Wie ein Schal bei der Stärkung von IT-Sicherheit unterstützen kann
In meinem Arbeitsalltag sehe ich oft, wie selten der Mensch als zentraler Faktor in der IT-Sicherheit berücksichtigt wird, was problematisch ist, da gerade Akzeptanz und Motivation der Mitarbeitenden maßgeblich zum Erfolg beitragen. Eine McKinsey Studie zeigt beispielsweise, dass bis zu 70 % der Transformationsprojekte scheitern, wenn Mitarbeitende sich nicht ausreichend eingebunden fühlen – ein klarer Beleg für die Bedeutung des menschlichen Faktors. So habe ich beispielsweise erlebt, dass in einem Projekt ein einfaches Gespräch über die Gründe neuer Sicherheitsmaßnahmen, in dem Fall neue Anforderungen der BAFIN, den Unterschied gemacht hat, indem es Unsicherheiten ausgeräumt und Vertrauen geschaffen hat. Dabei ist es wichtig zu verstehen, dass menschliches Verhalten oft entscheidend dafür ist, ob Sicherheitsmaßnahmen erfolgreich umgesetzt werden oder auf Widerstand stoßen.
Zum Beispiel zeigt sich in vielen Projekten, dass Mitarbeitende auf eine plötzliche Einführung neuer Sicherheitsprotokolle unterschiedlich reagieren: Während manche sich schnell anpassen, empfinden andere diese Maßnahmen ohne Vorbereitung als Kontrollverlust. Dieser Aspekt wird häufig vernachlässigt, weil Sicherheitsstrategien meist primär technisch ausgerichtet sind und Prozesse auf Effizienz statt auf Beteiligung abzielen – genau das möchte ich heute thematisieren.
Zusätzlich lesen wir fast täglich in der Fachpresse von Cyberangriffen, kritischen Sicherheitslücken oder Datenleaks. Diese Schlagzeilen unterstreichen eindrucksvoll, wie essenziell eine robuste IT-Sicherheitsstrategie für Unternehmen ist.
Die typische Reaktion auf diese Bedrohungen besteht oft nur aus technischen Lösungen und betrieblich verordneten Richtlinien: Von Technologien wie XDR über NAC bis hin zu MFA – die IT-Sicherheitslandschaft ist reich an Innovationen, die auf technischer Ebene Gefährdungen begegnen. Ebenso oft werden Sicherheitsmaßnahmen und -veränderungen ohne umfassende Erklärung eingeführt und mit dem „Need-to-Know“-Prinzip begründet. Das „Need-to-Know“-Prinzip sollte eigentlich nicht für Intransparenz stehen. Vielmehr ist der Grundgedanke hinter Sicherheit etwas, das in jedem Fall transparent kommuniziert werden sollte – doch dazu später mehr.
Das Resultat: Mitarbeitende werden mit Neuerungen konfrontiert, die sie nicht nur als unpersönlich, sondern auch als einschränkend empfinden. Diese Vorgehensweise führt nicht selten zu starker Ablehnung, Unverständnis und sogar aktivem Umgehen von Sicherheitsmaßnahmen. Aber warum lösen IT-Sicherheitsänderungen solch eine Gegenwehr aus? Was geschieht hier jenseits des rein technischen Horizonts?
Der Mensch im Fokus der IT-Sicherheit
Die Antwort lässt sich mithilfe des SCARF-Modells von David Rock finden. Dieses Modell basiert auf neurowissenschaftlichen Erkenntnissen und definiert fünf zentrale soziale Bedürfnisse, die unser Verhalten maßgeblich beeinflussen:
Status – Die Wahrnehmung der eigenen Position im Vergleich zu anderen. Anerkennung und Wertschätzung steigern das Gefühl von Status, während Kritik oder Übersehenwerden es mindern können.
Certainty (Sicherheit) – Das Bedürfnis nach Vorhersehbarkeit und Klarheit. Ungewissheit kann Stress verursachen, während klare Informationen und Erwartungen Sicherheit bieten.
Autonomy – Das Gefühl, selbst Entscheidungen treffen zu können. Freiheit in der Arbeitsgestaltung fördert dieses Gefühl, während Mikromanagement es beeinträchtigen kann.
Relatedness (Verbundenheit) – Das Gefühl von Zugehörigkeit und Vertrauen. Positive soziale Interaktionen stärken dieses Bedürfnis, Isolation schwächt es.
Fairness – Die Wahrnehmung von Gerechtigkeit. Transparenz und gerechte Prozesse fördern das Engagement, während Unfairness Ablehnung hervorrufen kann.
