Security-Narrativ: Wie CSOs Storyteller werden

Foto: Everett Collection – shutterstock.com

Innerhalb der Security-Branche tobt eine ewige Diskussion darüber, welches Element für die IT-Sicherheit im großen Maßstab erfolgsentscheidend ist – Technologien, Prozesse oder Menschen. Die meisten Sicherheitsverantwortlichen werden auf letztgenannten Faktor beharren.

Doch um das Verhalten der Mitarbeiter sicherheitsgerecht auszurichten, braucht es mehr, als nur schlechte Praktiken vom Tisch zu wischen – nämlich neue, positive Gewohnheiten und Motivation. Dabei sollten CSOs für sich nutzen, dass sich so gut wie alle Menschen von guten Geschichten angesprochen fühlen – das menschliche Gehirn verbindet den Verlauf einer Geschichte automatisch mit den eigenen Erfahrungen und Beziehungen. Lesen Sie, wie Sie als CSO zum Storyteller werden.

Wenn Schulung verpufft

Einige der Zielgruppen, die sich in Sachen Sicherheitspraktiken am häufigsten schwertun, setzen in ihren eigenen Bereichen jeden Tag auf Storytelling. Als Führungskraft in einem Beratungsunternehmen sah ich mich vor einigen Jahren mit der ewigen Datenschutz-Herausforderung konfrontiert: der Sales-Abteilung. In unseren Richtlinien war festgelegt, wie mit Kontodaten umzugehen ist: wo sie zu speichern sind, wie lange Geschäftskontakte aufzubewahren sind. Es gab eine Fülle von Tools, E-Mails und Schulungen. Dennoch änderte sich nichts an riskanten Gewohnheiten.

Das hat letztlich daran gelegen, dass unser damaliges Team es versäumt hat, die Motivation für den Change zu schaffen. Wir haben den Faktor Mensch außen vorgelassen und mussten uns fragen, ob die Mitarbeiter so tatsächlich in die Lage versetzt wurden, zu verstehen, wie die einzelnen Teile sicherheitsbewussten Verhaltens zu ihrem beruflichen Erfolg beitragen. Was gefehlt hat, war ein Anstoß zum Handeln. Oder anders ausgedrückt: gutes Storytelling war, was uns fehlte. Auch eine Geschichte des Wandels hat einen Beginn, einen Grund, sich in Bewegung zu setzen, und eine Motivation, trotz gegensätzlicher Kräfte (auf die ich gleich noch zu sprechen komme) in Bewegung zu bleiben. Können Sie und Ihr Team diese Story erzählen? Veränderungen erfordern Vertrauen, Skills und Kompetenz. Diese Dinge lassen sich durch gutes Storytelling aufbauen.

Die Persuasionsrutsche

Viele CSOs und CISOs möchten ein Security-Narrativ aufbauen und vorantreiben, tun sich aber schwer damit, sich Unterstützung in Sachen Kommunikation zu sichern oder das Storytelling an bestimmte Teams auszulagern – schließlich ist das nicht Jedermanns Sache. So gut wie jedem ist aber klar, wie eines der einfachsten Spielgeräte überhaupt funktioniert: die Rutsche. Roger Dooley stellte 2013 in seinem Neuromarketing-Blog die “Persuasionsrutsche” vor. Sie dient als Analogie für den Prozess, Menschen für eine Idee oder ein Ziel zu begeistern: Auf dem Spielplatz nähert man sich einer Art Leiter, klettert bis nach oben, setzt sich hin und schiebt sich vorwärts. Man genießt die kurze Rutschaktion über eine glatte Fläche und läuft zurück zur Leiter, um das Ganze noch einmal zu wiederholen.

• Aus der Sicht eines Physikstudenten erscheint dieselbe Übung komplexer, da verschiedene Kräfte in Bewegung sind, um diese Freizeitbeschäftigung auszuführen. Die erste Stufe der Benutzung einer Rutsche erfordert einen Anstoß, um eine Vorwärtsbewegung vom oberen Ende des Geräts aus zu erzeugen. Ohne ihn bleibt der “Rutscher” sitzen, es kommt zu keiner Bewegung. Auch innerhalb einer Geschichte ist der Anstoß der Grund, sich zu bewegen. Sie sollten sich also folgende Fragen stellen: Was motiviert eine Person, sich auf eine Geschichte einzulassen? Wie sieht der Beginn der Bewegung aus?

