Security Awareness (eBook)

Marcus Beyer ist Chefredakteur von securitymanager.de und Architect Security Awareness bei der Schweizer ISPIN AG. Michael Helisch war Projektleiter des Munich Re Int. Security Awareness Program und ist Gründer von HECOM Security Awareness Consulting. Dietmar Pokoyski ist Geschäftsführer der Beratungs- und Kommunikationsagentur known_sense und mit der Dipl. Psychologin und Wirkungsforscherin Ankha Haucke Herausgeber zahlreicher tiefenpsychologischer Studien zum Thema Informationssicherheit. Kathrin Prantner ist Geschäftsführerin von E-SEC Information Security Solutions, bei der das prämierte E-Learning-Tool „Virtual Company“ entwickelt wurde.

Präambel 6
Vorwort 7
Inhaltsverzeichnis 9
1 Security Awareness: Von der Oldschool in die Next Generation – eine Einführung 14
Der Security Awareness-Markt 15
2 Definition von Awareness,Notwendigkeit und Sicherheitskultur 22
2.1 Was hat es mit Awareness auf sich? 22
2.1.1 Awareness und Bewusstsein 22
2.1.2 Security Awareness: Ein Begriff – viele Interpretationen 23
2.2 Relevanz von Awareness 25
2.2.1 Informationen als schützenswerte betriebliche Assets 26
2.2.2 Weitere Treiber für Awareness 28
2.2.3 Was spricht gegen Awareness? 32
2.3 Zwischenfazit 34
2.4 Was hat es mit Sicherheitskultur auf sich? 35
2.4.1 Kultur und Sicherheit – gibt es einen Zusammenhang? 36
2.4.2 Unternehmenskultur 37
2.4.3 Unternehmenskultur und Sicherheitskultur 38
3 Awareness und Lernen 42
3.1 Grundzüge der Lerntheorie 42
3.1.1 Was ist Lernen? 42
3.1.2 Lernen und Arbeiten 44
3.1.3 Lerntypen 44
3.1.4 Erfolgsfaktoren der beruflichen Weiterbildung 46
3.2 Informationsvermittlung 48
3.2.1 Methoden der Informationsvermittlung 49
3.2.2 Nutzung von neuen M 50
3.3 Security Awareness mittels E-Learning 51
3.3.1. Grundlagen E-Learning 52
3.3.2. E-Learning für Security Awareness Next Generation 52
3.3.3. E-Learning, Security Awareness Next Generation anhand der Erfolgsfaktoren 54
3.3.4. Erprobte Erweiterungsmöglichkeiten von E-Learning 58
3.3.5. Einführung einer E-Learning-Lösung 62
3.3.6. Fazit E-Learning und Security Awareness Next Generation – Benefits und Barrieren 65
4 Awareness aus der Perspektive des Marketings 68
4.1 Relevanz marketingtheoretischer Überlegungen im Kontext Awareness 68
4.1.1 Der Begriff Marketing 68
4.1.2 Erkenntnisse der Konsumentenforschung 70
4.1.2.1 Konsumentenforschung und Wissenschaftstheorie 70
4.1.2.2 Paradigmen der Konsumentenforschung 71
4.2 Werbewirkungsmodelle 73
4.2.1 Wahrnehmung, Verarbeitung, Verhalten 73
4.2.2 Modelle der Kommunikationswirkung im Einzelnen 76
4.2.2.1 Stufenmodelle 76
4.2.2.2 Involvement 78
4.2.2.3 Das Elaboration Likelihood-Modell (ELM) 79
4.2.2.4 Das Modell der Wirkungspfade 81
4.3 Zwischenfazit 83
4.4 Awareness im Kontext Marketing und Unternehmenskultur 83
4.5 Corporate Identity – Bindeglied zwischen Unternehmenskultur und Marketing 85
5 Das geheime Drehbuch der Security – Awareness in Gestalt- und Tiefenpsychologie 87
5.1 Awareness in der Gestaltpsychologie (Ankha Haucke) 88
5.1.1 Definition von Awareness in der Gestaltpsychologie 88
5.1.2 Zwei Modi der Bewusstheit 89
5.1.3 Paradoxe Theorie der Veränderung 89