Diese Faktoren beeinflussen, wie Veränderungen wahrgenommen und verarbeitet werden. In meiner Arbeit erlebe ich oft, dass gerade in Changekontexten – ob mit oder ohne Sicherheitsbezug – die Berücksichtigung von SCARF ein zentraler Erfolgsfaktor ist. Ein Blick auf die Bedürfnisse der Mitarbeitenden kann entscheidend sein, um Akzeptanz zu fördern und Veränderungen erfolgreich zu gestalten. Klare Kommunikation stärkt den SCARF-Faktor „Certainty“, während Einbeziehung und Mitbestimmung das Bedürfnis nach „Autonomy“ adressieren – ein Ansatz, der in agilen Transformationen erfolgreich angewendet wird.
Praxisbeispiele: Herausforderungen und Erkenntnisse
Diese Beispiele dienen dazu, die zuvor erläuterten SCARF-Faktoren praxisnah zu veranschaulichen und zeigen, wie Theorie und praktische Anwendung ineinandergreifen können.
Beispiel 1: Fehlende Vorbereitung – Das Sicherheitsteam hat die Einführung von Mehr-Faktor-Authentifizierung ohne Vorwarnung umgesetzt. Ein großer Teil der Mitarbeitenden hat dies als Kontrollverlust empfunden (Verlust der Autonomy). Wäre im Vorfeld erklärt worden, warum und wie sie verschiedene Optionen zur Anmeldung nutzen können, hätte dies das Gefühl von Autonomie gestärkt und die Akzeptanz erhöht.
Beispiel 2: Unklare Kommunikation – Bei einem Kunden wurde bekanntgegeben, dass neue Sicherheitsmaßnahmen eingeführt werden, es war aber nicht klar, was und wann, nur, dass es laut Ankündigung die Arbeit grundlegend verändern wird. Das führte zu einer massiven Störung des Sicherheitsbedürfnisses (Certainty), was bei Mitarbeitenden Stress und Ablehnung ausgelöst hat. Andererseits hätte eine klare, transparente Einführung das Vertrauen stärken und Widerstände abbauen können.
Für einen detaillierten Überblick über das SCARF-Modell empfehle ich den Artikel auf Digitale Neuordnung (dno), der das Modell prägnant erklärt und um praxisnahe Beispiele ergänzt.
Lessons Learned
Was lässt sich aus diesen beiden Beispielen lernen? Wie können ähnliche Situationen zukünftig besser gemeistert werden, indem frühzeitig auf die Bedürfnisse der Mitarbeitenden eingegangen wird?
Eine klare Handlungsempfehlung lautet: Vor Änderungen Kommunikationsmaßnahmen, Schulungen und Feedbackformate einzuplanen, um Mitarbeitende vorzubereiten und ihre Perspektiven zu integrieren.
Wichtig ist, dass, sofern auch nur einer der SCARF-Faktoren bedroht wird, das Gehirn automatisch grundlegende unbewusste Verteidigungsmechanismen aktiviert – was die Ablehnung von Sicherheitsmaßnahmen erklärt. Das SCARF-Modell liefert dabei eine wertvolle Orientierungshilfe, um Veränderungsprozesse menschlich nachvollziehbar zu machen. Bedrohungen in diesen Bereichen können Abwehrhaltungen auslösen, während positive Erfahrungen Motivation und Zusammenarbeit fördern.
Hierbei ist wichtig, dass Störungen dieser Faktoren ganz individuell wahrgenommen werden, sodass es keine generelle Handlungsoption gibt. Was bei einem Mitarbeitenden zu einem starken Störgefühl führt, kann bei einem anderen noch weit von dem Gefühl einer Störung entfernt sein.
Das SCARF-Modell als Schlüssel zu nachhaltiger IT-Sicherheit
Das SCARF-Modell ist nicht nur für IT-Sicherheit relevant, sondern kann auch in anderen Veränderungsprozessen innerhalb eines Unternehmens sinnvoll eingesetzt werden, um menschliche Bedürfnisse zu berücksichtigen und Akzeptanz zu fördern. Die Berücksichtigung der Faktoren ermöglicht eine effektivere Einbindung der Mitarbeitenden und stärkt das Vertrauen während Veränderungsprozessen.
Führungskräfte können diesen Ansatz aktiv unterstützen, indem sie Schulungen oder Workshops zum SCARF-Modell initiieren. So können Teams gemeinsam Strategien entwickeln, um Veränderungen positiv zu begleiten und Unsicherheiten zu reduzieren.
