Kollektives Sicherheitsbewusstsein: Entdecken Sie Ihre Superpower
Mit Überzeugungsprinzipien aus der Sozialpsychologie können Sie dabei helfen, eine Kultur des Sicherheitsbewusstseins im Unternehmen zu implementieren. Sieben einfache und kostengünstige Möglichkeiten, die Cyberrisiken zu minimieren.
Es ist Freitagnachmittag. Sie erhalten eine E-Mail des Helpdesks, das Sie dazu auffordert, das neueste Sicherheitsupdate unter angegebenem Link zu installieren. In der E-Mail ist beschrieben, dass es ein grosses Anliegen sei, den Internetzugang für die Mitarbeitenden sicherer zu machen. Freundlich wird darum gebeten, das Update schnellstmöglich herunterzuladen.
Wie Sie sicherlich bereits bemerkt haben, handelt es sich bei besagter E-Mail um eine Phishing-Mail, bei der mit psychologischen Überzeugungstechniken versucht wird, Mitarbeitende zum Download von Schadsoftware zu bewegen.
Man kann diese Techniken aber auch im Guten anwenden. Zusätzlich zu organisatorischen und technischen Sicherheitsbarrieren bietet die Sozialpsychologie Prinzipien, um den menschlichen Sicherheitsfaktor zu stärken. Denn nur ein umfassender Cybersecurity-Ansatz bietet die bestmögliche Sicherheit. Im Folgenden beschreiben wir sieben Überzeugungsprinzipien, die Ihnen und Ihrem Unternehmen dabei helfen können, ein kollektives Sicherheitsbewusstsein unter Ihren Mitarbeitenden zu implementieren. Im Sinne des Entdeckers der Prinzipien (Robert B. Cialdini) sei jedoch gesagt, dass nur eine ethisch korrekte, aufrichtige, für den guten Zweck gedachte Beeinflussung seinen Absichten entspricht.
Fabian Muhly, Partner bei Leo & Muhly Cyber Advisory. (Source: zVg)
Philipp Leo, Partner bei Leo & Muhly Cyber Advisory. (Source: zVg)
1. Soziale Konformität
Wir Menschen neigen dazu, uns bei unseren Entscheidungen an anderen zu orientieren. Je mehr Personen ein bestimmtes Verhalten an den Tag legen, desto eher bewerten wir dieses als normal und richtig. Verhalten wird umso stärker nachgeahmt, wenn es von Vergleichspersonen und Vorbildern vorgelebt wird.
Dies ist eine sehr wichtige Erkenntnis, um das Prinzip für die Initiierung eines kollektiven Sicherheitsbewusstseins im Unternehmen optimal nutzen zu können. "Leading by example" lautet hier das Zauberwort. Führungspersönlichkeiten und allen anderen Mitarbeitenden kommt hier ein grosser Stellenwert zu. Je mehr Personen (und umso stärker, wenn sie eine Vorbildfunktion besitzen) sicheres Verhalten vorleben, desto eher lässt sich dieses im gesamten Unternehmen implementieren und zur Maturität der Informationssicherheit beitragen.
2. Autorität
Seit der Kindheit sind Menschen mit Autoritätspersonen konfrontiert. In der Regel nimmt man solche Personen als Menschen mit grossem Wissen, Weisheit oder Macht wahr, weshalb wir dazu verleitet werden, solchen Personen in unserem Entscheidungsprozess schneller zu vertrauen.
Führungspersönlichkeiten und Vorgesetzte können die Logik dieses Prinzips aber auch zugunsten der Informationssicherheit nutzen. Sobald sich Führungspersönlichkeiten darüber bewusst sind, dass Informationssicherheit kollektiver Anstrengungen bedarf, ist es Ihnen möglich, durch Ihre organisatorisch bedingte Autorität auf Ihre Mitarbeitenden einzuwirken und diese bezüglich des korrekten Sicherheitsverhaltens zu sensibilisieren. Diese Anstrengung ist umso mehr von Erfolg gekrönt, wenn die jeweilige Führungspersönlichkeit obendrein eine gewisse Sachexpertise vorweisen kann.
3. Knappheit
Das Prinzip der Knappheit besagt, dass Menschen Möglichkeiten, die sich selten bieten, einen grösseren Wert zuschreiben. Schwer zu erwerbende Dinge werden mit hoher Qualität in Verbindung gebracht, weshalb Anzeichen auf limitierte Verfügbarkeit als Qualitätsmerkmal wahrgenommen werden.
Das Prinzip der Knappheit kann in Bezug auf die Informationssicherheit von Führungspersönlichkeiten dazu genutzt werden, die Belegschaft darauf aufmerksam zu machen, wie wertvoll und welch knappes Gut Unternehmensinformationen und der Arbeitsplatz gleichermassen sind. Unsicheres Verhalten, dass eine Gefahr für das eine oder das andere bedeutet, kommt unausweichlich mit dem Verlust von gewissen Freiheiten einher.
