Wie Marketing-Prinzipien einem Security-Awareness-Programm zum Erfolg verhelfen

Die Anwendung moderner Marketing-Prinzipien kann der Security Awareness eines Unternehmens zu größerem Erfolg verhelfen. Ernest Hayden erkärt wie.

Marketing ist eine kontinuierliche Kommunikation mit Kunden, die bildet, informiert und Beziehungen aufbaut. Die Zeit spielt dabei eine wichtige Rolle, denn nur mit der Zeit kann Vertrauen aufgebaut werden und eine Beziehung zum Kunden entstehen. Durch Vertrauen entsteht eine Gemeinschaft und Kunden werden genauso begeistert von einem Produkte sein wie Sie. Sie werden zu loyalen Anhängern, zu wiederkehrenden Kunden und oft auch zu Freunden. Marketing ist eine gute Möglichkeit, um herauszufinden, was Menschen bewegt, was sie an Ihrer Marke aufregend finden und wie Sie es ihnen geben können. Involvieren Sie Ihre Kunden in den Prozess und nutzen Sie das Beste daraus, um eine großartige Beziehung aufzubauen.  – Renee Blodgett, CEO/Gründer, Magic Sauce Medien.

Obwohl sich die obige Definition auf Marketing bezieht, lässt sie sich auch auf andere Bereiche übertragen. Nehmen Sie sich einen Moment Zeit, um den Textabschnitt erneut zu lesen. Denken Sie dabei darüber nach, ob die Definition immer noch zutrifft, wenn sie mit einem Security-Awareness-Programm in Verbindung gebracht wird. Jeder erfahrene Security-Experte hat erlebt, wie schnell ein Security-Awareness-Programm versagen kann. Das Ergebnis ist teilweise unwirksam, kurzlebig und möglicherweise teuer (und langweilig beziehungsweise monoton).

Betrachtet man es grundsätzlich: Versucht ein Security-Awareness-Programm nicht auch, Kunden weiterzubilden und sie für ein Produkt zu begeistern? In anderen Worten: Ein Unternehmen möchte, dass seine Angestellten und Vertragspartner die ausgesendeten Security-Awareness-Botschaften verstehen. Der Endanwender soll dadurch motiviert werden, auf eine sichere Art und Weise zu handeln. Dadurch wird es möglich, die materiellen und digitalen Vermögenswerte einer Firma besser zu schützen.

In diesem Tipp werden wir Methoden erläutern, wie Marketing Unternehmen helfen kann, erfolgreichere Security-Awareness-Programme zu erstellen und zu erhalten.

STEPPS zu einem besseren Security-Awareness-Programm

Der Marketing-Professor Jonah Berger hat im März 2013 das Buch „Contagious: Why Things Catch On“ herausgegeben. Darin beschreibt er, basierend auf seiner Forschung, warum Geschichten geteilt, E-Mails weitergeleitet und Videos massenhaft verbreitet werden. Social-Media-Plattformen wachsen weiter. Berger ist davon fasziniert, dass manche, scheinbar belanglosen Videos großen Anklang finden, wichtige E-Mails oder Posts aber ignoriert werden. In seinem Buch stellt Berger sechs Grundprinzipien einer sogenannten „Ansteckung“ dar (oder STEPPS wie er sie nennt – die Abkürzung für: Social Currency, Triggers, Emotion, Public, Practical Value und Stories), die definieren, ob Inhalte viral werden oder nicht.

Berger schreibt in seinem Buch: „Ansteckende Produkte und Ideen sind wie ein Waldbrand. Sie passieren nicht, ohne dass Scharen von normalen Verbrauchern das Produkt oder die Botschaft verbreiten.“ Aber was muss getan werden, um diesen Enthusiasmus zu erzeugen? Können diese Ideen einer Security-Awareness-Kampagne zum Erfolg verhelfen?

Als Gedankenspiel nehme ich Bergers STEPPS und suche nach Möglichkeiten, um seine Prinzipien auf die Kommunikation von Security-Awareness-Programmen anzuwenden:

Social Currency - Soziale Währung

Soziale Währung dreht sich vor allem darum, Informationen zu teilen, die Menschen smart und modern wirken lassen. In der Security-Welt entspricht dies, wenn man Beiträge über aktuelle Cyber-Security-Vorfälle teilt. Dazu gehört, diese Nachrichten sowohl für die komplette Firma als auch einzelnen Mitarbeiter zu erklären. Wenn eine Firma oder Behörde zum Beispiel eine größere Datenpanne hat, versenden Sie Informationen hierzu. Falls Verbraucher betroffen sind, erklären Sie, mit welchen Mitteln diese ihre persönlichen Daten schützen können. Solche Maßnahmen werden dem Anwender zeigen, dass Informationssicherheit wichtig ist. Sowohl ihre Lebensgrundlage als auch ihre Privatsphäre sind betroffen. Dadurch werden sie ein Security-Awareness-Programms bereitwilliger annehmen.