Statt sich ausschließlich auf technische Ansätze zu konzentrieren, können Unternehmen das Modell nutzen, um Veränderungsprozesse in der IT-Sicherheit positiv zu gestalten. Hier einige praktische Beispiele, wie die einzelnen Faktoren des Modells angewendet werden können:
Status: Mitarbeitende aktiv in Sicherheitsinitiativen einzubeziehen und ihre Expertise anzuerkennen, stärkt ihr Gefühl von Wertschätzung. Wenn etwa ein Team für die Einführung neuer Sicherheitsrichtlinien verantwortlich ist, kann die Verantwortung die eigene Position und das Engagement deutlich verbessern.
Certainty: Klare Kommunikation über geplante Veränderungen reduziert Unsicherheiten. Dies könnte durch regelmäßige Updates, informative Schulungen und detaillierte Anleitungen zu neuen Tools und Methoden erreicht werden.
Autonomy: Den Teams Wahlmöglichkeiten zu geben, wie sie Sicherheitsrichtlinien umsetzen, erhöht die Akzeptanz. Zum Beispiel könnte ein Unternehmen unterschiedliche Authentifizierungsmethoden anbieten, so dass Mitarbeitende diejenige wählen können, die am besten zu ihren Arbeitsabläufen passt.
Relatedness: Regelmäßiger Austausch und vertrauensvolle Kommunikation schaffen ein Gefühl der Zugehörigkeit. Dies kann durch offene Feedbackrunden oder die Einbindung in Entscheidungsprozesse gefördert werden. Sicherheitsmaßnahmen, die als gemeinsames Projekt verstanden werden, stoßen auf deutlich mehr Akzeptanz.
Fairness: Transparenz in Entscheidungsprozessen stellt sicher, dass die Maßnahmen als gerecht empfunden werden. Mitarbeitende sollten die Möglichkeit haben, die Gründe für bestimmte Maßnahmen zu verstehen und konstruktives Feedback zu geben.
Der Schal als Metapher
Gerade im Kontext der IT-Sicherheit ist SCARF als englisches Wort für Schal nicht nur als Akronym für das Modell zu verstehen, sondern auch als anschauliche Metapher, die das Zusammenspiel zwischen Schutz und Flexibilität verdeutlicht.
Ein Schal schützt uns vor Kälte, er ist flexibel, individuell und dennoch ein unverzichtbarer Begleiter. Genauso kann IT-Sicherheit wahrgenommen werden: als Schutz, der uns nicht einschränkt, sondern uns ermöglicht, uns frei und sicher zu bewegen. Ein Schal, der weder zu eng anliegt noch zu lose sitzt, spiegelt die Balance zwischen Sicherheit und Komfort wider – eine Balance, die auch bei IT-Sicherheitsmaßnahmen angestrebt werden sollte.
Fazit
IT-Sicherheit ist nicht nur eine technische Disziplin, sondern auch eine menschliche Herausforderung. Durch den bewussten Einsatz des SCARF-Modells können Unternehmen nicht nur Widerstände behandeln, wahrnehmen und verstehen, sondern auch die Bereitschaft ihrer Mitarbeitenden fördern, Sicherheitsinitiativen aktiv zu unterstützen.
Ich empfehle vor jeder größeren Änderung in der IT-Sicherheit zu prüfen, wie die fünf SCARF-Faktoren betroffen sein könnten, und durch gezielte Maßnahmen Unsicherheiten und Widerstände frühzeitig abzufangen. Eine konkrete Maßnahme könnte darin bestehen, Schulungen und Feedbackrunden einzuplanen, um das Sicherheitsverständnis zu stärken und Mitarbeitende mit einzubeziehen.
Wie kannst Du diese Prinzipien auf Deine eigene Organisation anwenden? Welche Maßnahmen könnten den Status Deines Teams stärken? Wo könntest Du mehr Fairness und Autonomie fördern? Ein bewusster Blick auf die Bedürfnisse der Menschen im Unternehmen ist der Schlüssel zu einer nachhaltig gestärkten Sicherheitskultur.
Was nimmst Du persönlich aus diesem Artikel mit? Gibt es erste Schritte, die Du direkt umsetzen könntest? Überlege, welche Maßnahme Du als nächstes konkret ausprobieren möchtest – z. B. eine offene Feedbackrunde oder ein Team-Workshop zur Veränderungskommunikation.
Ich lade Dich ein, Deine Erfahrungen oder Fragen zu teilen: Welche Maßnahmen haben in Deinem Umfeld gut funktioniert? Gibt es Aspekte des Modells, die Du bereits nutzt oder neu ausprobieren möchtest? Diskussionen helfen uns, voneinander zu lernen und gemeinsam weiterzukommen.
Es sind die Mitarbeitenden, die Technik lebendig machen – und sie auch sicher gestalten.
