These 3: Niemand will Verantwortung übernehmen oder „Ritalin für das Management“.

„Wenn die Ägypter ISO-Standards gehabt hätten, wären die Pyramiden bis heute nicht gebaut.“

Welche Rolle soll und kann das Management übernehmen? Welche Rolle spielen Standards und wieso soll sie der verantwortungsbewusste Unternehmer mit Vorsicht betrachten?

Dritte These zum Thema „Sozio-kulturelle Faktoren der Informationssicherheit“


 

Unternehmertum und Informationssicherheit

Was haben die Ägypter mit einem so komplexen Thema wie Informationssicherheit zu tun? Etwa gleichviel wie der Erbauer der Jungfraubahn Adolf Guyer-Zeller oder das Management von Boeing, das beschloss, den Jumbo Jet zu bauen. Beide mussten sich zu etwas entscheiden, was nie vorher gemacht worden war.  Sie hatten den Mut zum Risiko und wussten, dass die verwegenen Projekte viele Unwägbarkeiten beinhalteten. In beiden Fällen waren einzelne Pioniere von ihrer Vision überzeugt und konnten sich gegen kritische Stimmen durchsetzen.

In beiden Projekten geht es um Risiken und um den Umgang mit ihnen. Es ging um neue Technologien, die noch nie eingesetzt worden waren und um Verfahren, die bei der Planung nur angedacht waren. Ähnlich verhält es sich auch mit IT Projekten. Die technologische Entwicklung drängt die Unternehmen zu einem Aktionismus, der nur noch teilweise beherrschbar ist.  Die Welt der Zentralrechner wurde vom PC abgelöst, der PC durch die Mobiles und die App-Mania verdrängt. Diese Entwicklung wird vermutlich auch in naher Zukunft in einem rasanten Tempo weitergehen.

Wir haben es in diesem Umfeld mit vielen verschiedenen und wechselnden Bedrohungen zu tun, die einen Einfluss auf die Sicherheit einer Organisation ausüben. Gemäss Lehre sind Risiken dort vorhanden, wo aktuelle Bedrohungen auf ungenügende Vorkehrungen oder Schwachstellen treffen. Mehr dazu in These 9 zum Thema Risk Management[1].

In diesem Artikel soll es um die Management-Betrachtung gehen: „Wie sollen die Entscheidungsträger[2] mit diesen Risiken umgehen?“

Oder etwas präziser:

  • Wie soll das Management das Thema Informationssicherheit  angehen?
  • Können Standardisierungsverfahren und vergleichbaren Methoden einen erfolgreichen Beitrag zur Sicherheit leisten?
  • Welche Methoden führen zum Erfolg, welche soll man ignorieren?
  • Was kann und darf man von den Entscheidungsträgern erwarten?
  • Welche Rolle soll der CISO spielen?

Was ist Management?

Management ist im Grunde genommen eine einfache Disziplin. Betrachtet man die grundlegenden Entscheidungsoptionen eines Managers, lassen sich diese in zwei Gruppen einteilen[3]:

1.Die Gewinne des Unternehmens zu steigern und

2.die Risiken für das Unternehmen zu kennen und zu optimieren[4].

Wenn das Management Entscheidungen treffen muss, drehen sich diese immer um diese Kernthemen. Es wird  entschieden, ein neues Geschäftsfeld zu eröffnen, weil man ein grosses Marktpotential erkannt hat. Gleichzeitig berücksichtigt man auch die damit verbundenen Risiken, z.B. die aggressive Preispolitik eines Wettbewerbers. Man bewegt sich demnach immer auf der Grenze zwischen dem optimierten Gewinn und dem kalkulierten Risiko, welches man so weit als möglich abschätzen und (un)bewusst in Kauf nehmen möchte. Oder anders formuliert «Unternehmensführung ist die Fähigkeit zum konstruktiven Umgang mit Zielkonflikten und zum Handeln in deren Angesicht» (Prof. R. H. Dubs).

Das ist leicht gesagt, doch weiss jeder Unternehmer aus eigener Erfahrung, dass weder die Gewinnseite garantiert, noch die Risikoseite umfassend berechenbar ist. Man muss demnach dafür sorgen, dass die beiden Faktoren so gut wie möglich eingeschätzt werden können.

Wir haben im Rahmen der Erarbeitung des IT Governance Leitfadens das nachfolgende Grundmodell entwickelt, aus welchem sich die Handlungsoptionen für das Management ableiten lassen[5]:

Am Beispiel der elektronischen Archivierung kann die Entwicklung dargestellt werden. Traditionelle Compliance Themen sind unten links angesiedelt. Dazu gehören die physischen Archive. Mit dem Entstehen der Elektronischen Datenverarbeitung wuchs das Bewusstsein, Daten elektronisch zu archivieren. Doch mit diesen Daten lassen sich auch andere Ziele erreichen, z.B. als Teil des Knowledge-Managements oder als wichtige Quelle für zukünftige Produktentwicklungen. Zur wirtschaftlichen Optimierung wird das Unternehmen versuchen, vom Quadranten unten links möglichst bald nach oben rechts zu gelangen.

Wie präsentiert sich das Thema Informationssicherheit aus Sicht des Managements?

Was haben wir mit Informationssicherheitsmassnahmen bis heute erreicht, wenn wir uns die letzten 20 Jahre betrachten? Rein betriebswirtschaftlich gesehen sind die Investitionen, welche in die Informationssicherheit getätigt wurden, ein Fiasko. Im Jahr 2012 wurden schätzungsweise 80 Milliarden $ in die Informationssicherheit investiert. Die absolute Zahl sagt wenig, sondern man muss die Steigerungsrate berücksichtigen. Man kann in etwa davon ausgehen, dass in den letzten 15 Jahren die Ausgaben pro Jahr um rund  10 % gesteigert wurden – doch mit welchem Resultat?

Liest man die Presse und verfolgt die aktuellen Meldungen zum Thema Informationssicherheit, bekommt man den Eindruck, dass die Lage immer schlimmer wird. Das hat auch damit zu tun, dass die Presse natürlich nur diejenigen Schlagzeilen bringt, die möglichst gut verkauft werden können. Der Fall Snowden und die Wikileaks Affäre verführen gerade zur Schlussfolgerung, man hätte die Sicherheit nicht im Griff. Unter diesem Dauerregen von negativen Nachrichten soll sich das Management nun orientieren können und Entscheidungen treffen? Stellt sich einer nicht zu recht die Frage, wie es mit der Sicherheit im eigenen Unternehmen steht und wie die Millionen hingeflossen sind, die schon unter dem Titel „IT-Sicherheit“ verbrannt wurden?

Gemäss einer aktuellen Studie einer grossen Beratungsgesellschaft[6] haben die Sicherheitsereignisse in den Unternehmen im letzten Jahr wieder zugenommen. Das ist nicht weiter erstaunlich, es lässt  sich aber nicht nur mit der Zunahme der Bedrohungen oder Attacken begründen. Es erklärt sich auch damit, dass die Unternehmen Schwachstellen besser erkennen.

Aus der Studie lassen sich die folgenden Schlüsse ziehen (nachdem man die Verkaufsargumente der Berater eliminiert hat):

  • Die Angreifer oder potentiellen Schädiger des Unternehmens sind nach wie vor primär interne Mitarbeiter und nicht externe Hacker, die in einem Keller irgendwo im Osten sitzen. Die Angriffsmittel und die Bedrohungen sind raffinierter geworden, die meisten Angriffe erfolgen aber nach wie vor mit primitiven Mitteln.
  • Dies gilt nicht für die neuen Technologien, die in den Unternehmen schnell Einzug gefunden haben. Die meisten Unternehmen gewichten die Nutzung von neuen Technologien höher als Einschränkungen des Einsatzes, welche auf Sicherheitsüberlegungen basieren.

Diese Schlussfolgerungen werde ich unkommentiert lassen. Was hingegen immer wieder auffällt und deshalb auch nicht zum ersten und auch nicht zum letzten Mal festgehalten wird, sind die folgenden beiden Punkte:

  1. Das Management ist sich den Auswirkungen und potentiellen Gefahr zu wenig bewusst.
  2. Das Management kümmert sich nach wie vor zu wenig um die Sicherheitsfragen.

Zur ersten Aussage hat die Studie interessante Auslegungen bereit. Da wird davon gesprochen, dass man die wirtschaftlichen Schäden generell unterschätze. Gleichzeitig wird aber zum ersten Mal (endlich!) zugegeben, dass eine quantifizierbare Schätzung so gut wie unmöglich sei. Wie um Himmels willen soll ein Management die möglichen wirtschaftlichen Konsequenzen fehlender Informationssicherheit bewerten? Man kann doch niemandem vorwerfen, er kümmere sich zu wenig um ein negativ behaftetes Thema, wenn er davon ausgehen kann, dass es sich dabei nicht um eine wesentliche Bedrohung für das Unternehmen handelt. Die Erfahrung zeigt, dass nur gehandelt wird, wenn entweder im eigenen oder in einem befreundeten Unternehmen konkret etwas passiert. Hinzu kommt die persönliche Erfahrung, die jedes Mitglied der Führungsgilde prägt. Wurde ich gestern bestohlen, schätze ich die Wahrscheinlichkeit für einen zukünftigen Diebstahl wesentlich höher ein. Es fehlt an der emotionalen Distanz welche es für eine Sachentscheidung braucht.

Natürlich besteht die Schwierigkeit, Bedrohungen darzustellen, die nicht zu einem Schaden geführt haben. Hand aufs Herz, wer hat schon jemals seine Firma schliessen müssen, weil auf seinem Firewall zu viele Ports offen waren? Firmen gehen in der Regel nicht in Konkurs, weil sie ungenügende Sicherheitsmassnahmen getroffen haben. Dies gilt selbstverständlich nicht für Unternehmen, deren Kernkompetenz das Erbringen von informationstechnischen Leistungen ist. So ist der E-Commerce-Anbieter natürlich gezwungen, seine Sicherheitsmassnahmen auf dem höchsten Stand zu halten. Doch damit treffen wir vielleicht auf höchstens 10 % der aktiven Unternehmen aus dem Technologiebereich, auch diese Schätzung dürfte eher hoch gegriffen sein. Damit sind wir aber bereits auf eine wichtige Erkenntnis gestossen: Die Tätigkeit des Unternehmens definiert die Mittel, welch ein IT und die verbundene Sicherheit fliessen.

Die wahren Bedrohungen für die meisten Unternehmen sind neue Wettbewerber und geänderte Marktbedingungen sowie mangelnde Innovation. Hinzu kommen verschärfte Konkurrenzsituationen, z.B. durch den Internethandel. Aus Sicht des Managements ist folglich die Bedrohung durch Hacker oder andere Gründe selten ein ernsthaftes Thema. Damit erklärt sich auch die Aussage Nummer 2. Wieso soll man sich um diese Sicherheitsfragen kümmern, wenn man keine direkten Nachteile zu gewärtigen hat?

Nun, entweder wird man von seinen Revisoren dauernd bearbeitet oder der Aussendruck ist so hoch, das man zumindest den Anschein erwecken möchte, man bemühe sich ernsthaft darum. Folglich muss man etwas unternehmen, aber was?

Handlungsoptionen des Managements

Grundmuster

Der Entscheidungsträger muss meist unter Zeitdruck entscheiden. Er versucht zu erfassen, in welchem Kontext eine Sicherheitsfrage auftaucht. Er will das Thema möglichst schnell abarbeiten und erledigen. Nun kann man sich im guten Treuen fragen, ob sich das Management wirklich mit Sicherheitsfragen auseinandersetzen will. Wenn wir ehrlich sind, muss man diese Frage mit „Nein“ beantworten. Dies ist ein grundlegend menschlicher Zug und hat definitiv nichts mit besonders abgebrühten Führungskräften zu tun. Wir alle bemühen uns, negative Aspekte des Lebens ausblenden und die Dinge zu tun, die mit möglichst wenig Problemen behaftet sind. Hocherfreut sind wir, wenn uns jemand einen Zettel vor die Nase hält der besagt, dieses Produkt könne man unbedenklich verzehren, es wäre auf Herz und Nieren geprüft worden und es würde nur natürliche Rohstoffe beinhalten (damit sparen wir uns zudem das Lesen des Kleingedruckten).

Beim heutigen Regulierungsdruck und den Unmengen von Vorschriften, die der normale Unternehmer oder Manager zu bewältigen hat, kann es durchaus sein, dass er keinerlei Lust hat, sich mit den mühsamen Details der Informationssicherheit auseinander zu setzen. Das muss er auch nicht, weil es nichts bringt (dazu mehr weiter unten im Empfehlungsteil). Kein Management hat Lust, sich bis um Mitternacht mit eventuell geknackten Verschlüsselungsverfahren zu befassen!

Doch wie soll ein Management auf die Herausforderungen der Informationssicherheit eingehen? Soll es sich die einfache Pille verschreiben lassen oder doch eher versuchen, sich aktiv einzumischen? Komplexe und nicht überschaubare Herausforderungen werden in der Regel mit drei diametral unterschiedlichen Reaktionen beantwortet:

  • Reaktion 1 ist die umfassende und möglichst akribische Erfassung der Zusammenhänge und der damit verbundenen Einflussfaktoren (mehr dazu in These 9).
  • Reaktion 2 ist die Negierung der Sachlage und der damit einhergehend die Vereinfachung bis zu einem Punkt, an welchem sinnvolle Aussage nicht mehr machbar sind.
  • Reaktion 3 ist die Delegation des Themas an einen Verantwortlichen und einer Bestätigung der eigenen Sicherheit  (Zertifizierung).

