Sie haben im Zuge der Digitalisierung von Henkel auch ein "Sicherheitsprogramm 2020+" ausgerufen und 2018 eine Security-Awareness-Kampagne gestartet. Können Sie die kurz beschreiben?
Jäckle: Bei Henkel denken wir in Strategiezyklen von vier Jahren, in denen wir groß angelegte Programme planen und durchführen. Dazu gehört auch die langfristig angelegte "Informationssicherheitsstrategie 2020+". Die Cyber-Awareness-Kampagne basiert inhaltlich auf drei strategischen Säulen: Informieren, Weiterbilden und Engagieren.
Unser erstes Anliegen war es, allen Mitarbeitern genügend Informationen zur Verfügung zu stellen. Sei es in Form von regelmäßigen Artikeln und News im Intranet oder zusammengefasst in einer Sicherheitsrichtlinie, die für alle im Unternehmen einsehbar ist. Wir erwarten, dass jeder Mitarbeiter mit den wichtigsten Sachverhalten vertraut ist. Deshalb bieten wir zielgruppenspezifische Trainings und E-Learnings als Weiterbildungsmaßnahmen an, die auf die Bedürfnisse des jeweiligen Geschäftsbereichs zugeschnitten sind.
Darüber hinaus haben wir verpflichtende Trainings für alle Führungskräfte weltweit eingeführt, damit sie entsprechende Maßnahmen in ihren Abteilungen und Standorten durchsetzen können. Als dritten und wichtigsten Punkt sehen wir das Engagement des Mitarbeiters. Sie sollen selbst ein Gespür für IT-Sicherheit entwickeln, Probleme wahrnehmen und einschätzen können, wann es notwendig ist, die IT-Sicherheit einzuschalten. Dazu bieten wir weltweit freiwillige E-Learnings und regelmäßige Informationsveranstaltungen an. Der Höhepunkt der Kampagne war die Cyber-Security-Awareness-Messe, die wir Anfang 2019 für unsere Mitarbeiter weltweit veranstaltet haben.
Was hatte es damit auf sich?
Jäckle: Die Cyber-Awareness-Messe war ein Einzelprojekt, bei dem wir eine Woche lang in über 60 Veranstaltungen alle Mitarbeiter über Cybersecurity informiert haben. Das Hauptevent hier am Hauptstandort in Düsseldorf wurde weltweit übertragen und parallel an allen unseren großen Standorten mit eigenen Veranstaltungen begleitet. Die Teilnahme war freiwillig, aber wir haben dennoch überdurchschnittlich viele Mitarbeiter erreicht.
Mit welchem Aufwand war das verbunden?
Jäckle: Für diese eine Woche war eine Vorbereitungszeit von etwa neun Monaten nötig. Wir wollten die Initiative so abstimmen, dass wir sie global zeitgleich starten konnten. Dafür galt es beispielsweise, den Zeitpunkt mit Feiertagen in den 81 Ländern, in denen wir aktiv sind, zu koordinieren. Zudem haben wir interne und externe Redner und Experten rekrutiert, die während der fünf Tage ihr Wissen mit uns geteilt haben. Für die Kommunikation an die Belegschaft nutzen wir zahlreiche Kanäle.
Unser internes soziales Netzwerk "Yammer" ist beliebt bei den Mitarbeitern, sodass wir sie dort direkt erreichen konnten. Außerdem nutzen wir das Intranet und haben Flyer sowie Poster gedruckt. An allen Standorten befinden sich Bildschirme in Kantinen, Aufzügen und Eingangshallen, wo ebenfalls das Thema bespielt wurde. Wir haben pro Land oder Region gezielte Kommunikationswellen gestartet und darauf hingearbeitet, dass unsere Kollegen wissen, welche Informationen wir in der Woche zur Verfügung stellen. So hatten sie genug Zeit, sich vorzubereiten und Termine zu blocken, damit sie teilnehmen können.
Konkrete Mehrwerte für Mitarbeiter bieten
Solche Schulungen werden von Mitarbeitern oft als lästig empfunden und daher nicht ernst genommen. Wie sind Sie damit umgegangen?
