teissTalk: Cyber-Security Awareness– Welchen Beitrag kann professionelle Kommunikation zum Erfolg leisten?
Christine Deger: „Sandra, warum sagst Du, Kommunikation ist so wichtig bei IT und insbesondere bei den Cybersecurity-Themen?“
Sandra Aengenheyster: „Im Prinzip ist die Kommunikation rund um Cybersecurity ein Teil der internen Kommunikation, die ausgeht von Kommunikation der IT, sofern sie denn stattfindet. Eine professionelle Kommunikation unterstützt, die relevanten Elemente von Themen in einen Kontext zu setzen und das Bewusstsein zu schärfen. Also, warum tun wir das? Warum ist das wichtig? Was hat das mit mir zu tun? Wenn das Thema jemanden berühren soll, muss es für die Person relevant sein. Es muss auch eine Beziehung hergestellt werden zur eingesetzten Technologie und zu den Regeln des Unternehmens. Es muss in der Sprache des Unternehmens stattfinden, das ist ein ganz wichtiger Teil der Firmenkultur.
Christine Deger: „Zum Thema Sprache habe ich von Steffen Hessler, der heute leider nicht mit dabei sein kann, erfahren, dass man anhand der Sprache erkennen kann, wer hinter dem Text steckt. Wenn man also als Unternehmen von einer Ransomware-Attacke betroffen ist, können die Forensiker herausfinden, welche Erpressergruppe es ist. Wie findest Du das Milena?“
Milena Thalmann: „Die Sprache ist eines der wichtigsten Mittel, um Vertrauen bilden zu können. Wir kennen das, wenn wir mit Kindern sprechen, dann wird unsere Stimme höher und weicher, um Nähe aufzubauen zur kindlichen Stimme. Genauso geht es mit, wenn ich über Cybersecurity spreche, dann passe ich die Sprache an, um authentisch zu sein. Denn ich bin der Botschafter und der Purpose hinter der Botschaft. Immer, wenn man anfängt zu erklären, schafft man Bilder im Kopf, das sollte einem bewusst sein. Durch Sprache sollte ich positive Bilder erzeugen.“
Christine Deger: „Das bedeutet auch, dass wir Begriffe definieren müssen, also den gemeinsamen Nenner finden müssen. Steffen hat auch erzählt, dass er eine Umfrage mit Kollegen gemacht hat, da wurden 60 Menschen zu einem bestimmten Begriff befragt und was dieser Begriff für sie bedeutet. Die Hälfte der Teilnehmenden haben ungefähr dasselbe unter diesem Begriff verstanden, aber die anderen hatten ein völlig anderes Verständnis von diesem Begriff gehabt. Wie bekommt man es hin, dass alle dasselbe verstehen?“
Sandra Aengenheyster: „Ich achte sehr darauf, am Anfang eines Projekts, ein Glossar zu machen. Da reicht schon ein Word-Dokument. Ich möchte sicherstellen, dass jeder das gleiche versteht, besonders bei Anglizismen.“
Milena Thalmann: „Ich möchte noch etwas zu Sandras Aussage ergänzen. Was ganz schnell passiert, ist, dass Experten eines bestimmten Themas in ein Fachlingo abdriften. Man macht das gerne, weil man zeigen möchte, dass man Experte ist. Man schafft dadurch aber auch sehr viel Distanz. Deshalb gerne ein Glossar verwenden, aber vielleicht auch Fachsprache vermeiden und versuchen bei einer beschreibenden Sprache zu bleiben. Das Mitnehmen soll emotional passieren, deshalb muss man alle Mittel der Kommunikation ausschöpfen, mit positiven Bildern arbeiten, mit Farben, mit Signalen, die Mimik und die Hände spielen eine Rolle. Körpersprache im Allgemeinen ist sehr wichtig, wenn wir Vertrauen aufbauen wollen. Und in der authentischen Sprache des Unternehmens bleiben.“
Sandra Aengenheyster: „Die Frage ist immer, was möchte ich mit Kommunikation und Aufklärung erreichen. Was ist der Stand jetzt und wohin möchte ich? Anhand von Szenarien, am besten mit einem persönlichen Verknüpfungspunkt, eventuell mit Hilfe einer Identifikationsfigur, kann man Handlungsoptionen darstellen. Kommunikation ist dann gelungen, wenn man in echte Kommunikation tritt mit Feedback und Dialog. Nicht mit dem Finger zeigen und bestrafen! Ideal: Das ist die Begründung, warum wir uns in diesem Unternehmen dieses Verhalten in dieser Situation wünschen. Deshalb ist für mich ein Glossar auch wichtig, zur Erklärung. Übrigens auch für Abkürzungen, die werden benutzt, aber die Leute kennen gar nicht die Bedeutung. Wenn man sie verwendet, sollte man sie erklären.“
Was sind denn Signale und Farben?
