Security am Stiel : Für mehr Humor und einen Imagewechsel in der IT-Sicherheit!
Werbung und Sex haben das Internet groß gemacht, sagt unser Autor. Das muss doch auch für die Security funktionieren?! Aber Achtung: Wo Sex und Seriosität zusammentreffen, wittert man schnell Altherrenhumor. Also aufgepasst – und mit „sexy Ideen“ das mausgraue Image der Security verändern, um eine neue, coole Basis für Security-Awareness zu schaffen!
Von Ralph Dombach, Germering
Ohne Werbung und Sex wäre das Internet nicht das, was es heute ist. Von daher ist der Gedanke naheliegend, diese beiden Erfolgsfaktoren zu kopieren und für eigene Interessen zu nutzen. Eigentlich gar nicht neu: Bei IT-Security setzt man oft auf Werbung. Auch wenn die dann „Security-Awareness“ heißt, ist es letztendlich das Gleiche: Man wirbt für IT-Sicherheit und versucht den „Kunden“ dazu zu bewegen, sein Verhalten zu ändern. Wo die normale Werbung „kauf mich“ sagt, will die Security, dass man sich an Regeln hält und Maßnahmen beachtet.
Die Security-Awareness versucht auch noch, dem Anwender etwas Fachwissen zu vermitteln, damit er Angriffe effektiver abwehren kann und Bedrohungen rechtzeitig erkennt. … Und schon wird es langweilig! Gute (funktionierende) Werbung kann zwar nervig, eklig, laut, bunt, schrill, cool, lustig, vielleicht sogar intelligent sein – aber eines darf sie nie werden: langweilig! „Sex sells!“ Warum eigentlich? Doch wohl, weil damit ein Trieb angesprochen wird, nicht der Intellekt – und auch nervig, eklig, laut, bunt, schrill, cool, lustig et cetera wenden sich ans Gefühl, nicht an den Verstand.
Zielgruppe und so
Man muss wohl einsehen, dass IT-Sicherheit die Leute nur in gewissem Umfang interessiert. Analog zum Auto, wo ja die meisten auch nur wissen wollen, wo Benzin und Scheibenreiniger reinkommen. Abgesehen davon: Will eigentlich 2018 noch jemand Auto-Vergleiche hören? Oder sind die schon längst langweilig? Klar kann man Werbung auch für „Schrauber“ machen, aber das ist halt nur eine relativ kleine Zielgruppe. Für die breite Masse scheint Autowerbung heute eher auf Entspannung, Fahrspaß und Zuverlässigkeit oder (natürlich alltagstaugliche) Sportlichkeit zu setzen – „Auto emocíon“ halt. Oder man sammelt Sympathiepunkte, indem man einem Dreikäsehoch-Darth-Vader die „Macht“ über einen Passat gibt (Link).
Vielen „normalen“ Usern erscheint die Security-Abteilung vermutlich auch bisweilen wie eine Ansammlung von Jedi-Rittern: Die reden ulkiges Zeug und versuchen, Kräfte zu beschwören, die man nicht sehen kann. Die eigentliche Security-Awareness, also die Sensibilisierung für IT-Risiken, geht ja noch in Ordnung – doch die Maßnahmen kommen zu früh! Eigentlich sollte die implizit vermittelte Werbebotschaft „Schütze deinen Computer!“ zwar auf nahrhaften Boden treffen, denn letztlich trägt das ja zur Sicherung des eigenen Umfelds und Arbeitsplatzes bei. Aber die Praxis zeigt, dass sich bestenfalls vorübergehende Erfolge verbuchen lassen, sofern man diese Botschaft nicht stetig – analog zur Werbung – wiederholt. Und selbst dann bleibt der Erfolg bisweilen fraglich, denn Kollegin X und Mitarbeiter Y sind dafür noch nicht empfänglich!
Der User ist einerseits verwöhnt vom gewohnten „kümmere dich um nichts, die IT macht das schon“-Denken und anderseits schnell überfordert – denn das Erkennen cleverer Attacken liegt jenseits seiner Möglichkeiten. Es liegt eigentlich nahe, dass etwa Debitorenbuchhalter, Marketingfachfrauen, Ingenieure und andere Fachkräfte nicht „mal eben“ auch noch die Rolle von Security-Administratoren mit übernehmen können.
