Ihre Unterweisungen und Datenschutz-Schulungen für die Mitarbeiter und die verschiedenen Unternehmensbereiche sind bestimmt reich gefüllt an Informationen über gesetzliche Vorgaben und Normen, beinhalten Anleitungen zur Steigerung der Datensicherheit, Hinweise auf aktuelle Sicherheitslücken und Schwachstellen, die Risiken eines Fehlverhaltens und Empfehlungen zum richtigen Umgang mit personenbezogenen Daten. Und das ist gut so, denn Datenschutzwissen gilt es zu vermitteln. Doch das Wissen allein genügt nicht.

Gut informiert, aber schlecht umgesetzt?

Bei einer Online-Befragung „Bewusstseinswandel im Datenschutz“ von TNS Infratest im Auftrag von Microsoft und dem Deutschen Digital Institut im November 2008 fühlten sich mehr als die Hälfte der Befragten (57,1 Prozent) gut bis äußerst gut über Vorkehrungen zum Schutz ihrer Daten im Internet informiert.

Doch die Befragten waren sich weitgehend einig, dass Technik alleine nicht ausreichend schützt. Wissen und Kompetenz beim Umgang mit Informationstechnologie waren ihrer Meinung nach unabdingbar.

Wissen und Verhalten klaffen oft auseinander

Ohne eine Verhaltensänderung bei dem einzelnen Nutzer bleibt das Datenschutz-Wissen leider graue Theorie. So kann es durchaus sein, dass jemand alles über das Angeln weiß, aber es will einfach kein Fisch beißen. Die Überführung in die Praxis ist beim Angeln noch recht einfach, die richtige Ausrüstung vorausgesetzt. Doch wie kann in einer Schulung ein echter Praxisbezug im Datenschutz hergestellt werden, der zu einer Verhaltensänderung führen kann?

Datenschutz-Training ohne Risiko

Natürlich soll niemand dazu verleitet werden, seine Angel nach Daten auszuwerfen, also testweise selbst Datenfischer zu werden, um persönlich zu erleben, wie leicht es oftmals ist, Daten zu stehlen.

Vielmehr sollten die Anwender im Unternehmen realitätsnah mit den Datenrisiken in Kontakt kommen. Dabei dürfen aber keine echten Daten ins Spiel kommen, und es darf auch keine echte Gefahr für die Anwender oder das Netzwerk bestehen.

Versuchsweise einen Computervirus auf den USB-Speicherstift zu laden und diesen an die Mitarbeiter auszugeben, um die Reaktion zu testen, ist eben kein Weg, um das Datenschutz-Bewusstsein durch parktische Erfahrung zu steigern.

Abstrakte Risiken erlebbar machen

Aber Risiken, die man sich nicht konkret vorstellen kann, werden in der Regel unterschätzt. Sie sollten also einen gefahrlosen Weg suchen, die Datenrisiken erlebbar zu machen, ohne echte Risiken einzugehen.

Ein gutes Beispiel, wie so etwas möglich ist, liefert Microsoft in Zusammenarbeit mit der Ludwig-Maximilians-Universität München (LMU): den Internet Risk Behaviour Index (IRBI).
Dahinter verbirgt sich ein Online-Training zur IT-Sicherheit, bei dem Punkte für das richtige Verhalten gegeben und letztlich ein Wert für das Sicherheits- und Datenschutz-Bewusstsein ermittelt wird.

Kein Multiple-Choice-Test, sondern eine Simulation

Ähnlich wie ein angehender Pilot nicht direkt dem Risiko ausgesetzt wird, eine echte Maschine alleine zu fliegen, können Internetnutzer bei IRBI die Online-Gefahren selbst erleben, ohne dass ihr Computer verseucht oder ausspioniert wird.

Zu den dort simulierten Internetsituationen, die ein Datenrisiko in sich bergen, gehören zum Beispiel

• die Einrichtung eines drahtlosen Internetzugangs (WLAN),
• die Registrierung für einen Web-2.0-Dienst (wie Social Networks),
• der Empfang einer E-Mail mit Dateianhang und
• die scheinbare Nachricht der eigenen Bank.

Dabei werden Oberflächen, Dialoge und Bildschirmmasken genutzt, die möglichst realitätsnah aussehen.

Je nach Verhalten erhält der Nutzer Punkte sowie ein Feedback zu der gerade durchgeführten Aktion. So kann man sein Wissen besser einschätzen, das Verhalten kontrollieren und zusätzlich noch einiges über Internetsicherheit lernen.