Milena Thalmann: „Zum einen kann man die Bilder nutzen, die zum Thema bekannt sind, also zum Beispiel für Cybersecurity die Farbe Blau, einen Hoodie, ein paar Zahlen, ein Schloss. Aber dann wird man sehr schnell beliebig in der Kommunikation und die Leute hören sehr schnell nicht mehr zu, nach dem Motto, weiß ich ja schon, kenn ich ja schon. Wenn ich etwas kommunizieren möchte, dass zu einer Handlung auffordert, muss ich mich entsprechend aufstellen, d.h. das Ziel vor Augen haben und das Zielbild visualisieren. Signale und Farben geht genau in die gleiche Richtung. Nicht mit Warnung und rot kommunizieren, bloß weil es ein brisantes Thema ist. Lieber in Farbspektren arbeiten, die motivierend sind, also Gelb, Grün etc. Es muss aber zum Unternehmen passen und authentisch sein. Kommunikationsformate wie z.B. Piktogramme, die einen Wiedererkennungswert haben und an denen man sich orientieren kann, sind gut. Nicht immer in der Tiefe kommunizieren, sondern den Erklärweg wählen bei einem breiten Empfangspublikum.“
Sandra Aengenheyster: „Was mir noch wichtig ist: Cybersecurity oder Informationssicherheit, das ist ja nicht getan mit einer Kampagne. Im günstigsten Fall macht man eine konsistente Kommunikation über einen längeren Zeitraum. Bis man eine Sicherheitskultur über Kommunikation in einem Unternehmen verankert hat, dauert das eine Weile. Es spricht nichts dagegen, auch mal einen ungewöhnlichen Weg zu gehen für das Unternehmen, z.B. mal ein anderes Format wählen als das gewohnte, wie Gaming oder Incentivierung.“
Christine Deger: „Es gibt ja auch Awards für Cybersecurity-Kampagnen, die lohnt es sich mal anzuschauen für Anregungen.“
Was sind gute Schritte zum Storytelling?
Milena Thalmann: „Storytelling ist total einfach. Storytelling erzählt immer den Weg von einer alten bekannten Welt, die jemand verlassen muss und die sich in eine neue Welt verändert. Egal, welches Business-Problem man anschaut, es ist immer die gleiche Story. Es ist immer etwas veraltetes, das sich verändern soll und es gibt immer eine Hürde. Wir schauen, wer ist der Mentor. Wer verändert die Hürde zu etwas, das man übersteigen kann, also helfende Personen, Unternehmen, Situationen. Ab da ist es ein Storytelling. Wenn man das sauber beschreiben kann, kann man mir auch folgen. Storytelling hat nicht immer etwas mit lustigen Figuren zu tun, sondern es ist die Fähigkeit etwas nachvollziehbar zu beschreiben. Vermischt mit Entertainment macht es natürlich auch noch Spaß.“
Christine Deger: „Was ist denn mit den Zielgruppen? Was habt ihr für Tipps?“
Milena Thalmann: „Grundsätzlich muss man sich ganz viele Gedanken machen um die Zielgruppen, sich dann aber auch auf ein Konzept einigen innerhalb des Unternehmens. Z.B. wir kommunizieren jetzt per Abteilung oder nach Hierarchiestufen. Wichtig ist, dass man sich mit der Kommunikation an die Motivation der Zielgruppe annähert. Jemand, der im Management eines Unternehmens ist, hat eine andere Motivation seinen Arbeitsalltag zu gestalten und zur Sicherheit beizutragen, wie jetzt jemand, der in der Produktion ist. Nichts sollte von oben drüber gestülpt werden. Unternehmen sollten sich auch überlegen, was sie schützen wollen. Viele kommunizieren die Bedrohungslage, also was ist Ransomware, was ist Malware, was ist Phishing. Der Mitarbeiter hat also das Gefühl, alles da draußen ist gefährlich, wissen aber gar nicht warum. Wenn man das umkehren würde und sagen würde, schaut mal, das ist unser Unternehmen, das ist unser Schutzumfang, das ist uns wichtig und damit sichern wir auch Euren Arbeitsplatz, lasst uns zusammen schauen, dass das so bleibt und so machen wir das, wären mehr Leute motiviert, mitzuarbeiten.“
