Kommunikation und Sicherheits-Evangelismus

Sie können perfekte Richtlinien und großartige Tools haben, aber wenn sich niemand um Sicherheit kümmert, haben Sie nichts erreicht. Die wichtigste Aufgabe des Security Champions ist nicht technischer Natur — es ist Kommunikation. Dafür sorgen, dass Menschen verstehen, warum Sicherheit wichtig ist, sie im Bewusstsein zu halten und Skeptiker in Verbündete zu verwandeln.

Dieses Kapitel behandelt, wie man über Sicherheit kommuniziert, sodass es tatsächlich wirkt: Geschichten statt Vorlesungen erzählen, Kanäle schaffen, in denen sich Sicherheit zugänglich anfühlt, regelmäßige Kontaktpunkte durchführen, zu denen Menschen gerne kommen, und Gamification einsetzen, um gutes Verhalten lohnend zu machen.

Warum Sicherheitskommunikation scheitert

Die meiste Sicherheitskommunikation ist schrecklich. Hier ist der Grund:

Sie ist langweilig. „Denken Sie daran, starke Passwörter zu verwenden" hat die gleiche Wirkung wie „Vorsicht: Inhalt kann heiß sein." Menschen schalten sofort ab.

Sie ist moralisierend. „Sie MÜSSEN diese Regeln befolgen" erzeugt Widerstand. Erwachsene lassen sich nicht gerne belehren.

Sie ist beängstigend. Ständige Warnungen vor Hackern und Datenpannen erzeugen Angst oder, schlimmer, erlernte Hilflosigkeit. „Wir sind sowieso verloren, wozu die Mühe?"

Sie ist irrelevant. Generischer Sicherheitsrat verbindet sich nicht mit dem, was Menschen tatsächlich tun. Einen Designer interessiert SQL-Injection nicht.

Sie ist einseitig. Newsletter, die niemand liest, obligatorische Schulungen, an die sich niemand erinnert, Richtlinien, auf die niemand verweist.

Sie ist unsichtbar. Sicherheit taucht nur auf, wenn etwas schiefgeht. Keine positiven Kontaktpunkte.

Das Ziel ist nicht, jeden paranoid zu machen. Es geht darum, Sicherheit wie einen normalen Teil der Arbeit wirken zu lassen — wie Code-Reviews oder Datei-Backups. Etwas, das Menschen tun, weil es sinnvoll ist, nicht weil sie gezwungen werden.

Grundsätze effektiver Sicherheitskommunikation

Mit Geschichten führen, nicht mit Regeln

Menschen erinnern sich an Geschichten. Statistiken und Aufzählungspunkte vergessen wir.

BAD: "Phishing attacks increased 65% last year. Always verify sender identity."

GOOD: "Last month, an employee at a company like ours clicked a link in an email 
    that looked exactly like a DocuSign notification. Three hours later, 
    attackers had downloaded their entire customer database. The email 
    was from 'docusign-notifications.com' — one letter different from real."

Wo man Geschichten findet:

• Sicherheitsnachrichten (Krebs on Security, Bleeping Computer, The Record)
• Branchenspezifische Einbrüche (Ihre Wettbewerber, ähnliche Unternehmen)
• Ihre eigenen Beinahe-Vorfälle (anonymisiert)
• Writeups von Sicherheitsforschern

Es für ihre Arbeit relevant machen

Verschiedene Rollen kümmern sich um verschiedene Dinge. Passen Sie Ihre Botschaft an.

Zielgruppe	Was sie kümmert	Wie Sicherheit zu rahmen ist
Entwickler	Codequalität, schnell liefern	„Sicherer Code ist qualitativ hochwertiger Code. Probleme früh zu erkennen bedeutet weniger Notfall-Patches."
Vertrieb	Deals abschließen, Kundenvertrauen	„Sicherheitsfragebögen sind Teil von Enterprise-Deals. Gute Sicherheit = Wettbewerbsvorteil."
Support	Kunden helfen, Eskalationen vermeiden	„Kontoübernahmen zu erkennen rettet Kunden vor Betrug und bewahrt Sie vor wütenden Anrufen."
Finanzen	Geld, Compliance, Audit	„Gute Sicherheitshygiene bedeutet reibungslosere Audits und niedrigere Versicherungsprämien."
Führungskräfte	Risiko, Reputation, Recht	„Eine Datenpanne kann jahrelange Markenbildung zunichte machen. Das ist Geschäftskontinuität."

