Soweit die Theorie, nur wie schaffen Sie es, dass sich das Thema nicht abnutzt und alle genervt abwinken, wenn im Alltagsstress wieder mal eine Mail von Ihnen aufpoppt?

Die Kunst ist, zielgerichtet und niederschwellig zu agieren. Jeder Mitarbeiter bekommt nur das, was ihn auch betrifft, und das Relevante muss auf einen Blick zu sehen sein. Grundsätzlich versuchen wir so oft wie möglich, einen Bezug zum privaten Bereich zu schaffen und die Kollegen darüber abzuholen. Das kann der Schutz des Online-Bankings sein, eine gefälschte Rechnung, die im E-Mail-Fach landet, oder die regelmäßige Datensicherung der eigenen Festplatte. So bringen wir die Leute zum Nachdenken: Würde ich das zuhause auch so machen? Möchte ich, dass jemand am Telefon solche Informationen über mein eigenes Kind oder meinen Angehörigen herausgibt? Es geht immer darum, ein gesundes Empfinden für IT-Sicherheit zu entwickeln.

Spielen Ihnen da konkrete Angriffe wie der, den Sie 2019 selbst erlebt haben, oder „Horrormeldungen“ wie die von der Cyberattacke auf die Uniklinik Düsseldorf im September 2020 in die Hände? Rüttelt das wach?

Es hilft uns auf jeden Fall – allerdings müssen wir auch aufpassen, dass dadurch nicht der Eindruck entsteht, dass man sich eh nicht schützen kann. 100-prozentige Sicherheit gibt es zwar nie, doch wir wollen die Risiken und Angriffsflächen minimieren. Das alles soll obendrein wirtschaftlich und für die Anwender auch noch handelbar sein.

Geht das wirklich nur mit Zuckerbrot?

Wir versuchen, Lösungen zu bieten, die die Leute überzeugen. Wer erkennt, dass etwas hilft, der macht auch mit. Und je sensibilisierter die Beschäftigten sind, desto weniger müssen wir mit technischen Einschränkungen klotzen. Doch manchmal braucht es eben auch konkrete Forderungen – etwa wenn es um rechtliche Vorgaben geht. Und wenn dann jemand immer wieder die gleichen Probleme hat und auch nach einem Anschreiben und Gesprächen mit dem Chef oder dem nächsthöheren Vorgesetzten kein Lerneffekt erkennbar ist, sollte das schon geahndet werden. Aber grundsätzlich bleibt der Ansatz: Strafe nein – Kontrolle ja.

Das alles klingt ein wenig wie Don Quijotes Kampf gegen die Windmühlen.

Natürlich werden unsere Maßnahmen nicht von allen geliebt – zum Beispiel wenn wir es technisch erzwingen, dass Passwort regelmäßig zu ändern oder wenn der Internet-Zugang durch zwischengeschaltete Datenschleusen etwas unkomfortabler wird. Aber das müssen wir aushalten. Wir müssen die Leute aus ihrer Komfortzone holen und jedem klar machen, welche Verantwortung er für den Schutz und die Behandlung der Patienten trägt. Es gilt, alle zu überzeugen, dass der Nutzen der Sicherheitsmaßnahmen höher ist als der zuweilen damit verbundene Aufwand. Wer die höchste Sicherheit haben will, muss auch maximal mitdenken.