Jäckle: Es ist wichtig, den Mitarbeitern konkrete Mehrwerte anzubieten. So haben wir unseren Mitarbeitern nicht nur erklärt, wie sie Henkel sicherer machen können, sondern auch ihr Zuhause. Bei einer Session unserer Awareness-Messe ging es um Skimming Cards und wie diese verhindern können, dass Kreditarten mit Near-Field-Kommunikation im Portemonnaie mit Scannern ausgelesen werden können.
Das hört sich lapidar an, aber es war eben nicht das übliche "Sie müssen jetzt 20 Seiten ausfüllen und sich durch ein Online-Training klicken", sondern es ging um wirklich nützliche Tipps. Auch die freiwillige Teilnahme war ein wichtiger Aspekt. Wenn sie die Leute zwingen, auf so eine Messe zu gehen oder sich Präsentationen zu verschiedenen Themen anzuhören, können sie sich die Zeit und das Geld sparen.
Gab es außer den Themen der Tracks noch andere Faktoren, die die Mitarbeiter ansprechen sollten?
Jäckle: Wir haben das Ganze spielerisch im Sinne von "Gamification" gestaltet, Live-Hacks gezeigt und sind beispielsweise mit den Mitarbeitern geführt ins Darknet gegangen. Gerade Letzteres war für viele ein Schlüsselerlebnis. Alle haben zwar davon gehört, aber einmal wirklich zu sehen, wie leicht verbotene Ware dort für jeden zugänglich sind, mit der Schaden angerichtet werden kann, ist für die allgemeine Awareness sehr hilfreich.
Zudem haben wir externe Sprecher eingeladen, beispielsweise vom Landeskriminalamt NRW, die über reale Erfahrungen berichtet haben, die für alle potenziell relevant sind. Ich habe an dem Tag keinen Teilnehmer getroffen, der gelangweilt war oder sich zu irgendwas gezwungen gefühlt hat.
Ein weiteres Anliegen war es, den Mitarbeitern zu vermitteln, dass wir das Thema Sicherheit ganzheitlich angehen. Dazu wurde das Event von der zentralen IT zusammen mit den Abteilungen Corporate Compliance, Corporate Security und dem Corporate Audit geplant und durchgeführt. Neben dem Know-how haben wir so auch gezeigt, dass wir als Organisation geschlossen hinter dem Thema Sicherheit stehen.
Waren Lieferanten auch beteiligt?
Jäckle: Bei der Cyber-Awareness-Messe waren ausgewählte Partner als Redner und Experten beteiligt. Darüber hinaus sprechen wir auch regelmäßig mit unseren Lieferanten und Kunden über Sicherheitsaspekte. Wir sind tausendfach über Schnittstellen mit diesen Partnerfirmen verknüpft. Es gibt also jede Menge Gesprächsbedarf über die richtige Ausgestaltung der Security an der Stelle. Das ist ein Thema, das in den letzten Jahren deutlich zugenommen hat und wo die Awareness massiv gestiegen ist.
Gab es Widerstände im Unternehmen?
Jäckle: Nein. Wir haben viel Erfahrung, wie man im Unternehmen kommuniziert. So wurde der Betriebsrat beispielsweise gleich zu Anfang in die Planung einbezogen. Ihm wurde das Konzept vorgestellt und sie haben uns unterstützt.
Bei international agierenden Unternehmen ist außerdem die Landessprache wichtig. Wenn Sie Ihr Publikum wirklich erreichen wollen, dann müssen Sie das auch in der Landesprache präsentieren können. Englisch allein reicht da nicht aus. Das bedeutete, dass wir in viele Sprachen lokal übersetzt und so die Gremien vor Ort informiert haben, was sehr positiv aufgenommen wurde.
Es gab auch keine Kosten-Nutzen-Diskussion?
