9765335aba644ada806b8207c1f1aa1f

Wissen ist Nichts – Begreifen und Verstehen sind Alles

Mon, 05 Apr 2021 10:46:59 GMT

Warum Lerntools für einen echten Change nicht ausreichend sind

Dass man viel weiß, ist irrelevant, sagt der Hirnforscher Gerald Hüther in seinem Videobeitrag für younity . Denn während man früher in vordigitalem Zeitalter mit Wissen noch angeben konnte, sei dies heute unbegrenzt für jeden und überall abspeicher- und wieder aufrufbar. Etwas zu wissen, hat daher keine Bedeutung, weil es mit mir als Individuum nichts zu tun hätte. Daher ginge es im Rahmen unserer (Weiter-)Entwicklung stets darum, sich nicht Wissen anzueignen, sondern zu Erkenntnisgewinnen zu gelangen. Und selbst das Erkennen ist lediglich eine rein kognitive Leistung ohne tiefere Bedeutung, wenn kein Begreifen und darüber hinaus wiederum Verstehen erzeugt werden würde. Denn beim Begreifen kommt der Körper hinzu und so erhalten die Dinge, hat das Wissen, die bzw. das ich verstehen will, eine ganz andere Bedeutung, die viel mehr mit mir als Persönlichkeit zu tun haben als jedes kognitive Lernhäppchen.

E-Learning - das Gehirn sagt „Nein, danke!°"

Hüthers Bild vom Lernen ist wohl auch der Grund, warum E-Learning nur bedingt funktioniert, denn warum sollte unser Gehirn, das anstrebt möglichst wenig Energie zu verbrauchen, es darauf anlegen, das, was einem auf schönen bunten Folien präsentiert wird, zu begreifen und zu verstehen? „Das ist viel zu aufwändig. Es steht doch alles im WBT – warum also auswendig lernen und anwenden; ich kann ja später, wenn es ggf. darauf ankommt, immer nochmal in die Lerneinheit schauen wie in eine Gebrauchsanleitung." Das ist soweit richtig, nur schlecht für die Informationssicherheit, deren Bedrohungen uns in der Regel nicht die Zeit geben, für jedes Risiko ein Handbuch-Kapitel aufzuschlagen und nachzuarbeiten.

In unserem Awareness-Modell der drei Layer bildet Wissen die Basislinie, die weiter geführt wird vom Wollen und Können. Projiziert auf Hüthers Modell, wäre dem Wollen das Begreifen zugeordnet und dem Können das Verstehen. Tools, die wir kreieren, um Awareness zu generieren, sind vor allem Begreif- und Verstehens-Instrumente. Indem wir den Fokus auf Haptisches, Analoges, Persönliches, Diskursives, auf Involvement und Gemeinschaft setzen, heben wir Awareness vom Niveau des „Ich weiß, wo ich Informationen hierzu finde" auf ein „Ich weiß, was hier und jetzt zu tun ist". E-Learning-Tools gelingt dies nicht bei weitem.

Aus Nichts wird ein Bisschen

Dennoch würden auch wir auf Wissensvermittlung im Rahmen von Security Awareness-Kampagnen nicht verzichten wollen. E-Learning-Tools beziehen wir für die Kampagnen unserer Kunden, wenn sie nicht individuell von uns erstellt werde, über unseren Partner mybreev und deren Plattform Security Island . Hier ist das Hüther'sche „Nichts" wenigstens ein bisschen, ein paar Promille Awareness.