 

Wie sind diese Reaktionsmuster zu bewerten? Wir wollen uns in diesem Artikel primär mit Reaktion 3 befassen, gehen aber kurz auf die anderen Optionen ein.

Reaktion 1: You can only manage what you can measure

Folgt man diesem fundamentalen, aber auch mechanistischen Grundsatz des Managements, welcher aussagt: Man kann nur steuern und managen, was man auch messen kann, wird das in einem Themenbereich wie der Informationssicherheit eine grosse Herausforderung.

In einer Welt der hohen Komplexität reagiert der Wissenschaftler mit der Erfassung einer Unmenge von Daten. Er stellt sich vor, dass er die richtige Antwort geben kann, indem er minutiös erfasst, welche Bedrohungen das Unternehmen betreffen und noch wichtiger, welche Risiken sich allenfalls auswirken werden. Dass dieser Ansatz zum Scheitern verurteilt ist, darauf wird in These 9 eingegangen.

Reaktion 2: Negierung der Sachlage

Diese Reaktion wird heute auch bei den abgebrühtesten Managern kaum mehr vorkommen. Die persönlichen Erfahrungen und die Medienpräsenz dürfte ihres dazu beigetragen haben, dass kein Management das Thema einfach ignorieren kann. Sollte dies tatsächlich der Fall sein haben wir es eher mit einer juristischen Frage zu tun, nämlich der Verantwortlichkeit des Managements und dessen Haftung im Schadensfall.

Reaktion 3: Delegation und Zertifizierung

Wie gezeigt fokussiert sich das Management normalerweise nicht auf die Conformance Seite, sondern versucht den Fokus richtigerweise auf die gewinnorientierten Themen zu richten.

Dies führt dazu, dass es diese unangenehme Aufgabe richtigerweise delegiert. Was kann delegiert werden? Sicherlich die Fachkompetenz, zu einem grossen Teil aber auch die Verantwortlichkeit für diese Themen! Wenn ich einen Polizisten als Chauffeur einstelle, gehe ich davon aus, dass er das Strassenverkehrsrecht kennt und sich daran hält. Leider haben viele Sicherheitsbeauftragte noch immer das Gefühl, sie könnten sich aus der Verantwortung schleichen. Dem ist definitiv nicht mehr so! In einem deutschen Gerichtsurteil wurde festgehalten, dass auch der Compliance Officer[7] dafür haftet, wenn er es versäumt hat, schädigende Handlungen zu unterbinden. Dies mag aus Sicht des Betriebsrats eine gefährlich Entwicklung sein, deckt sich aber natürlich völlig mit dem Management-Verständnis, welches wir oben geschildert haben. Der  Richter wird ebenso gefolgert haben: Wir haben es hier mit zu komplexen Sachverhalten zu tun, da ist das Management nicht in der Lage, ohne entsprechende Fachunterstützung zu arbeiten und die Risiken einzuschätzen. Folglich darf man davon ausgehen, dass die Fachkraft in der Lage ist, die Risiken zu beurteilen und zu informieren, wenn es dem Unternehmen an den Kragen gehen könnte. Selbstverständlich bedarf es dazu auch noch der Kompetenzübertragung und eines Eskalationssystems, die Tendenz ist aber eindeutig.

Was wird der Sicherheitsbeauftragte tun, wen er nun realisiert, dass er zur Verantwortung gezogen werden kann? Richtig, er greift zur harten Droge.

Was ist Ritalin?

Machen wir es kurz und bemühen Wikipedia:

Methylphenidat (kurz: MPH; Handelsname u. a. Ritalin) ist ein Arzneistoff mit stimulierender Wirkung. Er gehört zu den Derivaten von Amphetamin. Methylphenidat findet bei der medikamentösen Therapie der Aufmerksamkeitsdefizit-/Hyperaktivitätsstörung (ADHS) sowie der Narkolepsie Anwendung.

Wer aufmerksam gelesen hat wird feststellen, dass Ritalin „stimulierende Wirkung“ hat. Aber eigentlich hat man in Erinnerung, es handle sich dabei um ein Beruhigungsmittel? Offenbar ist die Indikation auch bei Kankheitsbildern wie ADHS gegeben. Eine interessante Anwendung, widerspiegelt man doch damit die alltägliche Management-Situation perfekt. Die stetige Überforderung und das permanente „online sein müssen“ verführt geradezu zum Griff nach einem Mittel, welches die Situation beruhigt.

Wie die Pharmaindustrie ihre Medikamente in verschiedenen Anwendungsfeldern positioniert, versucht die Standardisierungsindustrie dasselbe zu tun. Während die Pharmaindustrie die Ärzte als primären Vertriebskanal anwirbt, macht die Normierungsindustrie dasselbe mit den Beratern.  Man verkauft dem Patienten (Manager), dass das vorgeschlagene Präparat (die Norm) dazu führen wird, dass dem Patienten (Manager) das ruhige Schlafen wieder ermöglicht wird.

Hier hören die Gemeinsamkeiten der beiden „Produkte“ auf. Während der Arzt vom Patienten nicht erwartet, dass er die Zusammensetzung und die chemische Formel von Ritalin herunterbeten kann, erwartet der übereifrige Berater allen Ernstes, dass der Manager Meier (seines Zeichens für den Vertrieb von Gummistiefeln zuständig)  den Inhalt des Standards versteht und ihn seinen Mitarbeitern vermittelt. Und hier liegt der fundamentale Denkfehler der ISO-Promotoren:

Nur Hypochonder oder Paranoiker lesen die Inhaltsdeklaration oder die Packungsbeilage!

Wieso ist diese Haltung entstanden? Wohl darum, weil mit der Einführung von ISO 9000 viel Geschirr zerschlagen wurde:

„If your company is not involved in something called „ISO 9000“ (…. or any other number..  remark of the authors)  you probably have no idea what it is. If your company is involved in something called „ISO 9000“ you definitely have no idea what it is. „  (Scott Adams, the Dilbert Principle, New York 1996).

Was ist ein Standard?

Was ist eigentlich ein Standard und was sollte er beinhalten? Sicher nicht folgendes:

„Die Abholzigkeit wird in Zentimetern mit einer Dezimalstelle pro Meter ausgedrückt.“

Dieser immer wieder zitierte Satz stammt aus einer EU Norm, die in der Zwischenzeit glücklicherweise eliminiert wurde. Man kann kaum davon ausgehen, dass es die einzige Norm war, die so unverständliche Sätze enthielt. Wenigstens sind in dieser Textstelle noch messbare Grössen enthalten, eine Eigenschaft, welche die Management-Standards nicht haben. Der Laie stellt sich vor, dass ein Standard ein klares Regelwerk enthält, wie ein Produkt oder ein System auszusehen hat bzw. wie es hergestellt werden muss. Dies stimmt für physische und messbare Produkte, wie zum Beispiel eine Steckdose. Dimensionen, physikalische Werte, Materialeigenschaften und weitere messbare Grössen können eindeutig bestimmt und dokumentiert werden. Der technische Standard soll  die Interoperabilität erhöhen und damit die Kosten für alle Beteiligten möglichst niedrig zu halten. Gleichzeitig werden damit auch Nebeneffekte erzielt, so dürften damit auch die Risiken normalerweise geringer gehalten werden.

Dies sind alles Eigenschaften, die sich in einem Management-Standard nicht definieren lassen. Trotzdem versuchen die Hüter der Standards, genau dies zu tun, wenn es um solch komplexe Sachverhalte wie die Informationssicherheit geht.

Zitat aus ISO27001: „Any exclusion of controls found to be necessary to satisfy the risk acceptance criteria needs to be justified and evidence needs to be provided that the associated risks have been accepted by accountable persons. Where any controls are excluded, claims of conformity to this International Standard are not acceptable unless such exclusions do not affect the organization’s ability, and/or responsibility, to provide information security that meets the security requirements determined by risk assessment and applicable legal or regulatory requirements.“

Ist doch kinderleicht zu verstehen – oder etwa nicht?

 

Die enttäuschte Hoffnung in Management Standards

Mit der Einführung von Managementstandards wie ISO 9001ff. hat man die klaren Grundsätze der Normierung verlassen und bewegt sich damit auf dünnem Eis. Keine Messgrösse sagte uns, wann ein Produkt wirklich die Sicherheitseigenschaften hat, welches vom Management vorgegeben ist. Wie soll das Management etwas vorgeben, was selbst die meisten Experten nur teilweise verstehen? Was ist das Resultat?

  1. Solche Sicherheitsvorgaben werden mangels Kenntnissen kaum gemacht und
  2. die Vergleichbarkeit zwischen Produkten oder Systemen ist nicht gegeben.

Nur weil ein bestimmtes Thema gerade in ist, bedeutet das noch lange nicht, dass es für das eigene Unternehmen auf die Agenda muss. Dieser Grundsatz wäre sogar in ISO 27001 enthalten. Dummerweise ist diese Aussage in jenem Zitat enthalten, welches wir zwei Absätze weiter vorne erwähnt haben…

Versuchen Sie nie einen Auditoren zu überzeugen, dass bestimmte Norminhalte auf ihr Unternehmen nicht anwendbar wären. Er wird weder das Verständnis noch die intellektuelle Kapazität haben, dies zu verstehen. Denn dazu müsste er in der Lage sein, sich in ihre unternehmerische Gedankenwelt zu begeben. Dies ist aber leider weder den Autoren der Standards noch dem später Ausführenden zuzutrauen. Zur Entlastung der Auditoren sei erwähnt, dass diese in der Regel nicht genügend Zeit erhalten, um das Geschäft des Kunden zu verstehen. Als Unternehmer werden folglich mit ihren Bedenken im Stich gelassen und selbst wenn sie mit den bestmöglichen Überlegungen und Initiative an die Sache herangehen, wird sie der Frust nach spätestens einer Stunde Diskussion mit den Fachexperten einholen.

Das Resultat solcher Übungen ist naheliegend. Das Management will nur den Stempel, der besagt, man erfülle die Anforderungen an die Sicherheit. Welche Inhalte bewertet wurden und wie der Stand im Unternehmen tatsächlich ist, wird sich der Manager nicht mehr zu Gemüte führen. Dies schon darum, weil er sich bereits genügend geärgert hat und Fachspezialisten so gut wie nie in der Lage sind, eine realistische Bewertung der Bedrohungslage zu kommunizieren. Folglich wird er sich auf die Haltung zurückziehen: „Ich habe meinen Stempel und was später passiert ist Sache meiner Nachfolger“.

Damit wird natürlich sämtlichen gut gemeinten Bestrebungen der Boden entzogen. Selbst für Personen, welche die hier erwähnten Probleme kennen und praktikable Lösungen suchen, wird es schwer sein, in einem solchen Umfeld konstruktive Lösungen zu entwickeln.

Standards und Innovation

Wie hätten die Vertreter der heutigen Standardisierungsgilde die Jungfraubahn und den Jumbo beurteilt? In beiden Fällen hätten sie nur davor warnen können, so etwas Wahnsinniges zu unternehmen. Zu hohe Risiken, keinerlei Erfahrungen, aber am Schlimmsten keine „Best Practice“!! Zitat des unbekannt bleiben wollenden Wirtschaftsprüfers N.N.: „Aus Sicht der Compliance kann von diesen Initiativen nur abgeraten werden (mit Nachdruck)“.

Standards verhindern die Innovation und tragen kaum zu einer besseren Sicherheit bei.

Wie kann man Sicherheit auf die Management-Ebene bringen?

Mit den letzten beiden Beispielen haben wir das Spannungsfeld ausgeleuchtet. Wir haben es mit einer Thematik zu tun, die von der obersten Geschäftsleitung nicht gerne adressiert wird. Wir verfügen heute über einen Berufsstand (CISO, CISM, IT Auditoren) der das intellektuelle Potential hat, die Themen zumindest fachlich zu adressieren. Leider fehlt seinen Vertretern in der Regel das Sensorium für die Entscheidungsfindung im Management und sie haben Mühe mit der Positionierung in der Organisation. Aus diesem Grund greifen sie zur Beruhigungsmethode und schaffen Federbett-Erlebniswelten, welche sowohl alle Risiken abfedern wie auch das Management einlullen sollen. Leider droht das schnelle Erwachen, sollte in einer zertifizierten Organisation eine massive Sicherheitslücke auftreten (so z.B. geschehen bei der zertifizierten Swisscom[8]).

Gleichzeitig haben wir auch festgehalten, dass die Bedeutung der Informationssicherheit von Unternehmen zu Unternehmen variiert. Diese Tatsache wird normalerweise sowohl von den Studienschreibern wie auch den Entwickler der Standards fahrlässig ignoriert. Würde man den Überlegungen der IT oder Corporate Governance folgen, wäre klar, dass es eine Vielzahl von Unternehmen gibt, die der Informationsverarbeitung völlig unterschiedliche Bedeutung beimessen[9]. Selbst Sicherheitsmassnahmen verschiedener Domänen müssen in derselben Organisation u.U. völlig unterschiedlich implementiert werden.

