30 Jahre im Kampf für Cyber Security – Gedanken eines Pioniers

Ich blicke dieses Jahr auf rund 30 Jahre Erfahrung als Cyber Security Experte und Unternehmer zurück. Was als Gedankenspiel in meiner EDV Anfangszeit begann, setzte sich mit einer intensiven Auseinandersetzung mit EDV-Systemen und deren Verlässlichkeit fort. Während das Fachgebiet der EDV-Revision schon in den sechziger Jahren entwickelt wurde, begann die Diskussion um „Datensicherheit“ eigentlich erst Ende der achtziger Jahre. Zuerst im Umfeld der Grosssysteme und mit ersten Angriffsbeschreibungen auf Host-Systeme, später aber zunehmend auch auf Netzwerke.

Parallel entwickelte sich die Kryptologie von einer rein militärisch geprägten Fachrichtung zu einer Wissenschaft, die Hoffnung und Lösungen für die zukünftige Sicherung von Daten versprach. Viele der grundlegenden Umsetzungsansätze wurden in den 90er Jahren entwickelt. Ein wesentlicher Meilenstein war der Schritt: „From Obscurity to Security“, also der Verwendung von publizierten Algorithmen und deren Anwendung für die Sicherung von „Transaktionen“ (was dies wirklich bedeutete, war nur den wenigsten im Ansatz klar). Diese bedeutet nämlich u.a., dass die Verschlüsselungsverfahren für die breite Masse einsetzbar wurden, da die Implementierung nun softwarebasiert erfolgen konnte und diese Implementierung nachvollziehbar war. Der Anfangserfolg von Phil Zimmermann’s PGP liefert den Beweis dazu.

In dieser Zeit konzipierten wir bei r3 security engineering bereits Sicherheitsverfahren im Hinblick auf die neue Welt des Internets. Wir schufen für die damalige Telekurs einen Standard (TBSS = Telematics Base Security Services) der  die Grundlage geliefert hat, wie man im E-Banking ein einheitliches Sicherheits-Front End hätte anbieten können. Also ein System, welches die sicherer Authentifizierung und Verschlüsselung, unabhängig von der E-Banking-Lösung, realisiert hätte. Wie viele andere bahnbrechende Ideen wurde auch diese durch die uneinige Bankenlobby erfolgreich versenkt. Statt dessen haben wir heute für jedes Online-Banking eine eigene Sicherheitslösung (sic!).

Ein grosser Dank gilt Bruce Schneier, er hatte erstmals ein Kryptobuch publiziert, welches auch für den Nichtmathematiker lesbar und verständlich war (was natürlich bei den Hardcore-Kryptologen gar nicht gut ankam). Er hat aus meiner Sicht wesentlich dazu beigetragen, dass sich die Verschlüsselungsverfahren schneller ausbreiteten.

1999 wurde das Thema Informationssicherheit erstmals auch für die Chefetage zum Thema: „Mein Sohn hat übers Wochenende mit meinem Laptop gespielt, jetzt geht er nicht mehr“. So oder ähnlich wurden die ersten Viren wahrgenommen. Von da an war das Thema Sicherheit zumindest bei Grossunternehmen etabliert, wenngleich noch mit schmalen Budgets und wenig Know-how. In diese Phase fällt auch die starke Entwicklung der PKI-Infrastrukturen und dem Entstehen des eCommerce sowie der Schaffung der ersten Gesetze dazu (z.B. Signaturgesetze). Verschiedene EU-Forschungsprojekte, an welchen auch wir teilnahmen, hatten seit ca. 1993 die Grundlagen für die Umsetzung in Europa geschaffen. Mit der Dotcom-Krise starben auch hier viele ausgezeichnete Konzepte, die bis heute nicht wiedergekommen sind.

Die Nullerjahre waren geprägt durch die Konsolidierung des Anbietermarktes. Nachdem die amerikanischen Behörden 1997 mit der Strategie gescheitert waren, Verschlüsselungsverfahren zu schwächen (die berühmte 56bit Netscape-Verschlüsselungs-Diskussion), begannen sie, subtiler zu agieren.  Sie habe sich über Tarnfirmen systematisch an Sicherheitsfirmen zu beteiligt um diese zu beherrschen (man möge mir hier den Beweis erlassen, wir bewegen uns hier in einem Umfeld, welches für Transparenz nicht wirklich empfänglich ist). Gleichzeitig wurden Backdoors in Software eingebaut und die Spionageaktivitäten (Echelon) massiv ausgebaut. Transantlantische Netzverbindungen wurden angezapft und so ist heute eigentlich jegliche Art von Netzwerkverkehr für Geheimdienste und deren Auftraggeber transparent (was durch die Politik in der Regel einfach ignoriert wird).

