Die Aufmerksamkeit und das Bewusstsein von Mitarbeitenden für Themen ausserhalb ihres Fachbereichs zu erlangen, stellt viele Unternehmen immer wieder vor grosse Herausforderungen. Die Sicherheit fungiert in vielen Fällen als ein solches: abstrakt, nicht fassbar und durch Vorgaben sowie Regeln oft als Mühsal empfunden. Um den Mitarbeitenden die Wichtigkeit von Sicherheit im Unternehmen vor Augen zu führen und in der Organisation Schritt für Schritt eine Sicherheitskultur zu entwickeln, gibt es jedoch vielfältige Möglichkeiten.
Mit Awareness für Sicherheit ist das Bewusstsein und die Sensibilisierung von Mitarbeitenden gemeint, welche das Wissen und die Einstellung im Umgang mit sicherheitsrelevanten Themen umfasst. Dies allen voran auch im Bereich Notfall- und Krisenmanagement – um Risiken und Gefährdungen rechtzeitig zu erkennen, einzuschätzen und im Ereignisfall schnell und zielgerichtet handeln zu können. Der Mensch steht somit im Mittelpunkt – es gilt, ihn zu verstehen, zu erreichen, zu überzeugen und allenfalls auch zu verändern. Insbesondere aufgrund der «weichen Faktoren» ist das Sicherheitsbewusstsein in Unternehmen vor allem aus betriebswirtschaftlicher Sicht schlecht fassbar, es bereitet viel Arbeit und thematisiert oft Bereiche, die im normalen Arbeitsalltag als wenig relevant eingestuft werden. Dies führt dazu, dass Sicherheitsmassnahmen nicht bekannt sind oder verstanden werden, negativ wahrgenommen werden oder sich schlimmstenfalls niemand dafür verantwortlich fühlt. Wenn Unternehmen der Sicherheit eine eher untergeordnete Rolle zuordnen, ist es eher unwahrscheinlich, dass Mitarbeitende Sicherheitsthemen hohe Beachtung resp. die nötige Awareness schenken. Es gilt somit, sich in der Organisation explizit mit dem Thema Sicherheit auseinanderzusetzen und dieses gegenüber den Mitarbeitenden sicht- und fassbar zu machen, damit beim Eintritt eines Ereignisses schnell und zielgerichtet gehandelt werden kann.
Die drei Konzepte der Awareness
Es gibt drei Konzepte für Awareness, die aufeinander aufbauen. In der untersten Stufe wissen Mitarbeitende über Risiken und Gefahren Bescheid und sind fähig, diese wahrzunehmen. In der zweiten Stufe verfügen die Mitarbeitenden über Wissen, wie sie sich und andere vor Bedrohungen schützen können. Das letzte Konzept und somit die oberste Stufe verspricht eine Erhöhung der Awareness im Unternehmen. Durch die Erfüllung der beiden vorangehenden Stufen wird im dritten Konzept Wissen in entsprechende Handlungen umgesetzt. Konkret bedeutet dies, dass Mitarbeitende über umfassende Kenntnisse von Notfallszenarien – beispielsweise einem Brand – verfügen und wissen, wie sie einen solchen Vorfall vorbeugen oder gar verhindern können und auch, wie sie sich selbst und die Mitmenschen bei tatsächlichem Eintritt schützen können.
