Workshop-Moderationskarten „askitMeta“ unterstützen Security-Awareness-Planung in den Behörden

(openPR) Köln, 25. März 2011 Durch standortbedingte Unterschiede in der Sicherheitskultur, unterschiedliche Bewertung von menschlichem „Fehlverhalten“, von Defiziten oder Risiken kommt es bei größeren Unternehmen und Institutionen bereits in der Planungsphase von Security Awareness-Maßnahmen, die tatsächlich auf Nachhaltigkeit setzen, auf eine kommunikative Differenzierung der einzelnen Maßnahmenbausteine (Kommunikationsdeutsch „Customizing“) an. In diesem Kontext spielen u.a. auch Faktoren wie etwa die Zugehörigkeit zu bestimmten Gruppierungen mit verschiedenen Rollen und Aufgaben oder etwa Besonderheiten bei der Nutzung einer inzwischen nahezu unübersichtlichen Medienlandschaft eine Rolle.

Hier setzt „askitMeta“ an, das known_sense-Moderationstool, das aus dem bereits 2007 mit dem IT-Sicherheitspreis NRW ausgezeichneten Awareness-Planungs-Baukasten „askit – awareness security kit“ hervorgegangen ist. Die Inhalte sind auf Basis praktischer Erfahrungen und methodischen Vorgehens von known_sense-Kommunikationsexperten und Psychologen über einen Zeitraum von 5 Jahren erarbeitet worden.

In diesem Jahr wurde „askitMeta“ unter dem Titel „Sicher gewinnt – die Moderationskarten“ als Workshop-Instrument in Deutschland durch die Bundesakademie für öffentliche Verwaltung im Bundesministerium des Innern (BAKöV) lizenziert und für den Einsatz in den Behörden angepasst, d.h. mithilfe dieses Moderationstools sollen die laufende Sensibilisierungsinitiative und auch künftige Maßnahmen effizienter vorbereitet, geplant und durchgeführt werden.

Das Instrument trägt der Kulturvielfalt in Unternehmen bzw. Institutionen Rechnung, indem es versucht, die Beteiligten in den Sicherheitsbereichen zum Sprechen zu bringen und unterschiedliche Kommunikationsniveaus auszugleichen. D.h. die Karten und daraus resultierende Ensembles werden als „Lernkarte“ (s. Kasten n. S.) interpretiert und drücken mithin u.a. auch das aus, was (z.B. innberhalb Workshops) eigentlich gemeint ist, oft aber nicht (offen) gesagt werden kann. Aus der Vielfalt der Kommunikationsoptionen findet also eine Art Verdichtung auf das Wesentliche statt.

Das soeben publizierte Set besteht aus insgesamt 112 Karten in den 4 Kategorien
- BILDER (18 Karten)
- THEMEN (47 Karten, darunter 1 Blanko-Karte)
- ZIELGRUPPEN (12 Karten, darunter 1 Blanko-Karte)
- KANÄLE (35 Karten , darunter 1 Blanko-Karte).

Wie aber werden die Moderationskarten in der Praxis eingesetzt?


Verschiedene Risiken – zahlreiche THEMEN
Obwohl jede Institution ähnlichen Risiken ausgesetzt ist, können Bewertungen und Top-Listen von Risiken oder tatsächlichen Vorfällen sehr unterschiedlich ausfallen. Und mehr noch: Risiken betreffen möglicherweise nicht sämtliche Beschäftigtengruppen im gleichen Umfang. Die einen Securitymanager „leiden“ am „Vergessen“ der Passwörter durch Beschäftigte. Für andere stellt das ein geringeres Problem dar; hier spielt vielleicht eher das Thema „Social Engineering“ eine größere Rolle. THEMEN-Karten dokumentieren also Inhalte für Awareness-Maßnahmen, die jeweils der Sachlage entsprechend ausgewählt werden.

Vielfältige Aufgaben – unterschiedliche Zielgruppen
Die eine Gruppe arbeitet fast ausschließlich am PC, die andere kommt mit Rechnern möglicherweise gar nicht in Berührung. Eine ganz andere wirkt „mobiler“ als z.B. diejenige, die stets von ein und demselben festen Arbeitsplatz aus agiert. IT-Mitarbeiter/-innen sind vermeintliche „Profis“ in Sachen Informationssicherheit und beteiligen sich „anders“ an Awareness-Maßnahmen als Kolleginnen und Kollegen, die sich nicht täglich mit IT-Expertenwissen beschäftigen. Auch Führungskräfte spielen im Kontext s. g. Sensibilisierung allein aufgrund ihrer Position eine wichtige „Sonderrolle“.

