Das Schweigen der Trenner
Das „Vergessen“ von Sicherheitsmaßnahmen als Form passiver Aggression und Vermeidung von offenen Auseinandersetzungen
Das „Vergessen“ von Sicherheitsmaßnahmen als Form passiver Aggression und Vermeidung von offenen Auseinandersetzungen
Sie kennen sicher diese Situation? Eine neue Policy, die mithilfe zahlreicher Awareness-Maß- nahmen beworben und ausgerollt wird, weist zum x-ten Male auf den „richtigen“, d. h. erwünschten, Umgang mit Phishing-E-Mails hin. Jedoch aus-gerechnet die vermeintlich „cleversten“ Kollegen und Kolleginnen fallen wieder einmal darauf rein, indem sie auf einen „verseuchten“ Link klicken und sich einen Trojaner einfangen. Abgesehen vom Beweis, dass Awareness mit Bildung wenig zu tun hat – ist das nun unter „Faulheit“ einzuordnen? Oder „schlechte Awareness“? Haben die unsere Regeln schlichtweg vergessen? Oder einfach nur Pech gehabt? Die Antwort ist einfach, weil keine der oben angebotenen Erklärungen im Detail zutrifft, wird aber wieder kompliziert, wenn man derartige und ähnliche Fehler psychologisch erklären soll. „Wir haben doch alles richtig gemacht“, denkt dann vermutlich haareraufend der CISO. Und: „Keine Sicherheitsregeln sind umfassender durch alle Kanäle erklärt worden wie die zum Umgang mit E-Mails und dem Phishing-Risiko.“
Das Vergessen als Reaktanz
Um das so genannte „Vergessen“ im Kontext von Sicherheitsmaßnahmen und anderen Regularien zu erklären, lohnt nicht nur ein Rückblick auf unsere beinahe 20 Jahre alte, erste tiefenpsychologische Wirkungsanalyse über Fehlerkultur, „Entsicherung am Arbeitsplatz“ (Köln 2006), sondern auch eine „Neubewertung“ des Vergessens als „Kollateralschaden“ einer passiv-aggressiven Handlung. In der o. g. Studie haben wir die von uns beschriebene Reaktanz von Mitarbeitenden auf Sicherheitsmaßnahmen vertiefend analysiert. Diese Reaktanz möchte ich hier und heute aus dem Blickwinkel so genannter „passiv-aggressiver“ Motive vertiefen.
Beim Verstehen der Motive passiver Aggression helfen unter anderem die Bücher (u. a. „Vom Sinn des Ärgerns“), Vorträge bzw. Hörbücher der schweizerischen Psychologin Verena Kast. Kast betrachtet passiv-aggressive Handlungen als Ärger im Sinne eines Nähe-Distanz-Reglers, jedoch in „eigentlich“ abgeschwächter Form. Die Einschränkung „eigentlich“ meint, dass der passive Anteil der Aggression unbewusst als unabsichtlich-absichtlicher Aggressionshemmer eingesetzt wird, damit die Sichtbarkeit des Ärgers vom Gegenüber, meiner Zielperson, moderater wahrgenommen wird als er eigentlich intendiert ist. Als Beispiele führt sie u. a. Gähnen, Flatulenzen, Schwitzen, Schweigen oder Vergessen an.
Gähnen, Furzen & Co. als nonverbale Aggression
Beim Gähnen in sozialen Konstellationen wird der Widerstand der gähnenden Person gegen das Hier und Jetzt deutlich, verbunden mit der „geheimen“ Botschaft „Ich will (eigentlich) ins Bett.“ Penetrante Blähungen sind, wenn man sie nicht eindeutigen medizinischen Ursachen zuschreiben kann und sie sogar einer gewissen Choreographie zu folgen scheinen (d. h. zum Beispiel paraverbal eingesetzt) Abwertungen von Kommunikationssituationen bzw. -partnern im Sinne von „Das, was hier läuft, ist ein doch ein Furz.“ In beiden oben beschriebenen Beispielen ist die passive Aggression an den Körper delegiert, in der Regel also unbewusst „gemacht“. Die Rechtfertigung lautet dann: „Das bin ja nicht ich, ätsch, denn ich kann das ja gar nicht kontrollieren.“ Gähnen und Fürze werden dann als aus dem Körper heraus fließend, als unkontrolliert wahrgenommen.