Kurz und häufig halten

Lange Sicherheits-E-Mails werden überflogen. Monatliche Newsletter werden ignoriert. Besserer Ansatz:

• Kurz und häufig schlägt lang und gelegentlich — 2-Minuten-Lektüre wöchentlich > 20-Minuten-Lektüre monatlich
• Eine Botschaft pro Kommunikation — Nicht 5 Tipps bündeln; auf eine umsetzbare Sache fokussieren
• Wichtige Botschaften wiederholen — Menschen müssen Dinge 7+ Mal hören, bevor sie haften bleiben

Zeigen, nicht erzählen

Statt abstrakte Risiken zu erklären, demonstrieren Sie sie:

• Live-Phishing-Demo — Zeigen, wie einfach es ist, eine überzeugende gefälschte Login-Seite zu erstellen
• Passwort-Cracking-Demo — Schwache Passwörter live cracken (dauert Sekunden)
• OSINT-Demo — Zeigen, was öffentlich über Ihr Unternehmen verfügbar ist
• Echte Einbruchs-Timeline — Durchgehen, wie ein tatsächlicher Angriff sich entfaltet hat

Gutes Verhalten feiern

Die meiste Sicherheitskommunikation handelt davon, was man NICHT tun soll. Drehen Sie das um:

• Personen anerkennen, die verdächtige E-Mails melden
• Dem Entwickler danken, der eine Schwachstelle im Code-Review gefunden hat
• Das Team feiern, das 100 % MFA-Adoption erreicht hat
• Die Person hervorheben, die „Ist das sicher?" gefragt hat, bevor sie geklickt hat

Interne Kommunikationskanäle

Dedizierte Räume schaffen, in denen Sicherheit diskutiert, nicht nur angekündigt wird.

Slack/Teams-Sicherheitskanäle

#security-alerts — Sicherheitsvorfälle, dringende Warnungen, obligatorische Aktionen. Geringes Volumen, hohes Signal. Jeder sollte beitreten und Benachrichtigungen aktivieren.

#security-questions — Alles zu Sicherheit fragen. Keine dummen Fragen, schnelle Antworten. Security Champion überwacht aktiv.

#security-news — Interessante Einbrüche, Schwachstellen, Artikel. Leichte Diskussion, lernfokussiert. Optional, aber empfohlen.

#phishing-reports — Verdächtige E-Mails hier melden. Security Champion bestätigt real/gefälscht. Erstellt eine sichtbare Aufzeichnung von Bedrohungen.

Kanäle effektiv machen:

1. Schnell antworten — Wenn jemand eine Frage stellt und 3 Tage wartet, wird er nicht wieder fragen
2. Nie beschämen — „Gute Frage!" auch wenn sie grundlegend ist
3. Kontext teilen — Wenn man über eine Schwachstelle warnt, erklären, warum sie für Ihren Stack wichtig ist
4. Threads verwenden — Diskussionen organisiert halten
5. Wichtiges anheften — Richtlinien, Vorfallreaktionsverfahren, wichtige Kontakte

Phishing-Melde-Workflow

Einen einfachen Workflow zur Meldung verdächtiger E-Mails erstellen:

## How to Report Suspicious Emails

1. **Don't click any links or open attachments**
2. **Forward the email to:** [email protected] (or post in #phishing-reports)
3. **Include:** "Is this legit?" in subject
4. **We'll respond within 2 hours** during business hours

### What happens next:
- We analyze the email
- We'll tell you if it's safe or not
- If it's a real phish, we'll alert the company
- You'll get credit for catching it

Ergebnisse verfolgen und teilen:

Weekly phishing stats (last 7 days):
- Phishing emails reported: 12
- Confirmed threats blocked: 4
- People who reported: Sarah ⭐, Marcus, Priya ⭐⭐, James
- Close call: Fake DocuSign caught before anyone clicked

Thanks for staying vigilant!