Sandra Aengenheyster: „Von der Zielgruppenanalyse bin ich zum Teil weggekommen, weil in Zielgruppen oft wie in verschiedenen Hierarchiestufen gedacht wird. Wenn ich aber Informationen aufbereite und Botschaften formuliere, dann habe ich mir in den letzten Jahren angewöhnt, die "Moments of Need" anzuschauen. Das kommt aus der Lernpsychologie und stellt die Frage, was die Menschen zu lernen bewegt. Menschen sind dann besonders motiviert, wenn sie neues lernen, wenn sie mehr über etwas lernen können, also einen Mehrwert haben, wenn sie etwas anwenden oder üben können, wenn ein Problem auftritt und wenn sich etwas ändert und man dies nicht abwenden kann. Unterschiedliche Zielgruppen können also die gleichen Moments of Need haben.“
Wenn eine Unternehmenskultur sehr divers / international ist, was muss man beachten?
Sandra Aengenheyster: „Achtung, das ist ein heißes Eisen. Farben und Bilder, Zitate, Maskottchen z.B. sind in den Kulturen sehr unterschiedlich. Auch die Empfindung von Hierarchie oder Nähe und Distanz oder der Umgang mit Kritik. Es gilt herauszufinden, ob die Botschaften ankommen in einer Sprache und Kultur, die nicht meine eigene ist. Das kann keine punktuelle Aktivität sein. Man tut gut daran, sich in der Cybersecurity zu vernetzen und die eigene Kommunikation im Netzwerk zu überprüfen. Man muss seine Kommunikation auf jeden Fall testen.“
Milena Thalmann: „Vor allem verschiedene Formate anbieten: das Webinar, Gamification, das Handout in Papier, somit kann man verschiedene Lerntypen abholen. Ich habe von vielen Unternehmen gehört. Gamification will ich gar nicht, ich will meine Mitarbeiter nicht ablenken, hier muss ich kurze und prägnante Informationen zeigen. Es gibt aber Leute, die sich sehr intensiv mit Security auseinandersetzen müssen und wollen, denen kann ich Gamification guttun. Da kommt der kulturelle Background auf Job-Background auf das Verständnis für den Schutzumfang des Unternehmens, da muss ich versuchen, wie in jedem Change-Prozess, die Leute zu ermutigen, den Prozess zu gehen.“
Christine Deger: „Macht es nicht Sinn, sich im Unternehmen noch besser auszutauschen und zusammenzuschließen, anstatt das Thema vereinzelt zu verankern, also beim CISO oder der IT?“
Sandra Aengenheyster: „Das macht sehr viel Sinn. Dafür braucht man allerdings auch Ressourcen. Am besten wird die Unternehmenskommunikation mit an Bord geholt beim Design einer Kampagne. Kampagnen dürfen sich auch nicht gegenseitig kannibalisieren. Es bedarf aber auch der Bereitschaft von Seite der Kommunikationsabteilung, sich mit diesem Thema auseinanderzusetzen, das ist leider nicht immer der Fall, da das Thema sehr speziell ist.“
Milena Thalmann: „Wir analysieren zunächst, was bereits kommuniziert wird. Und wo kann man sich da andocken. Gerade im Bereich Cybersecurity und im Bereich Verhaltensveränderung, da kann man sich an ganz viele Themen anhängen, ohne dass man da super auffällig sein muss. Das klassische Beispiel ist, dass Cybersecurity früher oder später zum Sales-Versprechen wird. Von diesem Punkt an habe ich bereits den ganzen Vertrieb und das ganze Produktmanagement hinter mir, wenn man sagen kann, damit habe ich ein Produktvorteil, einen Marktvorteil und das Kundenversprechen und damit habe ich schon die Marketingabteilung bei mir. Dann geht es in eine einheitliche Kommunikation, es geht von du sollst zu hin wir können. Plötzlich wird das alles positiv und für das Unternehmen interessant.“
Sandra Aengenheyster: „Spätestens beim Thema Krisenmanagement zahlt es sich aus, eine gute Beziehung zur Kommunikationsabteilung aufgebaut zu haben.“
Gibt es Unterschiede in den Generationen bezüglich der Ansprache?