4. Sympathie
Sympathie als Einflussfaktor ist durch verschiedene Aspekte geprägt. Wir lassen uns von attraktiven Menschen einfacher überzeugen als von weniger attraktiven. Gegenüber Menschen, die uns in ihren Interessen und Eigenschaften ähneln, sind wir offener. Menschen, die uns Komplimente machen, sind wir aufgeschlossener. Je öfter wir in Kontakt mit gewissen Personen sind, desto eher ist es uns möglich, sie zu mögen und uns letztlich von ihnen beeinflussen zu lassen. Für Führungspersönlichkeiten sind dies klare Hinweise, wenn sie ihren Einfluss auf die Belegschaft in Bezug auf die Informationssicherheit mit Sympathie erreichen wollen. Empathie ist ebenso gefragt. Sympathie beruht nicht nur darauf, attraktiv zu sein. Eigene Fehler mit den Mitarbeitenden als "lessons learned" zu teilen, steigert ebenfalls die Sympathie und deren Einfluss.
5. Reziprozität
Durch die freiwillige Gabe einer Gefälligkeit wird eine zukünftige Zurückzahlung einer Gefälligkeit ausgelöst. Es ist ein sehr starkes Prinzip, vor allem, wenn die Gefälligkeit auf den Empfänger personalisiert ist.
Führungspersönlichkeiten sollten dieses Prinzip zu ihren Gunsten nutzen und zum kollektiven Sicherheitsbewusstsein im Unternehmen beitragen, indem sie ihren Mitarbeitenden von Zeit zu Zeit kleine Geschenke machen, die allerdings klar mit dem entsprechenden Thema (Informationssicherheit) in Verbindung stehen. Dadurch wird nicht nur die Führungspersönlichkeit positiv wahrgenommen, sondern auch das Thema Informationssicherheit im Bewusstsein verankert.
6. Verpflichtung und Konsistenz
Psychologen haben schon lange herausgefunden, dass Menschen generell ein Verlangen haben, konsistent auf ihre Mitwelt in ihren Worten, Taten und Überzeugungen zu wirken. Konsistentes Verhalten wird gesellschaftlich als sehr positiv geschätzt. Möchte man Menschen zu konsistentem Verhalten bewegen, ist es vor allem wichtig, dass man sie vorher dazu verpflichtet.
Mit Blick auf das Sicherheitsbewusstsein und -verhalten im Unternehmen ist es daher eine sehr gute Überlegung, diese im Arbeitsvertrag oder in einer separaten Vereinbarung schriftlich festzuhalten und die Mitarbeitenden von Zeit zu Zeit an ihre Verpflichtung zu erinnern, um konsistentes Sicherheitsverhalten herbeizuführen.
7. Verbundenheit
Letztlich gibt es noch das Prinzip der Verbundenheit, das für die Initiierung von sicherem Verhalten im Unternehmen genutzt werden kann. Es besagt, dass wir Menschen uns im Laufe der Evolution gewissen Gruppen zugehörig fühlen, ein Wir-Gefühl und Identitäten entwickelt haben.
Vom Unternehmensstandpunkt ist es daher sehr wichtig, dass man die Loyalität und das Zugehörigkeitsgefühl seiner Mitarbeitenden stärkt, um diese psychologischen Voraussetzungen nutzen zu können. Ein Gemeinschaftsgefühl im Unternehmen ist eine gute Voraussetzung, positive wie auch negative Erfahrungen in Bezug auf die Informationssicherheit zu teilen und letztlich die Maturität eines kollektiven Sicherheitsbewusstseins im Unternehmen voranzutreiben.
Betrüger und Social Engineers nutzen regelmässig Überzeugungstaktiken, um Mitarbeitende zu täuschen, und gefährden so den Wert und den Ruf ihres Unternehmens. Die oben genannten sieben Empfehlungen sind eine einfache und kostengünstige Möglichkeit für Unternehmen, diesen Risiken für die Informationssicherheit mit bewährten Prinzipien aus der Sozialpsychologie entgegenzuwirken.
Betrüger wickeln Opfer mit geschenkten Klavieren um den Finger
Viewsonic lanciert modulares LED-Display-System
Update: Das war die BACS-Kampagne zu Updates und Virenschutz
Netzmedien lädt wieder zur Sommer Party nach Horgen
BSI expandiert nach Italien
Mit Awareness Trainings zu mehr IT-Sicherheitsbewusstsein
Shure veranstaltet Partner-"Avents"
Bienen lösen Rätsel und spielen mit Bällen
Dropbox meldet unbefugten Zugriff auf Kundendaten