Das Bisschen, das Awareness-WBTs in der Lage zu leisten sind, basiert im Wesentlichen auf drei Funktionen:

Teaser und Begriffsklärungsumgebung für richtige Kampagnen mit haptischen Präsenztools, um das Begreifen zu fördern
KPI-Generator fürs Management
Quantitativer Nachweis bei gesetzlichen Vorgaben und Kundenanforderungen

Denn bis das Management, die Gesetzgeber, die Kunden und andere Hüther bzw. known_sense verstanden haben werden und in Bezug auf Sicherheitskommunikation so souverän agieren, dass sie auf rein Kognitives verzichten würden, werden Millionen von Sicherheitsvorfällen böse Schneisen durch die Unternehmen gezogen haben. Der Instant-Rückgriff auf WBTs ist daher nicht als Opportunismus, sondern als Minimal-Awareness im Sinne von Fast Food für Hungrige zu verstehen – in Zeiten der Pandemie, die kaum Präsenzmaßnahmen zulässt, um so mehr.

Mitarbeiter sind wie starke Bäume

Und um es mit Gerald Hüther zu sagen: einem Fohlen auf der Weide muss niemand sagen, was es braucht, um ein Pferd zu werden. Der Mensch mit dem Vorteil seines formbaren Hirns braucht jedoch die Begleitung, um zu erfahren, wie das Leben funktioniert. Das ist dann die Kehrseite der multioptionalen Formbarkeit. Dabei findet Hüther das Bild eines Baumes passend, einer, der frei und stark auf einer Wiese steht mit genügend Licht und Platz und ggf. noch Obst im Überfluss. Um im Security-Kontext einen solchen starken Baum zu schaffen, der allen Stürmen trotzt, braucht es eben auch mehr als Wissen. Wir arbeiten daran. Ständig. Denn Awareness ist auch die permanente Suche nach einem geeignetem, sichern Platz für all' die (teilweise noch zarten,) wachsenden „Bäume" in den Unternehmen, die Mitarbeiter und Mitarbeiterinnen, die zu sensibilisieren wir so lieben.

Awareness-Tool oder -Produkt – der Unterschied liegt im Detail

Sat, 06 Mar 2021 10:11:54 GMT

Warum Sensibilisierung prozessoffene Tools benötigt und keine faden Fertigprodukte

In der Fachliteratur sind Abhandlungen über die Unterschiede von Tools und Produkten rar gesät. Aus unserer Sicht werden Produkte wie kontrolltrunkene Phishing-Simulationen, langweilige Erklärfilmchen oder statische WBTs produziert, damit sie über einen Vertrieb in den Massenmarkt gedrückt, gekauft und entsprechend eines eng begrenzten Service-Versprechens angewandt werden können.

Tools hingegen sind objektgewordene Ideen bzw. Konzepte und nach individueller Adaption an Kulturen und Organisationssysteme bzw. dortige Implementierung fleischgewordene Kommunikations-Booster. Produkte sind Staubsauger für Quantitätsteppiche in Form von u. a. Anwendungen, Zugriffe, etc. Als Er-Zeugnisse bezeugen sie mehr oder weniger – Kontexte wie Kultur u. ä. Bedingungen sind in der Regel Außen vor – das ihnen zugeschriebene Wirkungsversprechen und übersetzen es in kalte KPIs. Aber „viel“ ist nicht gleich „besser“.

Während der Wert von Produkten sich weitgehend über Zahlen bemisst, ist für die Anwendung von Tools Kooperation und Kommunikation auf Augenhöhe zwischen den Entwicklern und Anwendern Voraussetzung. known_sense kreiert Tools, keine Produkte. Tools die von Kommunikations- bzw.- Security-Professionals gemeinsam mit uns nach ihren Vorstellungen agil in ihren Organisationen zum Zuge kommen. Tools sind Werkzeuge, die nach den jeweils notwendigen Bedarfen und Kompetenzen eingesetzt werden; außerdem Ausgangspunkte für Prozesse der Verbesserungen! Produkte sind hingegen bereits das Ziel, in dessen Frame sich jeder Prozess einzurahmen hat.

