Im Herbst erhielt die ZF Friedrichshafen AG für ihre aktuell laufende Awareness-Kampagne, mit der die rund 58.000 Beschäftigten des Automobilzulieferers gegenüber den Gefahren der Wirtschaftsspionage und der Konkurrenzausspähung sensibilisiert werden sollen, den Sicherheitspreis Baden-Württemberg. WIK sprach mit dem Informationsschutzbeauftragten des Konzerns, Joachim Müller-Angstenberger, über die Kampagne.

In den weltweit insgesamt 120 Standorten des Konzerns, angesiedelt in 25 Ländern, wird seit Frühjahr 2007 ein Informationspaket eingesetzt, in dem der Umgang mit schutzwürdigen Informationen, mögliche Angriffsmethoden zum Entlocken von sensiblen Informationen (Social Engineering / Social Hacking) oder die Risiken rund um den PC erläutert werden. Bestandteile der Awareness-Kampagne sind Präsenzvorträge der Führungskräfte zum Thema, ein 20-Minuten-Video auf CD, das die wesentlichen Aspekte der Kampagne darstellt, monatlich wechselnde Poster zum Thema, zwölf Kurzvideos im Intranet im Stil der Fernsehreihe der «7. Sinn», regelmäßige Berichte in allen Firmenmedien, die Auslobung eines Sonderpreises «Informationsschutz» im TQM-Wettbewerb und eine interaktive Schulungseinheit, ebenfalls via Intranet. Die Inhalte der Kampagne sind weltweit identisch, in vielen Ländern jedoch in die Landessprache übersetzt.

Gab es einen speziellen

Sensibilisierung für einen «sauberen Schreibtisch»: Eines der Plakate aus der Awareness-Kampagne der ZF Friedrichshafen AG

Anlass für ZF Friedrichshafen, diese Awareness-Kampagne gerade jetzt durchzuführen?
Joachim Müller-Angstenberger*: Nein, es gab auch keinen speziellen Schadensfall, der als Auslöser diente. Informationsschutz-Richtlinien haben wir schon 1997 eingeführt. Es war an der Zeit diese im Unternehmen wieder stärker bekannt zu machen und zu verdeutlichen, dass Informationsschutz ein wichtiger Bestandteil der ZF-Firmenkultur ist, der auch von der Unternehmensspitze für wichtig genommen wird. Wir mussten deshalb um diese Kampagne nicht kämpfen, der Vorstand und viele Führungskräfte trugen sie von Anfang mit. Dies ist sicherlich ein Grund, dass die Kampagne bisher als Erfolg bewertet werden kann. Dazu beigetragen, dass sie zumindest in Deutschland auch bei den Beschäftigten ankam, hat sicherlich auch die durch die Massenmedien aktuell geförderte Sensibilisierung der Gesellschaft für die Gefahren der Wirtschafts- und Konkurrenzspionage.

Welches sind aus Ihrer Sicht die wesentliche Elemente des Projekts?
Joachim Müller-Angstenberger: Wichtig war insbesondere die Einbindung der Führungskräfte. Mit der Rückendeckung durch die Unternehmensspitze wurden alle Führungskräfte verpflichtet, die Kampagne und die damit verbundenen Ziele selbst durch eine «Informationsschutzveranstaltung» den Mitarbeitern vorzustellen. Auch die professionell gedrehten Videos, die in kurzen Spots die alltäglichen Risiken für den Informationsschutz und mögliche Gegenmaßnahmen zeigen, kamen gut an und sorgten für Gesprächsstoff unter den Beschäftigten.
Inhaltlicher Kern der Kampagne war es, allen zu verdeutlichen, dass Informationsschutz keine an die IT oder den Werkschutz zu delegierende Aufgabe ist, sondern dass jeder Mitarbeiter die Verantwortung für den Informationsschutz mittragen muss und es nicht mit einem Passwort am PC getan ist. Insbesondere für die Gefahren einer Informationsweitergabe in der Öffentlichkeit, etwa durch Gespräche bei Tagungen oder auch Unterhaltung und Telefonate in Verkehrsmitteln, wollen wir sensibilisieren.