Sicherheits-Newsletter

Ein regelmäßiger Newsletter hält Sicherheit sichtbar, ohne lästig zu sein. Der Schlüssel ist, ihn zu etwas zu machen, das Menschen wirklich lesen wollen.

Newsletter-Struktur

# Security Digest — [Month Year]

## This month's highlight
[One story in 3-4 paragraphs — could be a breach, a near-miss, 
a cool thing someone did, or a new threat]

## Quick tip
[One actionable thing, 2-3 sentences max]

## What we fixed
[Brief summary of security improvements made — shows progress]

## Shout-outs
[Recognize people who reported issues, completed training, etc.]

## Upcoming
[Security office hours, training sessions, policy updates]

## Ask me anything
[Reminder that questions are welcome + how to reach Security Champion]

Beispiel-Newsletter

# Security Digest — January 2025

## This month's highlight: The $100K lesson

A company in our industry lost $100,000 last month to a business email 
compromise attack. Here's how it happened:

An attacker compromised an employee's email account (weak password, no MFA). 
They spent two weeks reading emails, learning the company's processes and 
communication style. Then they sent an email from the employee's actual 
account to the finance team, requesting an urgent wire transfer to a "new 
vendor." The email referenced real projects and used the employee's normal 
writing style.

Finance followed their usual process... which didn't include verifying 
large transfers by phone. By the time anyone noticed, the money was gone.

**What saved us from this:** We require MFA on all accounts, and our 
finance team has a policy of calling to verify any transfer over $5,000.

---

## Quick tip: Lock your screen

Windows: Win + L
Mac: Cmd + Ctrl + Q (or close the lid)

Do this every time you step away, even for a minute. It takes 10 seconds 
to plug in a USB device or peek at your screen.

---

## What we fixed this month

- Enabled phishing-resistant MFA for all admin accounts
- Deployed new endpoint detection on all laptops
- Closed 3 vulnerabilities found in our Q4 security scan
- Updated our incident response plan with lessons from the tabletop exercise

---

## Shout-outs

- **Priya (Engineering)** — Caught a real phishing email targeting our 
  DocuSign process and reported it within minutes. This was a targeted 
  attack, not spam.
- **Marcus (Support)** — Noticed unusual login activity on a customer's 
  account and escalated before the customer even knew.
- **Everyone on the Sales team** — 100% completion on the Q4 security training!

---

## Upcoming

- **Security office hours:** Every Thursday 3-4pm in #security-questions
- **Phishing simulation:** Coming in February (keep it quiet)
- **New password policy:** Rolling out next week — same requirements, 
  better enforcement

---

## Got questions?

Reply to this email or ping me in #security-questions. No question is 
too basic. Seriously — I'd rather answer 100 "dumb" questions than miss 
one real incident.

— [Your name], Security Champion

Newsletter-Best-Practices

Tun	Nicht tun
Unter 5-Minuten-Lektüre halten	Essays schreiben, die niemand beendet
Echte Geschichten einbeziehen	Generischen Sicherheitsrat verwenden
Bestimmte Personen anerkennen	An alle ohne Personalisierung senden
Zeigen, was Sie erreicht haben	Nur über Bedrohungen sprechen
Konsistent halten (gleicher Tag/Woche)	Sporadisch senden
Eine klare Aktion einbeziehen	Mit 10 Tipps überfordern
Wie ein Mensch schreiben	Wie ein Compliance-Dokument klingen

Engagement verfolgen

Analytics Ihres E-Mail-Tools verwenden:

• Öffnungsrate (Ziel: 50 %+)
• Klickrate auf Links (Engagieren sich Menschen?)
• Generierte Antworten/Fragen

Wenn niemand liest, Format ändern. Kürzer versuchen, lustiger versuchen, anderen Zeitpunkt versuchen. Menschen fragen, was sie nützlich finden würden.

