ÜBERFÜHRE UNKLARES IN KONKRETES UND FASSBARES!

08.08.2016 Allgemeines

Angesichts einer prekären Bedrohungslage legte Lothar-Günther Buchheim in „Das Boot“ seiner Romanfigur Kaleun den Ausspruch in den Mund: „Jetzt wird‘s psychologisch, meine Herren!“ Das ist freilich nicht auf die Welt unter dem Meeresspiegel begrenzt. Auch der Unternehmenssicherheit kann man sich mit dem Blick durch die psychologische Brille nähern – was ebenso selten geschieht, wie es schade ist, dass die Sicherheitsbranche vor allem gekennzeichnet ist durch sich rasant entwickelnde Hochtechnologie, mathematische Gesetze der Logik und die binäre Eindeutigkeit von Nullen und Einsen.

Welche Rolle soll da eine Geisteswissenschaft spielen? Eine wichtige! Denn die Beschaffenheit unserer psychischen Konfiguration, die uns durch die Jahrmillionen der Evolution an die Spitze der Schöpfung geführt hat, kann uns im digitalen Zeitalter auf den letzten Millimetern dieses langen Weges arg im Stich lassen.

Durch unser Denken – oder besser: die überragende Ratio einiger Genialisten – hat die Menschheit zwar all diese Technologien hervorgebracht, aber unser Fühlen und das daraus abgeleitete Handeln bewegt sich im Kontrast dazu noch immer irgendwo zwischen Steinzeit und Mittelalter. Wer sich daher früher als andere einiger elementarer psychologischer Mechanismen und ihrer Auswirkungen im erweiterten Umfeld der IT-Sicherheit bewusst wird, kann seine Strategie früher und produktiver danach ausrichten. Profitieren kann hier nicht nur die viel zitierte Marketingabteilung oder der pfiffige Vertriebler, sondern auch der Sicherheits- Verantwortliche, Softwareingenieur, Personalentscheider und Unternehmensberater bis hin zum Endanwender – schlicht die gesamte versammelte Branche, die inzwischen immer tiefer den Alltag des Homo sapiens digitalis durchdringt.

Grundlagen

Das Streben nach Sicherheit ist gemäß der vom amerikanischen Psychologen Abraham Maslow ab 1943 begründeten Theorie menschlicher Motivation eines der am tiefsten verwurzelten psychologischen Bedürfnisse überhaupt und folgt unmittelbar physiologischen Notwendigkeiten wie Nahrungsaufnahme oder Schlaf. Gegenspieler ist die Angst, Mutter alle Emotionen und späterer Ausdifferenzierungen. Schon vor Milliarden Jahren siebte die Evolution jene Mikrolebensformen aus, die das beste Gespür für eine aufkommende Bedrohungslage (beispielsweise Sauerstoffmangel, Hitze) entwickelten und daraufhin in der Lage Unternehmensbewaren, sich frühzeitig in Sicherheit zu bringen.

Nur wer überlebt, kann sich fortpflanzen. Am Ende dieser Stressresistenz-Kette, steht – zumindest heute – der Mensch. Wir halten daher fest: Sensorik (= Gespür/ Gefühl) und Motorik (= Reaktion/Handlung) waren die neuronalen Verkettungsbausteine, die Millionen Generationen später zu höheren kortikalen Strukturen führten, die man als Denken bezeichnen kann. Indes ist das Sich-seiner-selbstbewusste- Denken ein Privileg jüngster Entwicklungsgeschichte, über das wir gerne vergessen, welche tiefen Funktionsmechanismen immer noch und vielleicht sogar überwiegend in uns Regie führen, insbesondere dann, „wenn es brenzlig wird“: nämlich das Bauchgefühl. Das mündet in einer provokanten Behauptung: Sicherheitsfragen werden in einer Vielzahl – insbesondere kleinerer – Firmen immer noch gegen die Vernunft und den aktuellen Wissensstand überwiegend vom Bauch und nicht mit dem Kopf beantwortet.