Marktreife
1947 die Vorteile von Kreuzfahrten auf Luxusdampfern anzupreisen oder 1980 Carsharing zu bewerben, wäre – bezogen auf die breite Masse – sicherlich aussichtslos gewesen. Der Markt war schlicht nicht reif dafür, denn nach dem 2. Weltkrieg hatten die Menschen andere Sorgen und Nöte (von den finanziellen Möglichkeiten ganz zu schweigen), und warum sollte man vor 25 Jahren ein Auto teilen, wo man doch endlich in der Lage war, sich ein eigenes zu leisten?!
Der Security-Awareness fehlen noch zwei elementare Voraussetzungen, um erfolgversprechend für „Security zum Mitmachen“ werben zu können: erstens ein positives Image und zweitens „real bad News“. Denn so makaber es klingen mag: Es gibt zwar reichlich Meldungen über IT-Sicherheits-Vorfälle, aber Reaktionen und wirkliche Betroffenheit bleiben aus. Sicherheitsbrüche und Datendiebstähle werden zwar in der Presse bekannt, aber keine der betroffenen Firmen geht daran pleite oder verliert substanziell Kunden. Wenn überhaupt, fällt für einige Tage der Aktienkurs, um sich dann zeitnah wieder zu erholen.
Vereinzelt gibt es zwar personelle „Bauernopfer“, aber die Unternehmen haben üblicherweise weiterhin Bestand – fehlerhafte Software, die Attacken begünstigt, wird weiterhin eingesetzt und nach der Installation einiger Patches ist wieder heile Welt angesagt. Auch Strafzahlungen halten sich (zumindest bisher) meist in Grenzen, denn an ein Unternehmen sind ja auch Arbeitsplätze gekoppelt, die man nicht gefährden oder gar verlieren will.
Was der Anwender sieht und lernt ist: Schlechte IT-Security bleibt ohne gravierende Folgen! Warum also soll gerade er sich engagieren, IT-Sicherheit „lernen“ und alle paar Wochen sein Passwort wechseln?! Schließlich hat man gemeinhin schon genug mit der „tollen neuen Technik“ zu kämpfen und unter den schnellebigen Auswirkungen der Digitalisierung zu leiden. Da kann es doch nun wirklich nicht auch noch Aufgabe des einzelnen Mitarbeiters sein, die Arbeit der „unfähigen“ Security-Abteilung zu machen und Phishing-E-Mails zu eliminieren, oder?!
Image-Kampagne
Mit Argumenten lässt sich an dieser nachvollziehbaren Interpretation wenig ändern. Man kann sich den Mund fusselig reden und dennoch erreicht man die Leute einfach nicht, solange es an einem positiven Image der IT-Sicherheit und an Vertrauen in die Security-Abteilung fehlt.
Die IT-Sicherheit hat ein Image, dass man mitunter meinen könnte, schlechter gehts nicht: Blockierer, Verhinderer, Langeweiler und Ressourcengrab sind Attribute, mit denen sich die Beteiligten oft auseinandersetzen müssen. Außerdem ist man immer in der Defensive: Gibt es keine gravierenden Security-Vorfälle, fragt sich jedes Management, weshalb man so viel Budget investieren muss. Kommt es dagegen zu „pressetauglichen“ Vorkommnissen, stellt das Management die Frage, warum man eigentlich so viel investiert hat. Mit diesem „Circulus vitiosus“ muss sich wohl fast jeder CISO und IT-Leiter auseinandersetzen.
Die Security-Abteilung begünstigt diese Einstellung aber auch selbst, wenn sie keine oder zu wenig PR für die eigene Arbeit macht – der Leitgedanke „Tue Gutes und rede darüber!“ kommt nicht von ungefähr. Die IT-Security muss zwingend ihr Image verbessern, wenn sie erfolgreich sein will – die Investition in neue „Produkte“ und Dienstleistungen im Hintergrund genügen nicht!
Ein gutes Image fördert die Bereitschaft themenfremder Mitarbeiter, sich auch selbst (im Rahmen ihrer Möglichkeiten) für ein angesehenes Thema zu engagieren, selbstständig und intelligent zu agieren und die Sicherheits-Kollegen zu unterstützen. Ziel: Der „Wir“-Gedanke muss dominieren und den „Das ist euer Job!“-Gedanken ablösen – in beiden Richtungen, wohlbemerkt.
Nur wie erreicht man dieses positive Image, wie wird aus der „Nerd-Fraktion“ eine wertgeschätzte Abteilung, die einen sexy Job macht?
IT-Sicherheit ist sexy?!