Security Champions Hour

Ein regelmäßiges Meeting, bei dem Sicherheit offen diskutiert wird. Keine Vorlesung — ein Gespräch.

Formatoptionen

Format	Dauer	Häufigkeit	Geeignet für
Sprechstunden	1 Stunde	Wöchentlich	Kurzfristige Fragen, geringes Engagement
Brown Bag	30–45 Min.	Monatlich	Präsentationen, Demos, Lernen
Sicherheits-Standup	15 Min.	Wöchentlich	Schnelle Updates, Team-Integration
Tabletop-Übung	1–2 Stunden	Vierteljährlich	Vorfallreaktions-Praxis

Effektive Sprechstunden durchführen

Setup:

• Jede Woche dieselbe Zeit (Konsistenz ist wichtig)
• Dedizierter Video-Call-Link oder Raum
• In Slack, Kalender und Newsletter beworben
• Security Champion nimmt immer teil

Struktur:

0:00-0:05  Quick update (anything urgent, new policies, upcoming changes)
0:05-0:55  Open Q&A (whatever people want to discuss)
0:55-1:00  Wrap-up, preview of next week

Wenn niemand kommt:

• Zeit nutzen, um sichtbar an Sicherheitsaufgaben zu arbeiten
• In Slack posten: „Sprechstunden offen — ruhige Woche, daher arbeite ich an X"
• Irgendwann werden Menschen kommen; Konsistenz ist der Schlüssel
• Mit etwas anderem kombinieren (Kaffeegespräch, Mittagessen)

Teilnahme aufbauen:

• Bestimmte Personen einladen, die möglicherweise Fragen haben
• Interessante Themen anteasern („Ich demonstriere Passwort-Cracking, wenn jemand neugierig ist")
• Snacks mitbringen, wenn in Person
• Wirklich optional machen — kein schlechtes Gewissen für Abwesenheit

Monatliche Sicherheits-Brown-Bags

Tiefere Einblicke in spezifische Themen. Abwechseln zwischen:

Präsentationsthemen:

• Wie ein kürzlicher Einbruch passiert ist (externes Unternehmen)
• Demo eines Sicherheits-Tools
• Tiefeneinblick in eine Richtlinie (warum wir sie haben, wie man sie befolgt)
• „Ich habe versucht, uns zu hacken" — Ergebnisse interner Tests
• Gastredner (Anbieter, Sicherheitsteam eines größeren Unternehmens, externer Experte)

Interaktive Sitzungen:

• Phishing-Simulations-Nachbesprechung (nach Durchführung einer Simulation)
• Tabletop-Übung (Vorfallreaktions-Praxis)
• „Finde die Schwachstelle" — Code-Review-Challenge
• Sicherheitsquiz mit Preisen
• „Fragen Sie mich alles" — Offene Fragen

Beispiel-Tagesordnung:

# Security Brown Bag — February 2025

## Topic: How Attackers Use LinkedIn to Target Us

### What we'll cover (30 min)
- How attackers gather info from LinkedIn profiles
- Real examples of targeted phishing using LinkedIn data
- What you can do to reduce your exposure
- Live demo: I'll show how I'd craft a phishing email using public info

### Q&A (15 min)
Open discussion

### Attendance
Optional but encouraged. Recording available for those who can't make it.

### Pizza provided

Gamification und Belohnungen

Gutes Sicherheitsverhalten sichtbar und lohnend machen. Das ist keine Manipulation — es ist positive Verstärkung.