Jedoch können die Irritationen oder Missverständnisse, die ein derartiges Verhalten beim Gegenüber auslösen, durchaus von den Verursachern miteingepreist werden. Dann nämlich, wenn dieses „Sprechen“ des Körpers als Reaktion auf einer halbunbewussten Ebene geschieht, zum Beispiel in Situationen bei denen die Blähungen nach zustimmenden Personen im Raum suchen und somit quasi „ansteckend“ werden. Dann nämlich, wenn also die eigene Position durch weitere passiv-aggressiv furzende Mitstreiter gestärkt wird, indem das dann „heimlich“ miteinander verbundene Team praktisch im Chor Flatulenzen loslässt. Hierdurch kann man das Passiv-Aggressive in einer noch machtvolleren Position verorten als im Kontext einer gänzlich unbewussten Haltung.
Beim Schwitzen scheint die Aggression aus klassischer Konventionssicht stiller als beim Gähnen oder Furzen, wird aber dennoch ebenso machtvoll kund- getan. Denn Aggressionsschweiß nehmen wir in der Regel als unangenehmer, deutlich „ätzender“ wahr als zum Beispiel Angstschweiß, stets verbunden mit der Botschaft „Wie ätzend ist all‘ das, was ich hier gerade erlebe.“
Ein Schweigen – mehr als 1.000 Worte
Auch dem Schweigen oder Vergessen sind äußerst machtvolle Wirkungen inhärent. Mit permanentem Schweigen oder passiv-aggressivem Vergessen können wir unser soziales Umfeld regelrecht auf die Palme bringen, indem wir unsere Verantwortung an andere delegieren. Gerade aus Sicht der Informationssicherheit sind beide passiv-aggressiven Strategien äußerst interessant, denn die Sicherheitsbereiche wollen ja in der Regel mutige und aktive Mitstreiter beim Schutz der Organisationsassets gewinnen, unter anderem mithilfe von wichtigen Regeln, die memoriert und praktisch angewendet werden sollen, um die Risiken zu senken bzw. die Compliance zu stärken. Mit Mitarbeitenden, die ihre Kollegen und Kolleginnen nicht grüßen, denen es in sozialen Situationen die Sprache verschlägt und die im Worst Case in eine totale Stummheit verfallen, ist Sicherheit ebenso wenig umsetzbar wie mit solchen, die ständig ihre Passwörter oder die sichernden Detailprozesse der Regelwerke „vergessen“. Der Ärger der Kollegen und Kolleginnen wird dann umso größer, wenn diese bemerken, dass die Stummen und Vergesslichen außerhalb der Arbeit gegebenenfalls gänzlich abweichendes Verhalten zeigen und durchaus lebendig kommunizieren oder aber Sicherheitsregeln einhalten können. Verena Kast nennt dieses Phänomen „Selektivmutismus“. Die Stummheit ist hier zum Beispiel passiv-aggressiver Ausdruck eines Unwohlseins im bestimmten Kontext bzw. in Verfassungen, in denen man sich unwohl fühlt, zum Beispiel in der eigenen Organisation. Stummheit oder Vergessen, sagt sie, wären auch Ausdruck einer sadomasochistischen Kollusion, also dem Zusammenspiel von zwei unterschiedlichen psychischen Dynamiken im Sinne von Interaktionsmustern: die eine fühlt sich unterlegen, die andere überlegen – beide haben dann was davon, so zu reagieren, wie es umgesetzt wird.