Kann man den Erfolg einer solchen Kampagne messen?
Joachim Müller-Angstenberger: Allzu viele Messgrößen gibt es nicht. Für die Evaluierung sind zwei Ansätze interessant. Zum einen: Hat die Kampagne die Beschäftigten erreicht? Davon gehen wir aus, deutlich wird dies unter anderem an den Zugriffszahlen auf die Informations-Videos im Intranet. Aus einer besonders wichtigen Zielgruppe, den Mitarbeitern an Büroarbeitsplätzen, haben ca. 40% - ohne dass es eine Verpflichtung gibt - Videos angeschaut. Auch der direkte Feedback, also Anfragen bei den Informationsschutzbeauftragten zu konkreten Problemen, hat zugenommen. Negative Rückmeldungen über die Kampagne sind mir bisher nicht bekannt geworden.
Zum Zweiten haben wir auch ein qualitatives Ergebnis feststellen können: Nach der gültigen Informationsschutzrichtlinie müssen alle Informationsakte qualifiziert, also eingestuft werden. Nicht immer wurde entsprechend verfahren. Nach unseren Erkenntnissen ist diese Nachlässigkeit im Zuge der Awareness-Kampagne zurückgegangen.
Aus Unternehmenssicht hat sich die Kampagne gelohnt - und somit war insbesondere auch der nicht geringe Zeitaufwand, der durch die Einbindung der Führungskräfte entstand, gerechtfertigt.

Wird die Kampagne zum Dauerläufer?
Joachim Müller-Angstenberger: Die besondere Kampagne wird zum Jahreswechsel enden. Das bedeutet aber nicht, dass der Informationsschutz anschließend weniger wichtig ist. Beispielsweise wird aktuell eine 20-minütige online-Schulung vorbereitet, auf die die Geschäftsbereiche zukünftig zurückgreifen können, beispielsweise bei Neueinstellungen. Wir gehen auch davon aus, dass der Informationsschutz nun stärker in die Geschäftsprozesse integriert werden kann, beispielsweise im Rahmen von Qualitäts-Audits bei Produktentstehungsprozessen.

Lässt sich die Kampagne ohne besondere Mühe auch von anderen Unternehmen adaptieren?
Joachim Müller-Angstenberger: In der Form sicherlich. Natürlich waren die Inhalte speziell auf die Bedürfnisse von ZF Friedrichshafen zugeschnitten, doch der Ablauf, also beispielsweise das Schneeballprinzip bei der Weitergabe der Informationen durch Führungskräfte von oben nach unten, die Intranet-Angebote oder auch die gewählten Medien, etwa die eingesetzten Videos, die wir ja auch zugekauft haben, können in anderen Unternehmen in gleicher Weise eingesetzt werden. Kostengründe sollten nicht dagegen sprechen: Die externen Kosten für Medien - und eventuell Consulting - sind überschaubar. Entscheidend scheint mir aber die Unterstützung der Unternehmensspitze. Sie muss die Türen öffnen, damit eine solche Kampagne auch auf den niedrigeren Managementebenen mitgetragen wird und bei allen Beschäftigten ankommt.


Joachim Müller-Angstenberger ist Leiter Daten- und Informationsschutz Konzern der ZF Friedrichshafen AG und in dieser Funktion auch «Informationsschutzbeauftragter Konzern» des weltweit führenden Zulieferers für Antriebs- und Fahrwerktechnik, insbesondere in der Automobilindustrie (Jahresumsatz 2006: 11,7 Mrd. EUR). Informationsschutzbeauftragte wurden mit der Zertifizierung nach ISO 27001 eingeführt. Sie sind in der Regel dem Datenschutz oder dem Unternehmensschutz zugeordnet. Kontakt: Joachim.Mueller-Angstenberger@zf.com