Was zu belohnen ist

Verhalten	Warum belohnen	Belohnungsstufe
Phishing melden	Fördert Wachsamkeit, liefert Bedrohungsdaten	Klein (öffentliche Danksagung)
Schwachstelle im Code-Review finden	Probleme vor Produktion erkennen	Mittel (Anerkennung + kleiner Preis)
Optionale Sicherheitsschulung abschließen	Zeigt Initiative	Klein (Badge, Hervorhebung)
100 % Team-MFA-Adoption	Gruppenverantwortlichkeit funktioniert	Mittel (Team-Mittagessen)
Echtes Sicherheitsproblem melden	Kritisch für Früherkennung	Groß (bedeutungsvolle Anerkennung)
CTF oder Sicherheits-Challenge gewinnen	Baut Fähigkeiten auf, schafft Begeisterung	Mittel-Groß (Preis, Konferenzticket)

Belohnungsideen nach Budget

0 € (nur Anerkennung):

• Öffentliche Hervorhebung in Slack, Newsletter, All-Hands
• Titel „Security MVP" des Monats
• Vorrang bei interessanten Sicherheitsprojekten
• Profil-Badge oder Slack-Emoji
• Dankesnotiz der Unternehmensführung

Kleines Budget (10–50 €):

• Gutscheine (Kaffee, Amazon)
• Mittagessen mit dem Security Champion
• Sicherheitsthema-Merchandise (Sticker, T-Shirts)
• Buch nach Wahl
• Zusätzlicher Urlaubstag (wenn Unternehmensführung zustimmt)

Mittleres Budget (50–200 €):

• Konferenzticket (lokale Sicherheits-Meetups)
• Schulungskurs (Pluralsight, Udemy)
• Bessere Sicherheitshardware (YubiKey, Datenschutz-Bildschirm)
• Team-Mittagessen oder Happy Hour

Hohes Budget (200 €+):

• Große Konferenzteilnahme (DEF CON, RSA)
• Sicherheitszertifizierungs-Kurs
• Spende an Wohltätigkeitsorganisation nach Wahl
• Neuester Laptop/Hardware-Upgrade

Bestenlisten und Punkte

Manche Teams reagieren gut auf Wettbewerb; andere finden ihn nervig. Ihre Kultur kennen.

Wenn Ihr Team wettbewerbsorientiert ist:

Security Leaderboard — Q1 2025

1. Priya (Engineering)     — 450 pts
2. Marcus (Support)        — 380 pts  
3. Sarah (Product)         — 350 pts
4. James (Sales)           — 275 pts
5. Everyone else           — Time to catch up!

Points this quarter:
- Report phishing: 10 pts
- Complete training: 50 pts
- Find vulnerability: 100 pts
- Win security challenge: 150 pts
- Mentor colleague: 75 pts

Wenn Ihr Team nicht wettbewerbsorientiert ist:

• Bestenlisten überspringen, Kollektivziele fokussieren
• „Wir haben dieses Quartal 47 Phishing-Versuche blockiert — Danke an alle"
• Team-Leistungen über individuelle Rankings feiern

Sicherheits-Challenges

Periodische Challenges, die Sicherheit interaktiv machen:

Monatliche Challenges:

Monat	Challenge	Preis
Januar	3 verdächtige E-Mails melden	Sicherheits-Merchandise
Februar	Neue Phishing-Schulung abschließen	Frühzeitiger Zugang zu etwas
März	An Tabletop-Übung teilnehmen	Team-Mittagessen
April	Tippfehler/Problem in unseren Richtlinien finden	Buch nach Wahl
Mai	MFA auf persönlichen Konten aktivieren	25 € Gutschein
Juni	Passwortmanager-Setup abschließen	Passwortmanager Premium

CTF (Capture The Flag)-Events:

Interne CTF-Wettbewerbe durchführen:

• Plattformen wie CTFd, PicoCTF oder OWASP Juice Shop verwenden
• Teams von 2–3 Personen
• 2–4-Stunden-Events
• Schwierigkeitsstufen mischen, damit jeder teilnehmen kann
• Preise für Top-Teams, Teilnahmepreise für alle

Mit Sicherheits-Erschöpfung umgehen

Zu viel Sicherheitskommunikation verursacht Erschöpfung. Auf Anzeichen achten:

Symptome:

• Niedrige Newsletter-Öffnungsraten
• Niemand besucht Sprechstunden
• Zynische Reaktionen auf Sicherheitsthemen
• „Schon wieder eine Sicherheitssache"
• Compliance ohne Verständnis

Ursachen:

• Zu viel Kommunikation
• Irrelevante Inhalte
• Keine sichtbaren Ergebnisse aus dem Aufwand
• Nur Warnungen, keine Positives
• Mangel an Autonomie („Tun Sie einfach das")

Lösungen:

Problem	Lösung
Informationsüberflutung	Häufigkeit reduzieren, Qualität erhöhen
Irrelevante Inhalte	Nach Rolle segmentieren, personalisieren
Nur düstere Nachrichten	Balance zwischen Bedrohungen und Erfolgen und Anerkennung
Langweilige Präsentation	Geschichten, Demos, Humor hinzufügen
Keine Feedback-Schleife	Fragen, was Menschen wollen, tatsächlich reagieren

Zeichen, dass es funktioniert

• Menschen stellen proaktiv Sicherheitsfragen
• Phishing-Meldungen nehmen zu (sie bemerken es!)
• Freiwillige Teilnahme an optionalen Sitzungen
• Sicherheit wird in Gesprächen erwähnt, an denen Sie nicht teilnehmen
• Neue Mitarbeiter fragen: „Wo ist die Sicherheitsschulung?"
• Führungskräfte beziehen Sicherheit in Entscheidungen ein

Häufige Fehler

1. Mit Menschen reden statt mit ihnen — Gespräch schlägt Vorlesung
2. Nur in Krisen kommunizieren — Regelmäßige positive Kontaktpunkte sind wichtig
3. Generische Unternehmenssprache — Wie ein Mensch für Ihr tatsächliches Team schreiben
4. Sofortige Verhaltensänderung erwarten — Kulturwandel dauert Monate
5. Fehler öffentlich bestrafen — Menschen hören auf zu melden, wenn sie Scham fürchten
6. Inputs statt Outcomes messen — „Wir haben 12 E-Mails gesendet" vs. „Phishing-Klicks sanken um 40 %"
7. Security Champion als einzige Stimme — Verbündete rekrutieren, Last teilen
8. Nicht iterieren — Was funktioniert, ändert sich; weiter experimentieren
9. Feedback ignorieren — Wenn Menschen sagen, es ist zu viel, glauben Sie ihnen
10. Alles obligatorisch machen — Optionales Engagement schafft echtes Buy-in

Workshop: Ihr Sicherheitskommunikationsprogramm starten

Teil 1: Kanäle einrichten (1 Stunde)

1. Slack/Teams-Kanäle erstellen:

   • #security-alerts (jeder tritt bei)
   • #security-questions (jeder tritt bei)
   • #phishing-reports (jeder tritt bei)
   • #security-news (optional)

2. Kanalbeschreibungen und angeheftete Beiträge schreiben:

   • Zweck jedes Kanals
   • Wie man Phishing meldet
   • Link zum Vorfallreaktionsverfahren
   • Kontaktinfos des Security Champions

3. Kanäle ankündigen:

   • Im Haupt-Unternehmenskanal posten
   • In das nächste All-Hands einbeziehen
   • Zum Onboarding neuer Mitarbeiter hinzufügen

Teil 2: Ersten Newsletter erstellen (1–2 Stunden)

1. Inhalte sammeln:

   • Eine gute Sicherheitsgeschichte aus dem letzten Monat finden
   • Gemachte Sicherheitsverbesserungen auflisten
   • Eine Person zur Anerkennung identifizieren
   • Einen Schnelltipp auswählen

2. Newsletter schreiben:

   • Die bereitgestellte Vorlage verwenden
   • Unter 500 Wörter halten
   • Einen klaren Call-to-Action einbeziehen
   • Die Betreffzeile interessant gestalten

3. Senden und verfolgen:

   • Für konsistente Zeit planen (z. B. erster Dienstag des Monats)
   • Öffnungsrate verfolgen
   • Antworten oder Fragen notieren

Teil 3: Security Champions Hour planen (30 Minuten)