Die Nullerjahre waren auch NULL was die Entwicklung der Cybersecurity angeht. Grundlegende Konzepte, welche in den Neunziger entwickelt wurden, wurden kaum mehr weiterentwickelt (das hat sicher auch damit zu tun, dass Cybersecurity auf die Ebene der strategischen Kriegsführung kam). De facto treten wir hier seit Langem an Ort. Ist das für die Praxis von Bedeutung? Nicht wirklich, denn die Grundübel oder politisch korrekter ausgedrückt, Schwachstellen in den Infrastrukturen wurden nicht verringert, sondern erhöht. Mit dem Einsatz von Windows als flächendeckender Infrastruktur setzte man auf ein Betriebssystem, welches zu Beginn nur als Desktop-OS konzipiert war. Kein Mensch hätte in den achtzigern Jahren darauf gewettet, dass dies eine  Konkurrenz für „ernsthafte“ Betriebssysteme sein würde. Oder anders formuliert: Die Sicherheit der Welt hängt heute von einem Betriebssystem ab, welches als Schreibmaschinen-Ersatz (DOS) für die erste Intel-Prozessorgeneration konzipiert wurde. Gleiches gilt aber auch für die Kommunikationsschicht. Das Internet war und ist technisch gesehen eine Spielerei. Die UDP/TCP Protokolle waren als Konzepte interessant und im wissenschaftlichen, bzw. universitären Umfeld auch spannend. Eine Anwendung als globales Netz, an dem die Schicksale ganzer Volkswirtschaften hängen, hätten wohl alle Erfinder weit von sich gewiesen. Es gibt in der Internet Architektur haufenweise Lücken, die nachträglich gefüllt werden mussten (meist nur schlecht oder recht). Ein Thema davon ist die Sicherheit. Noch wichtiger wäre es gewesen, die jederzeitige Nachvollziehbarkeit der Verlinkung zu implementieren. Dies hätte es ermöglicht, jederzeit zu wissen, wer einen eigenen Inhalt verlinkt hat.  Damit hätte man auf einen Schlag  haufenweise Probleme verhindert, z.B. Fake news,  copyright infringements etc.

Kurz und gut, alles was wir in der Cyber Security tun ist „aufgesetzt“. Wir stehen bei der Entwicklung etwa dort, wo Volvo war, als sie den ersten 3-Punkt Sicherheitsgurt serienmässig eingebaut hatten. Vorher war das System „Auto“ brandgefährlich, die Sicherheitsmittel mehr als bescheiden. Trotzdem hat es Jahre gedauert, bis die Gurtpflicht eingeführt wurde. Dummerweise hat ein Unfall im Internet wesentlich grössere Auswirkungen, als wenn ich mit 120 Sachen in einen Baum rase.

Die Cyber Security Industrie setzt im Jahr weltweit rund 90 Mia. USD um, das Sicherheitsbefinden der Anwender ist seit Jahren rückläufig und die erfolgreichen Angriffe nehmen zu. Fasst man die wesentlichen Fehler zusammen, welche die Industrie (Wir!) gemacht haben, dann lassen sie sich wie folgt summieren (vgl. auch den 2011 mit Rolf Oppliger verfassten Artikel „Biggest misconceptions in information security„):