Tools als Beschleuniger der Entwicklungsleistung

Da wir Awareness als eine Entwicklungsleistung betrachten, kommen bei uns überwiegend Tools zum Zuge und Produkte nur in Ausnahmefällen, nämlich dort, wo Quantifizierung als eine existenzielle Notwendigkeit betrachtet wird. Die Lernstationen der Security Arena sind z. B. Tools, da sie aufgrund ihrer prozessoffenen, modularen Struktur Moderatoren mit unterschiedlichen Kommunikationsskills und verschiedenem Sicherheits-Know-how – vom Security-Profi bis zum HR-Trainee – erlauben, auf der Bühne der Arena als Vermittler von Awareness zu glänzen.

Das Angst-Dilemma in der Awareness

Mon, 01 Mar 2021 09:55:20 GMT

Unternehmen nutzen das Schüren von Angst immer noch dazu, Mitarbeiter auf Security einzuschwören

Es ist zugegebenermaßen sehr schwierig, Informationssicherheitsthemen zu kommunizieren, ohne auf die zahlreichen Risiken oder andere Security-Szenarien mit negativer Konnotation zu verweisen. Bedrohungsnarrative oder Erzählungen mit potenziell schlimmen Ausgängen werden beinahe reflexiv von allen Organisationen ihren Awareness-Kampagnen vorangestellt, um die Notwendigkeit von Maßnahmen zu begründen. Der Hirnforscher Gerald Hüther sagt, dass Angst die wirksamste Strategie sei, um Menschen gefügig zu machen und argumentiert, dass Einflussnahme in jeder Gemeinschaft, quasi beginnend mit der dem Lernen der Schule, eine zweifelhafte Instrumentalisierung darstellen würde, bei der Angst der Durchsetzung jeweils eigener Ziele und Absichten dient. Selbst Lern-Motivation gehöre bereits in die affirmative Strategie von Machtgewinn und -erhalt.

Durch das Bedürfnis, Teil einer Gemeinschaft zu sein, nehmen wir die meisten von uns die Unterdrückung hin und erreichen dennoch nie das Ziel, werden durch die Instrumentalisierung, Manipulation und Ängste selbst zu einsamen Einzelkämpfern, die in Ihrer Verzweiflung des Scheiterns ihre selbstbezogenen Vorstellungen verwirklichen wollen, indem sie Macht über andere erlangen. So schaffen wir eine Gesellschaft von Angstmachern und Unterdrückten. Dies ginge sogar soweit, dass die Angstmacher die natürlich vorhandene Resilienz ihrer Opfer bewusst schwächen. In der Security wird dies sichtbar in Organisationen, in denen man den Mitarbeitern die Kompetenz abspricht, sich selbst zu schützen und sich so technisch bzw. prozessual aufrüstet, dass aus Notwehr der Opfer Delegation wird und man sich selbst nicht mehr kompetent und daher auch verantwortlich dafür fühlt, die eigene Organisation zu schützen. Hüther sagt auch: „Je lebensuntüchtiger ein Mensch durch die ständige Nutzung Sicherheit suggerierender Gerätschaften und Hilfsmittel geworden ist, desto leichter lässt er sich durch die Ankündigung einer bevorstehenden Bedrohung in Angst und Schrecken versetzen (Wege aus der Angst, S. 78/79) .

Schuld, Scham und Angst – das Security-Dreigestirn des Horrors

Gerade in der Security Awareness setzen wir gerne Geschichten um Fehlleistungen bzw. mögliche Folgen von Vorfällen ein, z. B. dass die Existenz eines Unternehmens bedroht ist, wenn man vertrauliche Informationen preisgibt oder dass man Opfer von Erpressern wird und seine komplette Datenidentität aufs Spiel setzt, sobald man E-Mails von unbekannten Absendern öffnet, die ggf. Ransomware oder andere Schadsoftware enthalten. Auch Awareness-Videos, Erklärfilmchen oder andere Sensibilisierungs-Narrative arbeiten häufig in diese Richtung. So gesehen, ist auch der Einsatz von z. B. einer Phishing-Simulation ein typischer Angstmacher. Und Probanden unserer tiefenpsychologischer Studien haben uns erzählt, dass selbst die Meldung eines Vorfalls, z. B. im Kontext Social Engineering, eine Meldung, die eigentlich produktiv auf die Resilienz von Organisationen einzahlen sollte, nicht nur Schuld und Scham bei ihnen auslöst, sondern eben auch angstbesetzt sei. Die meisten Unternehmen behaupten lediglich, dass sie in Bezug auf Awareness nicht mit dem Zeigefinger agieren. In Wirklichkeit ist ihnen gar nicht bewusst, wie sehr sie das Angstsystem der Unterdrückung bereits verinnerlicht haben.