Wer vergessen wird, vergisst
Diese Konstellation beschreibt sehr prägnant ein uns bekanntes Machtgefüge in vielen hierarchisch angelegten Organisationen. Wenn wir nicht gehört werden, uns als Verlierer sozial-kommunikativer Konstellationen betrachten und infolge dieser Verluste Fatalismus entwickeln, neigen wir dazu, uns resignativ, passiv zurückzunehmen. Das Vergessen ist dann Teil einer situationsbedingten, unbewussten oder halbunbewussten passiv-aggressiven Strategie. Diese Strategie kennt vermutlich jeder von uns, denn es gibt keinen durchgängig passiv-aggressiven Typus – ein passiv-aggressives Interaktionsmuster ist stets an bestimmte Verfassungen gebunden, nicht prinzipiell an Menschen schlechthin. Wenn man vergisst, fühlt man sich in der damit gekoppelten Verfassung kontrolliert und neigt zur Abspaltung bzw. Delegation. Sicherheitsmaßnahmen müssen dann zum Beispiel „die anderen“ situativ für einen selbst mit-übernehmen. Eine derartige Haltung, eh nichts zu Sicherheitsmaßnahmen beitragen zu können, erleben wir häufig in Organisationen, die InfoSec vor allem aus technisch-prozessualer Perspektive betrachten und steuern bzw. dazu neigen, das Menschliche zu „vergessen“. Im Umkehrschluss könnte man also behaupten: Wer vergessen wird, vergisst. Eben auch Sicherheitsregeln.
Mangelndes Selbstwertgefühl– Risiko für die InfoSec
Wie können aber Organisationen die unproduktiven Situationen passiver Aggressionen und den damit verbundenen Mangel des Selbstwertgefühls ihrer Mitarbeitenden überwinden? Ganz einfach: die Menschen miteinbeziehen und miteinander sprechen. Zum Beispiel darüber, wo wann bzw. bei welchen Gelegenheiten Sicherheitsmaßnahmen „vergessen“ werden. Dabei müssen Sie genau hinschauen: Ist das Vergessen im Sinne eines oft bemühten Klischees „lediglich“ Überforderung oder ist es – seriös gedacht – etwa Ausdruck einer passiven Aggression. In jedem Fall, so Kast, sollte das „Auftragswesen“, mithin die Rolle der Mitarbeitenden und der Grad der Delegation, überprüft werden. Je stärker Organisationen Kanäle technisch-prozessual abdichten, je größer das Entmündigungsgefühl der Menschen, umso stärker das passiv-aggressive Potential mit einem deutlichen Risiko von „Vergessen“ und potenziell damit verbundenen Security Incidents. Wenn man „vergisst“, fühlt man sich kontrolliert und damit auch entwertet, d. h. man fühlt sich als „wertlos“.
Und noch ein kontextuelles Detail, das die Nähe zur Informationssicherheit belegt: Passive Aggression ist persönliche Risikovermeidung, jedoch eine, die eben nicht zur Stärkung der InfoSec beiträgt. Im Gegenteil: eine passiv-aggressive Kommunikationskultur stellt ein hohes Sicherheitsrisiko dar. Wir sollten uns vielmehr „aktiv aggressiv“ miteinander auseinandersetzen. Denn Ärger, der konstruktiv wirksam wird, macht zwar – „gute“ wie „schlechte“ – Emotionen spürbar, trägt aber eben auch zu Entwicklung und Selbstentfaltung von Individuen und Gemeinschaften bei. Wer seinem Ärger offen Luft verschafft, überwindet die Angst, der andere könnte hierauf ausschließlich negativ reagieren und lernt eben auch die eigenen Grenzen kennen, weiß wann die Situation eskalieren könnte und aus Aggressionen potenziell unproduktive Aggressionsketten werden. Eine offene Aussprache von Ärger fördert die Verbesserung der Kommunikation und somit auch das soziale Miteinander bzw. die Produktivität innerhalb einer Gemeinschaft. Reibung erzeugt Wärme.
