Jede Kette ist immer nur so stark wie ihr schwächstes Glied. In einer Kette aus Sicherheitsvorrichtungen ist der Mensch dieses Glied. Aufgabe eines Chief Information Security Officers (CISO) oder CSOs ist es daher, die Nutzer auf den verschiedenen Unternehmensebenen zu stärken. Michael Santarcangelo von der New Yorker Beraterfirma Security Catalyst erklärt auf unserer US-Schwesterpublikation cso.com, wie es geht.
Santarcangelos Botschaft lautet: Kommunikation ist alles, aber der CSO darf Tekkie bleiben. Der Berater hält nichts von Informatikern, die glauben, zu Entertainern mutieren zu müssen. Im Einzelnen schlägt Santarcangelo vor:
1. Immer an die Zielgruppe denken: Aus Sicht des Security-Chefs mag das, was er zu sagen hat, immer dasselbe sein. Egal ob er nun mit dem Vorstand redet oder dem End-User. Doch diese Haltung bringt keinen Erfolg. Der CSO muss verstehen, welches Anliegen der jeweilige Gesprächspartner hat, und entsprechend mit ihm kommunizieren.
Voraussetzung dafür ist, dass sich der CSO klar macht, was er von der jeweiligen Person will. Wenn er die Zustimmung zu Investitionen braucht, ist das etwas anderes, als wenn er möchte, dass ein Fachabteilungsleiter seinen Mitarbeitern bestimmte Verhaltens-Regeln vermittelt.
2. Einen Kontext herstellen: IT-Sicherheit kann trocken und abstrakt sein. Wer dennoch die Aufmerksamkeit seiner Adressaten haben will, muss die Dinge in einen Kontext stellen, den sie verstehen. Santarcangelos einfaches Beispiel: Analogien zu Sport oder Filmen ziehen.
Was Brad Pitt mit IT-Sicherheit zu tun hat
Möglicherweise hat der Berater dabei den Kassenschlager "Burn after reading" von den Coen-Brüdern im Hinterkopf gehabt. In dem Film muss Brad Pitt sterben, weil eine Sekretärin eine CD mit brisanten Daten mit nach Hause nehmen wollte. Diese CD verliert sie dann in ihrem Fitness-Studio, und so nimmt das Unheil seinen Lauf.
3. Üben, üben, üben: Der Consultant rät, jede Präsentation vorher noch einmal zu üben, selbst wenn der Sprecher sie schon mehrmals gezeigt hat. Gerade in Zeiten knapper Budgets ist ein präziser und flüssiger Vortrag wichtig.
4. Nicht wegen des Tekkie-Images sorgen: Santarcangelo betont, dass es bei allem Kommunizieren und Präsentieren nicht darum geht, ein perfekter Unterhalter zu sein. Wenn beim Sprechen "Ähms" und "Ähs" rausrutschen, ist das eben so. Man ist IT-Sicherheitsspezialist, und was zählt, ist die eigene fachliche Überzeugung. Wer weiß, was er fordert und warum, ist glaubwürdig.
5. Das eigene Auftreten überdenken: Wem im Rückblick einfällt, dass er in dieser oder jener Situation noch etwas hätte sagen sollen, der kann das nachholen. Santarcangelo plädiert klar für die Regel: Der Inhalt ist wichtiger als die Form. Es ist also kein Mangel, an einem bestimmten Punkt später noch einmal nachzuhaken.