Vom Teppichhändler zum Streetworker

Aber was können wir als Awareness-Streetworker, die nicht nur Fertigprodukte in den Markt drücken wollen, um Sensibilsierung wie Teppiche zu verticken, tun, um uns von den Angstmachern abzugrenzen und die leidvolle Kette der Angst zu unterbrechen? Schaffen wir es überhaupt, auf Darstellung von Risiken zu verzichten, um unsere Maßnahmen nachvollziehbar zu erklären und zu begründen? Ich würde sagen, nein, das geht vermutlich nicht. Schon die Weltreligionen sind daran gescheitert, die Angst der Menschen, die ihnen folgen, zu beschwichtigen. Im Gegenteil! Aber wir können uns von Maßnahme zu Maßnahme, von Kampagne zu Kampagne bewusster machen, was die Aufrechterhaltung von Angstbildern mit Menschen anstellt – und genauso, wie es ein Prozess ist, sich Klimaschutz und Tierwohl und damit verbundene, notwendige Veränderungen Stück für Stück bewusster zu machen, sollten wir ab und an raustreten aus dem Angstmacher-Hamsterad und uns auf eine Metaebene begeben, von der aus wir in den Diskurs mit der Zielgruppe, den Mitarbeitern, gehen, um genau das Dilemma, das ich hier beschreibe, zu diskutieren.

„Wer Angst schürt, zerstört langfristig genau das, was er dadurch aufrechtzuerhalten versucht."

Awareness braucht das Prinzip „Talking Security“ – entlang dieses Dilemmas umso mehr. Außerdem ist selbstbestimmtes Arbeiten eh ein großes Thema – beschleunigt durch die Home Office-Kultur infolge der COVID-19-Pandemie. Statt sog. ‚innovative‘ Apps der internen Kommunikation einzuführen, um die Menschen bei der „Heimarbeit“ wieder einmal zu kontrollieren, sollten wir mit ihnen diskutieren, wie Arbeit 2030 aussehen könnte und wie wir trotz zunehmender Digitalisierung und damit verknüpfter Risiken Informationssicherheit gewährleisten können, am besten gemeinsam und ohne Angst. Dafür braucht es starke Sicherheitsbilder jenseits von Kapuzenträgern und anderer düsterer Angstmacherei, produktive Bilder, die auf die Benefits von sicherem Verhalten einzahlen und eben den Austausch auf Augenhöhe gewährleisten – wieder mal frei nach dem bekannten Awareness-Motto „Wir haben keine Chance – also nutzen wir sie.“ Oder um es mit Gerald Hüther zu sagen: „Wer Angst schürt, zerstört langfristig genau das, was er dadurch aufrechtzuerhalten versucht."

Achtsamkeitstraining reduziert Stolperfallen

Sun, 28 Feb 2021 10:08:36 GMT

Arbeitssicherheit bei RWE setzt auf das Einüben von Aufmerksamkeit

Vielleicht haben Sie sich bereits mit unserem methodischen Framework beschäftigt, bei an dem drei Layer beteiligt sind, die für Didaktik, Marketing und systemische Kommunikation stehen. Zuletzt haben wir, basierend auf eigenen Erfahrungen mit dem Thema Achtsamkeit, MBSR als Service unter dem Titel „Mindfulness Based Secure Reaction“ in unseren Framework-Layer 3 integriert.