Der Subtext macht die Botschaft
Miteinander reden oder – wenn das nicht so gut funktioniert – (paradoxe) Interventionen können dazu beitragen, aus dem Dilemma der oben beschriebenen Kollusion herauszufinden. Verena Kast beschreibt in diesem Kontext unter anderem eine erfolgreiche Intervention eines Mannes, der seiner Ehefrau damit konfrontierte, sich selbst in ein sehr teures Hotel zu verziehen für den Fall, dass sie erneut in eine ihm hinlänglich bekannte und unangenehm aufstossende Schweigephase verfallen sollte. Nach einiger Zeit war allein‘ das Kofferpacken ausreichend, um ihr passiv-aggressives Schweigen zu unterbrechen. Gerade das Bewusstwerden bzw. Sichtbarmachen von passiv-aggressivem Verhalten hilft dabei, einen drohenden Kommunikationsabbruch zu verhindern. Passive Aggression ist häufig Teil einer ungesunden Machtkonstellation – die Kehrseite ist die Ohnmacht, denn Machtzuwachs ist stets ein Ausschluss aus dem Wir. Ohne das Wir können auch die Sicherheitsprofis Organisationen nicht adäquat schützen.
Offene Auseinandersetzung – Verstärkung der Human Firewall
Wenn Sie also künftig Security Incidents in Ihrer Organisation auf Grundlage so genannter „menschlicher Fehlleistungen“ analysieren, achten Sie stets auf den Subtext, die implizite, „versteckte“ Ebene. Gerade das „Vergessen“ kann auf Reaktanz beruhen und die damit verbundenen Widerstände könnten Ausdruck einer passiven Aggression sein, deren Ursache eben auch nicht unbedingt außerhalb der Organisation verortet werden muss. Denn wenn Fehler in Bezug auf Informationssicherheit passieren und die damit verbundene passiv-aggressive Reaktion auf Prozesse oder Kultur Ihrer Organisation zurückzuführen sind, sind Sie nicht machtlos, sondern können etwas dagegen unternehmen.
Kultur ist modellierbar. Lassen Sie die Menschen, die Informationssicherheit mit uns umsetzen und gegen Risiken verteidigen, nicht alleine. Versuchen Sie, die toxische Trennung von Macht und Ohnmacht zu überwinden. Awareness bedeutet stets das Einbeziehen von Kultur, eben auch systemisch bedingte Ängste zu überwinden und das manchmal Unangenehme in Organisationen zu thematisieren.
Durch das Ansprechen von zum Beispiel passiver Aggression als oft verständliches, aber im Zweifel eben „ungünstiges“ Reaktionsmuster kann vor allem das wichtige Prinzip „Talking Security“ produktiv um- gesetzt werden. Denn gerade Diskurse darum, wer wann welchen Ärger zurückhält, – natürlich ohne Bloßstellung einzelner Personen – stärken den viel beschworenen menschlichen Faktor, das Selbstwertgefühl des Einzelnen innerhalb der Gemeinschaft und damit auch die auf die Organisationsmitglieder verteilte Defense-Idee einer „human centered“ Information Security – die Mitarbeitenden als kooperierende Sicherheitskette einer Human Firewall.
Der Autor:
Dietmar Pokoyski, Geschäftsführer der Awareness-Agentur known_sense und gemeinsam mit Michael Helisch Herausgeber des einzigen Fachbuchs zum Thema in Deutschland. Seit 2005 hat er zahlreiche Awareness-Games und Kampagnen kreiert bzw. als Trainer und Supervisor Game Based Security Events in 60 Ländern und 30 Sprachen durchgeführt bzw. begleitet. Mit known_sense erhielt er zahlreiche Auszeichnungen, u. a. den „IT-Sicherheitspreis NRW“ (2007) sowie den „OSPA – Oustanding Security Performance Award“ (2015) für eine herausragende Initiative für Sicherheitsschulungen. Pokoyski ist außerdem mit Uwe Röniger Co-Produzent der TAKE AWARE EVENTS und Mitherausgeber dieses Magazins.