Anforderungen an interdisziplinärer Krisenkommunikation im IT-Security-Umfeld
In Krisensituationen bleibt oft nicht viel Zeit, um über den Inhalt und die Art der notwendigen Kommunikation nachzudenken. Andererseits muss diese Kommunikation schnellstmöglich von allen Betroffenen verstanden werden. Es ist also ratsam, sich im Voraus Gedanken darüber zu machen, wie im Fall einer Krise kommuniziert werden soll.
Unser heutiger Gesprächspartner, Dr. Volker Baier, beschäftigt sich mit der Kommunikation im Umfeld von IT-Sicherheit, ein Gebiet, bei dem Krisenkommunikation allzu oft notwendig ist, bei dem aber erfolgreiche Kommunikation «im Vorfeld» von entscheidender Bedeutung ist. Schliesslich sollen Krisen gar nicht erst entstehen.
Dr. Volker Baier hat Erfahrungen auf diesen Gebieten gesammelt, zum Beispiel durch seine Tätigkeit als CISO (Chief Information Security Officer) beim TÜV SÜD und als Mitarbeiter im Team des Group CISOs der Allianz SE, der DCSO GmbH und des globalen Allianz Cyber Defense Centers.
In seinen Funktionen befand er sich oft in interdisziplinären Teams, in denen Kommunikation auch unter massiven Stressbedingungen einer IT-Sicherheitskrise funktionieren musste. Dort müssen in kürzester Zeit die Techniker den Topmanagern, Juristen, Presseabteilungen und anderen die Auswirkungen eines «Einbruchs» von Hackern klarmachen. Die Techniker müssen wiederum verstehen, was die geschäftlichen, juristischen und kommunikativen Auswirkungen eines solchen Einbruchs sind, und wo sie die grössten Anstrengungen unternehmen müssen. In allen grossen Unternehmen, insbesondere in stark regulierten Bereichen wie Banken und Versicherungen, werden solche Krisensituationen und die dafür vorgesehenen Prozesse von entsprechenden Krisenstäben eingeübt – einschliesslich der Erzeugung hoher Stresspegel. Dabei wird natürlich auch die Kommunikationsfähigkeit der Mitglieder solcher Krisenstäbe eingeübt und überprüft.
Dr. Baier fiel dabei oft die Rolle des Mittelsmannes zu, sowohl in Krisensituationen, aber auch beim Auf- und Umbau von Sicherheitsstrukturen in Unternehmen. Unter Mittelmann versteht Dr. Volker Baier die Fähigkeit Probleme und Anforderungen für unterschiedliche Gesprächspartner verständlich zu kommunizieren. Das hilft natürlich auch, wenn es um die Freigabe von Mitteln für seine technischen Projekte durch entsprechende Entscheidungsträger geht, wie er schmunzelnd feststellt.
Er analysiert zunächst den Erfahrungshorizont und den Kommunikationsstil seines Gesprächspartners, um sicherzustellen, dass er die richtige Sprache wählt. Er achtet darauf, keinen Fachjargon zu benutzen und passt seine Kommunikation so an, dass beispielsweise Juristen, IT-Verantwortliche, Business-Units, Vorstände oder interne Kommunikation ein Problem und seine Auswirkungen für Kunden und das Unternehmen erkennen und verstehen.
«Diversität der Kommunikationsinhalte»
«Eine meiner wichtigsten Aufgaben ist das Wissen über die aktuelle Bedrohungslandschaft und die möglichen Technologien zur Verteidigung des Unternehmensvermögens zusammenzutragen. Als CISO muss ich dann mit allen Beteiligten und Unternehmensvorständen kommunizieren und diese Bedrohungen in einen Geschäftskontext stellen. Zudem müssen die Mitarbeitenden für das Thema Sicherheit sensibilisiert werden und in Schulungen richtige Verhaltensweisen einüben. Dazu muss die Kommunikation über Sicherheitsrisiken und ihre technischen, juristischen und geschäftlichen Folgen mit allen Mitarbeitenden funktionieren», stellt Baier fest.
«Als IT-Security Verantwortlicher benötigt man also auch juristisches Wissen und betriebswirtschaftliche Kenntnisse. Die Geschäftsleitung erwartet eine klare Aussage über den «Return of Security Investment». Gleichzeitig muss ein CISO in der Lage sein, Verträge auf Herz und Nieren zu prüfen, um Sicherheitsrisiken und ihre vertraglichen Folgen abschätzen zu können. Natürlich muss das unternehmensweit entwickelte Sicherheitsprogramm für alle Anwender verständlich und nachvollziehbar sein», erklärt Baier.
