Interview mit dem CIO von Henkel

Security Awareness braucht Leuchttürme

14.05.2019
Von 
Jens Dose ist Redakteur der COMPUTERWOCHE und betreut in erster Linie Themen rund um IT-Sicherheit, Datenschutz und Compliance.
Im Zuge seiner Digitalisierungsmaßnahmen setzte der Konsumgüterkonzern Henkel weltweit Maßnahmen für mehr Security Awareness im Unternehmen um. CIO Joachim Jäckle erläutert die Details.

Sie haben im Zuge der Digitalisierung von Henkel auch ein "Sicherheitsprogramm 2020+" ausgerufen und 2018 eine Security-Awareness-Kampagne gestartet. Können Sie die kurz beschreiben?

Jäckle: Bei Henkel denken wir in Strategiezyklen von vier Jahren, in denen wir groß angelegte Programme planen und durchführen. Dazu gehört auch die langfristig angelegte "Informationssicherheitsstrategie 2020+". Die Cyber-Awareness-Kampagne basiert inhaltlich auf drei strategischen Säulen: Informieren, Weiterbilden und Engagieren.

Joachim Jäckle ist CIO beim Konsumgüterkonzern Henkel.
Joachim Jäckle ist CIO beim Konsumgüterkonzern Henkel.
Foto: Henkel

Unser erstes Anliegen war es, allen Mitarbeitern genügend Informationen zur Verfügung zu stellen. Sei es in Form von regelmäßigen Artikeln und News im Intranet oder zusammengefasst in einer Sicherheitsrichtlinie, die für alle im Unternehmen einsehbar ist. Wir erwarten, dass jeder Mitarbeiter mit den wichtigsten Sachverhalten vertraut ist. Deshalb bieten wir zielgruppenspezifische Trainings und E-Learnings als Weiterbildungsmaßnahmen an, die auf die Bedürfnisse des jeweiligen Geschäftsbereichs zugeschnitten sind. Darüber hinaus haben wir verpflichtende Trainings für alle Führungskräfte weltweit eingeführt, damit sie entsprechende Maßnahmen in ihren Abteilungen und Standorten durchsetzen können. Als dritten und wichtigsten Punkt sehen wir das Engagement des Mitarbeiters. Sie sollen selbst ein Gespür für IT-Sicherheit entwickeln, Probleme wahrnehmen und einschätzen können, wann es notwendig ist, die IT-Sicherheit einzuschalten. Dazu bieten wir weltweit freiwillige E-Learnings und regelmäßige Informationsveranstaltungen an. Der Höhepunkt der Kampagne war die Cyber-Security-Awareness-Messe, die wir Anfang 2019 für unsere Mitarbeiter weltweit veranstaltet haben.

Was hatte es damit auf sich?

Jäckle: Die Cyber-Awareness-Messe war ein Einzelprojekt, bei dem wir eine Woche lang in über 60 Veranstaltungen alle Mitarbeiter über Cybersecurity informiert haben. Das Hauptevent hier am Hauptstandort in Düsseldorf wurde weltweit übertragen und parallel an allen unseren großen Standorten mit eigenen Veranstaltungen begleitet. Die Teilnahme war freiwillig, aber wir haben dennoch überdurchschnittlich viele Mitarbeiter erreicht.

Mit welchem Aufwand war das verbunden?

Jäckle: Für diese eine Woche war eine Vorbereitungszeit von etwa neun Monaten nötig. Wir wollten die Initiative so abstimmen, dass wir sie global zeitgleich starten konnten. Dafür galt es beispielsweise, den Zeitpunkt mit Feiertagen in den 81 Ländern, in denen wir aktiv sind, zu koordinieren. Zudem haben wir interne und externe Redner und Experten rekrutiert, die während der fünf Tage ihr Wissen mit uns geteilt haben. Für die Kommunikation an die Belegschaft nutzen wir zahlreiche Kanäle. Unser internes soziales Netzwerk "Yammer" ist beliebt bei den Mitarbeitern, sodass wir sie dort direkt erreichen konnten. Außerdem nutzen wir das Intranet und haben Flyer sowie Poster gedruckt. An allen Standorten befinden sich Bildschirme in Kantinen, Aufzügen und Eingangshallen, wo ebenfalls das Thema bespielt wurde. Wir haben pro Land oder Region gezielte Kommunikationswellen gestartet und darauf hingearbeitet, dass unsere Kollegen wissen, welche Informationen wir in der Woche zur Verfügung stellen. So hatten sie genug Zeit, sich vorzubereiten und Termine zu blocken, damit sie teilnehmen können.

