Anne Lahner
Dipl.-Wirt.-Inf. (FH), Sicherheitsberaterin
Was macht
Strong Minds?
Strong Minds erarbeitet passgenau für Ihr Haus eine strategisch ausgerichtete Security Awareness Kampagne. Basierend auf Ihren Werten, Leitlinien und vor allem Ihren IT-Policys. Neben Regelwerken und Vorgaben stellen wir aber Ihre Beschäftigten in den Vordergrund, denn hier soll Security Awareness wirken und ihre volle Kraft entfalten. Wir wollen Ihre Sicherheitskultur auf Kurs bringen und die User dahin, Risiken zu erkennen, richtig einzuschätzen und angemessen darauf zu reagieren. Und wenn Ihre Leute daran auch noch ein bisschen Freude haben – dann haben wir einen guten Job gemacht.
Informationssicherheit leicht verständlich auf den Punkt gebracht, für Ihre Anwenderinnen und Anwender. Das ist unsere Mission! Strong minds for strong businesses.
100e
Vorträge
1000e
Sensibilisierte Nutzer
VIELe
Ideen im Kopf
Warum Security
Awareness
Vielleicht führen Sie gerade ein Informationsmanagementsystem (ISMS) nach ISO27001 oder BSI Grundschutz ein und müssen durch’s Audit. Oder Sie haben festgestellt, dass die Anwenderinnen und Anwender kein ausgeprägtes Bewusstsein für Informationssicherheit haben und digital eher sorglos unterwegs sind. Was auch immer Ihr Antrieb ist, wir begleiten Sie dabei.
Benutzer sehen das Internet als einen Ort, an dem sie Freunde treffen und mit Kollegen zusammenarbeiten können. Keine Internetkriminalität, sie handeln digital nachlässig.
Was Sie bei uns
bekommen.
1
Die für Sie passende Kampagne – verspielt oder seriös – Ihre Entscheidung
Individualität – bei uns ist keine Kampagne wie die andere
3
Methodisches Vorgehen – statt Leuchtturm Politik
Vorhandenes wertschätzen und nicht alles neu erfinden
5
Viele Jahre Erfahrung aus dem IT Security Awareness Umfeld
Produktunabhängigkeit – wir suchen das beste am Markt aus – wenn Sie es brauchen
Wie wir
vorgehen
Auf jeden Fall mit Plan und Struktur! Wir kommen zu Ihnen. Um Sie und Ihr Haus kennenzulernen. In diesem Workshop arbeiten wir mit Ihnen gemeinsam an der Strategie. Wir moderieren das durchgängig, so dass an alle relevanten Punkte gedacht ist und wir einen guten Ausgangspunkt für einen ersten Konzeptentwurf haben. Das Konzept ist das Kernstück einer Kampagne und erfordert sorgfältiges und abgestimmtes Vorgehen.
Außerdem erhalten Sie einen Einblick in andere erfolgreiche Kampagnen. Mit vielen Beispielen für umgesetzte Maßnahmen. Als Inspiration. Und um mal zu sehen, was geht.
Wie wir nicht
vorgehen
Wir haben keine eigenen Produkte, die wir Ihnen aufschwatzen müssen. Stattdessen schauen wir lieber, was es an guten Sachen am Markt gibt und was sich gut in Ihre Kampagne integrieren lässt. Und was wir auch tatsächlich brauchen.
Langweilige Textwüsten sind bei uns ebenfalls Fehlanzeige. Sie bekommen frische verständliche Sprache zum Gernlesen. Gibt Ihr Hausduktus das nicht her, können wir auch ganz sachlich und seriös.
Alles „abnicken“ bekommen Sie auch nicht. Eine lebhafte Diskussion, um das bestmögliche Ergebnis für Ihre Kampagne und Ihren Erfolg zu erzielen ist immer gut. Wir verstehen uns als Berater auf Augenhöhe und lassen Sie von unserer Erfahrung in anderen Projekten profitieren. Auch wenn Sie natürlich am Ende das letzte Wort haben.
IT-Security Awareness
Wenn Sie noch nach Gründen suchen, warum Security Awareness für Ihre Leute wichtig ist, dann schauen Sie mal, ob Ihnen die ein oder andere Aussage auch aus Ihrer Belegschaft kommen könnte:
Was manche Anwender/innen denken:
– Das ist gar nicht mein Thema! Das macht bei uns die IT-Abteilung.
– Auf Phishing o. ä. falle ich nicht rein – ich kenn mich da gut aus.
– Ich hab echt anderes zu tun. Ich kann mich nicht auch noch um Informationssicherheit kümmern.
