Für CIOs und Administratoren kleiner und mittlerer Unternehmen sind Kampagnen der oben geschilderten Art zwar zu groß und zu kostspielig. Das Prinzip, Führungskräfte ins Boot zu holen, weil sich Mitarbeiter eher an ihren Fachvorgesetzten oder dem oberen Management orientieren als am IT-Personal, gilt aber in Organisationen jeder Größe. Die Manager haben eine für jede Awareness-Maßnahme zentrale Aufgabe: Sie müssen den Anwendern deren Verantwortung für die Sicherheit von Informationen verdeutlichen, die sie allen technischen Schutzmaßnahmen zum Trotz haben.
Das Wort einer echten Vorbildfigur, mit E-Mails, Web oder Datenträgern vorsichtig umzugehen, kann oft mehr bewirken als noch so viele Appelle aus der IT-Abteilung. Administratoren sollten sich deshalb nach Managern umsehen, mit denen sie sich verstehen, und diese in die Arbeit einbeziehen. Manchmal finden sich in einem Unternehmen aber auch andere Respektspersonen, Sympathieträger oder Meinungsführer, die helfen können. Wer Medien einsetzen will, kann vielleicht die sonst so gescholtenen Blogger, Web- 2.0- und Twitter-Fans im Betrieb dafür begeistern [4] . Ideal, aber zeitaufwändig ist es, wenn sich ein IT-Verantwortlicher eine Position erarbeitet, in der er als souveräner, aber fairer Ansprechpartner für Sorgen und Probleme in IT-Fragen gilt. Unter diesen Umständen kann er leichter Forderungen durchsetzen und lästige Regeln rechtfertigen ( [10] , [11] )
Auf manche Anwender üben Online-Gefahren und ihre Abwehr regelrechte Faszination aus, die sich auch für Awareness-Maßnahmen nutzen lässt, so wie Live-Hacking auf Messen viele Zuschauer anzieht. Manche Personen stoßen auch im privaten Umfeld auf IT-Risiken, etwa im Zusammenhang mit Onlinebanking. Viele User möchten also durchaus verstehen, wie Hacker oder Industriespione arbeiten, und diesen Angreifern gern selbst ein Schnippchen schlagen. Aus psychologischer Sicht ist das Bewusstsein, etwas gegen eine Gefahr tun zu können, neben dem Verantwortungsgefühl die zweite Bedingung dafür, dass sich Menschen für Informationssicherheit engagieren.
Wer es schafft, sicheren Umgang mit IT zum persönlichen Ziel der Mitarbeiter zu machen und ihnen zugleich sicherheitsbezogenes Können vermittelt, das auch am heimischen PC hilft, ist im Vorteil. Schließlich sind ja Menschen durchaus bereit, für Sicherheit Lernaufwand auf sich zu nehmen, wenn sie den Sinn und Vorteil der Sache verstehen: Sporttaucher etwa trainieren zu ihrer Sicherheit extra eine eigene Zeichensprache.
Mitarbeiter sind nicht dumm in Sachen IT-Sicherheit, sondern eher unbeholfen, unsicher oder einfach desinteressiert. Nicht eine bestimmte Technik aktiviert sie im positiven Sinne, sondern eine bestimmte Art des Umgangs mit ihnen, garniert mit interessanten Informationen und gegebenenfalls kleinen Trainings kritischer Situationen.
Infos