5.1.4 Phänomenologie 90
5.1.5 Dialog 91
5.1.6 Feldtheorie 91
5.1.7 Existentialismus 92
5.1.8 Gestaltpsychologie und Security Awareness 92
5.1.9 Zwischenfazit Gestaltpsychologie 93
5. 2 Security-Wirkungsanalysen 93
5.2.1 Widersprüche, Übergänge, Zwischentöne – die morphologische Psychologie 94
5.2.2 Wie werden die Security-Analysen durchgeführt? 96
5.2.3 Leitfaden: flexibel und mit-lernend 97
5.2.4 Ist psychologische Markt – und Medienforschung repräsentativ? 97
5.3 Die tiefenpsychologische Studie »Entsicherung am Arbeitsplatz« 98
5.3.1 Stichprobe und Quotierung der Studie 99
5.3.2 Besonderheiten Untersuchungsaufbau 99
5.3.3 Eingangsdynamik: Zäh und wie versteinert 99
5.3.4 Überraschende Ausbrüche 100
5.3.5 Figuration »Sachliches Verschließen« 100
5.3.6 Zwischenfazit »Entsicherung am Arbeitsplatz« 102
5.3.7. Figuration »Menschliches Eröffnen« 103
5.3.8 Hauptmotive Security-Risiken 103
5.3.9 Fazit Security – oder: Die Digitalisierung des Menschlichen 108
5.3.10 Empfehlungen »Entsicherung am Arbeitsplatz« 110
5.3.11 Learnings Security Awareness 111
5.4 Die tiefenpsychologische Studie »Aus der Abwehr in den Beichtstuhl« 114
5.4.1 Stichprobe und Quotierung der Studie 114
5.4.2 Besonderheiten Probandenakquise 114
5.4.3 Eingangsdynamik: Mitteilungsbedürfnis und Spaltung 115
5.4.4 Zwischenfazit »Aus der Abwehr in den Beichtstuhl« 116
5.4.5 Die drei CISO-Typen 117
5.4.6 Märchenanalyse: Prinzessin oder Frosch 119
5.4.7 Fazit »Aus der Abwehr in den Beichtstuhl« 121
5.4.8 Empfehlungen »Aus der Abwehr in den Beichtstuhl« 124
5.4.9 Learnings Security Awareness 124
5.5 CISO-Coaching 125
5.6 Ausblick auf kommende Security-Wirkungsanalysen 126
5.7 Interne Wirkungsanalysen zur Sicherheitskultur 127
5.7.1 Teilaspekte von Security-Wirkungsanalysen 129
5.7.2 Setting Security-Wirkungsanalysen 130
5.8 Seelisches steht nie still – Awareness und Figurationen (Ankha Haucke) 131
5.8.1 Beispiele von Figurationen 132
5.8.2 Figurationen im Rahmen von Leitfigur-Entwicklung (Dietmar Pokoyski) 135
5.9 Fazit 141
6 Touch them if you can! – Awareness undintegrierte, systemische Kommunikation 143
6.1 Integrierte und systemische Kommunikation 143
6.1.1 Integrierte Kommunikation 144
6.1.2 Systemische Kommunikation 148
6.2 Security Brand Management 150
6.3 Kommunikationstools und -kanäle 152
6.3.1 Giveaways – paradoxe Intervention 153
6.3.2 Plakatives – Poster, Aufsteller, Aufkleber & Co.
6.3.3 Learning Maps – Bilder sagen mehr 159
6.3.4 Comics und Cartoons – Stellvertreter in schwierigen Fällen 161
6.3.5 Print & Co. – Text alleine reicht nicht
6.3.6 Intranet – Einbindung und Austausch 164
6.3.7 Social Media – Du bist Medium 165
6.3.8 AV-Medien – zwischen Schulfunk und Laienspielschar 165
6.4 Awareness-kompatible Methoden der systemischen Kommunikation 168
6.4.1 Narratives Management – Security braucht Story 168
6.4.2 Game Based Development – Unternehmensspiele als Prozessbeschleuniger 182
6.5 Events und Social Audits – Involvement und Verantwortung 191
6.5.1 Security Events – mehr als Training 192
6.5.2 Social Audits – Experiment mit ungewissem Ausgang 193
6.6 Fazit Awareness Komunikation 194