1. Eine Zeit wählen:

   • Kalender auf Konflikte prüfen
   • Zeitzonen bei Remote-Teams berücksichtigen
   • Donnerstagnachmittag funktioniert oft gut

2. Wiederkehrendes Meeting einrichten:

   • 30–60 Minuten
   • Wöchentlich oder zweiwöchentlich
   • Immer zur gleichen Zeit

3. Bewerben:

   • Zum Unternehmenskalender hinzufügen
   • Im Newsletter erwähnen
   • Anfangs bestimmte Personen einladen
   • Vor jeder Sitzung Erinnerung in Slack posten

Zu produzierende Artefakte

Nach diesem Workshop sollten Sie haben:

• Sicherheits-Slack/Teams-Kanäle erstellt und angekündigt
• Kanalbeschreibungen und angeheftete Beiträge
• Erster Newsletter-Entwurf bereit zum Senden
• Newsletter-Vorlage für zukünftige Monate
• Security Champions Hour im Kalender
• Phishing-Melde-Workflow dokumentiert
• Mindestens ein Gamification-Element geplant

Selbstcheck-Fragen

1. Warum funktionieren Geschichten besser als Statistiken für Sicherheitskommunikation?
2. Was sind die drei wesentlichen Slack-Kanäle für Sicherheitskommunikation?
3. Wie oft sollten Sie einen Sicherheits-Newsletter senden?
4. Was ist der Unterschied zwischen Sprechstunden und Brown-Bag-Sitzungen?
5. Wann sollten Sie KEINE Gamification oder Bestenlisten verwenden?
6. Was sind Zeichen von Sicherheits-Erschöpfung in Ihrem Team?
7. Warum ist es wichtig, gutes Sicherheitsverhalten zu feiern?
8. Wie gehen Sie damit um, wenn niemand zu Sprechstunden kommt?
9. Was sollten Sie verfolgen, um zu wissen, ob Ihre Kommunikation funktioniert?
10. Warum sollte Sicherheitskommunikation nach Rolle personalisiert werden?

Gespräch mit der Unternehmensführung

Das Pitch: „Technische Kontrollen reichen nicht aus — Menschen müssen Sicherheit verstehen und sich darum kümmern. Ich möchte regelmäßige Kommunikationskanäle einrichten: einen monatlichen Newsletter, wöchentliche Sprechstunden und einen Weg, gutes Verhalten anzuerkennen. Das schafft eine Kultur, in der Sicherheit die Verantwortung aller ist."

Was Sie benötigen:

• 2–3 Stunden pro Woche für Kommunikationsaktivitäten
• Kleines Budget für Anerkennung (100–300 € pro Quartal für Gutscheine)
• Slot im Unternehmens-All-Hands gelegentlich
• Beteiligung der Unternehmensführung (Newsletter weiterleiten, einmal zu Sprechstunden kommen)

Der ROI:

• Schnellere Phishing-Erkennung (in Minuten statt Stunden gemessen)
• Weniger Sicherheitsvorfälle durch Mitarbeiterfehler
• Bessere Antworten auf Sicherheitsfragebögen (Auswirkung auf den Vertriebszyklus)
• Niedrigere Schulungskosten (engagiertes Lernen vs. Compliance-Schulung)

Zu verfolgende Metriken:

• Newsletter-Öffnungsraten
• Phishing-Melde-Häufigkeit
• Sprechstunden-Teilnahme
• Sicherheitsfragen-Volumen in Slack
• Phishing-Simulations-Klickraten (sollten abnehmen)

Fazit

Menschen können nicht das Richtige tun, wenn sie nicht wissen, was es ist. Kommunikation ist die halbe Arbeit. Die andere Hälfte ist, das Richtige leicht genug zu machen, dass sie nicht daran erinnert werden müssen.

Was kommt als nächstes

Weiter: Mit Vorfällen umgehen und Lehren ziehen — wie man Vorfälle handhabt, wenn sie passieren, und sie in dauerhafte Verbesserungen umwandelt.