Die Begriffe „IT Sicherheit“ und „sexy“ in einem Satz unterzubringen ist eine Herausforderung (vgl. Abb. 1). Früher, als IT-Sicherheit etwas Neues war, war das Thema noch heiß und sexy – zumindest in Fachkreisen. Heute jedoch denkt wirklich niemand mehr an „sexy“, wenn er Tätigkeiten zur IT-Security beschreiben soll – vermutlich nicht einmal mehr in Fachkreisen. Vielmehr hört man heute oft von „Security Fatigue“ (vgl. <kes> 2017# 4, S. 54 und 58), wobei klar sein dürfte, dass Müdigkeit, Langeweile und Überforderung sich allesamt prima als lustbegrenzende Faktoren eignen.
„IT-Sicherheit ist sexy“ in die Köpfe zu bringen, sollte daher eine Aufgabe sein, die jede Security-Abteilung mit Weitblick verfolgt. Denn nur, wenn man etwas toll findet, wird man sich damit identifizieren und Sympathien dafür entwickeln. Wobei „sexy“ in diesem Zusammenhang natürlich keinen körperlichen Bezug darstellt, sondern als Synonym für „interessant“, „cool“ und „ansprechend“ steht.
Dieses „sexy“ ist durchaus vergleichbar zu dem „Was will ich mal werden?“-Spiel der Kinder, die Wünsche über ihre Arbeit als Erwachsene äußern: Bestatter, Abwasser-Kontrolleur oder Schneepflugfahrer werden dabei eher selten genannt, auch wenn all das wichtige Tätigkeiten sind, die deutlich mehr Hochachtung verdienen, als ihnen gemeinhin zukommt – sie sind aber eben „unsexy“, analog zu IT-Sicherheit.
Auch den in der Presse oft beklagten Fachkräftemangel und defizitären Frauenanteil in der IT kann man auf dieser Basis gut nachvollziehen: Während Beraterinnen, Kommunikationsspezialisten und Marketingfachleute in Bildern immer entspannt am Schreibtisch lehnen und im eleganten Business-Dress Papiere schwenken, ist das Image der Security deutlich schlichter.
In Film, Fernsehen und sonstigen Massenmedien werden „IT-Sicherheit“, „Hacker“ und „Cyberkriminalität“ oft in einen Topf geworfen. Hacker sind prinzipiell im Kapuzenpullover (aka Hoodie) in düsterer – und filmisch oft auch in leicht angegammelter – Umgebung abgebildet, IT-Sicherheit wird meist nur mit Zahlen und dem ungeliebten Passwort symbolisiert und die Grenze zwischen Kriminellen und Hackern ist extrem verwaschen und durchlässig, wenn sie denn überhaupt gezogen wird.
Nimmt man die Auswahl der Bildsuche von Google als stellvertretend für die allgemeine Wahrnehmung, dann verfestigt sich dieser Eindruck: IT-Sicherheit ist technisch, abstrakt, kühl und ein wenig unübersichtlich (vgl. Abb. 2), Hacker sind düstere, bedrohliche Figuren (vgl. Abb. 3) und IT-Security-Experten kommen in den Top-Treffern entweder ratlos, in verwirrender Umgebung, Kopf-los oder völlig entpersonifiziert vor (vgl. Abb. 4).
Das allgemein vermittelte Erscheinungsbild wirkt jedenfalls nicht gerade anziehend – weder auf Frauen noch auf Männer – und eignet sich daher nur bedingt zur Nachwuchsgewinnung. Auch wenn man bei der Suche auf Deutsch nach „IT-Sicherheitsexperte“ zumindest ein paar Köpfe aus der Szene findet, deren persönliche PR offenbar besser funktioniert: Wer sucht schon nach diesem Begriff, der an sich schon wieder langweilig klingt?
Selbst innerhalb eines Unternehmens bleibt es eine Herausforderung, die Menschen, die IT-Sicherheit „machen“, als Kolleginnen und Kollegen wie du und ich darzustellen – und ihre Arbeit als wichtigen Beitrag für den Unternehmenserfolg hervorzuheben. Erst wenn man das geschafft hat, kann Security-Awareness ansetzen und den Support der Mitarbeiter erbitten (und eben nicht einfordern!).
Im Idealfall kann ein Imageberater angeheuert werden, der die IT-Security unterstützt – häufiger bleibt diese Aufgabe jedoch an der Abteilung selbst hängen. Eine Best-Practice-Empfehlung gibt es dann nicht, denn die Ausgangssituation ist immer individuell zu beurteilen. Was sich aber bewährt hat, sind zwei Faktoren, um mehr Akzeptanz zu fördern: Humor und Sex!
