Cyber Security Month: Ideen zur Gestaltung
Wie der Arbeitsalltag durch Schwerpunkt-Aktionen aufgelockert werden kann
Kurz vorweg: Es muss nicht im Oktober sein. Es muss nicht zum Cyber Security Month sein, und es muss auch bei weitem kein ganzer Monat sein. Angeregt durch eine Austausch-Runde unter Awareness-Verantwortlichen, soll dieser BLOG lediglich Anregungung liefern, wie zeitlich befristete Aktionen allgemein gestaltet sein können und welche Mögichkeiten es gibt. Ziel ist dabei immer, die Awareness der Kolleginnen und Kollegen mit kurzen, kompakten Aktionen aus dem Arbeitsalltag hin zur Informationssicherheit zu manövrieren.
Der Cyber Security Month (auch European Cyber Security Month, ECSM) ist eine jährliche Kampagne, die jeden Oktober in ganz Europa mit dem Ziel stattfindet, das Bewusstsein für Cyber-Sicherheit zu stärken. Organisatorin ist die ENISA (EU-Agentur für Cybersicherheit) in Zusammenarbeit mit nationalen Behörden.
Einige Unternehmen haben den Ball aufgenommen, und bieten schwerpunktmäßig in dieser Zeit für ihre Mitarbeiter:innen Konkatmöglichkeiten mit dem Thema Informationssicherheit an. Dabei lässt sich auch mit kleinen Mitteln viel erreichen – besonders durch Kreativität, interne Kommunikation und Mitarbeiterbeteiligung.
Hier sind einige praktische und kostengünstige Maßnahmen, wie Sie eine Schwerpunktaktion gut vorbereiten können:
- Ankurbeln von internen Mini-Awareness Kampagnen
Mit der Ankündigung, dass dieser Monat im Zeichen der Informationssicherheit steht, ist sicher niemand böse, wenn die Schlagzahl der Postings z.B. im Intranet erhöht wird und wöchentlich Themen hervorgehoben werden (z. B. Woche 1: Phishing, Woche 2: Passwörter, …). Kurze, einprägsame Mails oder Intranet-Beiträge mit Alltagstipps („Schon gewusst?“ oder informative Geschichten aus der Unternehmenspraxis „Wie wir fast Opfer eines Hacking-Angriffs geworden wären“ sind allseits beliebte Lektüren). - Gehen Sie in den persönlichen Kontakt: Ein Infostand vor der Kantine oder im Eingangsbereich hat schon viele Barrieren gebrochen. Die Rückmeldungen dazu fallen meistens sehr positiv aus, weil Personen, die vielleicht nur von der E-Mail-Adresse bekannt sind auf einmal ein Gesicht haben. Infomaterial, Quizzes oder Schätzaufgaben (á la „Wie viele Murmeln sind in der Vase?“) bieten einen netten Anreiz und lassen sich leicht zu realisieren.
- Unterstützung durch Give-Aways: Diese müssen natürlich ins Gesamt-Konzept passen. Mit sehr geringem finanziellem Aufwand lassen sich schon gute Awareness-Werbeträger wie Microfaser-(Brillen)-Putztücher, NFC-Blocker, Webcam-Abdeckungen oder ähnliches beschaffen. Wer es süß haben möchte, kann zwischen Gummibärchen, Mints, Schokoladen oder Traubenzucker auswählen.
- Kurze Lernwege durch Video-Content: Lernvideos oder Videoclips helfen, komplexe Inhalte verständlich zu machen: Neben kommerziellen Angeboten oder der Möglichkeit, selbst Videoclips zu erstellen gibt es auch gratis-Angebote von ENISA, BSI oder anderen Anbietern auf YouTube.
- Gaming sells! Es gibt mittlerweile eine Reihe von sehr guten Serious Games und mobilen Escape Rooms wenn das Budget dafür da ist. Alternativ tun es auch digitale Learning Games wie Kahoot (https://kahoot.com/)
- Angebote zur Weiterbildung/Austausch für Interessierte: Webinare, Lunch&Learn Sessions oder Security-Talks zu auch privat wissenswerten Themen bieten einen Mehrwert: Diese können mit 30 Minuten durchaus kurz gehalten sein, und intern von IT-/Security-Kolleg:innen oder Datenschutzbeauftragten gehalten werden.
- Rüsten Sie ihr Infomaterial nach: Poster oder Infoscreens mit lustigen Motiven, wechselnde Bildschirmschoner mit Quick-Wins für die Sicherheit oder Tischkarten in der Kaffeeküche: Alles, was ein bisschen aus der Reihe tanzt, erhöht die Aufmerksamkeit.
Was ist ganz generell zu beachten:
- Sorgen Sie für ein einheitliches Erscheinungsbild: Ein eigenes Kampagnen-Branding, Awareness-Maskottchen oder kontinuierliches Erscheinungsbild in der Kommunikation hilft den Leuten dabei, Inhalte gut aufzunehmen und zu verankern.
- Gewinnen Sie Mitstreiter:innen: Betriebsrät:innen, die HR, das Interne Marketing und an Informationssicherheit angrenzende Bereiche (z.B. Datenschutz, KI) haben genauso ein Interesse an einer guten MA-Kommunikation. Holen Sie diese rechtzeitig ins Boot, fragen sie nach deren Erfahrungen und bitten sie sie um Unterstützung
- Je interaktiver umso besser!
Die Menschen lieben Quizzes! Entweder digital oder als Kreuzworträtsel auf der Tablettauflage in der Kantine: Wo es um Preise geht, hauen sich alle mächtig ins Zeug … Kleine Gewinne (z. B. Kaffeegutscheine, Fahrradschlösser) belasten das Budget nicht und erhöhen den Zulauf zum Infostand enorm. - Positive Kommunikation ist immer zu bevorzugen: Statt Mitarbeitenden eine Ermahnung auf den Tisch zu legen, wenn bei einem physischen Audit sensible Dokumente auf dem Schreibtisch herumliegen, können z.B. all jene, die Ihre Dokumente weggesperrt haben mit einem Post-it „Gut gemacht! Danke für den Beitrag zur Informationssicherheit“ + Süßigkeit belohnt werden …
- Transfer ins Private: Alle Kolleg:innen sind schließlich auch Privatpersonen und freuen sich, wenn sie für den privaten Bereich Wissen mitnehmen können. Themen wie die Nutzung von Sozialen Medien oder die Risiken des Surfverhaltens im Internet bieten sich an, um auch das Umfeld zu informieren.
Einer unserer Kunden nutzt unkonventionell positionierte Roll-Up Aufsteller mit beliebig bedruckbarem Content (Poster-Aufkleber) im Eingangsbereich, wo die meisten Kolleg:innen vorbeikommen, zur kurzfristigen Kommunikation von Inhalten oder aktuellen Themen. Jedenfalls ein Hingucker!
Fazit:
Cyber Security darf nicht nur ein Oktoberthema bleiben. Der Monat ist wegen der kollektiven Bewegung ideal, um eine Sicherheitskultur im Unternehmen anzustoßen oder zu verstärken – ohne großes Budget, aber mit viel Wirkung. Security Awareness braucht letzlich keine High-End-Tools, sondern Aufmerksamkeit, Kreativität und Wiederholung.
In diesem Sinne wünschen wir gutes Gelingen und viel Freude bei der Awareness-Vermittlung!
