Heartbleed ist nicht nur die größte Sicherheitslücke, die das Internet bisher getroffen hat. Es ist auch ein Musterbeispiel für gutes Community Building. Noch nie zuvor hat ein technisch so komplexes Thema innerhalb von wenigen Stunden die Weltöffentlichkeit erreicht und Veränderungen des Surfverhaltens bewirkt. Grund genug, sich eine der erfolgreichsten Kampagnen des Netzes genauer anzuschauen. Von der Kommunikationsstrategie hinter Heartbleed kann das Community Building viel lernen.
Die Herausforderung
Stellen Sie sich vor, Sie müssen ca. 70% des gesamten Internets erreichen. Als ob dies nicht schon schwer genug wäre; Sie haben dafür auch noch wenig Zeit. Denn: Zwei aus drei Servern sind auf eine recht komplexe Art und Weise verwundbar, sodass jegliche Verschlüsselung für Datentransfers ausgehebelt werden können. Also müssen zwei Drittel aller Server ein Update erhalten. Wie gehen Sie vor? (Vielleicht nehmen wir diese Frage in unserer Marketing-Assessment auf, nur um zu schauen, wie Bewerber darauf antworten.)
Stakeholderanalyse: Manager und Techies
Auch wenn das notwendige Update durch Server-Administratoren (vereinfacht: Techies) durchgeführt wird, gibt es eine wesentliche zweite Zielgruppe: Die Vorgesetzten. Diese verstehen die genaue Funktionsweise von Heartbleed nicht und müssen durch die Techies überzeugt werden, dass diese Arbeiten nun sofort sein müssen und dass alle anderen Arbeiten warten können. Die Techies selbst verstehen die Dringlichkeit und Bedeutung der Lücke größtenteils und haben somit einen geringeren Informationsbedarf. Wir halten fest: Die wesentliche Zielgruppe sind die Manager, die eine Freigabe für die Updates erteilen müssen. Der Rest der Welt muss zumindest die Botschaft streuen.
Reichweite & Kommunikationskanäle
Wo treiben sich denn unsere beiden Zielgruppen herum? Gibt es vielleicht einige große Webseiten, die beide Zielgruppen ansprechen könnten? Bei einer solch globalen Ansprache gibt es nur einen Weg für die Verbreitung: Schnell möglichst vielen weitersagen! Ob dies via Social Media, Dark Social (E-Mail, Messanger, SMS etc.), Rohrpost oder sogar durch traditionelle Medien geschieht ist vollkommen irrelevant. Zu bedeutsam ist es und zu schnell muss es gehen. Aber wie helfen wir dabei, dass jeder das Thema weiter tragen kann und möchte?
Identification und Brand Building
„CVE-2014-0160“ – diesen wunderschön einprägsamen Namen trägt die Sicherheitslücke. Wie der Name schon sagt, handelt es sich um ein Problem unter vielen, ohne Hinweis auf die Dringlichkeit oder Bedeutung. Hier die berühmten letzten Worte dazu: „Das klingt nach etwas, was wir vielleicht nächstes Jahr angehen könnten!“ Zum ersten Mal erhielt das Problem einen knackigen, einprägsamen und gefährlich klingenden Namen: Heartbleed. Hinzu kamen ein Logo, eine eigene, klare Domain und eine Webseite.
Endlich mal nicht das bisher Bekannte: Eine ewig lange Subdomain, unter der irgendwo in einer Mailingliste vergraben ein kryptischer Text steht. Heartbleed wurde für Nicht-Techniker greifbar und durch eine visuelle Identität verkörpert. Der knackige Name machte das Thema auch auffindbar. Es musste nicht mehr nach „dem kritischen OpenSSL-Bug“ gesucht werden. Stattdessen ein einziges, zuvor kaum genutztes Wort, um überall Diskussionen und Beiträge dazu zu finden: #Heartbleed oder einfach nur Heartbleed.
