Nudging: Erfolgsfaktor der Security Awareness

Nudging ist eine Technik aus der Verhaltensökonomie, durch die gezielte Handlungen und Verhaltensweise hervorgerufen werden können, ohne dass der Gegenüber dies als Verpflichtung wahrnimmt. Dadurch eignet sie sich hervorragend für die langfristige Implementierung der IT-Sicherheit in Unternehmenskulturen.

Die Herausforderung, Gewohnheiten abzulegen

Das Ablegen von Verhaltensweisen, welche wir uns über die Jahre angeeignet haben, gestaltet sich selbst mit der nötigen Motivation als äußert schwierig. Hingegen eine andere Person zu überzeugen, Ihr Verhalten zu unseren Gunsten abzuändern, zählt wohl zu den Königsdisziplinen der Verhaltensforschung.

In der Praxis konnten wir leider immer wieder beobachten, dass Unternehmen dazu neigen, mittels Sanktionen dem gewünschten Verhalten den nötigen Nachdruck zu verleihen. Solch ein Ansatz verspricht nicht nur eine geringe Erfolgsquote, sondern erzeugten auch ein hohes Maß an Reibung. In der Security Awareness folgt daraus eine Abwehrhaltung gegenüber den eigentlich doch sehr sinnvollen Maßnahmen, worunter auch das Arbeitsklima leidet.

Kennen Sie schon unsere Services im Bereich der IT-Sicherheit?

Nudging

Das Nudging stellt ein effektiveren Ansatz in der Security Awareness dar. Frei übersetzt bedeutet der Begriff so viel wie in die richtige Richtung „stupsen“. Dabei probieren wir, Menschen auf subtile Weise zu beeinflussen, sodass sie das Gefühl erhalten, aus eigener Überzeugung zu handeln. Einige Beispiele wären:

  • Auf Flyern wird anstelle von Regeln die aktuelle Statistik über Cyberangriffe auf deutsche Unternehmen abgedruckt. Das regt zum Nachdenken und der Diskussion unter den Kollegen an.
  • Jeder Mitarbeiter erhält Flyer für Familie und Bekannte, wie man sich vor aktuellen Betrugsmaschen im Internet schützt. Werden diese erst einmal selbst aktiv und leisten Aufklärung, wird sich eine tiefe Überzeugung für das Thema einstellen.

Durch die Verwendung der Nudging-Technik wird Lernprozess frei von jeglicher Reibung gestaltet und die langfristige Implementierung von IT-Sicherheit in die Unternehmenskultur gefördert. Dieses Prinzip gestaltet nicht nur einzelne Teile des Awareness-Prozesses, sondern sollte den Leitfaden für die gesamte Kampagne definieren.