Sicherheitsmaßnahmen brauchen Kommunikation, sonst scheitern sie
Sicherheitsprojekte scheitern nicht an der Technik – sondern an der Kommunikation. Studien und Praxisberichte zeigen: Selbst gut konzipierte Maßnahmen zur Informationssicherheit entfalten oft nicht die gewünschte Wirkung, weil sie nicht verstanden, nicht akzeptiert oder schlicht ignoriert werden. Die interne Kommunikation ist daher ein kritischer Erfolgsfaktor. Wer Sicherheit ernst nimmt, muss auch ernsthaft kommunizieren.
Warum gute Kommunikation so wichtig ist
Informationssicherheit betrifft alle. Von der IT bis zur Assistenz, von der Fertigung bis zur Geschäftsleitung. Nur wenn alle Beteiligten verstehen, worum es geht und warum bestimmte Regeln gelten, entsteht ein gemeinsames Sicherheitsverständnis. Schlechte Kommunikation führt zu:
- Missverständnissen und Fehlverhalten
- Widerstand gegen Maßnahmen
- Scheinakzeptanz ohne Verhaltensänderung
- „Security Fatigue“ durch Informationsüberflutung
- Vertrauensverlust in IT und Sicherheitsverantwortliche
Typische Fehler in der Sicherheitskommunikation
- Zu technisch: Fachjargon, der außerhalb der IT niemandem hilft
- Zu einseitig: Kommunikation als Einbahnstraße von oben nach unten
- Zu abstrakt: Ohne Bezug zur eigenen Arbeitssituation
- Zu spät: Erst wenn das Projekt schon läuft oder abgeschlossen ist
- Zu selten: Ein einmaliger Newsletter ersetzt keine Kommunikation
Was gute Kommunikationsstrategien auszeichnet
- Zielgruppenanalyse Wer soll was wissen und tun? Die Inhalte müssen an Zielgruppen angepasst sein: Management braucht andere Informationen als Fachbereiche oder Nutzer. Rollen, Risiken und Relevanz entscheiden über die richtige Ansprache.
- Klarheit & Relevanz Kommunikation muss konkret und nachvollziehbar sein. Warum gibt es neue Passwortrichtlinien? Was hat das Team davon? Welche Risiken werden dadurch reduziert?
- Storytelling & Praxisbezug Reale Beispiele, Geschichten aus der Branche oder echte Vorfälle machen Sicherheitsbotschaften greifbar. “Was wäre wenn”-Szenarien schaffen Aufmerksamkeit.
- Dialogorientierung Kommunikation ist keine Einbahnstraße. Fragen, Feedback, Diskussionen, kurze Workshops oder Brown-Bag-Sessions schaffen Beteiligung und Ownership.
- Wiederholung & Medienmix Einmal reicht nicht. Gute Sicherheitskommunikation nutzt verschiedene Kanäle: E-Mails, Intranet, Poster, Schulungen, Videos, persönliche Ansprachen.
- Timing & Konsistenz Kommunikation muss zur Maßnahme passen und nicht Wochen später erfolgen. Einheitliche Botschaften verhindern Verwirrung und Gerüchte.
Instrumente der internen Sicherheitskommunikation
- Security Awareness Newsletter (kurz, relevant, regelmäßig)
- Kick-off-Veranstaltungen bei neuen Projekten
- Intranet-Artikel mit FAQs zu neuen Regelungen
- Visuelle Kampagnen mit einfachen Botschaften (“Think before you click”)
- E-Learnings mit Feedback-Optionen
- Live-Schulungen und Q&A-Sessions
- Security-Ambassadors als Multiplikatoren in Fachbereichen
Fallbeispiel: Kommunikationsfehler bei Multifaktor-Authentifizierung
Ein Unternehmen führte MFA für alle Mitarbeiter ein. Die technische Umsetzung funktionierte reibungslos, die interne Kommunikation beschränkte sich jedoch auf eine E-Mail mit technischem Leitfaden. Ergebnis: Widerstand, Frust, steigende Support-Anfragen. Nachträglich wurden Webinare, FAQs und Erfolgsgeschichten von Kollegen integriert – und die Akzeptanz stieg deutlich.
Kommunikation als Teil des ISMS
Die ISO/IEC 27001 fordert nicht nur technische und organisatorische Maßnahmen, sondern auch Kommunikation. Sicherheitsbewusstsein ist eine dokumentierte Anforderung. Eine strategisch verankerte Kommunikationsplanung ist Teil jedes wirksamen Informationssicherheitsmanagementsystems (ISMS).
Fazit
Sicherheit muss erklärt, nicht verordnet werden. Nur mit geplanter, klarer und zielgruppengerechter Kommunikation erreichen Sicherheitsmaßnahmen ihre Wirkung. Die interne Kommunikation wird damit zum stillen Rückgrat jeder Sicherheitsstrategie – und zum Erfolgsfaktor im ISMS.