Wie kann man nur erreichen, dass dem wichtigen Thema Informationssicherheit das richtige Gewicht beigemessen wird? Was man zuerst benötigt ist ein Verständnis dafür, welche Stellung die Informationsverarbeitung im Unternehmen einnimmt. Zuerst muss dem Management bekannt sein, welche Bedeutung der Produktionsfaktor Information im Unternehmen hat. Ohne dieses grundlegende Verständnis wird jede Diskussion um Informationssicherheit scheitern. Je höher der Bedarf an Information und je zuverlässiger die Datenverarbeitung funktionieren muss, desto wichtiger ist es, die Sicherheitsprobleme beim Namen zu nennen.

Konsequenterweise geht es darum, Sicherheitsthemen im betrieblichen Kontext aufzuzeigen und möglichst einfach zu kommunizieren. Mit Rollenspielen und Simulationen müssen die Rollen der Beteiligten gefestigt und geübt werden. Der Sicherheitsbeauftragte muss wissen, welche Entscheide er fällen kann und wo er eskalieren muss. Auch hier gilt: üben, üben üben… der Vergleich mit der Feuerwehr ist durchaus angebracht.

Die wichtige Rolle des Reputations-Managements geht meist auch vergessen. Leider sind die meisten Sicherheitsbeauftragten noch immer vom fixen Gedanken besessen, man könne alle Risiken präventiv eliminieren. Das Gebäude wird abbrennen! Wir müssen den Schaden begrenzen und auch dafür sorgen, dass unsere Reputation nicht leidet. Die richtige Reaktion und der passende Sprachgebrauch müssen gezielt vorbereitet werden.

Man kann nicht mit Studien argumentieren, die in einem völlig abstrakten Raum operieren mit denen sich der Manager nicht identifizieren kann. Nur das persönlich gelebte Beispiel hat die Aussagekraft, die wir hier benötigen. Nur das konkrete und selbst erlebte Beispiel zwingt uns dazu, zu überlegen, was im Falle eines Falles geschehen muss. Wir müssen den Entscheidungsträgern aufzeigen, welche persönlichen Konsequenzen es für sie hat, wenn Sie elementare Sicherheitsbedürfnisse und Themen nicht richtig behandeln. Dazu brauchen wir greifbare und nachvollziehbare Erlebnisse. Dazu gehören simulierte Angriffe und Einbrüche durch beauftragte Experten. Nebst solch spektakulären Aktionen sollen auch Routinefragen und Sicherheits-Trivialitäten thematisiert werden. Wir müssen den Leuten zeigen was passiert, wenn sie ihr Passwort nicht ändern oder ihre Mails nicht verschlüsseln. Das können wir nicht abstrakt tun sondern müssen es jeden unmittelbar fühlen lassen.

In der vorne erwähnten Studie steht auch (wie in jeder Sicherheitsstudie seit 1994), dass das grösste Manko in der Umsetzung darin besteht, dass selbst die elementarsten Sicherheitsmassnahmen nicht ergriffen werden.

Oder mit anderen Worten:

„Informationssicherheit bedeutet auf die persönliche Sicherheit übertragen, dass der Mitarbeiter am Abend die Bürotüre schliesst wenn er das Gebäude verlässt.“

 

Das mag jetzt für den Experten unheimlich trivial klingen, trifft aber in der realen Welt den Nagel genau auf den Kopf. Es zeigt uns auch, dass es bei weitem nicht genügt, technische Massnahmen zu implementieren um die Sicherheitslücken zu schliessen. Auch dies ist eine Kommunikationsaufgabe, die der CISO gegenüber dem Management wahrnehmen muss.

Aus diesem und aus anderen Gründen enthält diese Artikelserie Überlegungen, wie weit man mit nichttechnischen Methoden einen direkten Einfluss auf die Sicherheit einer Organisation nehmen kann.

 

Twitter # Tag: #socioculturalsecurity

 

 


[1] Dort wird gezeigt, dass dieser Ansatz in der IT leider NICHT funktioniert, trotzdem wird er nach wie vor in Standards wie ISO 27001 propagiert.

[2] In diesem Artikel wird damit immer die VR/AR/GL/Vorstandsebene adressiert.

[3] Weitere Ausführungen dazu bei Bienert Peter/Wildhaber Bruno; IT-Governance, S.11ff.  und Wildhaber (Hrsg.), Erb/Giger/Müller-Lhotska/Rumpf/Senn; Information Management Strategie, Zürich 2010.

[4] Man beachte, dass es nicht darum geht, die Risiken möglichst tief zu halten, sondern sie zu optimieren; mehr dazu in These 9 oder bei Bienert/Wildhaber, S.

[5] Weitere Ausführungen in Wildhaber (Hrsg.), Erb/Giger/Müller-Lhotska/Rumpf/Senn; S. 11ff.

[6] PWC, US State of Cybercrime Survey 2013

[7] BGH, Urteil vom 17.07.2009 – 5 StR 394/08; zur Garantenstellung des Compliance Officers; http://www.hrr-strafrecht.de/hrr/5/08/5-394-08-1.php

[8] http://www.itmagazine.ch/Artikel/54042/Datendiebstahl_bei_Swisscom.html

[9] Umfassende Behandlung dieses Themas in Biener/Wildhaber, u.a. S. 67ff. inkl. der Darstellung unterschiedlicher Risikoprofile

These 1: Identitätsverlust bedeutet Machtlosigkeit – oder wieso der persönliche Arbeitsplatz wichtig ist.

Der gute Arbeitsplatz ist mehr als ein Container auf vier Rädern.

Welche Auswirkungen haben die Veränderungen der persönlichen Arbeitsumfeldes auf die Mitarbeiter? Welche Faktoren begünstigen die Zufriedenheit und was können Mitarbeiter und Arbeitgeber tun, um die Risiken, die damit verbunden sind, auf ein Minimum zu reduzieren?

Erste These zum Thema „Sozia-kulturelle Faktoren der Informationssicherheit“


Auslöser

These 1 befasst sich mit dem Umstand, dass der Mensch am Arbeitsplatz eine Umgebung vorfinden möchte, welche seinen persönlichen Bedürfnissen gerecht wird. Gleichzeitig muss sichergestellt sein, dass der Arbeitgeber in Zusammenarbeit mit seinen Mitarbeitenden in der Lage ist, diejenigen Leistungen zu erzielen, die beidseitig erwartet werden. Auslöser für die Formulierung dieser These war ein Artikel im Tagesanzeiger vom 20.6.2013[1] in welchem ein Loblied auf die unpersönlichen Arbeitsplätze gesungen wird.In diesem Artikel wird beschrieben, dass die UBS an ihrem neuen Sitz an der Europaallee Zürich dazu übergegangen ist, den meisten Mitarbeitern keine persönlichen Arbeitsplätze mehr zur Verfügung zu stellen. In höchsten Tönen wird gelobt, wie dies die Zusammenarbeit erhöhen würde und wie sich die Mitarbeiter mit diesem System angefreundet hätten. Selbstverständlich wurden die direkt verantwortlichen und entsprechend euphorischen Projektleiter befragt, als Gegenstimme durfte sich eine kritische Mitarbeiterin vernehmen lassen. Im Grossen und Ganzen scheinen die Arbeitspsychologen und andere Experten heute der Meinung zu sein, der Arbeitsplatzentzug sei eine sinnvolle Massnahme. Ich bin dezidiert anderer Meinung und werde dies auch begründen. Meiner Ansicht nach sind solche Aktionen geradezu ideal, um das Verhältnis zwischen Arbeitgeber und Arbeitnehmer nachhaltig zu stören. Ich bin überzeugt, dass Entwicklungen wie bei der UBS unzweifelhaft dazu führen, dass sich der Mitarbeiter nicht mehr mit dem Unternehmen identifiziert und damit auch die Hemmschwelle für Aktionen, die in die Illegalität führen, massiv gesenkt wird (womit wir wieder bei der Motivation zu dieser Artikelserie wären).

Um diese These zu untermauern, möchte ich kurz die Entwicklung aufzeigen wie sich der moderne „Arbeitsmensch“ entwickelt hat, woher er kommt und mit welcher Arbeitsumgebung man als Arbeitgeber der Dienstleistungsgesellschaft bzw. dem „Knowledge-Worker“ heute gerecht werden kann. Ich beleuchte das Thema heute zugegebenermassen v.a. aus Sicht des Arbeitgebers, ergänzt um die Erfahrungen, die ich als Arbeitnehmer (von der Lehre ins obere Management), gesammelt habe.

Die Entwicklung der Arbeitswelten

Ein Blick zurück in die Geschichte zeigt, dass unser unternehmerisches Umfeld und die Arbeitsumgebungen, wie wir sie heute kennen, erst seit rund 130 Jahren existieren. Blickt man in der Geschichte zurück, dann erleben wir einen fundamentalen Wandel im 19. Jahrhundert[2]. Mit dem Wechsel von der Feudalherrschaft in die industriell geprägte Neuzeit findet eine Entwicklung statt, die selbst die hochgelobte Bedeutung der Internet-Revolution stark relativiert. Die aufkommende kapitalistische Marktwirtschaft vernichtet die damals übliche Feudalherrschaft, die fast 1000 Jahre Bestand hatte. Durch die Industrialisierung gelingt es den ehemaligen Vasallen und Leibeigenen, sich aus der Knechtschaft zu erheben und erstmals eigenes Einkommen zu kreieren. Gleichzeitig werden damit aber auch traditionelle Strukturen aufgebrochen. Während es bis damals üblich war, dass die Grossfamilie von der Wiege bis zur Bahre am selben Ort lebte und arbeitete, wurde die neue Arbeiterschaft mobil. Ehemalige Bauern und Landarbeiter begaben sich in die Zentren der entstehenden Industriestädte. Dörfer und Städte wuchsen rasant und ehemalige Kleinstädte wurden zu Industriezentren (z.B. Oberhausen im Ruhrgebiet). Zudem wanderten zwischen 1850 und 1920 über 40 Millionen Europäer in die Neue Welt aus.

Die wichtigste Entwicklung: Die Einheit von Leben und Arbeiten zerbricht. Die Lohnarbeit, welche früher die Ausnahme darstellte, wird zum allgemeinen anerkannten Modell. Die Familienmitglieder gehen plötzlich eigenen Tätigkeiten nach und treffen sich höchstens noch am Morgen und am Abend, ebenso verschwindet die Grossfamilie. Erstmals ist es dem Menschen möglich ein, zumindest minimales,  selbstbestimmtes Leben zu führen, befreit von den alten Fesseln, den Ständesystemen, den Lehnherren und den damit verbundenen Zwängen. Auch in diese Zeit fallen die Entwicklung der modernen Verkehrs- und Kommunikationsmittel. Gleichzeitig werden aber auch die negativen Seiten dieser Entwicklung sichtbar. Die Industrie zerstört gewachsene Landschaften und Kanäle begradigen die Natur. Wasserverschmutzung und Luftverschmutzung sind die Begleiterscheinungen der Industrialisierung. Die Industrialisierung entwickelt sich zu einem Arbeitsmotor, auf der anderen Seite zeigen sich die negativen Auswirkungen des Kapitalismus in brutaler Form.

Massive soziale Problemen, Kinderarbeit, Massenarbeitslosigkeit und Hungersnöte sind die Folge. Während sich die Arbeitnehmerschaft langsam zu organisieren beginnen, gibt es auch Arbeitgeber (Patriarchen), die sich um ihre Arbeiter kümmern und, dafür sorgen, dass sie ausreichend versorgt werden. So ist zum Beispiel Alfred Krupp, der das grösste Industrieunternehmen Europas führt, einer der ersten „sozialen“Arbeitgeber. Er bezahlt Alterspensionen und richtet eine Betriebskrankenkasse ein. Gleichzeitig sorgt er auch dafür, dass seine Arbeiter über anständige Wohnmöglichkeiten verfügen. Unternehmer wie Krupp haben jedoch auch die Tendenz, ihre Leute zu bevormunden. Den Arbeitern ist es verboten, sich gewerkschaftlich zu organisieren oder sich um ihre eigene Lage zu bemühen, bzw. kollektive Verbesserungen herbeizuführen. Trotzdem ist Unternehmern wie Krupp klar, dass seine gut ausgebildeten Arbeiter einen entscheidenden Faktor für den Unternehmenserfolg darstellen. Der Patriarch schafft seine Gesetze, lässt seine Mitarbeiter nach diesen leben und sorgt für Sie. Unternehmer wie Krupp sind dann aber meist daran gescheitert, dass sie zu spät begriffen haben, dass sie als Patriarchen ihr Unternehmen nicht alleine über die Runden bringen, wenn sie in eine Krisensituation geraten. Der Untergang des Patriarchen bedeutete normalerweise auch den Untergang seines Unternehmens.