Die richtige Ansprache
Die Webseite unter Heartbleed.com ist aber nicht nur knuffiger und griffiger als die Ankündigungen bisheriger, kritischer Sicherheitslücken. Auch die verwendete Sprache ist besonders, denn es wird aus der Sicht eines Managers geschrieben. Die Bedrohung wird nicht für Techies formuliert, sondern richtet sich an die Ängste und Sorgen von Managern (kritische Dokumente, Passwörter…). Heartbleed.com ist also die zentrale Anlaufstelle, die speziell den Verbereitenden und den Managern helfen soll, die Dringlichkeit des Problems zu verstehen. Jeder kann darauf linken, ohne zu „geekig“ zu wirken. Ein Entscheider findet darauf Informationen, die in seiner Sprache geschrieben sind.
Die globale Community entwickelte sich
Am Montagabend dem 07.04. kamen die ersten frühen Beiträge (http://blog.cloudflare.com/staying-ahead-of-openssl-vulnerabilities) zu der Sicherheitslücke online, wohl gemerkt noch ohne Nennung von „Heartbleed“. Nur wenige Stunden später kam Heartbleed.com online und das Thema ging durch die IT-Fachpresse, zahlreiche Blogs und IT-Communities. Fast alle Artikel kamen nach dem Launch von Heartbleed.com online und nannten explizit Heartbleed, viele deutsche Veröffentlichungen beschrieben es treffend als „GAU“ oder sogar „Super-GAU“.
Jeder half mit auf seine Art und Weise. Bei uns schlug der Link auf allen Kanälen mehrfach ein: Zahlreiche E-Mails, Nachrichten auf Skype, Facebook, Whatsapp, Threema, WeChat, eine sogar auf ICQ und mehrere Anrufe kamen hinzu. Die einzigen beiden Kanäle, die anscheinend nicht genutzt wurden, waren der Brief und das Fax. Schnell kam ein kleines Werkzeug hinzu, um zu prüfen, ob eine Webseite noch verwundbar oder schon sicher ist. Dieses Tool ermöglichte auch den Versand von Prüfergebnissen zu einer spezifischen Seite, sodass man diesen Link dem Betreiber auch direkt zusenden konnte samt Erklärung und dem rotem Pranger „UNSICHER!“.
Multiplikatoren und Champions gewinnen
Dienste und Webseiten, die nicht zügig abgesichert wurden, erhielten in der Frühphase von zahlreichen Online-Nutzern noch freundliche Hinweise auf Twitter, Facebook und auch via E-Mail. Später wurden diese Hinweise sehr viel kritischer und eindringlicher. So hatten wir z.B. alle Dienste mit Logins für Nutzer und Kunden abgesichert, aber noch nicht unsere eigene Webseite, die aber keine Daten, außer unseren schönen Blogbeiträgen beinhaltet. Dies alleine reichte für zahlreiche, teils bissige Hinweise seitens der Web-Community. Die Lawine war also ins Rollen gekommen und jeder der nicht mitzog wurde mit Online-Kommunikation überschüttet. Nach Shitstorms und Candystorms gibt es nun auch neutrale Mediastorms, die aber in lokalen Mini-Shitstorms münden können.
Höhepunkte
Die Wikipedia-Seite zu Heartbleed wird derzeit täglich öfter überarbeitet als die Seite der Krim-Krise. Mein persönlicher Höhepunkt ist die Titelseite der Bild am Sonntag vom 13.04.2014 mit dem Titel „Angriff auf alle Passwörter“. Auf Twitter wurde Heartbleed ein Trending Topic, auf jeder Social Media Präsenz befanden sich Beiträge dazu, sogar auf Seiten, die thematisch weiter entfernt sind (z.B. Pinterest, Gutefrage.net).
Was bedeutet das jetzt für den Aufbau eines Sozialen Netzwerkes?
