Fiducia-Mitarbeiter Jens Zimmermann bei einem der Castings vorstellte, war ihm die Tragweite seines Entschlusses zunächst nicht bewusst: "Ich dachte, ich halte mit ein paar Kollegen ein Plakat in die Kamera", erinnert er sich, "irgendwie hatte ich den Begriff Casting gar nicht zu Ende gedacht." Die Rede ist vom kometenhaften Aufstieg des 39-jährigen Diplomphysikers zum Protagonisten der zweiten Awareness-Kampagne mit der Bezeichnung "Wer wird Security-Champ?" Herzstück der Aktion war ein interaktives IT-Wissensquiz mit Game-Show-Charakter im Intranet. So sollte auf spielerische Weise Wissen zum Thema Informationssicherheit verbreitet werden.

Um im Quiz besser zu bestehen, konnten die Mitarbeiter im Intranet Security-Tipps abonnieren, die ihnen beim Beantworten der Fragen halfen. Begleitet wurde die Aktion mit ausführlichen Informationen zum Thema IT-Sicherheit im Intranet und auf Aktions-Flyern. Zum Abschluss der Kampagne lud die Fiducia IT alle Mitarbeiter zu einer Party nach Karlsruhe ein. Die besten Teilnehmer des interaktiven Wissensquiz wurden dort zu "Security-Champs" gekürt.

Security-Portal im Intranet

Bereits mit der ersten Kampagne ("IT - aber sicher!") hatte die Fiducia ein Intranet-Security-Portal eingeführt. Nach wie vor finden die Mitarbeiter hier alle aktuellen Informationen rund um die IT-Sicherheit.

Ziel der ersten Kampagne war es, die verbindlichen Sicherheitsleitlinien des Unternehmens zu kommunizieren. Außerdem sollten die Mitarbeiter motiviert werden, sich mit den Security-Zielen und Maßnahmen des IT-Dienstleisters zu identifizieren. Die wichtigsten Inhalte der Sicherheitslinie wurden als die "Zehn Sicherheitsgebote der Fiducia" zusammengefasst und an jeden Mitarbeiter ausgehändigt.

Die integrierte Aktion "Sicherheit ist..." sprach alle Kollegen direkt an. Vom Hausmeister über den Sachbearbeiter und Kundenberater bis zum Topmanager wurden alle aufgefordert, den Satz zu vervollständigen, um so ihre individuelle Sicherheitssicht zu schärfen. Die Verfasser der zehn besten Statements wurden fotografiert und samt ihren Sprüchen auf Plakaten abgebildet.

Unterhaltung schafft Aufmerksamkeit

Häufig werden Security-Maßnahmen als Hindernisse oder Spaßbremsen wahrgenommen. Teile der zweiten und dritten Kampagne hatten deshalb Comedy-Charakter. Das sollte die Aufmerksamkeit erhöhen und die Mitarbeiter auch auf emotionaler Ebene erreichen. Vier Filme dieser Kampagne thematisieren auf amüsante Weise verschiedene Sicherheitsaspekte: den Passwort-Schutz, den Versand vertraulicher Daten, den Umgang mit Viren und E-Mails, den Schutz mobiler Geräte, Verhaltensregeln zum Schutz vertraulicher Informationen oder Zutrittskontrollen etc. Dazu Laienschauspieler Zimmermann: "Es hat irrsinnig viel Spaß gemacht - auch wenn manche Szene über zwanzig Mal gedreht werden musste, bis der Regisseur zufrieden war." Dass es sich gelohnt hatte, bewiesen die Reaktionen: Vor den Monitoren im Betriebsrestaurant bildeten sich Menschentrauben, die Download-Zahlen im Intranet waren enorm.

Das Team um Christa von Waldthausen, Projektchefin sowie Leiterin Marketing und Kommunikation der Fiducia, wusste die Botschaft sowohl über etablierte als auch mit modernen Kommunikationsinstrumenten zu streuen: Die Filme wurden mittels Mundpropaganda bekannt gemacht, und die Kunde verbreitete sich in Windeseile im Unternehmen. Später wurden die Sequenzen auch ins Intranet gestellt.

Gemeinsame Sicherheitskultur

Spaß hin oder her - die Aktion hatte selbstverständlich ein ernstes Ziel: eine gemeinsame Sicherheitskultur. Die Mitarbeiter sollen die Risiken ihrer Arbeit kennen und wissen, worin ihr individueller Beitrag zu mehr Sicherheit besteht. So lassen sich bestimmte Handlungen, die der Kontrolle und Sicherheit dienen, als gute Gewohnheiten annehmen.