Doch im Vergleich zu den industriellen Patriarchen haben die Manager,  die heute am Ruder internationaler Unternehmen sind, nicht länger das Problem, dass mit dem Untergang ihres Unternehmens auch ihre Existenz in Gefahr geriete. Nein, sie können einigermassen sicher sein, dass Ihre finanzielle Existenz gesichert ist, selbst wenn sie für den Bankrott „ihres“ Unternehmen verantwortlich wären. Heute befinden wir uns in einer völlig umgedrehten Wirtschaftssituation. In der Wirtschaftspresse dominieren Artikel über die multinationalen Konzerne in Form anonymer Aktiengesellschaften. „Best Practice“ wird an den Universitäten gelehrt, obwohl es eine solche nicht gibt. MBA Absolventen wird von  Theoretikern beigebracht, wie sie als Unternehmer agieren sollen. Als Gegenbewegung hat die aktuelle Diskussion um die Abzockerei in der Schweiz ihren Höhepunkt erreicht und das Volk hat den vermeintlich Mächtigen eine demokratische Lektion erteilt. Den Patron oder Patriarchen gibt es in abgeschwächter Form nur noch in KMUs.

Seit der Industrialisierung ist noch nicht viel Zeit vergangen, der persönliche Arbeitsplatz blieb aber eine Errungenschaft dieser Zeit und das „zweite Heim“ bekam eine noch grössere Bedeutung mit dem Wachsen der Dienstleistungsgesellschaft. Während sich die Arbeitswelten seit den dreissiger Jahren bis ins Jahr 2000 nur wenig verändert haben, hat in den letzten 20 Jahren eine massive Umgestaltung des Arbeitsumfelds stattgefunden. Ausgelöst durch neue Kommunikationsmittel, vorangebracht durch die Globalisierung und den damit gekoppelten Trends zum Outsourcing und zum internationalen Verlagern von Arbeitsplätzen, hat sich die Arbeitswelt für den einzelnen fundamental verändert. Dies gilt in besonderem Masse für Mitarbeiter von Grossunternehmen. Die Prägung des Unternehmens, welche sich über Jahrzehnte entwickelt hat, ging schrittweise verloren, strategische Unternehmenswerte damit leider auch. Negative Auswirkungen auf Kunden und Mitarbeiter sind nur eine Frage der Zeit, leider müssen diese aber nicht mehr durch die Manager ausgebadet werden, die sie verursacht haben.

Es stellt sich demnach die Frage, ob sich in Zeiten anonymer und gesichtsloser Unternehmen  wenigstens die Mitarbeiter noch mit ihren Arbeitgebern identifizieren können und wollen.

Zufriedenheit Arbeitsplatz oder der produktive Mitarbeiter

Muss ein Arbeitnehmer glücklich sein?

Was uns an dieser Stelle vor allem interessiert ist die Frage, welche Arbeitsumgebung ein Mitarbeiter benötigt, dass er sich glücklich fühlt. Nun kann man sich mit gutem Recht fragen, ob dieser Begriff des Glücklichseins an dieser Stelle gerechtfertigt ist. Muss ich als Arbeitgeber dafür sorgen, dass ein Arbeitnehmer an seinem Platz glücklich ist? Nun, vielleicht geht es hier auch mehr um Zufriedenheit und um das Gefühl, nach getaner Arbeit nach Hause gehen zu können und zu sagen: „Heute hatte ich einen guten Arbeitstag“. Doch was sind die Faktoren, die eine Mitarbeiterin dazu bringen zu sagen, dass sie an einen Arbeitsplatz zufrieden ist und dort auch länger bleiben möchte?

Die folgenden Ausführungen zum Thema Glück entstammen einem Buch des englischen Wirtschaftsprofessors Richard Layard[3]. Sie zeigen eindrücklich, welche Bedeutung dem Faktor „Glück“ zukommt und wie er gefördert  werden kann.

Zufriedenheitsfaktoren

Layard identifiziert die folgenden Faktoren, die dazu führen, dass ein Mensch (nicht nur) am Arbeitsplatz glücklich ist:

1. Sicherheit

2. Vertrauen

3. Soziale Interaktion / Autonomie

4. Dankbarkeit

5. Passion

 

Sicherheit

Sicherheit ist das A und O und vielleicht die wichtigste Kraft, wenn es um die objektive Wahrnehmung von Glück geht. Dabei gilt es, verschiedene Faktoren der Sicherheit zu unterscheiden. Dazu gehören natürlich sicherlich die äusseren Faktoren wie die Stabilität eines Landes, die wirtschaftliche Prosperität oder die militärische Sicherheit. Der Mensch tendiert dazu, sich dann am Wohlsten zu fühlen, wenn die Unsicherheitsfaktoren am kleinsten sind. Dies resultiert oftmals in einer gewissen Trägheit, die sich dadurch äussert, dass er weiss, was ihn jeden Tag erwartet. Der Arbeitnehmer will demnach wenig Wechsel, was sich sowohl auf seine Position, wie auch auf seine persönlichen Arbeitsplatzverhältnisse bezieht. Entsprechende Studien zeigen auch, dass Leute, die mehr umziehen, weniger glücklich sind als solche, die in stabilen Wohnverhältnissen leben um ein angestammtes Umfeld ihr eigen nennen können[4]. Dies gilt sowohl für die Wohn- wie auch für die Arbeitsplatzsituation.

Dies bedeutet auch, dass Restrukturierungen im Übermass Gift für die Stabilität und damit auch für die Zufriedenheit der Arbeitnehmer sind. Dem entgegen steht die Theorie und auch die Erfahrung aus der Innovationslehre, dass nur wer sich bewegt und sich in die Unsicherheit begibt, auch bereit ist, Innovationen anzugehen.  In den meisten Unternehmen dürfte das Normalverhältnis zwischen Tagesgeschäft und Innovation massiv zu Gunsten des Normalbetriebs lauten. Oder mit anderen Worten: Es ist alles andere als  sinnvoll, die Leute dauernd unter Strom zu halten in der irrigen Annahme, dadurch würden sie innovativer und gleichzeitig produktiver. Es gilt das richtige Mass zu finden, um einen innovativen Entwicklungsschritt in Angriff zu nehmen. Leider zeigt sich aber heute, dass jedes neue Management den Eindruck hat, man könne mit einer jährlichen Restrukturierung dazu beitragen, innovativ zu wirken. Solchen Managern müsste man eigentlich Ritalin verschreiben, hätte man nicht den bösen Verdacht, dass dieses bereits in jungen Jahren bekommen haben (These 3). Überaktivität ist somit Gift für die meisten Unternehmen und v.a. für die Leidtragenden, nämlich für jene  Mitarbeiter, die auf der 4. Hierarchieebene ausbaden müssen, was sich ihre MBA verbildeten Vorgesetzten ausgedacht haben.

Vertrauen

Damit sind wir automatisch beim zweiten Faktor der Zufriedenheit. Es geht um das Vertrauen, nämlich um das Vertrauen des Arbeitnehmers in den Arbeitgeber und seine Zuverlässigkeit und Fähigkeiten. Die Zufriedenheit am Arbeitsplatz steht und fällt mit dem Vertrauen, welches ein Mitarbeiter in seine Vorgesetzten und seine Kollegen und Kolleginnen hat. In einem Arbeitsklima, welches von Misstrauen geprägt wird, wird auch nie eine ansprechende Produktivität entstehen. Oder wenn dies trotzdem der Fall sein sollte, dann wird sie durch einen überdurchschnittlich hohen Mitarbeiterwechsel negativ kompensiert. Die Fürsorgepflicht des Arbeitgebers wie auch die Treuepflicht des Arbeitnehmers, wie wir sie heute im modernen Arbeitsrecht finden, entsprechen genau diesem Modell der sozialen Marktwirtschaft, die  durch die negativen Entwicklung der Industriealisierung geprägt wurden. Arbeitgeber tun sich mit „Hire and Fire“ genauso wenig einen Dienst wie Betriebsräte, die jede sinnvolle Massnahme des Arbeitgebers aus ideologischen Gründen torpedieren. Beides führt letztendlich zur wirtschaftlichen Blockade und zum Rückschritt.

Soziale Interaktion / Autonomie

Die Verbindung zu anderen Personen, seien dies direkte Arbeitskollegen, Kunden, Vorgesetzte oder anderen Mitarbeitern ist ein wichtiges Element für die Zufriedenheit. In heutigen Grossunternehmen besteht die Möglichkeit, mit modernen Kommunikationsmitteln eine Vernetzung zu erreichen, die früher nicht möglich war. Ich denke hier an einen einzelnen Spezialisten, der in einer Niederlassung angestellt ist und lokal keine Gesprächspartner findet, weil er zu spezialisiert ist. Er kann sich heute mit Hilfe der neuen Medien (Social Media) so vernetzen, dass er mit seinen Kollegen eine weltweite Gemeinschaft (Community) bildet. Nebst den modernen Formen der Zusammenarbeit sind die klassischen Formen, seien dies Konferenzen, Arbeitskreise oder nationale und internationale Fachvereine und Organisationen wichtig für die Entwicklung der Fähigkeiten. Das bedeutet auch, dass der Arbeitgeber gut daran tut, seinen Mitarbeitern einen gewissen Freiraum zu geben, was die Zusammenarbeit intern wie auch extern angeht. Immer wieder stelle ich fest, dass in Zeiten vermeintlicher Geldknappheit zuerst dort gespart wird, wo es langfristig am meisten wehtut, nämlich beim Reisebudget. Wie soll ein internationales Projekt geführt werden, wenn sich deren Mitglieder nur noch per Videokonferenz verständigen können? Ich wette mit ihnen, dass dieses Projekt den Bach runter geht (These 2).

Zur Weiterentwicklung gehört auch ein gewisser Grad an Autonomie. Autonomie bildet einen wesentlichen Faktor für die Zufriedenheit am Arbeitsplatz. Hört mein Kompetenzbereich nicht am Ende des Jobbeschriebs auf, sondern kann ich im Rahmen meiner intellektuellen Fähigkeiten über meinen Kompetenzbereich hinaus weitere Tätigkeiten ausüben, dann fördere ich damit nicht nur mich selbst sondern auch das Unternehmen. Ein Arbeitgeber der solches nicht versteht, hat nicht begriffen, dass insbesondere in der Dienstleistungsgesellschaft das Wissen seine Mitarbeiter und der Weiterentwicklung das zentrale Kapital für seinen Erfolg darstellt. Leider ist die weit verbreitet Tendenz, alles zu beschreiben, zu definieren und in Prozesse zu zwängen ein Killer für diese Art von Zufriedenheit.

Dankbarkeit

Dankbarkeit zu zeigen ist DER Schlüssel zum Unternehmenserfolg. Als ich als zwanzigjähriger, junger Computer-Systemingenieur bei der damaligen Sperry Univac gearbeitet habe, gab es ein Incentiv-Programm, welches die Mitarbeiter dazu anregte, Verbesserungsvorschläge einzureichen. Wieso kann ich bis heute so gut daran erinnern? Ich hatte einen technischen Verbesserungsvorschlag nach USA geschickt und ungefähr 3 Monate später kam die Rückmeldung, man hätte meinen Vorschlag aufgenommen und man würde die Änderung in der nächsten Version des Gerätes berücksichtigen. Gleichzeitig habe ich ein kleines Präsent dafür erhalten und eine typisch amerikanische Urkunde (d.h. mit viel Gold und Lametta), mit der Bestätigung, ich hätte mich um das Unternehmen bemüht, inkl. Händedruck durch den Vorgesetzten und Publikation im Unternehmens-Newsletter. Man kann sich vorstellen, was man damit in einem Zwanzigjährigen auslöst, der sich primär als kleiner Mitarbeiter in einer unbedeutenden Ländergesellschaft versteht! Es braucht extrem wenig, seine Dankbarkeit zu zeigen. Doch diese Fähigkeit scheint vielen Vorgesetzten und Managern völlig abhandengekommen zu sein. Kleine Gesten und Aufmerksamkeiten, (die nicht mit Geld verknüpft sein dürfen!) bedeuten für den Mitarbeitern mehr, als geschwollene Reden und Firmenanlässe, die primär für die Aktionäre und die Presse, aber nicht für die Mitarbeitenden organisiert wurden.

Passion

Die Leidenschaft für seine Arbeit ist sicher etwas, was in der persönlichen Motivation des Einzelnen begründet sein muss. Passion bedeutet, dass ich mit Energie und Einsatz an eine Arbeit gehe, um sie so zu gestalten und auszuführen, dass ich ein Resultat erziele, welches meine Erwartungen übertrifft. Ich muss in der Lage sein, mich zu steigern und ein noch besseres Resultat zu erzielen als am Vortag oder ein Jahr zuvor. Passion kommt von innen. Es gibt wohl kaum Möglichkeiten, diese Passion in einer Person zu entfachen, wenn sie nicht bereits vorhanden ist. Für den Arbeitgeber geht es in erster Linie darum, die Fähigkeiten einer Person gezielt zu fördern. Vor allem aber sollte man sich als Person selbst hinterfragen und immer wieder die Frage stellen, ob man für seine Arbeit ausreichend Leidenschaft aufbringt oder besser sein Tätigkeitsfeld verändern sollte. Es ist normal, dass die meisten Leute heute ihre Passionen v.a. in der Freizeit ausleben, doch sollte ein gesundes Verhältnis zwischen persönlicher Passion und Leidenschaft am Arbeitsplatz existieren.