• Der zweite Faktor, der eine Rolle spielt, ist die Schwerkraft, die dazu beiträgt, die Rutschaktion zu lenken. Dabei gehen wir selbstverständlich davon aus, dass die Schwerkraft immer nach unten in Richtung Boden ausgerichtet ist. Am Arbeitsplatz verhält es mit der Schwerkraft jedoch nicht immer so: Hier bezieht die Schwerkraft frühere Erfahrungen, Voreingenommenheit, Bedenken, Aufregung und andere Faktoren mit ein, die eher gegen Veränderungen wirken. Die Richtung der Schwerkraft zu verstehen, indem man die Faktoren in der Umgebung bewertet und diejenigen befragt, die einer Veränderung kritisch gegenüberstehen oder stark von ihr betroffen sind, ist der Schlüssel zu einer guten Story-Struktur und somit auch zu einem Security-Programm.

• Der dritte physische Faktor beim Beispiel der Rutsche ist die Reibung. Können Sie sich vorstellen, eine Rutsche zu benutzen, deren Oberfläche mit Schleifpapier überzogen ist? Durch den Anstoß und die Schwerkraft kämen Sie vielleicht ein bisschen in Bewegung, allerdings dauert der Weg nach unten deutlich länger und ist nicht ohne Schmerzen zu bewältigen. Reibung ist eine Realität in jedem Change-Prozess. Vollständig beseitigen lässt sie sich in der Geschäftswelt nur selten. Dennoch ist sie ein Faktor, den Sie in den Griff bekommen, bewerten und quantifizieren können. Ihr Ziel sollte es sein, die Menschen davon zu überzeugen, sich auf die Geschichte einzulassen – trotz der Reibung, die auf dem Weg entstehen wird.

• Der Schlüsselfaktor, den Sie bei der Gestaltung der Rutsche festlegen und der darüber bestimmt, ob Sie die Reibung überwinden oder nicht – ist der Winkel der Rutsche. Wenn Sie ihn zu steil wählen, wird die Rutschaktion abrupt ablaufen – und möglicherweise einen Schock verursachen. Wählen Sie den Winkel hingegen zu flach, kann es einen Punkt geben, an dem die Reibung nicht mehr überwunden wird oder die Reise zu lange dauert, um sie zu beenden.

Die vier Elemente der Persuasionsrutsche – Anstoß, Schwerkraft, Reibung und Winkel – geben Sicherheitsverantwortlichen das Rüstzeug an die Hand, um ein wirksames, verfängliches Security-Narrativ aufzubauen.

Sales-Neuausrichtung per Security-Narrativ

Um auf meine ehemaligen Sales-Kollegen zurückzukommen: Hier bestand mein erster Schritt darin, das Führungsteam von der Notwendigkeit zur Veränderung zu überzeugen – wobei ich mich an der Persuasionsrutsche ausgerichtet habe:

• Anstoß: Wir müssen uns verändern, weil unsere Kunden nicht von einem Unternehmen kaufen, das regulatorische Anforderungen nicht erfüllen kann.

• Schwerkraft: Wir wissen, dass wir schnell vorankommen wollen und in der Vergangenheit waren Security-Initiativen – zu Recht oder zu Unrecht – ein erklärter Grund dafür, dass man das Gefühl hatte, die Zusammenarbeit bei bestimmten Deals und Reviews würde ins Stocken geraten.

• Reibung: Gemeinsam wissen wir, dass wir auf dem Weg zum Ziel die Art und Weise verändern müssen, wie Daten im System gespeichert werden und Review-Prozesse darüber einrichten müssen, wie oft auf Kundendaten zugegriffen wird. Das wird zusätzliche Denkarbeit und Aufwand für unsere Sales-Systeme erfordern.

• Winkel: Wenn wir die Veränderung gemeinsam angehen, haben wir einen Plan, der uns dabei unterstützt. Das wird uns Reporting-Fähigkeiten erschließen, den Verkäufern bessere Referenzen liefern und unsere Third-Party-Assessments für Kunden stützen. Im Laufe der Zeit wird sich der Umgang mit dem neuen System einpendeln.

Heutige Security-Organisationen sind mehr denn je auf gute Narrative in Sachen Sicherheit angewiesen, um die Mitarbeiter auch in hybriden Arbeitsumgebungen davon zu überzeugen, sich auf Sicherheits- und Compliance-Updates einzulassen. Dabei geht es nicht nur um Tools und technische Zusammenhänge, sondern auch darum, Menschen dazu zu bewegen, ihr Verhalten zu ändern und sie für die Risiken von KI-Assistenten und Datenschutz zu sensibilisieren. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.