Ein bekannter Spruch besagt „Sex sells“ – und das sollte man sich zunutze machen, wenn man IT-Sicherheit an den Kunden oder Mitarbeiter bringen will. Sex und auch Humor sind ein Garant für Aufmerksamkeit – hat man die erst einmal erlangt, kann man auch Inhalte transportieren, die dazu beitragen, das Image der Security und der Security-Abteilung zu optimieren!
Abbildung 1: Glaubt man der Bildersuche von Google, dann gibt es wohl keine „sexy IT-Sicherheit“.
Abbildung 2: „IT-Security“ in der Bildauswahl von Google
Abbildung 3: „Hacker“ in der Bildauswahl von Google
Abbildung 4: „IT-Security Expert“ in der Bildauswahl von Google
Praxisbeispiele
Passwörter sind immer noch ein zentraler Baustein, wenn es um die Authentifizierung eines Anwenders geht – dementsprechend wichtig ist es, sichere Passwörter zu nutzen. Und daher gibt es auch unzählige Ratschläge und Hinweise, wie User sichere Passwörter bilden können. Dass eine interessante Verpackung dieser Tipps durchaus förderlich sein kann, belegt der nachfolgende (nicht repräsentative) Test. Über den Kurznachrichtendienst Twitter hat der Autor zwei verschiedene Videos zum Thema Passwörter beworben:
- Mit fünf Merksätzen zum besseren Passwort! Anschauungsunterricht via Link
- Mit der richtigen Oberweite zum besseren Passwort! Anschauungsunterricht via Link
Während der erste Text recht neutral ist, kokettiert Text Nummer zwei mit dem Begriff „Oberweite“ – das Ergebnis der Klickraten auf die unterschiedlichen Videos war 1:15. Der Ordnung halber sei gesagt, dass die Oberweite nur der thematische Aufhänger des zweiten Videos ist, das übrigens unter der Schirmherrschaft des Bundesinnenministeriums entstanden ist. Ob man diese Herangehensweise nun für sexistisch hält, sich den Film (Abb. 5) nur ansieht, um sich darüber aufzuregen, oder wohl zu Recht argumentiert, dass man Frauen vermutlich besser mit einem anderen Aufhänger ansprechen sollte – wichtig ist, Interesse zu wecken, und das ist geschehen.
Alternativ kann man natürlich auch mit Witz und Humor ein Thema „verkaufen“ – beispielsweise indem man die zahlreichen Hindernisse karikiert, die man bei der Passwortvergabe als User umgehen muss. Hier sei beispielsweise ein (englischsprachiges) Video von UCB Comedy empfohlen (Link).
Bisweilen kann man Anwendern mit dem geeigneten Video auch gut vermitteln, wie man etwas besser nicht machen sollte. Beispielsweise beim Thema „sichere Festplattenentsorgung“, denn dafür gibt es ja schließlich den hauseigenen, zertifizierten Datenträger-Entsorgungsdienst – auch wenn dieser nicht so unterhaltsam ist wie ein Rückgriff auf den motorisierten Meißel einer nahegelegenen Baustelle (Link).
Auf der RSA-Konferenz 2013 in San Francisco wurden die Besucher gefragt: „What would it take to make information security sexy?“ (Link). Antworten wie „Women“, was übrigens auch von Frauen geäußert wurde, „hotter Guys“ und „We need to stop being assholes …“ liefern eine Menge Stoff für eigene Ansatzpunkte oder zumindest Diskussionen darüber, was – zumindest in den Augen „normaler“ Menschen – gerade nicht sexy ist („cheap systems“, „robots“, „sexy shaped computer systems“, …).
Imageveränderungen sind nicht einfach. Ein gutes Beispiel sind TV-Sendungen über Autos: Während vor Jahren zahlreiche Formate über den heimischen Bildschirm flimmerten und Zuseher lockten, sind sie heute weitestgehend ausgestorben. Lediglich in England zieht eine Sendung immer wieder ein Millionenpublikum vor den Fernseher – und auch global ist sie ein Hit: die Auto-Show „Top Gear“ der BBC (Link). Weshalb? Wahrscheinlich nicht, weil alle Engländer Autoverrückte sind … aber das Moderatorenteam ist es und hat offensichtlich Spaß daran – und der britische Humor dieses Trios veranlasst die Leute offenbar anzusehen, was die sich nun wieder ausgedacht haben. Da werden nicht zuletzt irrwitzige „Auto-Aufgaben“ mit spannenden Informationen kombiniert und so entsteht ein ansprechendes Format, das Autos (wieder?) sehr sexy macht.
