Ein Maskottchen mit Lebenslauf bei der SVD

Awareness Best Practice

 

Ein Interview mit Stefan Höller, BA
CISO und Leitung der Stabstelle Informationssicherheit
und Datenschutz bei der SVD Büromanagement GmbH

Wie war denn der Startpunkt eurer Awareness-Maßnahmen?

Das war 2018 und wir haben  abgesehen von vereinzelten Vorträgen quasi bei Null angefangen. Auslöser war damals die geplante ISO-Zertifizierung. Wir wollten E-Learnings ausrollen und die Kommunikation auf ein neues Level bringen und haben gewusst, dass die Maßnahmen nur gut angenommen werden, wenn sich die Kollegen und Kolleginnen gut abgeholt fühlen. Dazu musst du kreative Wege finden – und das haben wir unter anderem mit dem Maskottchen gut nutzen können.

Wie seid ihr’s angegangen?

Bei den vorgefertigten Schulungs-Materialien, die wir von euch bekommen haben, war ja auch der Drachen mit dabei. Da war für uns zuerst einmal klar, dass ein Maskottchen jedenfalls auch einen Namen braucht. Wenn du den nicht vorgibst, dann überlässt du das den hämischen Kritikern im Haus – und das willst du nicht. So sind wir dann als Namen auf „Zac Yurity“ (sprich [Säk’jurity]) gekommen, was natürlich ein klarer Hinweis auf die Security ist.

Wir haben der Figur dann gleich einen Lebenslauf verpasst um ihr Profil zu geben. Der ist im Intranet abrufbar. In weiterer Folge taucht Zac Yurity dann bei allen ISMS-relevanten Kommunikationsinhalten auf, um klarzumachen, dass eine konsistente Kommunikationslinie da ist.

Der Anfang war schon recht hemdsärmelig: Wir haben Zac einfach auf A3 ausgedruckt und mit simplen Botschaften auf ein Roll-Up im Stiegenhaus geklebt. Auch das hat Aufsehen erregt… Wir haben dafür aber auch gute Voraussetzungen gehabt, muss man sagen:  Unsere 300 Mitarbeiter sind alle an einem Standort auf zwei Geschoße verteilt– Da kannst du schon auch einmal so physische Aktionen machen.

Was spricht für dich für ein Maskottchen? Gibt es da nicht Leute, die dem skeptisch gegenüberstehen und sagen: „Das ist Kinderkram..“?

Allen kann man es sicher nie recht machen…Das allererste Mail von Zac Yurity’s  Posteingang hat dann gleich Furore gemacht: Das war ein E-Mail an alle im Unternehmen ausgesendet, um Zac Yurity vorzustellen und damit auch die Awareness Kampagne einzuläuten. Das wäre vielleicht untergegangen, aber da hat ein Kollege aus der IT unabsichtlich tatkräftig mitgeholfen, weil er auf „allen antworten“ geklickt hat und dort geschrieben hat: „Is das ein Spam?“ Da war dann natürlich einiges los, weil 250 Leute mitgelesen haben und die Geschäftsführung schließlich bekräftigt hat, dass das ernst gemeint ist und solche Fragen bitte zu unterbleiben haben… Ein absoluter Glücksfall für uns!

Für den Zweck der Awareness musst du manchmal polarisieren, es gibt da keine negative Publicity. Mittlerweile ist der Drache gut etabliert und wird so angenommen. Das erste Mail, das neu einsteigende Mitarbeiter von Unternehmensseite dann bekommen ist dann auch gleich ein „Willkommen“ von Zac Yurity’s Account mit kurzen Hinweisen, was von Anfang an zu beachten ist.

Ist ein Maskottchen für Awareness-Vermittlung immer geeignet?

Für die Metaebene ist es sicherlich ein guter Weg – Das heißt für die Kommunikation von allgemeinen Themen und Tipps und Need-to-Knows. Für schwierige Themen wie akute cert-Warnungen zum Beispiel ist der Account aber nicht geeignet, da wird dann über die CISO-Adresse ausgeschickt.

Von non-IT-affinen Usern wird die neutrale E-Mail Adresse allgemein besser angenommen: Zac Yurity kriegt tatsächlich jede Woche einige E-Mails, wo die Leute fragen „Ist das ein Phishing Mail?“, „Kann ich das machen?“. Die eigenen Unsicherheiten einer neutralen dritten Instanz zu erzählen ist oft leichter als einer konkreten Person im Unternehmen.

Was würdest du sagen bringt euch das Maskottchen?

Man erreicht mit vergleichsweise wenig Input etwas. Der Kosten – Nutzen Vergleich passt da zu 100%. Es ist wie ein Botschafter für die Security Policies, die wir vermitteln wollen. Die Kommunikation mit den Kollegen ist fließender und Informationssicherheit lässt sich so auch mit Emotionen koppeln – Das ist naturgegeben nicht immer leicht. Auch beim ISO-Audit kommt es gut an und ich habe gehört, dass einzelne Mitarbeiter auch mit den Kunden dadurch anders ins Gespräch gekommen sind.

Wie wird es weiter gehen, habt ihr noch etwas geplant?

Zac Yurity gibt es mittlerweile auch als Stofftier. Da war mir wichtig, dass er aus zertifizierten Rohstoffen gefertigt wird, weil er ja auch in Kinderhände kommen wird – Die fertigen Stofftiere sind Handarbeit aus Deutschland. Geplant ist, die Stofftiere vor Ostern hausintern zu verkaufen – viele Kollegen haben schon Interesse angemeldet:  Der Reinerlös kommt dann einem guten Zweck zu gute, ich denke da an die mobile Kinderkrankenpflege.

Als zusätzliches Give-Away zu den bereits verteilten WebCam-Abdeckungen wollen wir auch RFID-Blocker produzieren lassen – Natürlich auch wieder mit Gruß von Zac Yurity.

Super, weiter so und danke fürs Interview!