Es ist zugegebenermaßen sehr schwierig, Informationssicherheitsthemen zu kommunizieren, ohne auf die zahlreichen Risiken oder andere Security-Szenarien mit negativer Konnotation zu verweisen. Bedrohungsnarrative oder Erzählungen mit potenziell schlimmen Ausgängen werden beinahe reflexiv von allen Organisationen ihren Awareness-Kampagnen vorangestellt, um die Notwendigkeit von Maßnahmen zu begründen. Der Hirnforscher Gerald Hüther sagt, dass Angst die wirksamste Strategie sei, um Menschen gefügig zu machen und argumentiert, dass Einflussnahme in jeder Gemeinschaft, quasi beginnend mit der dem Lernen der Schule, eine zweifelhafte Instrumentalisierung darstellen würde, bei der Angst der Durchsetzung jeweils eigener Ziele und Absichten dient. Selbst Lern-Motivation gehöre bereits in die affirmative Strategie von Machtgewinn und -erhalt.

Durch das Bedürfnis, Teil einer Gemeinschaft zu sein, nehmen wir die meisten von uns die Unterdrückung hin und erreichen dennoch nie das Ziel, werden durch die Instrumentalisierung, Manipulation und Ängste selbst zu einsamen Einzelkämpfern, die in Ihrer Verzweiflung des Scheiterns ihre selbstbezogenen Vorstellungen verwirklichen wollen, indem sie Macht über andere erlangen. So schaffen wir eine Gesellschaft von Angstmachern und Unterdrückten. Dies ginge sogar soweit, dass die Angstmacher die natürlich vorhandene Resilienz ihrer Opfer bewusst schwächen. In der Security wird dies sichtbar in Organisationen, in denen man den Mitarbeitern die Kompetenz abspricht, sich selbst zu schützen und sich so technisch bzw. prozessual aufrüstet, dass aus Notwehr der Opfer Delegation wird und man sich selbst nicht mehr kompetent und daher auch verantwortlich dafür fühlt, die eigene Organisation zu schützen. Hüther sagt auch: „Je lebensuntüchtiger ein Mensch durch die ständige Nutzung Sicherheit suggerierender Gerätschaften und Hilfsmittel geworden ist, desto leichter lässt er sich durch die Ankündigung einer bevorstehenden Bedrohung in Angst und Schrecken versetzen (Wege aus der Angst, S. 78/79).

Schuld, Scham und Angst – das Security-Dreigestirn des Horrors

Gerade in der Security Awareness setzen wir gerne Geschichten um Fehlleistungen bzw. mögliche Folgen von Vorfällen ein, z. B. dass die Existenz eines Unternehmens bedroht ist, wenn man vertrauliche Informationen preisgibt oder dass man Opfer von Erpressern wird und seine komplette Datenidentität aufs Spiel setzt, sobald man E-Mails von unbekannten Absendern öffnet, die ggf. Ransomware oder andere Schadsoftware enthalten. Auch Awareness-Videos, Erklärfilmchen oder andere Sensibilisierungs-Narrative arbeiten häufig in diese Richtung. So gesehen, ist auch der Einsatz von z. B. einer Phishing-Simulation ein typischer Angstmacher. Und Probanden unserer tiefenpsychologischer Studien haben uns erzählt, dass selbst die Meldung eines Vorfalls, z. B. im Kontext Social Engineering, eine Meldung, die eigentlich produktiv auf die Resilienz von Organisationen einzahlen sollte, nicht nur Schuld und Scham bei ihnen auslöst, sondern eben auch angstbesetzt sei. Die meisten Unternehmen behaupten lediglich, dass sie in Bezug auf Awareness nicht mit dem Zeigefinger agieren. In Wirklichkeit ist ihnen gar nicht bewusst, wie sehr sie das Angstsystem der Unterdrückung bereits verinnerlicht haben.

Vom Teppichhändler zum Streetworker

Aber was können wir als Awareness-Streetworker, die nicht nur Fertigprodukte in den Markt drücken wollen, um Sensibilsierung wie Teppiche zu verticken, tun, um uns von den Angstmachern abzugrenzen und die leidvolle Kette der Angst zu unterbrechen? Schaffen wir es überhaupt, auf Darstellung von Risiken  zu verzichten, um unsere Maßnahmen nachvollziehbar zu erklären und zu begründen? Ich würde sagen, nein, das geht vermutlich nicht. Schon die Weltreligionen sind daran gescheitert, die Angst der Menschen, die ihnen folgen, zu beschwichtigen. Im Gegenteil! Aber wir können uns von Maßnahme zu Maßnahme, von Kampagne zu Kampagne bewusster machen, was die Aufrechterhaltung von Angstbildern mit Menschen anstellt – und genauso, wie es ein Prozess ist, sich Klimaschutz und Tierwohl und damit verbundene, notwendige Veränderungen Stück für Stück bewusster zu machen, sollten wir ab und an raustreten aus dem Angstmacher-Hamsterad und uns auf eine Metaebene begeben, von der aus wir in den Diskurs mit der Zielgruppe, den Mitarbeitern, gehen, um genau das Dilemma, das ich hier beschreibe, zu diskutieren.

„Wer Angst schürt, zerstört langfristig genau das, was er dadurch aufrechtzuerhalten versucht."

Awareness braucht das Prinzip „Talking Security“ – entlang dieses Dilemmas umso mehr. Außerdem ist selbstbestimmtes Arbeiten eh ein großes Thema – beschleunigt durch die Home Office-Kultur infolge der COVID-19-Pandemie. Statt sog. ‚innovative‘ Apps der internen Kommunikation einzuführen, um die Menschen bei der „Heimarbeit“ wieder einmal zu kontrollieren, sollten wir mit ihnen diskutieren, wie Arbeit 2030 aussehen könnte und wie wir trotz zunehmender Digitalisierung und damit verknüpfter Risiken Informationssicherheit gewährleisten können, am besten gemeinsam und ohne Angst. Dafür braucht es starke Sicherheitsbilder jenseits von Kapuzenträgern und anderer düsterer Angstmacherei, produktive Bilder, die auf die Benefits von sicherem Verhalten einzahlen und eben den Austausch auf Augenhöhe gewährleisten – wieder mal frei nach dem bekannten Awareness-Motto „Wir haben keine Chance – also nutzen wir sie.“ Oder um es mit Gerald Hüther zu sagen: „Wer Angst schürt, zerstört langfristig genau das, was er dadurch aufrechtzuerhalten versucht."