Henkel engagierte interne und externe Experten, die während der Messe ihr Wissen mit den Teilnehmern teilten.
Henkel engagierte interne und externe Experten, die während der Messe ihr Wissen mit den Teilnehmern teilten.
Foto: Henkel

Konkrete Mehrwerte für Mitarbeiter bieten

Solche Schulungen werden von Mitarbeitern oft als lästig empfunden und daher nicht ernst genommen. Wie sind Sie damit umgegangen?

Jäckle: Es ist wichtig, den Mitarbeitern konkrete Mehrwerte anzubieten. So haben wir unseren Mitarbeitern nicht nur erklärt, wie sie Henkel sicherer machen können, sondern auch ihr Zuhause. Bei einer Session unserer Awareness-Messe ging es um Skimming Cards und wie diese verhindern können, dass Kreditarten mit Near-Field-Kommunikation im Portemonnaie mit Scannern ausgelesen werden können. Das hört sich lapidar an, aber es war eben nicht das übliche "Sie müssen jetzt 20 Seiten ausfüllen und sich durch ein Online-Training klicken", sondern es ging um wirklich nützliche Tipps. Auch die freiwillige Teilnahme war ein wichtiger Aspekt. Wenn sie die Leute zwingen, auf so eine Messe zu gehen oder sich Präsentationen zu verschiedenen Themen anzuhören, können sie sich die Zeit und das Geld sparen.

Gab es außer den Themen der Tracks noch andere Faktoren, die die Mitarbeiter ansprechen sollten?

Jäckle: Wir haben das Ganze spielerisch im Sinne von "Gamification" gestaltet, Live-Hacks gezeigt und sind beispielsweise mit den Mitarbeitern geführt ins Darknet gegangen. Gerade Letzteres war für viele ein Schlüsselerlebnis. Alle haben zwar davon gehört, aber einmal wirklich zu sehen, wie leicht verbotene Ware dort für jeden zugänglich sind, mit der Schaden angerichtet werden kann, ist für die allgemeine Awareness sehr hilfreich.

Zudem haben wir externe Sprecher eingeladen, beispielsweise vom Landeskriminalamt NRW, die über reale Erfahrungen berichtet haben, die für alle potenziell relevant sind. Ich habe an dem Tag keinen Teilnehmer getroffen, der gelangweilt war oder sich zu irgendwas gezwungen gefühlt hat.

Ein weiteres Anliegen war es, den Mitarbeitern zu vermitteln, dass wir das Thema Sicherheit ganzheitlich angehen. Dazu wurde das Event von der zentralen IT zusammen mit den Abteilungen Corporate Compliance, Corporate Security und dem Corporate Audit geplant und durchgeführt. Neben dem Know-how haben wir so auch gezeigt, dass wir als Organisation geschlossen hinter dem Thema Sicherheit stehen.

Waren Lieferanten auch beteiligt?

Jäckle: Bei der Cyber-Awareness-Messe waren ausgewählte Partner als Redner und Experten beteiligt. Darüber hinaus sprechen wir auch regelmäßig mit unseren Lieferanten und Kunden über Sicherheitsaspekte. Wir sind tausendfach über Schnittstellen mit diesen Partnerfirmen verknüpft. Es gibt also jede Menge Gesprächsbedarf über die richtige Ausgestaltung der Security an der Stelle. Das ist ein Thema, das in den letzten Jahren deutlich zugenommen hat und wo die Awareness massiv gestiegen ist.

Gab es Widerstände im Unternehmen?

Jäckle: Nein. Wir haben viel Erfahrung, wie man im Unternehmen kommuniziert. So wurde der Betriebsrat beispielsweise gleich zu Anfang in die Planung einbezogen. Ihm wurde das Konzept vorgestellt und sie haben uns unterstützt.

Bei international agierenden Unternehmen ist außerdem die Landessprache wichtig. Wenn Sie Ihr Publikum wirklich erreichen wollen, dann müssen Sie das auch in der Landesprache präsentieren können. Englisch allein reicht da nicht aus. Das bedeutete, dass wir in viele Sprachen lokal übersetzt und so die Gremien vor Ort informiert haben, was sehr positiv aufgenommen wurde.

Es gab auch keine Kosten-Nutzen-Diskussion?

Jäckle: Wie schon erwähnt, denken wir bei Henkel in Vier-Jahres-Strategiezyklen. Für den aktuellen Zeitraum haben wir ein Gesamtprogramm für Awareness finanziell in unsere strategische Planung und das jährliche Budget eingeplant. Den Posten haben wir für den gesamten Vier-Jahres-Zyklus veranschlagt und er steht uns jetzt zur Verfügung. Insofern gab es keine konkrete Diskussion.