Dies birgt eine große unternehmerische Gefahr, deren Zusammenhänge Entscheidungsträgern zumindest bewusst sein sollte. Damit wir uns nicht missverstehen: Als Psychologe bin ich ein Anhänger intuitiver Entscheidungen und würde im Sinne der Homöostase, dem Streben nach einem Zustand des Gleichgewichts, unglücklichen Menschen im therapeutischen Setting immer dazu raten, sich auf ihr Bauchgefühl zu verlassen. Nicht von ungefähr nehmen Stresssymptomatiken, Angststörungen, Burnout und andere Krankheitsbilder des Sich-überfordert- Fühlens in modernen Gesellschaften rasant zu. Das unbewusste Ich rebelliert so im Kampf mit der Ratio gegen die Resultate der ach so vernünftigen Sachzwänge. Was aber die Unternehmenssicherheit angeht, so müssen wir sehr aufpassen, dass uns unsere archaischen Mechanismen, also nach dem Gefühl zu entscheiden, nicht ins offene Messer laufen lassen.

„Wir sind von Sinnen“

Zur Bewältigung unserer Herausforderungen spielte die Verbindung zur Außenwelt eine entscheidende Rolle. Hierfür hat die Evolution unsere Sinnesorgane und nachgeordnete Verarbeitungsmechanismen entwickelt und geschärft. Jedoch sind die menschlichen Sinne seit Urzeiten ausgerichtet an einer physikalischen Welt mit spürbarer Präsenz, die sich also in Raum und Zeit erstreckt. Genau diese Eigenschaften gehen unserer globalisierten, digitalisierten und virtualisierten (Arbeits-)Welt immer mehr verloren.

Der Burgherr konnte sich noch auf seine soliden Mauern stellen und, so weit das Auge reichte, sicher sein, dass ihm keine Raubritter etwas anhaben konnten. Die Dörfler konnten nachts die Ohren spitzen und in den Wald lauschen, ob sich jemand nähert. Und wir schütteln noch immer mit unseren Händen am Tor, um uns zu vergewissern, wirklich geschützt zu sein. Diese unmittelbaren Sinneseindrücke haben eine deutlich höhere Qualität als das Versprechen meines Firewall- Lieferanten, dass die neueste Firmware nun „noch sicherer“ sei. Das soll beruhigen, doch es entzieht sich der unmittelbaren sinnlichen Wahrnehmungsmöglichkeit und Überprüfbarkeit.

Es bleibt, es zu glauben, was bekanntermaßen nicht wissen bedeutet. Anders ausgedrückt: Meine Entscheidung beruht gegebenenfalls auf Vertrauen (= Gefühl), wo doch bekanntlich Kontrolle (= Denken) besser wäre. Grenzen unserer Vorstellungskraft Trotz unseres neurologischen Potenzials zur kreativen Abstraktion führte die explosionsartige Entwicklung modernster elektronisch-virtueller Technologien zur maximalen Belastungsprobe unserer Vorstellungskraft, die jedoch elementare und tagtägliche Grundlage unserer Entscheidungen ist.

Ähnlich der Sinnesorgane richten sich auch unsere geistigen Repräsentationen der Welt und ihrer Zusammenhänge recht nah an einem analogen Abbild unserer Umwelt aus und werden verstärkt geprägt in unserer Kindheit. Deswegen sind wir auch spätestens seit „Aktenzeichen XY … ungelöst“ in der Lage, uns vor unserem geistigen Auge einen Film von einem Einbruch auszumalen: Im Schutze der Dunkelheit bricht Langfinger Ede durch ein Fenster in ein Nachbarhaus ein und tut Unrechtmäßiges. Dass Ede inzwischen ein namenloses Skript ist, das nicht einen, sondern Hunderttausende Einbruchversuche ausübt – und das auch noch zeitgleich, rund um die Uhr und rund um den Globus – ist hingegen unendlich viel schwerer zu begreifen. Dass Ede womöglich sogar von jemandem geschickt wurde, den wir bis dato zu unseren Freunden zählten, stellt unser inneres Weltbild noch mehr auf den Kopf. Die Folge kann sein, dass wir uns auf unser Gefühl verlassen und es nicht glauben können oder gar wollen, was wiederum fatalen Einfluss auf unsere Sicherheitsstrategie hat: Die Fenster werden zwar vergittert, aber die PCs bleiben ohne Passwortschutz.