Milena Thalmann: „Ja, absolut! Medium, Ansprache, Aufmerksamkeitsspanne, den Willen, sich damit auseinanderzusetzen. Wir haben zwei Generationen, die relativ naiv sind, das sind die Alten und die Jungen. Dazwischen ist die besorgte Generation. Das muss man ernst nehmen.“
Sandra Aengenheyster: „Meine Beobachtung ist, dass Menschen, die von Universitäten kommen, müssen die Art der Kommunikation in den Unternehmen erst erlernen. Das ist z.T. langsamer und andere Werkzeuge werden benutzt. Das kann aber auch ganz erfrischend sein. Die Art und Weise wie Berufsanfänger mit Kommunikation umgehen, prädestiniert sie als Corporate Influencer aufzutreten.“
Christine Deger: „Sind Führungskräfte immer das beste Vorbild, was Cybersecurity angeht?“
Milena Thalmann: „Cybersecurity in technologischer, aber auch prozessualer Sicht, stellt immer ein bisschen eine Hürde dar. Je höher der Stresspegel in einem Job ist, desto eher neigt man dazu, dass man (Sicherheits-)Barrieren gerne umgehen möchte. Deshalb verpassen Führungskräfte oft ihre Vorbildfunktion. Deshalb muss man Führungskräfte darauf aufmerksam machen, dass ihr Verhalten anders beobachtet wird und anders ausgelegt wird als das Verhalten anderer Mitarbeiter. Hier empfehle ich direkt mit den Leuten zu arbeiten, nicht über eine Kampagne, das Verhalten vor Augen führen und darauf Wert zu legen, dass das Thema sehr wichtig ist. Man sieht es auch an der Art der Angriffe, CEO-Fraud, CFO-Fraud gehen alle in diese Richtung.“
Sandra Aengenheyster: „Als Führungskraft kann man somit auch zum Ausdruck bringen, dass es einem wichtig ist, dass die Mitarbeiter keine Probleme bekommen und dass es nicht nur um die Sicherheit für die Firma geht. Das geht uns alle an, wir müssen zusammenhalten.“
Milena Thalmann: „In der Security-Kommunikation soll es um die Nachvollziehbarkeit gehen und dass man gemeinsam hinschaut, aber nicht darum, dass man jemanden sagt, du bist jetzt in der Alleinverantwortung und wenn du das E-Mail anklickst, dann hast du uns allen und dem Unternehmen Schaden zugefügt.“
Moderation:
Christine Deger
Gäste:
Sandra Aengenheyster, IT-Kommunikation
Milena Thalmann, Founder, White Rabbit Communication
Related Articles
Most Viewed
New rules, rising threats: why lean IT teams must rethink cyber-securitySponsored by CORO CYBER SECURITY
Don’t allow AI experiments to become quiet business risksSponsored by alice.io
The Expert View: Reducing cyber-risk across OT and critical infrastructureSponsored by Claroty
Winston House, 3rd Floor, Units 306-309, 2-4 Dollis Park, London, N3 1HF
23-29 Hendon Lane, London, N3 1RT
020 8349 4363
© 2025, Lyonsdown Limited. teiss® is a registered trademark of Lyonsdown Ltd. VAT registration number: 830519543