Der Faktor Geld

Viele Arbeitgeber scheinen immer noch dem Glauben nachzuhängen, man könne fehlende Zufriedenheit mit Geld kompensieren. Mittlerweile ist wissenschaftlich belegt, dass dem nicht so ist[5], d.h. eine grössere Zufriedenheit lässt sich mit Geld NICHT erzielen. Diese Aussage gilt selbstverständlich nur in unseren Verhältnissen, nämlich dann, wenn ein minimales Einkommen erreicht wird, welches die Grundbedürfnisse befriedigt.

Gleichzeitig ist auch belegt, dass das Ausmass des Glücklichseins nicht mit dem Reichtum korreliert. Ich verweise hier auf das Buch von Layard, welches sehr viele Beispiele dazu enthält. Er hat als Ökonom dieses Thema auch fundiert bearbeitet und mit Zahlen belegt[6]. Ebenfalls finden sich Bestätigungen zur These, dass Geld als Incentive im Arbeitsumfeld NICHT funktioniert[7]. Orientiert sich ein Mitarbeiter nur noch am Bonus, hat man als Arbeitgeber schon verloren.

Wieso braucht der Mensch einen persönlichen Arbeitsplatz?

Wie verhält sich nun die Entwicklungsgeschichte und die Theorie zur Zufriedenheit mit unserem Anfangsbeispiel der grossen Schweizer Bank? Mit dem Entzug des persönlichen Arbeitsplatzes werden unterschiedliche Effekte erzielt. Eine positive Auswirkung ist sicher, dass die Autonomie der Mitarbeiter steigt und damit auch ein Grundsatz der Zufriedenheit positiv gefördert wird. Gleichzeitig wird dieser positive Effekt völlig zunichte gemacht, wenn man sich des Ausmasses der Instabilität und der Unsicherheit bewusst wird, die man mit dieser Massnahme erzeugt[8]. Es würde ja vielleicht angehen, einmal in der Woche einen anderen Arbeitsplatz wählen zu müssen, doch muss man sich dauernd neu orientieren befindet man sich in der erwähnten Instabilitätsphase. Diese führt dazu, dass weder die nötige Sicherheit eintritt noch ein Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer entstehen kann (bzw. ein bestehendes vernichtet wird). Die Identifikation mit seinem persönlich gestalteten Arbeitsplatz ist für viele Personen nach wie vor wichtig (Faktor Sicherheit). Natürlich soll es nicht mehr so sein, dass die Qualität des Teppichs und der Wert der Bilder an der Wand dafür steht, wie weit man es im Unternehmen gebracht hat. Doch sollte sich der Arbeitgeber bewusst sein, dass er mit der dem Entzug des persönlichen Arbeitsplatzes ein Klima schafft, welches das Vertrauensverhältnis zwischen ihm und seinen Mitarbeitern nachhaltig stört. Die versteckte Aussage, die sich hinter dem Arbeitsplatzentzug versteckt, ist auch eindeutig: Du bist als arbeitende Ressource jederzeit ersetzbar und es spielt eigentlich keine Rolle an welchen Platz in meiner Organisation du dich befindest[9]. Das ist zwar nur eine versteckte Botschaft, die der moderne Manager so nie aussprechen würde, doch zerstört sie die Vertrauensbasis nachhaltig. Durch den Entzug des persönlichen Arbeitsplatzes leidet auch die informelle Kommunikation. Für die Beziehungen im Unternehmen und das Knowledge-Management sind informelle Kommunikationskanäle (Kaffeetisch, „Mithören“ etc.) Gold wert, diese auf eine virtuelle Ebene zu verschieben wird nicht funktionieren, bzw. fördert bereits heute die grassierende „Team-Unfähigkeit“ (vgl. These 2). Zudem fördert man dadurch eine positive soziale Kontrolle, die verhindert, dass man jede Kleinigkeit im Unternehmen schriftlich regeln muss („Wer putzt den Kaffeeautomaten?“).

Ich habe jetzt bewusst schwarz-weiss gemalt. Es können durchaus auch Mittelwege gefunden werden, die den Bedürfnissen von Arbeitgeber und Arbeitnehmer gerecht werden. Für mich als Arbeitgeber ist es zentral, dass sich meine Mitarbeiter mit meinem Unternehmen identifizieren, ich ihnen die nötige Stabilität gebe in der sie wachsen können und sie gleichzeitig so herausfordere, dass sie auch bereit sind, neues zu unternehmen um uns gemeinsam weiter zu entwickeln. Als Arbeitnehmer erwarte ich von meinem Arbeitgeber, dass er seine Treuepflicht wahrnimmt, mich fair und korrekt behandelt und mit mir kommuniziert, mich meinen Fähigkeiten entsprechend einsetzt um mir die Möglichkeiten bietet, mich weiterzuentwickeln.

Diese Bedürfnisse entsprechen sich grundsätzlich gut. Es gibt keine unüberwindbaren Gegensätze, die eine erfolgreiche Zusammenarbeit verhindern würden. Wir befinden uns nicht mehr im Zustand der Akkordarbeit und des Lohndrückens, noch wollen wir als Arbeitgeber einem organisierten Mob von Arbeitern ausgeliefert sein. In der Informations- und Wissensgesellschaft fällt der Wert der Information wesentlich mehr ins Gewicht, als dies während und nach der industriellen Revolution mit ihren einfachen Arbeitsgängen der Fall war. Oder präziser gesagt: Es geht heute vermehrt darum, zu wissen wie man etwas macht nicht unbedingt wie man es im Detail ausführt. Damit haben sich die Fähigkeiten natürlich auch verschoben. In einem modernen Arbeitsplatzmodell gehe ich davon aus, dass meine Mitarbeitenden während der Hälfte oder dreiviertel ihrer Arbeitszeit Unternehmen sind und über eine ihnen passende Infrastruktur verfügen die Sie auch persönlich gestalten können. Die persönliche Identifikation mit ihrer Umgebung ist wichtig, wie auch die Kommunikation mit Ihren Kolleginnen und Kollegen. Der Einsatz von Home-Office und flexiblen Arbeitsplatz-Modellen ist dann sinnvoll, wenn die Arbeiten ohne direkten Kontakt mit den anderen stattfinden können (was höchst selten der Fall ist). Gleichzeitig plädiere ich für dezentrale Arbeitszentren, um die Mobilitätsfrage zu lösen. Es ist durchaus sinnvoll, dass man die Pendlerströme reduziert, in dem man den Leuten die Möglichkeit gibt, sich in dezentralen Arbeitszentren zu treffen, die nicht zwingend vom eigenen Unternehmen betrieben werden. Im Zeitalter der mobile Arbeitsplätze kann dies eine Möglichkeit sein die Freiheitsgrade der Mitarbeiter zu erhöhen hören und gleichzeitig dafür sorgen dass sie trotzdem physischen Kontakt mit Ihren Kolleginnen und Kollegen aufnehmen können.

Schlussfolgerungen

Manch einer wird sich jetzt fragen, was diese Themen mit der Informationssicherheit zu tun haben. Wie in der Einleitung erwähnt, gehe ich nicht davon aus, dass wir jemals in der Lage sein werden, den Missbrauch von Informationen dadurch zu verhindern, dass wir technische Hilfsmittel einsetzen. Die Weitergabe von Daten oder deren Missbrauch ist ein leichtes Unterfangen und ohne weiteres durchzuführen, selbst wenn teuerste Technik-Massnahmen umgesetzt wurden. Folglich muss der Arbeitgeber dafür sorgen, dass die Illoyalitäts-Quote der Mitarbeiter möglichst gering ist, bzw. die Anzahl derer, die sich möglicherweise gegen das Gesetz oder das Unternehmen richten, auf ein überschaubares Minimum reduziert werden kann. Diese erreichen wir nur dadurch, dass wir die Zufriedenheit der Mitarbeiter soweit als verträglich gewährleisten. Das tönt jetzt vielleicht sehr sozialromantisch, dies sollte aber auf keinen Fall so verstanden werden. Es ist völlig klar, dass manch ein Mitarbeiter an seinem Arbeitsplatz unglücklich ist und sich weiterentwickeln möchte – dann muss man ihn fördern bzw. Optionen aufzeigen können. Es gibt vermutlich nichts Schöneres, als erfolgreiche Mitarbeiter, die im eigenen Unternehmen begonnen und eine erfolgreiche Laufbahn absolviert haben.

 

Was wir nicht wollen sind Mitarbeitende, die frustriert an ihren oder anderen Arbeitsplätzen sitzen, sich nicht mehr mit ihren Aufgaben identifizieren, sich nur noch darum kümmern wie hoch der nächste Bonus sein wird und wie es Möglichkeiten gibt, diesen durch legale oder illegale Methoden aufzuwerten.

 

Twitter # Tag: #socioculturalsecurity

 


[2] Zur Vertiefung empfohlen: GeoEpoche, Die Industrielle Revolution, Nr. 4/08

[3] Layard, Richard:  Happiness, Lessons from a New Science, 2.ed., London 2011

[4] Layard, S. 179

[5] Layard, S. 30: „ Overall, the change in happiness is mall relative to the increase in incomes“; bezogen auf die Entwicklung in Europa seit 1950.

[6] Layard, S 41ff.

[7] Layard, S. 156 zum Thema „Performance related pay“

[8] Diese Aussagen gelten für alle Arbeitnehmer, die vorher einen fixen Arbeitsplatz hatten und es sich nicht um  eine aussendienstliche Tätigkeit handelt.

[9] Mehr dazu dann zur These 5 „Outsourcing“

Artikelserie: Sozio-kulturelle Faktoren der Informationssicherheit

Ich blicke auf eine lange Praxis im IT Umfeld zurück. Seit meinem Einstieg in die Branche im Jahr 1978 war ich in vielen verschiedenen Funktionen sowohl bei Anbietern wie auch Kunden tätig. Ich habe Hardware entwickelt und gewartet, habe Softwareprojekte geführt und war als IT-Revisor in einer Privatbank tätig. Als Partner eines der ersten Internet-Sicherheitsunternehmens in Europa habe ich die Entwicklung der IT-Sicherheitsbranche von Beginn an beobachtet aber auch rechtliche Gutachten verfasst und VR- Workshops zu Fragen der IT geführt. Ich bin noch immer im Verwaltungsrat einer Sicherheitsunternehmung und verfolge die Entwicklung in diesem Bereich aktiv. Viele Projekte und Gespräche mit Kollegen und Kunden, aktuelle Entwicklungen und das immer währende Thema Datenschutz haben mich bewogen, die vorliegende Artikelserie zu einem Thema zu schreiben, welches in der Fachliteraturleiter leider nur stiefmütterlich oder wenn, dann meist nur sehr theoretisch behandelt wird. Viele der erwähnten Probleme haben mich dazu bewogen, meine Arbeit mehr in den Fokus der Gestaltung von Informationsmanagementsysteme zu stellen, dies im Wissen, dass die Sicherheit zwar ein wichtiger Faktor ist, letztlich aber immer dem Kerngedanken der Informationsgesellschaft folgen muss, der da lautet:

„Ein Wert für die Beteiligten der Informationsgesellschaft wird nur dann erzielt, wenn Informationen frei und sicher zirkulieren können.“

Man sollte man deshalb nie aus den Augen verlieren, dass Information ein Produktionsfaktor ist und ihr Fluss nur soweit eingeschränkt werden darf, wie es wirtschaftlich vertretbar ist – Sicherheit hin oder her.

Viel mehr Sicherheit wäre erreichbar, würde man den Menschen und seinen Arbeitskontext in die Überlegungen einbeziehen. Deshalb diese Artikelserie zum Thema „Sozio-kulturelle Faktoren der Informationssicherheit“.

Dr. Bruno Wildhaber

These 2: Alle arbeiten im Team, aber keiner mit dem anderen.

 Toll Ein Anderer Machts …  oder wieso Primadonnen schlecht für die Sicherheit sind.

Welche Rolle spielen Teams, wenn es um die Informationssicherheit geht? Was macht gute Teams aus und welche Voraussetzungen müssen gegeben sein, damit man sich auf sie verlassen kann?

Zweite These zum Thema „Sozio-kulturelle Faktoren der Informationssicherheit“

Was ist ein Team?Die Arbeit im Team ist vermutlich eine der grössten Herausforderungen für einen Projektleiter oder für jede verantwortliche Führungsperson. Während man bei einem einfachen Auftrag immer davon ausgehen kann, dass man es mit einem direkt Verantwortlichen zu tun hat, der für das Ergebnis einstehen muss, ergeben sich durch die Komplexität im Team zusätzliche Herausforderungen an das Management.