– Informationssicherheit ist technisch und sehr komplex – das verstehe ich sowieso nicht.
– Ich habe nichts zu verheimlichen.
– Bei mir ist nichts zu holen.
– Ich bin in unbedeutender Position tätig, Hacker würden eher die Management-Ebene angreifen.
– Wir haben gute technische Maßnahmen, die uns vor Angriffen schützen.
Spätestens dann ist es Zeit für Security Awareness.
Wir verstehen Ihre IT Abteilung und wir verstehen Ihre Leute. Dazwischen sind wir die Schnittstelle, die es braucht, um Informationssicherheit in die Köpfe zu bringen. Mit außergewöhnlichen Aktionen, aber strategisch durchdacht. Langjährige Erfahrungen mit Security Awareness Kampagnen in Behörden und Unternehmen, national und international fließt in jedes Projekt ein. Und unser Anspruch: keine Kampagne ist wie die andere. Und dann darf es gern kreativ werden. Bunt oder gamifiziert. Mit Quizzes, Schnitzeljagden oder Kantinenaktionen. Wir kennen keine Grenze.
Wir machen nicht nur bunte Bildchen und Prospekte – das können Sie bei jeder Marketing Agentur einkaufen. Wir erarbeiten mit Ihnen Ihren ganz individuellen Security Awareness Bedarf. Einer der nur für Sie und Ihr Haus passt. Und wir schauen uns die Sicherheitskultur an. Denn das ist das Kernstück einer Kampagne, das wir gestalten und formen müssen. Aber auch Ihre sicherheitstechnischen Voraussetzungen sind ein Thema. Welche Werkzeuge gibt es, um Ihre User bestmöglich mit geeigneter Technik zu unterstützen und ihnen Lösungen für Sicherheitsprobleme anzubieten. Und wie belastbar und verständlich sind Ihre Policys. Was wissen die Mitarbeitenden schon, wo gibt es Nachholbedarf. Klingt nach harter Arbeit? Ist auch so! Da gehen wir gemeinsam mit Ihnen durch.
Eine komplette Kampagne besteht aus 4 Teilen:
– Konzeptphase
– Vorbereitung
– Roll-out/Umsetzung
– Justierung
Wenn Sie mögen, kann man auch noch Awareness Messungen durchführen. Auch das ist Teil unserer Beratung.
Sie können uns für die Konzeptphase beauftragen. Diese besteht aus 2 Workshops bei Ihnen vor Ort. Im ersten Workshop erarbeiten wir methodisch die Zielgruppen, Themen, Kommunikationskanäle. Außerdem für uns ein wichtiger Termin, um Sie und Ihr Haus kennenzulernen. Ein Gespür für die Kultur bei Ihnen zu bekommen. Und von Ihnen zu lernen, was es an Aktionen schon gab oder was an Kommunikationsmaßnahmen bei Ihren Leuten gar nicht ankommt. Bei dieser Besprechung können gern die Projektbeteiligten anwesend sein. So ist es oft sinnvoll, die Kommunikationsabteilung einzuladen – stets eine wertvolle Quelle für uns und bei der Umsetzung arbeiten wir ja sowieso eng zusammen. Nach dem ersten Termin erarbeiten wir ein Grobkonzept für Sie. Vielleicht haben wir im Workshop sogar schon erste Maßnahmen festgelegt. An dem Punkt wissen wir auch, in welche Richtung die Kommunikation gehen kann – Sind Ihre Beschäftigten eher die „Leser“ oder die „Gamer“? Auf der Basis entwickeln wir die Aktionen. Und stets mit Ihren Inhalten und Policys im Hinterkopf. Das Grobkonzept erhalten Sie vor dem zweiten Termin und können es eingehend studieren und kommentieren. Beim zweiten Workshop wird das Grobkonzept präsentiert und die Maßnahmen verabschiedet bzw. Änderungswünsche festgelegt. Im Nachgang wird dann ein Feinkonzept erstellt. Dies beinhaltet dann alle Maßnahmen, die Zeitplanung und das Budget. Für die Konzeptphase brauchen wir erfahrungsgemäß einen Auftragsumfang von 8 – 10 Tagen. Mit dem fertigen Konzept in den Händen können Sie dann direkt loslegen mit den Vorbereitungen. Gern begleiten wir Sie bei der Umsetzung und dem Roll-out und erarbeiten mit Ihnen z. B. Texte für’s Intranet oder Inhalte für eine Quiz-App oder was auch immer an Aktionen geplant ist.
