Ein Maskottchen mit Lebenslauf bei der SVD

Wie war denn der Startpunkt eurer Awareness-Maßnahmen?

Das war 2018 und wir haben  abgesehen von vereinzelten Vorträgen quasi bei Null angefangen. Auslöser war damals die geplante ISO-Zertifizierung. Wir wollten E-Learnings ausrollen und die Kommunikation auf ein neues Level bringen und haben gewusst, dass die Maßnahmen nur gut angenommen werden, wenn sich die Kollegen und Kolleginnen gut abgeholt fühlen. Dazu musst du kreative Wege finden – und das haben wir unter anderem mit dem Maskottchen gut nutzen können.

Wie seid ihr’s angegangen?

Bei den vorgefertigten Schulungs-Materialien, die wir von euch bekommen haben, war ja auch der Drachen mit dabei. Da war für uns zuerst einmal klar, dass ein Maskottchen jedenfalls auch einen Namen braucht. Wenn du den nicht vorgibst, dann überlässt du das den hämischen Kritikern im Haus – und das willst du nicht. So sind wir dann als Namen auf „Zac Yurity“ (sprich [Säk’jurity]) gekommen, was natürlich ein klarer Hinweis auf die Security ist.

Wir haben der Figur dann gleich einen Lebenslauf verpasst um ihr Profil zu geben. Der ist im Intranet abrufbar. In weiterer Folge taucht Zac Yurity dann bei allen ISMS-relevanten Kommunikationsinhalten auf, um klarzumachen, dass eine konsistente Kommunikationslinie da ist.

Der Anfang war schon recht hemdsärmelig: Wir haben Zac einfach auf A3 ausgedruckt und mit simplen Botschaften auf ein Roll-Up im Stiegenhaus geklebt. Auch das hat Aufsehen erregt… Wir haben dafür aber auch gute Voraussetzungen gehabt, muss man sagen:  Unsere 300 Mitarbeiter sind alle an einem Standort auf zwei Geschoße verteilt– Da kannst du schon auch einmal so physische Aktionen machen.

Was spricht für dich für ein Maskottchen? Gibt es da nicht Leute, die dem skeptisch gegenüberstehen und sagen: „Das ist Kinderkram..“?

Allen kann man es sicher nie recht machen…Das allererste Mail von Zac Yurity’s  Posteingang hat dann gleich Furore gemacht: Das war ein E-Mail an alle im Unternehmen ausgesendet, um Zac Yurity vorzustellen und damit auch die Awareness Kampagne einzuläuten. Das wäre vielleicht untergegangen, aber da hat ein Kollege aus der IT unabsichtlich tatkräftig mitgeholfen, weil er auf „allen antworten“ geklickt hat und dort geschrieben hat: „Is das ein Spam?“ Da war dann natürlich einiges los, weil 250 Leute mitgelesen haben und die Geschäftsführung schließlich bekräftigt hat, dass das ernst gemeint ist und solche Fragen bitte zu unterbleiben haben… Ein absoluter Glücksfall für uns!

Für den Zweck der Awareness musst du manchmal polarisieren, es gibt da keine negative Publicity. Mittlerweile ist der Drache gut etabliert und wird so angenommen. Das erste Mail, das neu einsteigende Mitarbeiter von Unternehmensseite dann bekommen ist dann auch gleich ein „Willkommen“ von Zac Yurity’s Account mit kurzen Hinweisen, was von Anfang an zu beachten ist.

Ist ein Maskottchen für Awareness-Vermittlung immer geeignet?

Für die Metaebene ist es sicherlich ein guter Weg – Das heißt für die Kommunikation von allgemeinen Themen und Tipps und Need-to-Knows. Für schwierige Themen wie akute cert-Warnungen zum Beispiel ist der Account aber nicht geeignet, da wird dann über die CISO-Adresse ausgeschickt.

Von non-IT-affinen Usern wird die neutrale E-Mail Adresse allgemein besser angenommen: Zac Yurity kriegt tatsächlich jede Woche einige E-Mails, wo die Leute fragen „Ist das ein Phishing Mail?“, „Kann ich das machen?“. Die eigenen Unsicherheiten einer neutralen dritten Instanz zu erzählen ist oft leichter als einer konkreten Person im Unternehmen.