Mit unserem MBSR-Training wird die mentale Fähigkeit adressiert, die auf das eigene Wirken im Kontext Security gerichtete Aufmerksamkeit ohne Vergessen bzw. Ablenkung aufrechtzuerhalten. Damit ist Achtsamkeit die Fähigkeit, die bemerkt, dass Ablenkung stattgefunden hat mit der Folge, dass Aufmerksamkeit wieder aktiv hergestellt werden kann. Dies ist die Voraussetzung für jegliche praktische Anwendung im Kontext Awareness.

Mindfulness – wie Fischsauce in einem vietnamesischen Nudelgericht

Wenn man Awareness mit einem vietnamesischem Nudelgericht vergleichen würde, könnte man diese Logik auf ein Bild bringen, dass Mindfulness die Fischsauce jedes Awareness-Projektes darstellt, die erst für die notwendige geschmackliche Tiefe sorgt, während z. B. eine Phishing-Simulation Petersilie wäre – man kann sie am Ende drüber streuen, man kann sie aber auch weglassen, ohne dass es jemand bemerken würde (frei nach der romantischen Hollywood-Komödie von 1991, „Frankie & Johnny" (mit Michelle Pfeiffer und Al Pacino als Koch). Wenn Sie gerne asiatisch kochen (oder zumindest bewusst essen), werden Sie mir zustimmen, dass ohne Fischsauce keine kulinarische Authentizität möglich ist. Im übrigen: wenn schon Fischsauce, dann würze ich natürlich mit der grandiosen Red Boat, auch wenn sie fast so teuer ist wie Gold. Aber dies nur nebenher.

Award für Betriebliches Gesundheitsmanagement

Zurück zu Corporate Mindfulness. Bei SAP, Daimler u. e m. gab es bereits seit einigen Jahren herausragende Beispiele für die betriebliche Anwendung von Achtsamkeit. Mit der RWE AG ist nun ein Corporate Health Management für vorbildliches Betriebliches Gesundheitsmanagement (BGM) mit dem renommierten Corporate Health Award in der Branche Energiewirtschaft ausgezeichnet worden, bei der vor allem Achtsamkeit einen nachweislich hohen Nutzen im Kontext Sicherheit erbracht hat. Bernhard Hoffmann, bei RWE Leiter Arbeitssicherheit und Gesundheitsschutz, lobt explizit das Projekt „Mit dem Kopf bei der Sache“, bei dem durch ein spezielles Trainingskonzept insbesondere die Achtsamkeit für Stolperunfälle in RWE-Betrieben erhöht und Unfallraten gesenkt werden konnten: „In Kraftwerken finden sich naturgemäß viele Stolperfallen. Die lassen sich nicht völlig beseitigen. Doch wir können dafür sorgen, dass diese Gefahren besser wahrgenommen werden.“ So lernten Mitarbeiter der RWE Power 2019 in speziellen Workshops, Risiken besser zu erkennen und zu vermeiden. Aufgrund seines Erfolgs soll das Achtsamkeits-Projekt künftig in allen Betrieben der RWE ausgerollt zu werden.

Inkohärenz und Verletzlichkeitsparadox – die besten Argumente pro Awareness

183:853254980 (Dietmar Pokoyski) — Sat, 27 Feb 2021 11:48:36 GMT

Nur wer nicht 100%ig abdichtet, kann auf Security Awareness zählen

Sie erinnern sich vielleicht an unsere Goldenen Regeln im Kontext Social Engineering? Wenn wir – bei unserem Gegenüber kognitiv oder rein intuitiv, d. h. über unser Bauchgefühl – die drei Kommunikationslayer, die verbal-informellen, die nonverbalen oder aber die paraverbalen, als inkongruent wahrnehmen, stimmt etwas nicht mit unserem Gesprächspartnern. Zum Beispiel wenn sich jemand selbstsicher gibt und dabei nervös mit dem Fuß zappelt. Dies kann – muss aber nicht – ein Hinweis darauf sein, dass die Motive des Gegenübers andere sind, als die, die er oder sie vordergründig darzustellen versucht. Wir empfehlen dann, vor allem wenn es sich beim Gegenüber um eine/n Fremde/n handelt, besonders aufmerksam zuzuhören – und zwar mit allen „Ohren“, auch mit dem, durch das unser Bauch „hört“.