Wir sind der Meinung, das Konzept und die Strategie dahinter verdienen das höchste Augenmerk. Nur wenn alles durchdacht ist, Aktionen miteinander verbunden sind, bewährtes bestehen bleibt und integriert wird, kann eine Kampagne gelingen. Das ist für uns der wichtigste Teil des Projektes. Hier arbeiten wir Ihre wunden Punkte heraus, die es anzugehen gilt. Sie haben mit unserem Konzept einen Fahrplan, mit dem Sie direkt in die Umsetzung starten können und dieses als Basis für die kommenden Jahre nehmen. Aber die Basisarbeit muss erstmal sorgfältig gemacht werden.
Neben den Maßnahmen enthält das Konzept auch eine Kosten- und Aufwandsplanung, damit Sie das Budget planen können. Neben etwaigen Beratungskosten sowie einer Preisgestaltung für Produktion (z. B. Print, Give aways, Spiele) schätzen wir ebenfalls die zeitlichen Aufwände, die auf Ihrer Seite entstehen, denn ohne Sie geht es nicht.
Zudem bauen wir alles modular auf. So können Sie einzelne Maßnahmen verschieben oder vorziehen, wenn z. B. ein Vorfall im Haus oder in der Presse war, der das geplante Thema behandelt. Nicht zuletzt kann auch Budget-Knappheit dazu führen, dass etwas verschoben oder gestrichen werden muss. Wissen wir. Ist ganz normal. Aber die Kampagne soll ja trotzdem noch funktionieren.
Natürlich eine Zeitplanung, wie das Ganze bei Ihnen über einen definierten Zeitraum aussehen kann. Erfahrungsgemäß ist eine Planung über 2 – 3 Jahre optimal. Aber das definieren Sie! Wenn Sie nur 4 Wochen haben, kriegen wir das auch hin. Die Vorgabe darf gern von Ihnen kommen. Das gilt auch für das Budget: von Guerilla bis high sophisticated können wir Ihnen alles konzipieren. Und ein „nachher kostet alles extra“ lässt sich vermeiden – unsere langjährige Erfahrung zeigt, dass man Projekte auch im Budget halten kann, auch wenn es unterjährig Änderungen gibt. Die gibt es immer. Und das ist auch gut, denn wir unterstützen Sie mit einer flexiblen Anpassung an Gegebenheiten, prüfen und justieren laufend.
Das Konzept ist dann auch gut geeignet, dieses z. B. Führungskräften zu präsentieren oder in Budgetverhandlungen als Basis zu nehmen.
Eine Philosophiefragen. Wir diskutieren mit Ihnen ausführlich, ob eine Messung sinnvoll ist und welche Aussagekraft diese hat. Grundsätzlich ist es nicht einfach, weiche Faktoren zu messen. Aber es geht. Je nachdem, was Sie brauchen oder ob es für die Erfolgsmessung zwingend notwendig ist, lassen sich Messungen in verschiedenen Ausprägungen durchführen. Wir zeigen Ihnen die Möglichkeiten, aber auch die Grenzen auf und finden mit Ihnen das geeignete Produkt. Und manches kann man sogar auch selbst inhouse machen, um den Wirkungsgrad der Kampagne zu erfahren oder einen Ausgangspunkt zu haben, gegen den man am Ende der Maßnahmen prüfen kann.
Eigentlich geht schon gar keine Kampagne mehr ohne gamifizierte Elemente. Weg vom Lernen durch Lesen oder Hören, sondern Inhalte spielerisch erlernbar machen. Immer mehr junge Mitarbeitende kommen ins Unternehmen, die Wissen auf andere Art konsumieren, als es viele ältere noch tun. Hinzu kommt die Spaltung in der Belegschaft: die einen halten es für Zeitverschwendung, die anderen finden es super und haben viel Freude daran. Hier muss man genau hinschauen, was für das jeweilige Haus passend ist und wie man Spiele in die Kampagne integrieren kann. Denn sie können sehr wohl ein wertvoller Beitrag sein und die Aktionen anreichern mit einem gewissen Spaßfaktor. Denn das Ziel soll ja sein, dass Informationssicherheit positiv wahrgenommen wird – und da kann es durchaus dienlich sein. Aber es muss auch klar sein, dass Gamification kein Wundermittel ist, dass alles heilen kann und mit ein paar Spielen sind Ihre Beschäftigten auf einmal sehr sensibilisiert. Und wir müssen alle Kolleginnen und Kollegen erreichen, auch diejenigen, die mit Spielchen wenig anfangen können. Daher kommt es auch hier auf einen gekonnten Mix und gute Basisarbeit an. Und dann kann Gamification ein toller Beitrag für mehr Awareness sein.