Vielfältige Massnahmen zur Erhöhung der Awareness
Mit Awareness-Massnahmen kann der Sensibilisierungsgrad des Sicherheitsbewusstseins im Unternehmen und somit die Awareness eines jeden erhöht werden. Denn wenn diese steigt, verhalten sich die Mitarbeitenden sicherer und das Konzept der drei aufeinander aufbauenden Stufen beginnt zu greifen. Es gibt vielfältige Massnahmen, den Mitarbeitenden sicherheitsbezogene Themen näher zu bringen und das Sicherheitsbewusstsein zu erhöhen. Hier einige Beispiele:
- Physische Veranstaltungen wie Simulationen, Probeläufe von Ereignissen, Schulungen, Seminare und Lunch’n’Learn Sessions
- E-Trainings, Blended Learning und Webinare
- Abgabe von Infomaterial in Form von Leitfäden, Factsheets oder Intranet-Newseinträgen
- Aufgreifen von Sicherheitsthemen auf Social Media-Kanälen
- Guerilla-Marketing
Spielerische Ansätze sind dabei immer mehr im Trend: Brettspiele zum Thema Sicherheit, LEGO® Serious Play®, der Mix aus visuellen digitalen Inhalten wie kurzen Videos, Learningnuggets oder Gamification als Wettbewerbskomponente – Dinge eben die anders sind. Wir alle spielen gern. Das tut gut, lockert auf, fördert den Teamgeist und das Wir-Gefühl. Die Mitarbeitenden werden überrascht, da sie solche Formate aus der eher trockenen Ecke der Sicherheit kaum erwarten. Doch wie im Marketing ist es auch bei der Gestaltung von Awareness-Massnahmen essenziell, die Adressaten zu kennen und die richtigen Kommunikationskanäle und -medien für die Ansprache zu wählen. Bei der Zielgruppendefinition sollen Merkmale wie Bildung, funktionale Rolle oder eine bestimmte Zugehörigkeit in der Organisationseinheit ebenso berücksichtigt werden, wie das Verhalten der Mitarbeitenden, welches sich je nach Situation und Befindlichkeit ändern kann. Wichtig ist, dass Massnahmen nicht einzeln und isoliert betrachtet und durchgeführt, sondern als Ganzes in Form einer Kampagne den Mitarbeitenden zugespielt werden. Damit Awareness-Massnahmen von der gesamten Unternehmung getragen werden, macht es Sinn, diese auf der strategischen Ebene zu implementieren.
Die Durchführung von Massnahmen zur Steigerung der Awareness für Sicherheit ist sinnvoll und in der Praxis empfehlenswert. Das wichtigste ist und bleibt jedoch der Dialog. Das Thema Sicherheit soll im Alltag Platz finden und immer wieder thematisiert werden. Es braucht Aufklärung und die Beantwortung der Frage nach dem Warum. Auch transparente Kommunikation von Risiken, und ja – auch von Vorfällen, von denen gelernt werden kann. Weiter hilft es, Mitarbeitende nicht als Schwachstelle für Sicherheit anzusehen und sie im eigenverantwortlichen Handeln zu unterstützen. Sicherheit muss lebbar und erlebbar sein. Mitarbeitende wollen wissen, wer sie schützt und wie sicher das Unternehmen an sich ist, wie hoch die Maturität ist um sich selbst einschätzen und das eigene Handeln reflektieren zu können.
Ein stetiger Prozess hin zur Sicherheitskultur
Die Awareness für Sicherheit im Unternehmen zu steigern ist kein Projekt, sondern ein iterativer Prozess. Nicht selten wird von einem Awareness-Zyklus gesprochen, den Mitarbeitende durchlaufen. Dieser Zyklus verdeutlicht, welche Stationen Mitarbeitende vom Eintritt ins Unternehmen bis zum Austritt durchlaufen und wie sie dabei unterschiedlich mit Security-Awareness konfrontiert werden. Dass Kommunikation in diesem Prozess eine wichtige Rolle spielt, wurde bereits erwähnt. Ein Vorleben – insbesondere von Führungspersonen – ist weiter von entscheidender Bedeutung und wichtiger, als schriftlich festgehaltene Regelungen und Dokumente. Sicherheitsbezogene Massnahmen und die Unternehmenskultur beeinflussen sich gegenseitig. Ein gutes Unternehmensklima trägt nachweislich zur Unternehmenssicherheit bei. Sicherheit wird – sofern entsprechend gelebt – in jeder Organisation zum Teilaspekt der Unternehmenskultur, in einzelnen Fällen gar zur Subkultur. Wichtig ist, dass die Sicherheit- und Unternehmenskultur einander ergänzen und nicht zur Gegenkultur werden.
Verwendete Quellen:
- Bleissel, S. (2019). Security Awareness: Grundlagen, Massnahmen und Programme für die Informationssicherheit. Berlin: Walter de Gruyter GmbH.
- Helisch, M. & Pokoysky, D. (2009). Security Awareness: Neue Wege zur Mitarbeiter-Sensibilisierung. Wiesbaden: GWV-Fachverlage GmbH.
- Weber, K., Schütz, A. E. & Fertig T. (2019). Grundlagen und Anwendung von Information Security Awareness. Wiesbaden: Springer-Verlag.
Kontakt
Demo-Version
Angebot
Blog