Abbildung 5: Hier gehts weder um IKEA noch um safer Sex – das Video zeigt vielmehr, wie der Hauptdarsteller zu einem guten Passwort kommt (https://youtu.be/Y5I3z4OVxcI).
Steter Tropfen
Auch wenn man es nicht gleich schafft, mit der IT-Sicherheit als „sexy Thema“ zu punkten – das schlechte Image sollte man auf jeden Fall reduzieren können und so zumindest nicht mehr als Langweiler gelten.
Empfehlenswert ist auch, eine „pro Security“-Kampagne zu starten: eine Aktion, in der das Thema IT-Sicherheit präsentiert wird. Das kann mit der Vorstellung der Ansprechpartner (Mensch statt Mail-Account!) beginnen und über die Info zu Aufgabenfeldern weiter zu Informationen über Security-Systeme bis hin zu praxisbezogenen Ratschlägen gehen, die auch für die Mitarbeiter im Privatbereich nützlich sind. Ein gut gemachtes Security-Blog oder Wiki können ebenfalls für eine Verbesserung des Images sorgen.
Heute sind IT und IT-Sicherheit vielfach komplex und anspruchsvoll – spezialisierte Tools (üb)erfordern qualifizierte Admins und Themen wie Cloud, Mobility und IoT machen die Sache auch nicht gerade einfacher. Schafft man es, dieses Spektrum samt seiner Probleme zu vermitteln und die zahlreichen Berührungspunkte im beruflichen und privaten Umfeld zu betonen, gewinnt das Thema auf einmal auch für den angestellten User an Bedeutung – schließlich sind Social Media, Online-Bestellungen und zahlreiche Accounts ja längst auch auf privater Ebene allgegenwärtig.
Um es noch mal in aller Klarheit zu sagen: Security-Awareness wird nicht den gewünschten Erfolg bringen, solange die Zielgruppe kein Interesse an der Materie hat – egal, ob man anschließend Auswirkungen misst, von vornherein auch den Vorstand hinter sich hat, der mit einem Schreiben die Mitarbeiter „motiviert“, oder man mit Give-Aways um sich wirft … All das ist letztlich vergebliche Liebesmüh, wenn das Interesse am Thema fehlt.
Fazit
Zeigen Sie sich und ihre Mitarbeiter, präsentieren Sie eine kommunikative „Rampensau“, die das Thema repräsentiert – menschlich, mit Witz, Humor, „Sex“ und auch Selbstkritik, denn niemand ist fehlerfrei. Wecken Sie Begehrlichkeiten, die dazu führen, dass man zum „Team IT-Sicherheit“ dazugehören möchte.
Kombinieren Sie die Erfolgsfaktoren des Internets (Werbung und Sex) mit menschlichen Qualitäten, die in ihrer Security-Truppe vorhanden sind. Sorgen Sie dafür, dass Sicherheit wieder sexy ist und Ihre Security-Awareness-Aktionen werden erfolgreicher sein. Denn dann haben Sie keine Mitarbeiter mehr, die man belehren muss, sondern Gleichgesinnte, denen Sicherheit nicht länger fremd ist und die mit Ihnen an einem Strang ziehen mögen. Kann es eine bessere Basis geben?
Versäumen Sie es aber nicht, auch die Kehrseite der Medaille zu präsentieren – also warum Sicherheit so wichtig ist. Denn in einer Zeit der Digitalisierung kann eine schlechte IT-Sicherheit machtlos sein gegen Millionenverluste, die auch zum Abbau von Arbeitsplätzen führen können.
Schafft man es, einen Imagewandel bei sich im Unternehmen durchzusetzen und IT-Sicherheit interessant (sexy) zu machen, hat man gewonnen – und das Unternehmen ebenfalls!
Analog zum BBC-Hit „Top Gear“ heißt das vermutlich: weniger „Siebter Sinn“ und mehr „Sendung mit der Maus“, weniger Power Point und mehr Youtube, weniger Belehrung und mehr Belustigung, (zumindest etwas) weniger Seriosität und mehr Schrillsein. Probieren Sie es – erst der Imagewechsel, dann die Security-Awareness!
Ralph Dombach (www.secuteach.de) ist freier Autor – unter @secuteach twittert er täglich mit einem Augenzwinkern über das, was IT-Sicherheit ist und ausmacht.