Wege aus der Angst führen zu Entwicklungssprüngen

Aus „Wege aus der Angst“ (Vandenhoeck & Ruprecht) , dem neuen Buch des Hirnforschers Gerald Hüther, vielleicht der einzige Neurobiologe, dem ich traue, weil er als einer der wenigen in der Lage ist, durchdringend über den Tellerrand seiner Kerndisziplin zu blicken, habe ich gelernt, dass wir Menschen selber Inkohärenz brauchen, um uns zu entwickeln. Wir lernen nur dann etwas hinzu, wenn unser Zustand von Kohärenz, die unser Gehirn zwar anstrebt, weil es dann weniger Energie verbraucht, erschüttert wird. Erst wenn die „Harmonie“ unserer Existenz aus dem Gleichgewicht gerät, z. B. durch Angst, die auch Angriffe oder Fehlleistungen impliziert, findet eine (Rück-)Verwandlung in einen weniger energieaufwändigen Zustand statt. Nur durch diesen „Kniff“ sind wir in der Lage, aus Fehlern zu lernen, diese aufgrund unserer Kompetenz, die wir mit zunehmender Risiken und damit verbundener Fehlerhäufigkeit herausbilden, korrigieren zu können.

Für die Sicherheitskultur bedeutet dies, dass die Mitarbeiter einer „gut“ geschützten Organisation didaktisch auf Sparflamme agieren und gegebenenfalls bei Zuspitzung von Risiken aus sich heraus weniger reaktionsschnell mit Korrekturen reagieren können als solche, die häufiger oder ständig im Fokus von Cyberangriffen stehen oder infolge risikoreicher Tätigkeiten regelmäßiger mit eigenen Fehlleistungen konfrontiert sind.

Verletzlichkeitsparadox als Trigger für Awareness

Wenn man in diesem Kontext noch das Verletzlichkeitsparadox betrachtet – d. h. je „besser" eine Organisation geschützt ist, desto verwundbarer ist sie im Falle eines Incident, umso mehr drängen die Geschützen, die sich durch Sicherheitsmaßnahmen ggf. stillgelegt fühlen, darauf „auszubrechen" – ergibt sich aus der Addition beider hier betrachteter Phänomene das vielleicht beste Argument für Security Awareness in Abgrenzung zur Überhöhung einer Abdichtungsphilosophie aus der klassischen, technisch oder prozessual orientierten IT-Security. Denn durch das Verletzlichkeitsparadox verschärfen sich die Vorfall- und Schadens-Risiken, weil es sich sozialpsychologisch unmittelbar auf Informationssicherheit auswirkt. Das heißt: Die Risiken erhöhen sich auch dadurch, dass das Verhalten von Menschen, die an Schutz und Sicherheit gewöhnt sind, durch den wachsenden Anspruch, die Sicherheit delegieren und eben Schutz durch Dritte erwarten zu können. Gleichsam sinkt die Motivation, selbst aktiv zu werden und z. B. am Schutz von Informationen selbst aktiv mitzuwirken.

Wie man es auch dreht: Inkohärenz und Verletzlichkeitsparadox sind die extradisziplinären Belege dafür, dass 100%ige Sicherheit nicht möglich ist und auch nicht angestrebt werden sollte. Der Mensch ist die Lücke im System, jedoch eine notwendige, eine lebende und daher selbstlernende Lücke, um aus ihr heraus am Ende mehr Sicherheit statt weniger erzielen zu können.