7 Warum Weiß nicht gleich Weiß und Schwarz nicht gleich Schwarz ist – Interkulturalität in Awareness-Kampagnen 197
7.1 Einleitung: Sensibilisierung für das »andere« 197
7.2 Was ist eigentlich »Kultur«? 198
7.2.1 Der Eisberg der Kulturen 199
7.2.2 Kann man Kulturen klassifizieren? 200
7.3 Interkulturelle Kommunikation 201
7.3.1 Interkulturelle Kommunikation – Begriff und Herkunft 202
7.4 Beispiel: Arabische Welt vs. D.A.CH 203
7.4.1 Vorbereitung für die Arabischen Emirate 204
7.4.2 Ankommen in Dubai 204
7.4.3 Bevölkerungsstruktur in Dubai 204
7.4.4 Regeln und Policies in Dubai 204
7.4.5 Security Awareness für Dubai 205
7.5 Interkulturelle Kommunikation – was kann ich wie nutzen? 206
7.5.1 Die Kultur bestimmt den Kommunikationsstil 206
7.5.2 Verständnis für kulturelle Unterschiede 206
7.5.3 Nonverbale Gestaltungselemente 207
7.5.4 Humor ist, wenn man trotzdem lacht 208
7.5.5 Auswahl von Claims, Slogan und Awareness-Protagonisten 208
7.5.6 Wie Farben wirken 209
7.5.7 Worauf ist bei der Wahl von Symbolen zu achten? 210
7.5.8 Was ich Sage und Schreibe – Verbales 210
7.5.9 Was funktioniert konzernweit? 211
7.6 Interkulturelle (Handlungs-)Kompetenz – Awareness international 211
7.7 Fazit und Empfehlungen interkulturelle Kommunikation 213
7.8 Verschiedene Kulturen, verschiedene Sichten – Interviews zur Interkulturalität 215
7.8.1 Uwe Herforth, CISO Ringier AG, Zürich 215
7.8.2 Ralph Halter, Head of IT Governance, Panalpina AG, Basel (Schweiz) 216
7.8.3 Thomas R. Jörger, CISO EMEA, Bayer (Schweiz) AG BBS-EMEA Central Europe 217
7.8.4 Samuel van den Bergh, van den Bergh Thiagi Associates Gmbh 218
7.8.5 Pascal Gemperli, CEO, Gemperli Consulting 219
7.8.6 Gunnar Siebert, CEO, ISPIN MEA 220
8 Awareness Stories im Dialog 255
8.1 TIWAG – Tiroler Wasserkraft AG: »Awareness als ein entscheidender Baustein« 256
8.2 RRZ Raiffeisen Rechenzentrum Tirol GmbH/LOGIS IT Service GmbH: »Security Awareness – eine tragende Säule« 258
8.3 Sunrise Communications AG: »Bewusster Umgang mit Sicherheitsrisiken« 260
8.4 Ringier AG: »Positive Verhaltensänderung zur Verbesserung des Sicherheitsniveaus« 261
8.5 Kanton Aargau: »User als Partner gewinnen« 263
8.6 Biotronik AG: »Gemeinsam für mehr Sicherheit!« 264
8.7 SAP AG: »Sicherheitsbewusst handeln und leben« 267
8.8 T-Systems: »Mission Security mit James Bit« 269
8.9 Münchener Rückversicherungs-AG: »Sicherheit verstehen und leben« 274
8.10 Swiss Reinsurance Company: »Awareness als permanente Ausbildung« 279
8.11 Novartis International AG: »Sinnvolle Entscheidungen treffen« 283
8.12 EnBW – Energie Baden-Württemberg AG: »IT-Security als Hygiene« 288
8.13 FIDUCIA IT AG: »Weniger ist mehr« 296
8.14 Konrad Zerr: »Positive Einstellung mündet in sicherheitskonformes Verhalten« 302
8.15 Red Rabbit Werbeagentur: »Awareness bedeutet Aufmerksamkeit« 305
9 Fazit und Erfolgsfaktoren für Security Awareness 307
9.1 Fazit Security Awareness Next Generation 307
9.2 Die 10 Erfolgsfaktoren für Security Awareness Next Generation 308
Literatur 313
Über die Herausgeber und die Autoren und Autorinnen 320
Danke 322
Schlagwortverzeichnis 323
Praxisbeispiele, Meinungen und Bilder von 327
Interviews mit 327