„Alles wird gut!“

Mutter Natur hat uns mit einer hervorragenden Eigenschaft ausgestattet, nämlich dem Glauben an die eigene Unverletzlichkeit. Im Volksmund spricht man auch gern vom „gesunden Optimismus“. Würde unsere Seele nicht grundsätzlich über diese gefahrverdrängende Befähigung verfügen, wären wir schlagartig gelähmt, würden uns nicht vor die Tür trauen, hypochondrisch verängstigt in einer Ecke zittern und hinter allem nur Gefahr wittern. Deswegen hat uns die Evolution zu schlechten Stochastikern gemacht. Bei der Abschätzung von Wahrscheinlichkeiten verrechnen wir uns grundsätzlich zu unseren Gunsten, sonst würde keiner mehr in ein Auto steigen oder Lotto spielen.

Und zur Krebsvorsorge gehen wir auch nur, weil dafür massiv und prominent geworben wird. Hinter allem steckt der gesunde Glaube: Gutes trifft mich, Schlechtes die anderen. Nun stammt dieses positive, egozentrische Selbstgefühl jedoch aus einer Zeit, in der der Mensch unmittelbarer im Leben und seiner Umwelt stand und maßgeblich gestaltend darauf einwirkte. Der eigene Grad an Energie und Mut beeinflusste spürbar positiv das Ergebnis. Wer dem Gegner entschlossen entgegentrat, vermittelte ihm anhand von Gesten, Ritualen und (Schutz-)Reflexen Überlegenheit – und der ergriff womöglich die Flucht. Bei den heutigen sicherheitsrelevanten Fragestellungen greift aber dieser Wirkmechanismus ins Leere. In den anonymen Weiten des Netzes ist die Relation zwischen Täter und Opfer eine Einbahnstraße. Ein Hacker tritt uns nicht real entgegen, es findet keine Interaktion in einem sozialen Kontext statt.

Der Umstand, ob ich mich stark und sicher fühle und womöglich in dieser Form auftrete, hat keinerlei Rückwirkung auf den namenlosen Angreifer. Daher ist die rosarote Brille zwar weiterhin eine gesunde Lebenseinstellung, jedoch in punkto Unternehmenssicherheit das psychologische Einfallstor schlechthin und der Nährboden für etwaige Selbstüberschätzung mit entsprechender Unachtsamkeit.

Von der Sehnsucht nach Eindeutigkeit und Simplizität

Selbst wenn uns Neugierde in die Wiege gelegt wurde und wenn die intellektuell hellen Köpfe sich kritisch und wohlgemut aufmachen, der Informationsüberflutung und der immer weiter fortschreitenden Ausdifferenzierung Herr zu werden, so müssen wir doch akzeptieren, dass dies viel Energie kostet und uns alsbald ermüdet. Der Grad an Komplexität nimmt – entgegen anderslautender Marketingsprüche („Jetzt noch einfacher!“) – exponentiell zu.

Wir können heilfroh sein, dass die Menschheit den Schritt auf den Mond in den 1960er Jahren mit der Kapazität eines heutigen Taschenrechners vollbrachte. Im 21. Jahrhundert wäre das Unterfangen zum Scheitern verurteilt: Vor lauter anstehenden Updates würde die Umlaufbahn nie verlassen werden. Je multifaktorieller, -medialer und -kausaler die Welt da draußen wird, desto stärker wächst die Sehnsucht nach einfachen, klaren und schlüssigen Antworten. Das sahen wir jüngst am europapolitischen Populismus, und wir kennen es von den Heilsversprechen extremistischer Fundamentalisten. Unsere Seele liebt eindeutige und verlässliche Zusammenhänge, unabhängig von ihrer Verifizierbarkeit.

Wenn sich Richtig und Falsch, Gut und Böse klar zuweisen lassen, findet der überforderte Mensch darin wieder Halt und somit seine innere Stabilität. Die Schere zwischen dem technisch Machbaren und dem individuell Benötigten und überhaupt noch Beherrschbaren klafft so weit auseinander wie nie. Wenn sich aber diese innere Zerrissenheit nicht rational-logisch befrieden lässt, reagiert unser Organismus mit downsizing und greift zu seiner Entlastung auf – im wahrsten Sinne des Wortes – Altbewährtes zurück. Unser Bauch aktiviert das archaische Notfallprogramm namens Flucht: Lage unklar – daher zurück in die (scheinbar) sichere Höhle.