- Wähle einen griffigen Namen
Der Name sollte griffig sein und klarstellen, um was es geht oder für wen es relevant ist. Es sollte unbedingt vermieden werden, einfach „Intranet“ oder „intern“ zu nutzen. Damit identifizieren sich die Nutzer selten und es ist nicht griffig genug, um darüber sprechen zu können. Hier einige Ideen für Benennungen:
-
-
- Mein.Unternehmensname (z.B. „mein.mixxt“)
- Unser.Unternehmensname (z.B. „unser.mixxt“)
- Unternehmensname/Produktname + Community (z.B. tixxt Community)
- Unternehmensname + intern (z.B. BVCM intern)
- Zielgruppe + Club/Portal/Community (z.B. SEAT Verkäuferclub)
- Fantasienamen (schwer, sollten nicht zu „abgehoben“ sein und müssen passen!)
-
2. Wesentliche Stakeholder identifizieren
Zu oft starten Plattformen, Intranets und Extranets aus der Sicht des Betreibers heraus. Es muss aber unbedingt aus der Sicht der Stakeholder heraus konzipiert, kommuniziert, dokumentiert und realisiert werden!
3. Ton treffen
Bei Heartbleed hat dies wunderbar funktioniert. Das technische Thema wurde für die Entscheidungsträger ideal und verständlich formuliert. Die Priorität konnte von den Managern fast nur noch richtig eingestuft werden.
Zweifel, Sorgen und Bedenken müssen vorab identifiziert und angesprochen werden. Mindestens sollte dies in der Dokumentation geschehen. Die Multiplikatoren brauchen oft Hilfe dabei, die Begeisterung auch weiter tragen zu können.
4. Nutze eine visuelle Identität
Das Heartbleed-Icon hat eine starke und emotionale Bildsprache und fasst das Problem perfekt mit einem einzigen Blick zusammen. Uns blutet heute noch das Herz.
Design und User Experience spielen eine wesentliche Rolle bei der Akzeptanz einer neuen Plattform. Sie sagen den Nutzern recht direkt, wie wichtig die Plattform für den Betreiber ist und wie ernst er es meint. Ein „dahingeschlunztes“ Design wirkt lieblos, motivationslos und schafft weder Respekt noch Seriosität.
5. Keep it simple
Je komplizierter es wird, desto eher baut sich eine Einstiegshürde auf, die von vielen Nutzern nicht überwunden wird. Die Registrierung und die Teilnahme sollten so einfach wie möglich gehalten werden, bei internen Lösungen ist ein Single Sign-On unerlässlich. Zusätzlich helfen einfache, klar definierte „Erste Schritte“ als Empfehlung (Füllen Sie Ihr Profil aus, stellen Sie sich hier vor, usw.), eine einfach zu durchsuchende und schnell konsumierbare Dokumentation sowie eine Erklärung für alle Fachbegriffe und Besonderheiten. Keiner macht mit, wenn sie oder er es nicht verstehen.
Erfolgreich wird die Plattform nur, wenn eine breite Masse diese versteht und akzeptiert.
6. Klare Zielsetzung
Machen Sie deutlich, was erreicht werden soll. Zu oft gehen Impulse und Motivation bei Nutzern verloren, weil ihnen unklar ist, worum es geht. Man will ja nichts falsch machen, vor allem wenn unter dem eigenen Namen veröffentlicht wird und dies im Kreise der beruflichen Mitstreiter eine breite Öffentlichkeit erlangt.
7. Vorbereitet sein, Antworten haben
Je mehr Vorbereitung in die Konzeption und Umsetzung fließt, desto mehr Einwände und potenzielle Probleme können identifiziert werden. Deshalb sollte bei der Stakeholderanalyse sowie bei der Sammlung der Anforderungen zu jeder Anforderung auch das Risiko identifiziert werden, welches der Nutzung und Akzeptanz entgegen stehen könnte. Dies können z.B. persönliche Bedenken der Nutzer, Bedenken von oder gegenüber dem Management, wie auch mangelnde Endgeräte oder mangelndes Verständnis für die Funktionalität sein. Wird dies aber vorab identifiziert, kann diesen Herausforderungen auch aktiv entgegen gewirkt werden.
[twoclick_buttons]