«Wirtschaftsschutz»
«Zur Verdeutlichung der Situation zum Thema Wirtschaftsschutz möchte ich auf eine Bitcom-Studie von November 2019 hinweisen. Darin berichtet Bitcom, dass kriminelle Attacken auf Unternehmen in Deutschland Rekordschäden verursachen. Der jährliche Gesamtschaden in der deutschen Wirtschaft, verursacht durch Sabotage, Datendiebstahl oder Spionage, betrug 102,9 Milliarden Euro (Inklusive analoge und digitale Angriffe),» erklärt Baier und fügt hinzu: «Die aktuellen Zahlen für die Zeit während der Pandemie, in der das Home-Office zum regulären Arbeitsplatz geworden ist, geben Veranlassung zur Sorge. Die Diversifizierung der Arbeitsplätze und Netzwerke öffnen neue Kanäle «ins Herz» der Unternehmens-IT, die Angreifer nutzen können.»
«Krisenkommunikation in interdisziplinären Teams»
«Das Unternehmen vor einem Cyberangriff zu schützen, heisst auch, für den Krisenfall vorbereitet zu sein. Deshalb werden Mitarbeitende aus den verschiedensten Unternehmensbereichen in der Handhabung von Krisensituationen, beispielsweise bei einer Ransomware-Attacke geschult. In solchen Schulungen werden mehrere Szenarien durchgespielt», erläutert Baier.
«Am Tisch sitzen beispielsweise Mitarbeitende der Rechtsabteilung, der internen Unternehmenskommunikation, IT-Datenexperten, IT- Sicherheitsexperten genauso wie das LKA und die BaFin. ALLE müssen das Problem verstehen. Dann müssen alle Beteiligten eine genaue Vorstellung davon haben, was zu tun ist. Wer darf mit wem kommunizieren, welche Informationen dürfen, sollen und müssen kommuniziert werden, welche Konsequenzen hat dies für die Kunden, etc.», erklärt Baier.
«Während der Simulation des Krisenfalls wird die Taktung erhöht. Die Teilnehmer werden einem immer höher werden Stress ausgesetzt, um ihre Reaktion darauf zu messen. In einer solchen Situation bekommt die Kommunikation einen immer wichtigeren Stellenwert», sagt Baier.
«Voraussetzung zum Verstehen von menschlicher Kommunikation»
«Der Erfolg einer solch heterogenen Gruppe erfordert neben Fachwissen und dem Wissen über Prozesse und Vorgehensweisen auch Wissen über kognitive Vorgänge, wie sie in den kognitiven Neurowissenschaften erforscht werden. Nicht alles, was wir «faktisch und objektiv» zu kommunizieren glauben, kommt auch so bei unseren Gesprächspartnern an. Wir müssen uns zumindest dessen bewusst sein, besser noch ein Verständnis kognitiver Vorgänge haben. Das entsprechende Wissen geht weit über die Grenzen einer normalen Ausbildung im IT-Security Umfeld hinaus. Das MIT (Massachusetts Institute of Technology) bietet hierzu einen Akademischen Studiengang zum Thema «Sensoric Interaction in Biological and Technological Systems» an,» erläutert Baier.
«Plädoyer für grössere Wissensvielfalt in Unternehmen»
«Meine interdisziplinäre Ausbildung* in kognitiven Neurowissenschaften, die Aspekte aus Philosophie, Psychologie, Neuroanatomie und Informatik umfasste, und meine Teilnahme am CoTeSys Cluster of Excellence** erlauben und erleichtern mir eine interdisziplinäre Herangehensweise. Fachübergreifendes Wissen, beispielsweise in den oben genannten Disziplinen oder in Philosophie findet sich leider zu wenig in den Unternehmen. Das enge Spezialistentum wird daher in interdisziplinären Teams scheitern, da kein interdiszipliniertes Denken wegen fehlender Erfahrung möglich ist und somit keine einheitliche Kommunikationsebene geschaffen werden kann», sagt Baier.
«Sprache und Information»
«Ich wünsche mir, dass man sich an den entscheidenden Stellen in Unternehmen darüber bewusst wird, dass wir den Herausforderungen im Bereich der Unternehmenssicherheit nur dann gewachsen sind, wenn wir die Schaffung einer gemeinsamen Sprache und Wissensbasis über die Disziplinen hinweg angehen und dies auch durch Kommunikationstrainingsprogramme aktiv fördern. Denn in Krisensituation sich erst in der Gruppe finden zu müssen erzeugt Missverständnisse, langsame Problemlösung und im schlimmsten Fall Panik,» endet Baier.
Wir danken Dr. Volker Baier für das interessante Gespräch und für die Einblicke, die er uns gewährt hat.
Das Interview führten Hans-Josef Jeanrond und Ursula Moonen.
Sie interessieren sich für unseren nächsten Interviewpartner? Nehmen Sie Kontakt mit uns auf, senden Sie uns eine E-Mail. Wir freuen uns!
*Weitere Ausbildungen von Dr. Baier
** CoTeSys war ein Bundesexcellenzcluster im Bereich Kognition in biologischen und technischen Systemen der TU München, LMU München, Universität der Bundeswehr München, DLR und dem Max-Planck-Institut für Neurobiologie.
Ziel des Forschungscluster war es Kognitive Fähigkeiten des Menschen, oder Tieren auf technische Systeme wie Roboter und intelligenten Fabriken zu übertragen um die Stärken biologischer sensorischer Systeme mit denen technologischer zu kombinieren.