Bezogen auf die Unternehmenssicherheit mag hier – unter Umständen – ein tiefenpsycho(un)logisches Phänomen auftreten: Statt sich einer potenziellen Gefahr aktiv zu stellen, sich also Informationen einzuholen, Berater zu konsultieren oder eine neue Technik einzuführen, wird das Problem „(schein-) gelöst“ – durch Weggucken und Wegducken: „Was ich nicht weiß, macht mich nicht heiß.“ Warnmeldungen werden unterdrückt, Einblendungen weggeklickt und Hinweise ignoriert. Die Psychologie spricht hier auch gern von selektiver oder erwartungskonformer Wahrnehmung. Dies kann sowohl den einfachen Angestellten als auch die Firmenleitung betreffen. An die Stelle einer einigermaßen objektiven Sicherheit durch Problemlösung tritt eine subjektive Scheinsicherheit durch penetrante Problemleugnung. Diese „Höhlenwände“ können sehr massiv sein. Je komplexer und widersprüchlicher die Lage, desto größer die drohende Instabilität des Betroffenen und desto stabiler die Hilfskonstrukte, die ihn vor dem Kollaps bewahren sollen.

„Jetzt erst recht!“

Es gibt noch zwei weitere Mechanismen aus den Tiefen der „Psychotrickkiste“, die neben der Leugnung ebenfalls individuelle Reaktionen auf die Wahrnehmung zu hoher Komplexität darstellen können. Bei der IT-Sicherheit vergeht keine Woche, in der nicht ein weiterer großer Player im Online-Geschäft bekanntgeben muss, Opfer eines Angriffs geworden zu sein, bei dem Abermillionen Datensätze in falsche Hände gerieten. Diese Botschaften vor dem Hintergrund immer neuer Enthüllungen um NSA & Co. sowie die alltägliche Erfahrung, dass scheinbar nichts und niemand mehr vor überhaupt irgendetwas sicher ist, führt bei vielen zum Gefühl der Ohnmacht. Oder wie es 1967 Martin Seligman – damals bezogen auf die menschliche Depressionsforschung – nannte: erlernte Hilfslosigkeit.

Wer wiederholt die Erfahrung machen muss, dass unabhängig davon, wie er sein Verhalten variiert, es trotzdem nicht zum erwarteten Erfolg (hier: Sicherheit) führt, erlebt sich als unwirksam und inkompetent und reagiert mit Demotivation, Gleichgültigkeit und bewusst fahrlässigem Verhalten. Sollte dieser Mechanismus erst einmal bei einem Mitarbeiter ausgelöst sein, wird er zum Unternehmensrisiko. Mitverfolgen konnte man dies jüngst in Forum-Reaktionen auf das „Heartbleed“- Leck. Nicht selten gab es Aussagen wie „Seit 27 Monaten mussten wir nichts tun, aber nun auf einmal!“ oder „Was soll schon einer mit den Passwörtern anfangen? Ist doch alles nur Panikmache!“ waren nicht selten. Ein solches Verhalten nennt die Psychologie „Reaktanz“: Jemand schreibt mir vor, was ich zu tun habe, und nimmt mir dabei meine Entscheidungsfreiheit – woraufhin ich sie in besonderem Maße verteidige.

Im Extremfall kann es sogar so weit gehen, dass ein Betroffener ein für ihn völlig atypisches Verhalten an den Tag legt („Und jetzt erst recht!“). Auch hier wieder sind Gefühlsverletzungen und leider eben unvernünftige Gründe Entscheidungsgrundlage für (un)sicherheitsrelevantes Verhalten. Dies kann ein Unternehmen teuer zu stehen kommen.

Und nun?

Natürlich drängt sich die Frage auf, wie man mit diesen zumeist subtilen psychologischen Mechanismen mit Blick auf die Verbesserung der Sicherheitslage eines Unternehmens umgeht. Bewusstmachung durch Benennung und Wissensvermittlung ist ein wichtiger Schritt. Aber wie begegnet man diesem potenziellen Risikoverhalten? Grundprinzip jeder Intervention muss sein, nicht etwa gegen die tiefenpsychologischen Strukturen anzugehen, sondern sich ihr Potenzial zu Nutze zu machen.