Triggers - Auslöser

Triggers oder Auslöser lassen sich verwenden, um Menschen anzuregen über ein Produkt oder eine Idee nachzudenken. In unseren Fall geht es dabei um das Befolgen von Security-Praktiken. Grundsätzlich sollten CISOs (Chief Information Security Officers) und IT-Teams die Security-Awareness-Kommunikation so gestalten, dass sie oberste Priorität hat. Man kann zum Beispiel Preise an Mitarbeiter verteilen, die Security-Wettbewerbe gewinnen oder besonders viel Initiative bei der Beseitigung eines sicherheitsrelevanten Problems zeigen. Der Preis kann dazu beitragen, dass mehr Interesse daran besteht, den Security-Richtlinien zu folgen.

Emotion - Gefühle

Berger stellte fest, dass emotionale Inhalte oft geteilt werden. Konzentrieren Sie sich daher auf Gefühle. Fragen Sie sich, ob Themen, die das Security-Programm des Unternehmens betreffen, Emotionen erzeugen können. Gestalten Sie die Kommunikation so, dass sie Emotionen hervorruft. Das kann ein Lachen sein oder auch Wut. Vielleicht können Sie eine Geschichte von einem Identitätsdiebstahl versenden, der eine ältere Dame betrifft. Als Resultat würde ich zumindest erwarten, dass eine solche Geschichte Sympathie und Mitgefühl auslöst. Diese Emotionen machen es wiederum wahrscheinlicher, dass Mitarbeiter sich an den Security-Aspekt des Inhalts erinnern und ihn teilen.

Public - Öffentlichkeit

Wie gelingt es, dass das Security-Programm eines Unternehmen für sich selbst Werbung macht? Können Mitarbeiter es sehen, wenn andere den Security-Protokollen ordnungsgemäß folgen? Wenn nicht, versuchen Sie die Security-Maßnahmen noch offensichtlicher zu gestalten, sodass sie leichter nachzumachen sind. An sicheren Ein-und Ausfahrten lässt sich beispielsweise eine Regelung einführen, die verhindert, dass zwei Mitarbeiter hintereinander auf das Gelände fahren, obwohl nur der Erste seine Schlüsselkarte benutzt. Zudem können Mitarbeiter mit guten Security-Praktiken öffentlich für ihre Ordnung belohnt werden. In solchen Fällen trägt eine visuelle Security-Präsenz möglicherweise dazu bei, die Sicherheitsmaßnahmen in weniger offensichtlichen Bereichen zu forcieren.

Practical Value - Praktischer Wert

Einfach ausgedrückt, sind Menschen eher bereit den Inhalt einer Nachricht zu verwerten, wenn diese einen praktischen Wert für ihr Leben hat. Wie kann die Einhaltung der Unternehmens-Security Mitarbeitern helfen, anderen zu helfen? Wie kann das Security-Awareness-Programm so konfiguriert werden, dass andere darüber und dessen Anwendung sprechen? In diesem Fall könnte es besser sein, den Anwender das „Zuckerbrot“ und nicht die „Peitsche“ zu geben. Auf diesem Weg werden die Vorteile der Security mehr betont als die Sanktionen. Demonstrieren Sie zum Beispiel, wie man einen PC sperrt oder eine Festplatte verschlüsselt. Erklären Sie ausführlich, wie diese einfachen Maßnahmen das Unternehmen und den Anwender auf lange Sicht schützen und Geld einsparen.

Stories - Geschichten

Wie kann ein Security-Programm so erweitert werden, dass es durch Stories und virale Mittel beworben wird? Verwenden Sie Geschichten, um Erfahrungen zu teilen. Aber lassen Sie sie nicht so langweilig klingen wie einen Polizeibericht. Bauen Sie stattdessen Protagonisten auf und fügen Sie witzige Elemente hinzu. Auf diese Weise werden Mitarbeiter motiviert, diese Geschichten in der Arbeit und zu Hause zu erzählen.

Fazit

Bergers Buch ist eine interessante Lektüre. Es bietet neue Ideen für Beschäftigte aus dem Bereich Marketing/Werbung, Security oder auch jedem anderen Gebiet. Speziell Security-Experten können mit Bergers Ideen trockene Themen in etwas Interessantes und Ansteckendes verwandeln. Dadurch werden Unternehmen besser geschützt und folglich auch finanziell gestärkt. Ich empfehle jeder Firma, die daran denkt Security-Awareness-Programm zu implementierten (oder zu überarbeiten), zumindest ein paar seiner Ideen versuchsweise auszuprobieren. Man weiß nie, welche ansteckend sein können.

 

Über den Autor:

Ernest N. Hayden gilt als erfahrener Security-Experte, Vordenker und Führungspersönlichkeit aus der Technologiebranche. Seine Spezialgebiete sind der Schutz von Infrastrukturen, Berufs-Informationssicherheit, Cyberkriminalität, Cyber-Kriegsführung, Security für industrielle Steuerungssysteme und Business Continuity / Disaster Recovery. Außerdem beschäftigt er sich mit Smart Grid Security und wie diese Systeme auf moderne Bedrohungen reagieren. Hayden arbeitet als Unternehmensberater bei Securicon. Zudem war er als Global Managing Principal bei Verizon tätig. Er war Information Security-Verantwortlicher am Hafen von Seattle, bei der Group Health Cooperative, bei Seattle City Light und bei Alstom ESCA.

Folgen Sie SearchEnterpriseSoftware.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im August 2014 aktualisiert

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close