Ich habe mir lange überlegt, wie ich dieses Kapitel einleiten soll. Nach langem Hin und her habe ich mich entschlossen, die Bedeutung des Teams und die Rolle der Mitglieder[1] anhand persönlich erlebter Beispiele zu beschreiben. In meiner Jugend war ich Mitglied in einem Team. Ich war Flügelspieler in einer Handball-Mannschaft und fuhr mit meinen Kollegen jeweils am Wochenende zu Auswärtsspielen oder spielte zuhause. Wenn man einen Teamsport betreibt, dann wird einem schnell bewusst, dass nicht alle Mitglieder des Teams wirklich auch gleich gestellt sind. Dies beginnt schon damit, dass es zugewiesene Rollen gibt, die es zu erfüllen gilt. So spielt ein Flügelspieler halt eben am Flügel und hat diejenigen Aufgaben zu übernehmen, die ihm der Spielverlauf, vor allem aber der Trainer abfordern. Dies gilt gleichermassen für alle Spieler, seien sie nun Spielmacher, Kreisläufer oder Rückraumspieler. Als junger Spieler wird einem unzweideutig und sofort klargemacht, welche Rolle man in diesem Team spielt und wie man sie zu erfüllen hat. Gleichzeitig werden einem auch die Grenzen aufgezeigt und es wird klar vermittelt, wie weit die eigene Autonomie geht. Natürlich gibt es auch in solchen Teams Stars, Spieler denen man ansieht, dass sie für diesen Sport speziell geeignet sind und auch besondere Fähigkeiten besitzen. In ausgeprägten Team-Sportarten wie im Handball ist es aber unmöglich, dass ein solches Talent seine Leistung ohne Mitarbeit des Teams erbringen kann. Hat man also jemals in einem echten Team mitgespielt, weiss man, dass selbst der talentierteste Spieler nicht in der Lage sein wird, Spiele alleine zu entscheiden (im Spitzenfussball scheint diese Regel nicht mehr zu gelten, nur geht es da nicht mehr um Sport, sondern um Big Business[2]). Spieler, oder besser gesagt Primadonnen, welche Letzteres nicht verstanden haben, werden in der Regel sehr schnell aus guten Teams eliminiert. Dies mag in vielen Fällen gerechtfertigt sein, manchmal ist es aber auch schlicht die Unfähigkeit der Trainer oder der anderen Mitspieler, anzuerkennen, dass es eben auch Talente gibt die etwas anders behandelt werden müssen. Letzteres ist eine sehr gewagte Gratwanderung: Der Trainer muss und darf einem einzelnen Spieler nur so viel Freiraum geben, wie das Kollektiv – und damit der Erfolg – nicht gefährdet ist.

Schon ein bisschen schwieriger wird die ganze Geschichte, wenn man von Teams ausgeht, die primär aus Einzelspielern bestehen. Zu nennen wäre hier zum Beispiel ein Tennisteam, welches sich im Rahmen der Interclub Meisterschaft oder anderen Wettbewerben mit anderen Teams auseinandersetzen muss. Hier werden in der Regel gute Einzelspieler zusammengewürfelt und es wird versucht, eine Teamleistung zu erzielen. Dies funktioniert in der Regel mehr schlecht als recht, verstehen sich doch viele Einzelspieler eben tatsächlich nur als Einzelspieler und nicht als Mitglieder eines kollektiven Ganzen. Wie wir bestens wissen, gibt es dann auch „Stars“, die sich kurzfristig mit fadenscheinigen Begründungen von solchen Teamevents abmelden. Auf der anderen Seite gibt es sehr viele Teams dieser Art, die ausgezeichnet funktionieren. Nämlich vor allem dann, wenn der einzelne Spieler weiss, dass seine Fähigkeiten limitiert sind, er aber mit anderen Kollegen zusammen ein beachtliches Ergebnis erzielen kann. Die individuelle Schwäche eines Spieles kann durch die Stärke eines anderen kompensiert werden. Gutes taktisches Verhalten, d.h. die Zusammensetzung der einzelnen Teams kann dazu führen, dass ein schwächeres Team ein stärkeres schlägt, obwohl Letzteres auf dem Papier wesentlich besser klassierte Spieler hat. Ein guter Einzelspieler ist noch lange kein Könner im Doppel und vice versa! Besonders gut funktionieren gemischte Teams, wie sie z.B. im Badminton eingesetzt werden. Eine spannende Erfahrung, auf die ich im Rahmen der Diskussion um Teams in der Berufswelt zurückkommen werde.

Als drittes Einstiegsbeispielals möchte ich auf eine Erfahrung zurückgreifen, die viele Schweizer mit mir teilen. Es ist die Rede vom Militär. Auch wenn der Begriff Team in Militär vielleicht ein bisschen arg strapaziert ist, muss man letztendlich in seiner Einheit zusammen an einer Aufgabe arbeiten und sie zum Erfolg führen. Die Schwierigkeit dieser Aufgabe besteht in der Regel darin, so zu führen, dass die Armeeangehörigen die ihnen übertragenen Aufgaben mit der angestrebten Qualität und dem notwendigen Engagement erfüllen. Kraft der Befehlsgewalt ist es möglich die Leute auf ein Ziel anzusetzen und eine Aufgabe zu übertragen, schlimmstenfalls auch sie die Konsequenzen spüren zu lassen, wenn die Aufgabe nicht oder schlecht erfüllt wurde, zu einer guten Teamleistung wird dies hingegen nicht führen. Ich weiss nicht, wie weit man beim Militär von Teams sprechen darf, aus meiner Erfahrung waren es jeweils Zwangsgemeinschaften, die allerdings immer einen sehr positiven Nebeneffekt hatten. Die emotionale Bindungen in militärischen Teams, d.h. bei Leuten, die zu einer Schicksalsgemeinschaft zusammengefügt werden, sind in der Regel sehr hoch. Sicherlich kann man dies nicht verallgemeinern, doch denke ich, dass das gemeinsame „Schicksal“ die Leute so weit zusammenschweisst, dass sie bereit sind, unter grossen Entbehrungen auf ein gemeinsames Ziel hinzuarbeiten. Selbstverständlich geht mit dem Ende der Dienstzeit auch die Bindung an diese sehr flüchtigen Ziele sofort verloren, hingegen bleiben Freundschaften unter Umständen über Jahrzehnte, ja bis zum Lebensende erhalten. Eine Erfahrung, die man im Berufsleben wohl nur ganz selten macht.

Teamentwicklung

Wie wir in These 1 gesehen haben, hat sich die individuelle und kollektive Arbeitswelt in den letzten 150 Jahren fundamental verändert. Es entwickelte sich in der Industrialisierung eine Arbeiterschaft, die unter sklavenähnlichen Verhältnissen lebte. Mit dem Aufkommen der sozialen Strömungen wurden die Bedingungen für die Arbeiterschaft zunehmend verbessert. Trotzdem blieben die einzelnen Arbeiter in Prozesse eingebunden, die sie zu minderwertigen Arbeiten zwangen. Die von Henry Ford erfundene Fliessbandarbeit, die eigentlich DIE Schlüsselerfindungen für den industriellen Erfolg war, führte zur Entmenschlichung des Arbeiters. Der Mensch als Zahnrad in einer grossen Maschinerie, wie er im Film „Moderne Zeiten“ von Charlie Chaplin entlarvend dargestellt wurde, blieb über lange Jahre das prägende Bild für die Unmenschlichkeit der Arbeit. Wir sind uns bewusst, dass diese Verhältnisse bis heute herrschen, wenngleich wir davon ausgehen können, dass dies in den USA und in Europa kaum mehr der Fall ist. Der Mensch diente in diesen Modellen als Teil der Maschine und ist nicht ein Teil eines denkenden Organismus oder einer unternehmerischen Struktur. Bald einmal wurde erkannt, dass solche monotone Arbeiten auch zu einer Verschlechterung der Qualität führten. Arbeiter kämpften aktiv gegen ihre Arbeitgeber, indem sie ihre Arbeit schlecht ausführten und zum Teil Produkte produzierten, die mehr schlecht als recht funktionierten. Bei vielen noch immer bestens bekannt sind die leeren Bierdosen in den Türen amerikanischer Autos der Siebzigerjahre, mit welchen sich die Arbeiterschaft zur Wehr setzte, um bessere Arbeitsbedingungen zu erstreiten. Die Japaner, insbesondere Toyota, hatten damals mit dem TPS (Toyota Production System)[3] bereits eine arbeiter- und unternehmerfreundliche Methode aufgebaut, die Produkte mit höchster Qualität lieferte. Es ging darum, kleinen Gruppen von Arbeitern Aufgaben zuzuteilen, die es ihnen ermöglichte, ein greif- und fühlbares Arbeitsergebnis zu erzielen. Man baut zum Beispiel einen Motor mit einem Team von 8 Leuten und baut diesen soweit fertig, dass er als ganze Einheit später in das Auto eingebaut werden konnte („Fertigungsinsel“). Damit ermöglichte man den Arbeitern, ihre Arbeit als funktionierendes Resultat abzuliefern. Damit identifizieren sie sich automatisch mit ihrem Arbeitsergebnis/Produkt. Zusammen mit dem Prinzip des „Kaizen“[4], d.h. der permanenten Verbesserung, erhält man ein neues System zur optimalen Fertigung von Gütern. Die Verschwendung von Materialien wird minimiert, die Ausbildung von neuen Arbeitern erleichtert.

Dieses Prinzip, welches genau betrachtet in den klassischen Handwerksberufen immer galt, musste in der Grossproduktion mühsam wieder eingeführt werden.

Die Identifikation mit dem Resultat (Ziel) stellt den Schlüsselfaktor dafür dar, dass ein Teammitglied eine Leistung erbringt, welche die Teamleitung und  die anderen Teammitglieder befriedigt.

 

Teams heute

Mit der Verschiebung der Tätigkeiten in den Dienstleistungssektor werden die Arbeitsergebnisse des einzelnen „Arbeiters“ je länger je weniger direkt manifestier- und greifbar. Dies führt dazu, dass man sich auch als unqualifizierter oder schlechter Arbeiter/Angestellter gut hinter einer entsprechend mageren Leistungen verstecken kann. Dies gilt gerade im Umfeld der heute vielgepriesenen Knowledge Worker[5], also einer Kategorie von Personen, die in der Informations- und Wissensgesellschaft von zentraler Bedeutung sind. Gemeint sind diejenigen Personen, die aufgrund ihrer intellektuellen Kapazität und ihres Potentials dafür sorgen sollten, dass sich ein Unternehmen nach vorne entwickelt, d.h. innovativ ist. Wir wissen, dass der Grossteil dieser Leistungen nicht mehr direkt in einem physischen Produkt oder einer messbaren Leistung resultiert. Viele der heutigen Aufgaben werden dem Unternehmen durch den Gesetzgeber, durch Partner oder Kunden, bzw. andere Stakeholder aufgezwungen[6]. Je grösser das Unternehmen oder die Organisation, umso grösser die Wahrscheinlichkeit, dass es viele unproduktive Gruppen oder Personen gibt, die den Arbeitgeber oder andere Teams zumindest fahrlässig daran hindern, ein betriebswirtschaftlich vernünftiges Ergebnis zu erzielen. Was meine ich damit? Jeder kennt die Situation, dass in einem Team ein Querschläger permanent dafür sorgt, das Arbeiten nicht weiter fortschreiten. Dies kann dadurch geschehen, dass vermeintlich fachlich fundierte Stellungnahmen geschrieben oder Fristerstreckungen angestrebt werden, die eigentlich keinen vernünftigen Grund haben. Dokumente werden 4-5 Mal hin und her geschoben doch keiner will entscheiden was damit zu geschehen hat[7]. Gutachten werden mit Gegengutachten versehen und es wird gewartet bis die Chefposition wechselt und ein neuer Chef das ganze wieder von vorne aufrollen muss. Wir haben es hier mit einer Herausforderung zu tun, die sich in dieser Form eigentlich erst in den letzten 10-20 Jahren entwickelt hat. Durch die immer stärker zunehmende Spezialisierung und die damit direkt verbundene Scheuklappendenke, wird der Freiraum des einzelnen Teammitglieds immer kleiner. Andererseits ist es für ein einzelnes Mitglied des Teams fast unmöglich, den Überblick über die laufenden Aktivitäten zu behalten. Folglich muss sich die Projektleitung stärker engagieren und hat völlig neue Herausforderungen zu bewältigen.

Was macht ein gutes Team aus?

Unter dem Strich stellt sich immer wieder dieselbe Frage: „Was macht ein gutes Team aus?“.  Aufgrund der vorne gezeigten Beispiele aus dem Sport und aus dem Berufsleben lassen sich die folgenden Schlüsselfaktoren für erfolgreiche Teams ableiten:

1. Teammitglieder sind nie Einzelkämpfer.

2. Die Mitglieder des Teams kennen die Ziele und wissen, welchen Beitrag sie zur Erreichung dieser Ziele erbringen können.

3. Ein gutes Team kommt nicht ohne Teamleader aus.

4. Gute Teams sind fehlertolerant und lernen aus Fehlern.

5. Gute Teams haben Respekt vor dem Gegner.

6. Alle Mitglieder eines Teams richten sich nach einer vereinbarten Grundlage.

7. Sanktionen sind Teil einer guten Teamkultur.

8. Jedes Team braucht den Rückhalt seiner Sponsoren und Förderer.

9. Gute Teams verfügen über eine hohe Kommunikationskultur.

10. Gute Teams können Probleme lösen und notfalls eskalieren.

Was bedeuten die einzelnen Grundsätze nun auf das Berufsleben übertragen?