Erschrecken Sie deswegen nicht, wenn die Forderung zunächst plakativ lautet: „Schüre die Angst!“ Erinnern wir uns an den Anfang dieses Beitrags: Die Menschheit ist der bisher beste Angstmanager, den die Evolution hervorgebracht hat. Warum also nicht unsere Stärke darin zum Vorteil der Unternehmenssicherheit nutzen? Alltagssprachlich verwenden wir Angst synonym mit dem Begriff Furcht, was aber psychologisch einen riesigen Unterschied darstellt. Angst ist nämlich konkret („Ich habe Angst vor der Prüfung“), während Furcht im Unklaren bleibt („Ich fürchte mich im dunklen Keller“). Bei Furcht reagieren wir instinktiv mit Vermeidung oder gar Flucht, also mit ausweichendem und unproduktivem Verhalten.

Bei zielgerichteter Angst hingegen versetzt uns unsere archaische Programmierung in den Angriffsmodus, der mit Blick auf die Unternehmenssicherheit viel effizienter, ja geradezu optimal ist. Ziel jedweden unternehmerischen Handelns muss es daher sein, Unklares und Unbekanntes in Konkretes und Fassbares zu überführen. Der Gegner muss benannt und identifiziert werden. Neben der Notwendigkeit der technischen Analyse des Bedrohungspotenzials kann die Psychologie zudem flankierend unterstützen:

  • Bewusstmachung von Schwachstellen, etwa mittels geeigneten Coachings vor Ort: Abläufe und Mitarbeiter werden unter dem Gesichtspunkt der genannten Wirkmechanismen „zugewandt kritisch“ beobachtet und beraten. Spezielle mentale Trainings helfen dabei, mit den „inneren Stimmen“ und Stimmungen offener umzugehen. Dies mag gerade im dienstlichen und oft technischen Umfeld ungewöhnlich sein, ist aber spannend und stärkt die Persönlichkeit.
  • Die Durchleuchtung bisher aufgetretener, realer Vorfälle fördert konkrete Schwachstellen zu Tage, an denen die Sensibilität der Betroffenen geschärft werden kann.
  • Anschauliche (anonymisierte) Beispiele aus anderen Firmen der gleichen Branche helfen, die drohenden Gefahren explizit fassbar zu machen. Daraus werden Aufklärung, Information und Fortbildung anschaulich abgeleitet.
  • Da bekannterweise die Stärke einer Kette vom schwächsten Glied abhängt, ist es insbesondere mit Blick auf die Unternehmenssicherheit wichtig, jeden Einzelnen „mitzunehmen“. Hierbei hilft die Verbesserung der Kommunikationskompetenz und Teamfähigkeit. Mehr ehrliche Wertschätzung den Mitarbeitern gegenüber hebt den Identifikationsgrad und hilft die „Abwehrleistung“ der Firma zu steigern. Wird sie als der „eigene Bau“ empfunden, steigen Verteidigungswille und Aufmerksamkeit nachweislich an.
  • Die Altersverteilung innerhalb eines Unternehmens muss zu seiner Stärke werden. Der Elan der technisch fitten jungen Generation muss sich mit der Besonnenheit und Gründlichkeit der älteren Kollegen zu einer schlagkräftigen Einheit formen. Beide Elemente dürfen auf ihre Vorzüge stolz sein, aber auch ihre Defizite offen angehen und vom anderen hinzulernen wollen.
  • Der nächste Betriebsausflug muss die Gemeinsamkeit durch Stärkung des Bauchgefühls fördern; gehen Sie gemeinsam in einen Klettergarten oder ein Blindenrestaurant in absoluter Dunkelheit.

Autor Diplompsychologe Rolf Bock ist Geschäftsführer und Inhaber des Systemhauses ParaComp, wo er täglich nach Lösungen für IT-Problemstellungen in mittelständischen Unternehmen sucht. Parallel berät er in eigener Coaching-Praxis hilfesuchende Menschen in allen Lebenslagen. Über seine „Dolmetscher-Tätigkeit“ auf diesem themenübergreifenden Gebiet referiert er bei verschiedenen Institutionen (www.itk-psychologie.de).

Zurück