Es hat sich bewährt, nicht mit erhobenem Zeigefinger herumzulaufen und die Mitarbeiter belehren zu wollen. Besser ist es, die Leute einzubeziehen. Indem eigene Mitarbeiter als Darsteller Teil der Kampagne werden, wirkt die Aktion integrativ und motiviert durch einen hohen Spaßfaktor.

Die Verbreitung über alle Abteilungen ist ein wichtiger Faktor: In jedem Arbeitsbereich sollte ein Ansprechpartner benannt werden, der schon bei der Entstehung der Kampagne dabei ist und das Thema in den Teams bespricht.

Neues Jahr - neue Kampagne

Die Fiducia IT geht jede Kampagne frisch und innovativ an: Nach einer Pause wird jeweils eine ganz neue Kampagne eingeführt - in einem anderen Sprach- oder Bildstil, der sich deutlich von der Vorgängerversion unterscheidet. Dadurch bleibt die Aufmerksamkeit erhalten. Außerdem lassen sich so aktuelle Stimmungen oder Strömungen aufgreifen; eine Awareness-Kampagne sollte schließlich modern sein.

Die dritte, gerade angelaufene Kampagne hat den Schwerpunkt "Datensicherheit und -schutz". In der öffentlichen Diskussion sind ja ständig Fälle, in denen Kundendaten in falsche Hände geraten. Das wirft Fragen auf: Wie lassen sich Fehler im Umgang mit sensiblen Daten vermeiden? Wie ist die Aufmerksamkeit für den Datenschutz und das Sicherheitsbewusstsein zu stärken, wie der verantwortungsvolle Umgang mit sensiblen Daten zu verbessern? Die aus den Medien bekannten Vorfälle haben ihre Ursachen möglicherweise darin, dass Profis, die ständig mit vertraulichen Daten umgehen, manchmal das Bewusstsein für deren Brisanz verlieren. Dieses Bewusstsein immer wieder zu schärfen ist eine wichtige Aufgabe der aktuellen Awareness-Kampagne.

Der Erfolg ist spürbar

Lässt sich der Erfolg von Sicherheitskampagnen messen? Die Antwort heißt: ja. Teil der Fiducia-Kampagnen ist eine Mitarbeiterbefragung, die Daten für den "Security Awareness Index" erhebt. Ausgewertet werden sie von einem unabhängigen Meinungsforschungsinstitut. Bislang hat die Fiducia mit ihren Kampagnen im Branchenvergleich Bestwerte erzielt.

Die Mitarbeiter haben alle Security-Awareness-Kampagnen gut angenommen. Die Beteiligung ist mit etwa 45 Prozent immer relativ hoch. Die Zugriffe auf das Sicherheitsforum im Intranet verzehnfachten sich während der Kampagne. An dem Online-Quiz beteiligten sich mehr als 1000 Mitarbeiter, das entspricht fast der Hälfte der Belegschaft.

Doch der Erfolg macht sich auch ganz praktisch bemerkbar: Kurz nach der ersten Kampagne versuchte eine fremde Person, sich Zutritt zum Unternehmen zu verschaffen, um Laptops zu stehlen. So etwas kann überall passieren - die Frage ist, wie man reagiert. In diesem Fall hat die Sicherungskette optimal funktioniert. Die Person wurde von mehreren Mitarbeitern konsequent ins Visier genommen und wieder aus dem Haus geleitet. "Ich weiß nicht, ob das ohne Kampagne auch so glatt abgelaufen wäre", betont Projektleiterin von Waldthausen.

Gute Kosten-Nutzen-Relation

Dabei muss eine solche Kampagne nicht teuer sein. Bei der Fiducia kam jede Umsetzung mit einer fünfstelligen Euro-Summe aus. Intern stellten der Bereich Zentrale Security sowie die Kommunikationsabteilung jeweils einen Mitarbeiter dafür ab. Externe Unterstützung lieferte die Berliner Kommunikationsagentur DauthKaun.

Die Kampagnen sollen dauerhaft Eindruck hinterlassen. Das Thema Sicherheitsbewusstsein muss von allen Mitarbeitern also auch über die Kampagne hinaus verinnerlicht werden. Deshalb unternimmt die Fiducia regelmäßig kleinere Aktionen und veröffentlicht Hinweise im Security-Portal oder am "Schwarzen Brett". Trotzdem ist heute schon klar: Die dritte Kampagne ist bestimmt nicht die letzte.