Um die Besonderheiten von Beschäftigten in puncto Bildung, Aufgaben, Rollen und Risiken sowie ihre unterschiedlichen Bezugspunkte zur Informationssicherheit und die potenzielle Wirkung von Awareness-Methoden und -medien differenzieren zu können, haben wir neben den Karten der Kategorie THEMEN auch ZIELGRUPPEN-Karten geschaffen, die ein grobes Raster von Beschäftigtenstruktur im Hinblick auf die Informationssicherheit am Arbeitsplatz repräsentieren. Analog zu einer Konzentration auf die wesentlichen Informationssicherheitsthemen

ist es bei der Planung von Awareness-Kampagnen ebenso sinnvoll, verfügbare Mittel eben dort zu verdichten, wo sie potenziell die größtmögliche Wirkung erzielen. Denn es ist in größeren Einheiten nahezu unmöglich, sämtliche Zielgruppen gleichermaßen zu erreichen und mit den notwendigen Informationen auszurüsten. Streuverluste müssen in der Flächenkommunikation durchaus einkalkuliert werden. Daher gehört es zu den Aufgaben der Planer, jene „bevorzugt“ anzusprechen, die einen höheren Durchsatz an sensiblen Informationen aufweisen. Denn diese bergen – statistisch betrachtet – ein höheres Risiko als Personen in sich, die lediglich mit wenigen Informationen zu tun haben.

Vielfältige Medienwelt – unendlich viele Kanäle
Über die KANÄLE-Karten versetzen wir die Nutzer des Tools in die Lage, die Informationswege zu bestimmen, auf denen Awareness-Botschaften mit den „richtigen“ Themen zu den intendierten Zielgruppen gelangt.

Doch wie sieht eigentlich das mediale Spielfeld aus, auf dem die Beschäftigten in
den Unternehmen üblicherweise angesprochen werden? Welche Kanäle der internen Kommunikation funktionieren gut? Welche gelten als „verbrannt“. Gibt es Kanäle, die die Beschäftigten satthaben? Existieren neue, noch nicht erprobte und nicht inflationär häufig genutzte, die allein aufgrund ihres innovativen Charakters Aufmerksamkeit verheißen?
Diese und weitere Fragen können die Nutzer des Tools mithilfe der Karten aus der Kategorie KANÄLE beantworten, die die Verbindung zwischen dem, was die Sicherheitsprotagonisten kommunizieren und den sog. „Empfängern“ der breiten Mitarbeiterschaft darstellen.

BILDER einer Sicherheitskultur
Eine Ausnahme bilden die Karten der Kategorie BILDER. Damit sich die Teilnehmer des Workshops ein Bild der herrschenden Sicherheitskultur machen können, umfasst das Moderationsinstrument auch eine Kategorie, in der (häufig assoziierte) Bilder zusammengefasst sind, die einen hohen Bezug zum Thema Informationssicherheit aufweisen. Mit einer Abfrage auf Basis der BILDER-Karten, die gleichermaßen ein Aufwärmen initialisieren sollen und etwas über tragende Symbole der eigenen Sicherheitskultur verraten können, sollte jeder Workshop begonnen werden.
Moderation

Idealerweise wird ein Workshop auf Basis von „askitMeta“ von einer Moderatorin bzw. einem Moderator gesteuert, d.h. dieser Person obliegt das Zeitmanagement sowie die Nachbereitung bzw. Dokumentation. Diese lässt auch von allen Teilnehmenden eine BILDER-Karte auswählen, die die „gefühlte“ Sicherheitskultur repräsentiert, und reihum kommentieren. Anschließend steuern sie Auswahl und Zuordnung der THEMEN-, ZIELGRUPPEN- und KANÄLE-Karten.

KASTEN: Lernkarte als ein ganzheitliches Abbild eines Sensibilisierungskonzeptes
Die Moderationskarten sollen zunächst in einem Nacheinander, dann aber in einem Miteinander aus Themen, Zielgruppen und Kanälen ausgewählt, diskutiert und integrativ zu einem Gesamtensemble im Sinne einer Lernkarte formiert werden. Das so z.B. an einem großen Tisch (alternativ Flipchart) entstandene Modell soll am Ende die Grundzüge einer individuellen Awareness-Kampagne visualisieren. Lernkarten (auch: Wissenslandkarten, Concept Maps, Learning Maps) zielen auf die strukturierte Darstellung von Wissen in visuell-räumlichem Format ab. Es handelt sich hierbei demnach um grafische Darstellungen, die Relationen und Hierarchien zwischen Elementen, z.B. Personen(gruppen), Objekte, Geschehenskerne etc., wiedergeben können. Die Darstellung erfolgt in Form s.g. „Knoten und Verbindungen“. Diese beinhalten Begriffe oder Symbole und sind innerhalb des vorliegenden Moderationstools in Form der Karten vordefiniert. Die Relationen werden durch Verbindungslinien dargestellt. Ihre semantische Bedeutung wird üblicherweise durch Beschriftung oder Symbole spezifiziert. So können Hierarchien, Einflussfaktoren oder wechselseitige Abhängigkeiten dargestellt bzw. betont werden.