Jäckle: Wie schon erwähnt, denken wir bei Henkel in Vier-Jahres-Strategiezyklen. Für den aktuellen Zeitraum haben wir ein Gesamtprogramm für Awareness finanziell in unsere strategische Planung und das jährliche Budget eingeplant. Den Posten haben wir für den gesamten Vier-Jahres-Zyklus veranschlagt und er steht uns jetzt zur Verfügung. Insofern gab es keine konkrete Diskussion.
Technik, Mindset und klare Kommunikation
Gab es neben der Kommunikation Herausforderungen oder Probleme, die sie meistern mussten, sei es technisch oder organisatorisch?
Jäckle: Wenn man weltweit Menschen zur gleichen Zeit erreichen möchte, muss man natürlich die technischen Möglichkeiten haben, Live-Streams und ähnliches durchzuführen. Die Infrastruktur dafür haben wir in den letzten Jahren aufgebaut.
Die eigentliche Herausforderung ist, dass man den Aufwand nicht scheut. Solche Veranstaltungen zu planen und umzusetzen ist viel Arbeit. Jeder hat seine täglichen Aufgaben und die Planung kommt zusätzlich oben drauf. Wir haben keine Veranstaltungsabteilung in der IT, die sich professionell mit Events beschäftigt. Das Kernteam, das an dieser Awareness-Messe mitgearbeitet hat, war über die neun Monate hinweg sehr gefordert. So viel Koordination und Organisation weltweit zu stemmen, erfordert ein positives Mindset, die Dinge bewegen zu wollen. Das kann man nicht so nebenbei machen.
Man muss sich auch darüber im Klaren sein, dass es sich um einen sehr komplexen technischen Inhalt handelt, der auf den ersten Blick schwierig an die gesamte Community zu kommunizieren ist. Also braucht man IT-Experten, die in der Lage sind, technische Themen einfach darzustellen und sie in allgemeinen, gut verständlichen Worten zu erklären.
Wenn Mitarbeiter zu Veranstaltungen kommen und etwas hören, das sie nicht sofort verstehen, dann haben Sie sie nach zwei Minuten verloren. Für die technisch Interessierten hatten wir auf der Messe zwar auch einige Tracks, die tief in die Bits und Bytes eingestiegen sind. Die haben wir aber klar als solche gekennzeichnet und die Teilnehmer mussten sich extra anmelden.
Wie messen Sie den Erfolg der Awareness-Kampagnen?
Jäckle: Um die Reichweite unserer Maßnahmen zu prüfen, haben wir bei dem Event die Anzahl der Mitarbeiter festgehalten, die vor Ort teilgenommen und sich online in den Stream eingewählt haben.
Auf qualitativer Ebene sammeln wir das Feedback der Teilnehmer und werten es aus. Wir haben Kanäle, über die die Mitarbeiter auf uns zukommen können, wenn sie eine Frage haben. Einer ist beispielsweise eine E-Mail-Adresse, über die die Belegschaft uns verdächtige Mails sendet und wir darauf reagieren. Nach der Messe hatten wir eine hohe Frequentierung. Das hat uns gezeigt, dass die Awareness-Botschaft angekommen ist. Wir sehen einen ganz aktiven Dialog mit den Henkel-Mitarbeitern auf einem höheren Level als wir es vorher hatten.
Was ist an weiteren Awareness-Maßnahmen für die Zukunft geplant?
Jäckle: Wir werden das Material, das wir für die Kampagne und der Messe erstellt haben, wiederverwenden und sind momentan im Gespräch mit unseren Affiliated Companies, um dort gezielte Trainings anzubieten. Betreibt ein Partner ein Service-Center, werden wir dort beispielsweise gezielt die Themen Phishing und Spear-Phishing vertiefen. Zudem werden wir verstärkt an die Produktionsbetriebe und andere Bereiche herantreten und das Material neuen Nutzergruppen gezielter präsentieren.
Darüber hinaus haben wir schon entscheiden, die Cyber-Awareness-Messe im nächsten Jahr zu wiederholen, dann allerdings noch größer. Das verleiht dem Sicherheitsthema den Leuchtturmcharakter in der Gesamtfirma, den es benötigt, um auch langfristig wirksam zu sein.