1. Teammitglieder sind nie Einzelkämpfer.

Ihr persönliches Ego wird immer dem Teamziel untergeordnet UND es gibt nur EIN Team. In einem Team darf es keine Primadonnen geben. Während dies im Ballett vielleicht denk- und auch machbar ist, sogar die Regel darstellt, ist dies in einem Team welches für einen Arbeitgeber Leistungen erbringen muss, nicht denkbar. Es ist normal, dass es in jedem Team auch Stars gibt, die aufgrund ihrer persönlichen Fähigkeiten oder Ausstrahlung in den Vordergrund treten. Jede/r hat eine Rolle zu übernehmen und diese können auch über das Spielfeld hinaus von Bedeutung sein! Hier hat der Star seine Rolle: Der Star eines Teams ist dessen primärer Verkäufer  und erbringt somit eine wichtige Kommunikationsleistung. Er oder sie ist damit ein essentielles Element für das erfolgreiche Marketing. Wie wir alle wissen, ist es nicht möglich, ein erfolgreiches Resultat zu erbringen, wenn der Verkauf versagt.

Während Projektabwicklungen sind Stars jedoch völlig unerwünscht. Der  Projektleiter muss in dieser Phase der primäre Verkäufer sein. Er kann diese Funktion kaum delegieren.  Dies ist aber eine schlechte Voraussetzung für den Projekterfolg (mehr zur Rolle der Führungspersonen in These 7). Fazit: Jedes Teammitglied hat eine klar zugewiesene Rolle und muss sich an diese halten.

2. Die Mitglieder des Teams kennen die Ziele und wissen, welchen Beitrag sie zur Erreichung dieser Ziele erbringen können.

Im Sport dürfte es klar sein, welche Ziele es zu erreichen gilt. Man will gewinnen, d.h. zum Beispiel mehr Tore erzielen als der Gegner. Dies stimmt einerseits auf der Makroebene, andererseits auch für eine Ebene darunter (Taktik). So kann der Coach vorgeben, dass man sich besonders defensiv verhält und damit den Gegner verunsichert, damit er sein Angriffsspiel nicht durchsetzen kann. In Projekten sollten die Ziele im Projektauftrag ausformuliert und messbar sein. Im normalen Geschäftsablauf, der nicht projektorientiert funktioniert, sollten die Zielvereinbarungen mit den Mitarbeitern die Grundlage für die gemeinsam zu erreichenden Ziele bilden. Fehlen solche, dann wird es sowohl für die Vorgesetzten wie auch für den Mitarbeiter schwer, Leistungen zu bewerten und zu erkennen. Das Teammitglied benötigt demnach einen klaren Aufgabenkatalog mit definierten Zielen und den allenfalls bereits definierten Messgrössen (Rollenbeschrieb).

3. Ein gutes Team kommt nicht ohne Teamleader aus.

Es gibt keine basisdemokratische Führung von erfolgreichen Teams. Damit soll gesagt werden, dass die Führung und letztlich die Schlussentscheidung nicht auf eine Vielzahl von Schultern verteilt werden kann. Selbstverständlich braucht es demokratische Strukturen und es ist auch notwendig, dass zu bestimmten Fragen die Mitglieder ihre Meinung äussern können. Es gibt jedoch immer wieder harte Entscheide, bei denen man keinen basisdemokratischen Konsens finden wird und die aufgrund ihrer zeitlichen Dringlichkeit sofort gefällt werden müssen. In solchen Fällen muss sich der Teamleader oder Coach durchsetzen und auch gegen die Interessen von einzelnen Teammitgliedern handeln. Diese Verfahren müssen natürlich allen Teammitgliedern bekannt sein und sie stellen eine wesentliche Grundlage für das Regelwerk (Grundsatz 6) dar. Mitglieder, welche die Ziele des Teams manipulieren oder sogar sabotieren, müssen so rasch als möglich eliminiert werden. Dies verlangt vom Teamleiter ein hohes Mass an Kompetenz und Erfahrung als Teammitglied. Dummerweise sind die heutigen Manager meist genau das Gegenteil des guten Teamcoaches, sie sind Marathonläufer und nur auf sich selbst fixiert und scheitern deshalb oftmals an sich selbst; mehr dazu in den Thesen 3 und 7.

4. Gute Teams sind fehlertolerant und lernen aus Fehlern

Kein Team ist fehlerfrei, das gilt für alle Beteiligten und bezieht sich auf verschiedenen Schwächen. Auch eine vermeintliche Stärke kann zu einer Schwäche werden, hier gezeigt am Beispiel der individuellen Teamfähigkeiten: „Stars“ vs. „Beginners“.

Gute Teams zeichnen sich dadurch aus, dass „Stars“ und „Beginners“ gefördert und integriert werden, soweit sie dem Team keinen Schaden zufügen.

Schwächere Teammitglieder werden so weit integriert, sofern Sie für das erreichen des Teamerfolges keine unüberwindbaren Hindernisse erzeugen (Fehlertoleranz). „Stars“ werden so ins Team eingepasst, dass sie ihre Talente ausspielen können, ohne die Harmonie im Team negativ zu beeinflussen. Sollte letzteres nicht mehr möglich sein, werden sowohl „Stars“ wie auch „Beginners“ in Teams versetzt, die ihren Fähigkeiten besser gerecht werden.

5. Gute Teams haben Respekt vor dem „Gegner“

Im Sport gehört es zu den Grundregeln, ja definiert sich über den Begriff. „To be a sport“ bedeutet im Englischen, dass man sich allen gegenüber als Gentleman verhält, dazu gehören auch die Opponenten oder die Mitglieder anderer Teams.

Wer schon mal ein Haus gebaut hat, kann ein Lied darüber singen, welch wichtige Rolle der Respekt unter den Handwerksmannschaften spielt. Handwerker, die sich kennen und die regelmässig zusammenarbeiten, werden in der Regel dafür sorgen, dass sie Resultate hinterlassen, die ihren Kollegen in der Folge keine Probleme bereiten. Denn sie wissen genau, dass beim nächsten Bau die umgekehrte Situation eintreten könnte und sie dann plötzlich von anderen abhängig werden. Kennen sich die einzelnen Arbeitsgruppen nicht, dann besteht kein sozialer Druck, um ein gutes Arbeitsergebnis zu erzielen. Es geht also lediglich darum, eine Leistung zu erbringen, die möglichst billig ist und für den Generalunternehmer am Ende möglichst viel Profit bringt. Wer schon einmal auf einer Baustelle war und zugehört hat, wie die einzelnen Arbeiter miteinander sprechen, dem wird schnell bewusst, welche Zusammenarbeit ich an dieser Stelle meine. Wie die Leute miteinander umgehen und kommunizieren definiert am Schluss das Arbeitsergebnis. Natürlich spielt es eine sehr wichtige Rolle, dass ein guter Bauleiter auf dem Bau das Sagen hat. Er alleine kann jedoch aus einem schlechten Team kein Winnerteam machen.

Gute Teammitglieder kennen nur ein Team (zumindest in derselben „Sportart“). Ein Teammitglied kann sich nicht aufteilen, in dem es Mitglied in zwei verschiedenen Teams mit einer ähnlich gelagerten Zielsetzung ist.

6. Alle Mitglieder eines Teams richten sich nach einer vereinbarten Grundlage

Eine gemeinsame Grundlage, bzw. ein Regelwerk bildet das Fundament für die Team-Zusammenarbeit. Während im Sport die äusseren Regeln normalerweise bekannt sind, müssen die internen Teamregeln definiert werden. Dies gilt selbstverständlich gleichermassen im beruflichen Umfeld, wo die in diesen Grundsätzen dargelegten Erwägungen Bestandteil eines Regelwerks bilden. Ausgeprägt sind solche Regelwerke vor allem in jüngerer Zeit, so wurde im Rahmen der Entstehung der Open Source Bewegung, ein Regelwerk entwickelt, wie frei arbeitende Programmierer an einem Open Source Projekt beteiligt sind und welche Grundsätze sie zu befolgen haben[8]. Leider wird im Rahmen von Projekten kaum auf die Gestaltung eines Regelwerks geachtet. Dies führt dann oftmals dazu, dass es fast nicht möglich ist, in bestehenden Projekten Personen zu sanktionieren, die sich nicht produktiv oder sogar gegen das Projekt oder dessen Ziele verhalten. Ein solches Regelwerk umfasst die Regeln der Zusammenarbeit und des Zusammenwirkens, wie sie in diesen 10 Grundsätzen beschrieben sind.

7. Sanktionen sind Teil einer guten Teamkultur.

Der Teamleiter muss jederzeit in der Lage sein, Sanktionen auszusprechen und durchzusetzen. „Der Projektleiter war einfach zu wenig konsequent“. Diese und ähnliche Aussage muss man leider immer wieder hören, wenn ein Projekt gescheitert ist. Angesprochen wird die Unfähigkeit vieler Projektleiter, unproduktive Mitglieder oder Querulanten aus dem Projekt zu entfernen. Da man ja immer das Gute im Menschen sehen will, wartet man in der Regel zu lange zu, bis man einem Projektmitglied sagt, dass es für diese Aufgabe nicht geeignet sei. Meist ist es dann aber schon zu spät. Während man sich im Sport kaum verstecken kann und die Konsequenzen sehr schnell folgen, ist dies im beruflichen Umfeld leider nicht der Fall. Man würde sich das Leben wesentlich vereinfachen, wenn man den Regelkatalog (siehe Grundsatz 6) ausgearbeitet hätte und darin auch die Sanktionen niedergeschrieben wären. Wie im Sport ist auch im beruflichen Leben dringend notwendig, dass man die Missachtung von Regeln so rasch als möglich und direkt sanktioniert. Wenn jemand einmal zu spät kommt, dann kann dies akzeptiert werden, muss aber als Feedback an den Betroffenen sofort zurückgemeldet werden. Geschieht dies ein zweites Mal, ist es bereits Vorstufe zum Ausschluss. Personen, welche konsequent und immer wieder Ziele ignorieren, Termine nicht einhalten oder permanent zu spät zu Meetings erscheinen, gehören nicht in ein Team und müssen so rasch als möglich entfernt werden. Liegen die Gründe für ein solches Fehlverhalten in persönlichen Problemen, dann ist es nicht Aufgabe des Teams, diese zu lösen. Selbstverständlich wird ein guter Teamleiter darauf hin arbeiten, dass der Person die notwendige Hilfe zur Verfügung gestellt wird. Er wird sich mit den Vorgesetzten in Verbindung setzen, um die Situation möglichst in den Griff bekommen zu können. Leider gibt es aber immer wieder Personen, die unbelehrbar sind und sich nicht an die vereinbarten Regeln halten wollen und können. Auf diese muss man verzichten, auch wenn sie noch so gut sind (siehe Grundsatz 1). Kulturelle Unterschiede müssen zwar berücksichtigt werden, doch gibt es auch hier klare Grenzen, die  nicht überschritten werden dürfen (vgl. These 6).

8. Jedes Team braucht den Rückhalt seiner Sponsoren und Förderer

Kein Team arbeitet ohne Aussenbeziehungen. Teams jeglicher Art sind von Sponsoren, Geldgebern und anderen zugeneigten Personen oder Organisationen abhängig. Ein guter Draht zu diesen ist unabdingbar und es ist die Aufgabe des Teamleiters, die Schnittstelle zu dieser wichtigen Gruppe zu pflegen und zu entwickeln. Nicht immer können Konflikte oder Probleme innerhalb eines Teams gelöst werden, sondern es müssen Möglichkeiten existieren, die positiv zugeneigten Kräfte zu mobilisieren. Ob es sich nun um ein kommerzielles Management oder um freiwillige Geldgeber handelt, der Umgang mit diesen muss gelernt und über Jahre etabliert sein. Ein Team, welches nicht auf den Rückhalt dieser Gruppe zählen kann, wird es immer schwer haben. Hierzu gibt es verschiedene Beispiele, unter anderem den Verkauf von kleineren Unternehmenseinheiten oder Firmen, die ohne Absprache mit den einzelnen „Targets“ geschehen. Gleiches gilt in einem professionellen Team, wenn einzelne Spieler ohne Absprache mit dem Teamleader oder Coach  verkauft werden. Das grösste Problem in Projekten stellt die von grossen Beratungsunternehmen gepflegte Unsitte dar, gut eingespielte Teams auseinander zu reissen.  Meist werden Projektmitarbeiter, die eine gewisse Zeit im Projekt tätig waren, abgerufen um sie in bei einem anderen (lukrativeren?) Kunden  einzusetzen. Dieses Vorgehen stellt eine Missachtung des Kundenwillens dar und muss durch den Auftraggeber unterbunden werden.

9. Gute Teams verfügen über eine hohe Kommunikationskultur

Die hohe Kunst der Kommunikation spielt selbstverständlich auch in Teams eine entscheidende Rolle. Dabei gilt es zwischen der teaminternen und externen Kommunikation zu unterschreiben. Die teaminterne Kommunikation soll durch den Teamleiter aufgesetzt und gesteuert werden. An erster Stelle stehen dabei die persönlichen Kontakte, die meist in Form von Treffen oder Sitzungen stattfinden. Es zeigt sich, dass in Zeiten knapper Finanzmittel oftmals genau an diesen Kommunikationsformen geschraubt wird. Oder anders gesagt, die nötigen Mittel für Treffen, Reisen und die dazu notwendigen Spesen werden aus kurzsichtiger Optik nicht bewilligt. Doch wie will man ein internationales Projekt führen, wenn man seine wichtigsten Projektmitglieder 2 Jahre nicht mehr persönlich gesehen hat? Videokonferenzen und technische Hilfsmittel können den persönlichen Kontakt in keiner Art und Weise ersetzen. Selbstverständlich ermöglichen die heute verfügbaren Kommunikationsmittel eine wesentliche Vereinfachung der internationalen Kommunikation. Die Mittel der sozialen Medien, Bulletin-Boards, Wikis und weitere Technik helfen die Kommunikation in Gang zu halten. Andererseits können sie aber auch dazu führen, dass sich die Teammitglieder nicht mehr mit dem eigentlichen Team oder den Projekt auseinandersetzen, sondern sich den bekannten Pseudo-Aktivismus aneignen und sich nur noch auf den Kommunikationskanälen bewegen. Dieser ungünstigen Nebenwirkung kann man entgegentreten, wenn man die Kommunikationsplattformen kontrolliert und es klare Regeln gibt. So dürfen in Bulletin-Boards sämtliche Kommunikationen nur offen und nicht versteckt geführt werden. Dies entspricht den Regeln, die für COINs aufgestellt wurden (s. unten).

10. Gute Teams können Probleme lösen und notfalls eskalieren.

Gute Teams beherrschen interne Kommunikationsverfahren und sind in der Lage, entstehende Konflikte früh zu erkennen und an der Wurzel zu packen und auszureissen. Nicht immer sind solche Konflikte im Team lösbar, deshalb werden zusätzliche Verfahren benötigt.

Gute Eskalationsverfahren helfen allen Teammitgliedern, sich darauf vorzubereiten, sollte einmal etwas schief gehen. Gerade in Projekten sind griffige Eskalationsverfahren Teil der in Grundsatz 6 erwähnten Regeln. Eskalationsverfahren sind aber für jedes Projekt wichtig, weil sie die Regeln beinhalten, wie bei schwerwiegenden Störungen vorzugehen ist.  Hinlänglich bekannt ist die Situation in welcher ein „Bumerangthema“ (es kommt immer wieder) die Arbeiten eines Steuerungsausschusses oder eines anderen Entscheidungsgremiums über Monate, wenn nicht Jahre behindert. Solche Themen werden gerne genutzt, um das Projekt zu verlangsamen. Diesen Verhinderungsmechanismen  kann der Boden entzogen werden, wenn geregelt wird, wie bei Uneinigkeit sofort eskaliert werden kann.

Wo „old style“ Teams mit Innovation kollidieren: COINs

COINS[9] (Collaborative Innovation Networks): Eine neue Form des Teams hat sich mit dem Aufkommen des Internets entwickelt, gemeint sind die so genannten COINs, d.h. Gruppen, welche sich im Internet treffen, um innovative Ideen zu kreieren. Sie basieren auf der Idee der Schwarm-Kreativität und ermöglichen die Schaffung neuer, innovativer Konstrukte. So basiert die Open Source[10] Bewegung auf diesem Konzept.   COINs stellen besondere Herausforderungen an das Management, sind aber eine höchst interessante Spielform für die Entwicklung innovativer Ideen und Produkte. Interessanterweise basieren COINs aber auf fast identischen Team-Grundregeln, wie wir sie hier formuliert haben. COINs basieren auf Kommunikation, haben einen strengen ethischen Code, benötigen ein (Vertrauens)Trust-Netzwerk und verlangen nach voller interner Transparenz – aber vor allem, alle Informationen müssen für jedes Mitglied zugänglich sein.

Wie man gut feststellen kann, gelten für COINs fast identische Regeln wie für traditionelle Teams. Wo unterscheiden sich COINs wesentlich von etablierten Arten der Zusammenarbeit? Meines Erachtens ist für den Teamerfolg nach wie vor der persönliche Kontakt entscheidend, der innere Kreis von COIN Members muss sich persönlich kennen, je weiter auf den Aussenbahnen die Mitglieder kreisen, umso weniger wichtig ist die persönliche Teilnahme. Diese Annahme wurde auch durch Forschungsarbeiten bestätigt, so funktionieren COINs (alle Teams) nur bis zu einer gewissen Grösse, ansonsten könne die Grundanforderungen an die Teams nicht mehr erfüllt werden. In COINs wird dies mit sogenannten Trust-Networks erreicht, wie sie auch in sozialen Netzwerken aufgebaut werden. Dies kann gut funktionieren, es hängt jedoch  direkt mit den Verbindlichkeiten des Teams ab. Je enger die Grenzen, je härter die Termine, je präziser die Zielsetzung umso weniger wird sich der Teamleiter auf Zweitreferenzen verlassen dürfen. In COINs mag dies funktionieren, in straff geführten Projekten ist es kaum denkbar – oder würden sie mit jeder Person in Ihrem LinkedIn Netzwerk ein Projekt durchführen?

Grösster Nachteil der COINs aus meiner Sicht: COINs werden in der Regel ohne finanzielle Anreize auskommen müssen. Hier stellt sich die grosse Herausforderung, wie freiwillig teilnehmende Mitglieder abgegolten werden können. Meines Erachtens funktioniert der altruistische Ansatz spätestens dann nicht mehr, wenn eine kommerzielle Organisation ein COIN ins Leben ruft. Beispiel: Grosse IT- und Beratungsunternehmen starten offene Gruppen (Communities) und ziehen dadurch Know-how aus dieser, eine Gegenleistung gibt es in solchen Communities jedoch kaum (höchstens für Newcomer, die einen Arbeitsplatz suchen). Damit schliesst man aber gerade diejenigen Leute aus, die ihre Erfahrung einbringen könnten, dies aber auf Grund des fehlenden Anreizes nicht mehr tun. COINs haben sich deshalb primär im universitären Umfeld etabliert, andere Formen müssen noch geschaffen werden.

Ein zweiter wesentlicher Nachteil besteht in der Tatsache , dass in kommerziellen Unternehmen und den meisten Organisationen immer Konkurrenzverhältnisse herrschen. Diese können auf rein persönlicher Ebene angesiedelt und organisations- oder unternehmensübergreifend sein.

COINs sind indes ein Lackmustest für die Sicherheitsorganisation, da sie alle gängigen Sicherheitsprinzipien unterlaufen. Die völlige Freigabe aller Informationen in einem u.U. heiklen Forschungsprojekt wird durch kommerzielle Unternehmen kaum je toleriert werden – aber vielleicht werden sich die COINs durchsetzen und es bleibt keine Alternative. Auf jeden Fall wird es spannend sein zu beobachten, wie diese Entwicklung weitergeht.

Was hat Teambildung mit Informationssicherheit zu tun?

„Alles“ ist man geneigt zu sagen. Jeder der aufgezeigten Teamfaktoren ist auch ein direkter oder indirekter Sicherheitsbeeinflusser. Heute werden viele oder ein Grossteil der Aufgaben in Teams abgearbeitet. Wichtigste Gruppe stellen sicher die temporären Teams dar, also diejenigen Mitarbeiter, die sich um Projekte kümmern. In den Unternehmen wird sehr vieles in Projekten organisiert, wenngleich dies auch nicht immer notwendig wäre. Dies spielt aber für das Thema Teamverhalten eigentlich eine geringe Rolle, da auch bei nicht als Projekt organisierten Tätigkeiten die Teamzusammenarbeit zum Tragen kommt.

Da der Grossteil der Arbeit heute in Teams abgewickelt wird, wird dadurch das persönliche Arbeitsumfeld und das Verhalten des einzelnen Mitarbeiters geprägt. Je besser sich das Teammitglied integriert fühlt, seine Rolle und die Teamziele kennt, umso weniger besteht ein Anlass, das Team und den Auftraggeber nicht optimal zu unterstützen. Auf der anderen Seite bedeutet ein nicht richtig und fahrlässig aufgesetztes Team eine grosse Quelle für Frustrationen und damit auch für Auslöser von Handlungen, die nicht nur die Teamgrenzen überschreiten sondern in Richtung strafbarer Handlungen gehen. Mit anderen Worten: je besser die Teams in einem Unternehmen funktionieren, umso weniger besteht Anlass, die Mitglieder mit unsauberen Mitteln zu überwachen oder Mittel einzusetzen, die nicht gesetzeskonform sind. Ich denke hier vor allem an Massnahmen der elektronischen Überwachung (Monitoring des Mailverkehrs) sowie auch der Videoüberwachung, wie sie ab und zu von Arbeitgebern eingesetzt werden. In dem hier primär diskutierten Kontext von grossen Unternehmen mit gut ausgebildeten Mitarbeitern, spielt Letzteres ebenfalls eine Rolle, ist man doch in letzter Zeit dazu übergegangen, mit stringenten Überwachungsmassnahmen eine Scheinsicherheit für das Management zu erzeugen[11]. Ist jedoch der Baum bereits an der Wurzel krank, bzw. sind die Teams schlecht aufgesetzt oder geführt, dann wird auch die Messung des Chlorophylls und der beste Dünger den Baume nicht mehr retten. Der frustrierte Mitarbeiter wird im schlimmsten Fall seinem Frust freien Lauf lassen und die Ziele des Teams mit allen möglichen Mitteln unterwandern.

Die Informationssicherheit spielt in der Teamdiskussion in der modernen Arbeitswelt eine zentrale Rolle, weil eine moderne Kommunikationsplattform ein essentielles Mittel für das Team darstellt. Ohne offene Kommunikation im Team können die angestrebten Resultate nicht erreicht werden. Es ist nicht möglich, mit noch so ausgefeilten Berechtigungssystemen technische Hürden zu schaffen, die es den Mitgliedern nicht ermöglichen würden, wichtige Informationen an Dritte weiterzugeben. Oder mit anderen Worten: Der Faktor Vertrauen spielt eine massgebliche Rolle. Vertrauen bedeutet aber nun nicht, dass man sich lediglich auf seine Menschenkenntnis verlassen muss, sondern das Vertrauen basiert auf den Regeln und den hier aufgelisteten Grundsätzen. Teams, welche alle 10 Grundsätze einhalten und sich gegenseitig unterstützen, werden früh genug merken, wenn sich innerhalb eines Teams Probleme ergeben. Dieses Frühwarnsystem ist hundertmal besser, als jedes technische Monitoringsystem, welches immer nur die letzte Auswirkung einer fehlerhaften Entwicklung aufzeigen kann. Ist diese Situation eingetreten, dann ist es in der Regel sowieso zu spät, effizient und sinnvoll zu agieren. Ein sozioökonomisches Handelssystem, welches die Informationssicherheit verbessern soll, wirkt immer auf allen 3 Ebenen der Sicherheit. Dies bedeutet, dass es sowohl präventiv, aufdeckend, wie auch korrigierend wirkt.

 

Als Unternehmer wollen wir die besten Teams, die für unsere Ziele und Zwecke geeignet und wünschbar sind. Wir unterstützen sie mit allen verfügbaren Mitteln und sorgen dafür, dass sie ein Arbeitsumfeld vorfinden, welches auch wir uns wünschen würden. Kann sich ein Teammitglied nicht mehr mit dem Team identifizieren, suchen wir eine alternative Lösung. Wir unterstützen keine kleinen Königreiche, bieten aber allen Teammitgliedern die Entwicklungsmöglichkeiten, die ihnen gerecht werden.

 

 

Twitter # Tag: #socioculturalsecurity

 



[1] Aus Gründen der Lesbarkeit verwende ich in diesem Artikel nur die männliche Form, weibliche Teammitglieder sollten sich dadurch nicht abschrecken lassen, sind doch gerade gemischte Teams besser in der Performance!

[2] Zur Rolle des Geldes im Fussball und der damit verknüpften Kriminalität vgl. The Economist, July 13, 1013: Welcome to the beautiful game: A villain’s guide to football

[3] Link zu Wikipedia: http://de.wikipedia.org/wiki/Toyota-Produktionssystem

[4] http://en.wikipedia.org/wiki/Kaizen; Zitat: „Kaizen Japanese for „improvement“, or „change for the better“ refers to philosophy or practices that focus upon continuous improvement of processes in manufacturing, engineering, and business management.

[5] Knowledge workers are workers whose main capital is knowledge. Typical examples may include software engineers, architects, engineers, scientists and lawyers, because they „think for a living“; Davenport, Thomas H. (2005) Thinking for a living, Boston: Harvard Business Press

[6] Im Conformance – Performance Kontext werden immer mehr Aktivitäten durch die Conformance Vorgaben ausgelöst, vgl. dazu Conformance vs. Performance: Oder die Unfähigkeit der Security Protagonisten, Sicherheit als Management Thema zu verstehen; http://wildhaber.com/index.php/materialien/15-vrglcoaching/22-vrglcoaching#sthash.1td3TQo7.dpuf

[7] Auf die Rolle des Managements wird in den Thesen 3 und 7 eingegangen.

[8] Open Source Regeln; http://en.wikipedia.org/wiki/Open_source_ethics#Ethics

[9] Peter Gloor (2005) Swarm Creativity: Competitive Advantage Through Collaborative Innovation Networks.

[10] http://en.wikipedia.org/wiki/Open_Source; besonders erwähnenswert ist die Schaffung von ARPANET, der Vorläuferin des Internets, aus welcher sich die Internet-Standardisierungsgruppen (IETF) und Standards (RFC=Request for Comments) entwickelten

[11] Z.B. die technischen Systeme, die unter dem völlig fehlgeleiteten Begriff „Data Loss Prevention“ verkauft werden.