  1. Die Basisinfrastruktur (HW, SW, Netzwerke) ist nicht geeignet, um sicher zu sein.
  2. Jahrelange wurde versucht, 1. zu negieren. Die Industrie suggeriert, man könne Sicherheit „einbauen“.
  3. Schäden wurden und werden nicht transparent gemacht, die Quantifizierung von erlittenen Schäden ist bis heute nicht etabliert. Die Hemmschwelle, Erfahrungen auszutauschen, hat sich eher erhöht.
  4. Organisationen banalisieren das Problem oder blocken ab, wenn unpopuläre Massnahmen getroffen werden müssten..
  5. Sicherheitssoftware ist teilweise katastrophal kompliziert (versuchen Sie mal, auf Ihrem PC ein Zertifikat zu installieren und damit eine Mali zu verschlüsseln). Zum Vergleich: Das Anlegen des Sicherheitsgurts war zwar am Anfang mit Überzeugungsarbeit verbunden, der Akt selbst war aber einfach.
  6. Die Organe (VR, GL) haben sich jahrzehntelang erfolgreich gewehrt, sich mit diesem „technischen Kram“ herumzuschlagen.
  7. Die Technik kann die Probleme alleine nicht lösen. Trotzdem verspricht sie alles. Die Industrie kreiert immer wieder falsche Versprechung. Der grösste Schabernack der letzten Jahre: „Data Leakage Prevention“, implizierend, man könne das Abfliessen von Information verhindern.  Noch schlimmer ist „Firewall“ = nichts Böses kann da durchdringen, dies ist eine der schlimmsten Wortschöpfungen des Internetzeitalters. Prävention wurde immer in den Vordergrund geschoben, obwohl seit Anfang des Internets klar ist, dass dem Monitoring die mindestens gleich hohe Bedeutung zukommt.
  8. Der Einfluss der nationalen Interessen („Cyberwar“) wurde negiert oder verharmlost. Das wahre Bild zeigt sich jetzt mit den Angriffen auf die Meinungsbildung in den USA, Frankreich und später wohl auch in Deutschland.
  9. Die Rechtsdurchsetzung ist nicht möglich: Die beherrschenden Grossanbieter sowie verschiedenen Nationalstaaten foutieren sich de facto darum, dass es so etwas wie nationales Gesetz gibt. Nur was die grossen Anbieter akzeptieren, kann durchgesetzt werden. Damit wurde ein Recht geschaffen welches nicht auf  demokratischen Prinzipien basiert.
  10. Die Politik hat das Thema mangels Fachwissen und mangelndem Lobbyismus völlig ignoriert.

Schaut man in die nahe Zukunft, dann gibt es ein paar beunruhigende Tendenzen/Prognosen:

  1. Die erfolgreichen Angriffe werden weiter zunehmen.
  2. Die Internetprotokolle werden kurzfristig nicht abgelöst werden können, weil keine Einigung erzielbar ist.
  3. Der Druck auf die Politik wächst, die allerdings nichts tun kann. Sie wird panisch reagieren und wirkungslose Massnahmen erlassen oder versuchen, das Problem mit Geld zuzudecken.
  4. Die Netzneutralität stirbt, mit ihr die neutrale Internet Governance.
  5. Der Datenschutz wird im Interesse der „Prävention“ weiter ausgehebelt. Die schwachen Versuche der Industrie, sich von den Landesinteressen zu lösen, werden endgültig scheitern.
  6. Als Folge der beschriebenen Entwicklung wird das Internet „balkanisiert“ werden: Auftrennung von kommerziellem vs. staatlichem vs. „verseuchtem“ Internet (mache weitere, einleuchtende Beispiele…).
  7. Die Staaten erlassen zur Beruhigung der Bevölkerung eigene Cybergesetze, die aber nicht durchsetzbar sind.
  8. Schlaue Köpfe werden sichere Parallelsysteme aufbauen. Die Nutzung des Darknets steigt, es bilden sich Parallelstrukturen (vergleichbar mit Pay TV).
  9. Der Anwender steht dieser Entwicklung hilflos gegenüber. Viele werden sich wieder vom Netz entkoppeln.
  10. Die grossen Anbieter übernehmen die umfassende Kontrolle über unsere Daten und auch gleich deren Schutz.

Es stellt sich die berechtigte Frage, was der Unternehmer selbst tun kann, um seine Risiken möglichst in den Begriff zu bekommen:

  1. Sensibilisierung: Schaffen Sie persönliche Betroffenheit (leider wird Ihnen das jetzt schon fast durch die aktuelle Entwicklung abgenommen); Kommunikation und Schulung hören nie auf. Setzen Sie Password-Policies durch und sanktionieren Sie knallhart, wenn diese nicht beachtet werden. Letzteres gilt für alle früheren Gentleman-Delikte im Umgang mit Cybersecurity.
  2. Es wird passieren! Deshalb muss Cybersecurity muss auf die Risk-Management Agenda. Ein regelmässige Security-Status (KPI) gehört in die GL/VR Agenda.
  3. Es braucht einen Kümmerer auf GL Ebene. Dieser muss sowohl operativ wie auch strategisch wirken können.
  4. Monitoring ist das A und O, dazu gehört auch ein ausgetestetes Krisen-Management sowie getestete Disaster-Recovery Konzepte. Sind Sie nicht in der Lage, diese Aufgabe selbst zu übernehmen beauftragen Sie Profis mit klaren SLA’s
  5. Information Governance: Das Wissen um die Daten und deren Speicherorte ist der Schlüssel für alle Sicherheitsmassnahmen. Planen Sie neue Anwendungen (Coud) oder Datenhaltungen und überlegen Sie, welche Auswirkungen diese auf die Sicherheit haben.
  6. Tauschen Sie Erfahrungen mit „Peers“ aus. Machen Sie Druck auf Anbieter, welche die notwendigen Sicherheitsmassnahmen nicht umsetzen wollen.
  7. Etablieren Sie Business Continuity Konzepte, welche den Worst Case beinhalten (Nichtverfügbarkeit von Systemen und Netzwerken). Koppeln Sie Kernsystem konsequent vom Netz ab.
  8. Führen Sie umfassende Authentifizierungs- und Verschlüsselungsverfahren ein. Führen Sie Verfahren zum Schlüsselmanagement ein und überwachen Sie diese konsequent. Machen Sie Druck auf die Anbieter, brauchbare Software zu liefern.
  9. Üben Sie Druck auf die Anbieter/Hersteller aus und verlangen Sie nach geprüften Systemen und lassen sich dies vertraglich bestätigen. Verlangen Sie ebenfalls regelmässige Informationen zur Sicherheit der Produkte (z.B. Ergebnisse von Pentests).
  10. Die Zertifizierung von Software führt dazu, dass das darunter liegende OS nicht  geändert werden darf. Diese Praxis ist unhaltbar. Zertifizierer müssen ihre Verantwortung wahrnehmen,  d.h. entweder schwache Betriebssysteme grundsätzlich verbieten oder Schwachstellen darin akzeptieren. Akzeptieren Sie als Anwender keine Systeme, die nicht an die  aktuellen Sicherheitsbedrohungen adaptierbar sind.

Schlussfolgerung: Was für die Digitalisierung gilt, gilt auch für die Cybersecurity. Man hätte vieles schon lange machen können, hat es aber aus verschiedensten Gründen nicht gemacht, Bequemlichkeit ist nur einer davon. Während der Unternehmer in seinem Betrieb einigermassen Ordnung herstellen kann, sind ihm die Hände gebunden, wenn es um die internationalen Themen geht. Hier ist die Politik gefordert.

 

Sicherheit überprüfen – JETZT!

Due jüngsten Ereignisse mit Cryptolockern und Ransomware habe bewiesen: Es kann jeden treffen. Das ist keine Angstmache sondern schlichte Tatsache. Wir müssen damit leben, dass das Internet und die verwendete Hard- und Software maximal fehlerbehaftet ist. Durch die fehlerhafte Konzeption des Internets werden solche Ereignisse immer wieder vorkommen.

Als Anwender kann man sich vor solchen Angriffen nur bedingt schützen. Die Prävention hat in grossem Masse versagt und ist in vielen Fällen nicht mehr ausreichend.  Ein umfassendes Sicherheits-Dispositiv verlangt nach einer ausgewogenen Balance von:

  • Prävention
  • Detektion / Erkennung
  • Korrektur

im Sicherheitsdispositiv.

Wollen Sie wissen, ob Ihre Sicherheitsvorkehrungen ausreichend sind?  Ich führe Überprüfungen / Audits Ihrer Verfahren und Technologien durch und prüfe deren Wirksamkeit.

 

Ein IT-Sicherheitsexperte im Verwaltungsrat?

In der letzten Zeit wurde vermehrt über Hackerangriffe in der Schweiz berichtet (März 2016). In diesem Zusammenhang kommt erstmals die Diskussion auf, ob man nicht Sicherheitsexperten in den Verwaltungsrat entsenden sollte. Die Frage ist also: Macht es Sinn, einem Verwaltungsrat eine hochspezialisierte Tätigkeit zu übertragen, die mit dem Kerngeschäft des Unternehmens in der Regel nur wenig zu tun hat?

Meines Erachtens lohnt sich dieses Vorgehen nur, wenn das Unternehmen Informationsbearbeitung als Kerngeschäft versteht. Ein Beispiel, in welchem diese sicher angebracht wäre, wäre bei reinen Online-Händlern. Solche Unternehmen sollten sich durchaus Gedanken machen, ob es nicht sinnvoll wäre, eine Verwaltungsrat mit einem Hintergrund in der Informationssicherheit an Bord zu nehmen. Andererseits muss das Anforderungsprofil des Verwaltungsrates so gestaltet sein, dass Sicherheit nur eine Teilaufgabe ist. Man muss davon ausgehen können, dass der Verwaltungsrat ein aktives Mitglied ist und sich auch um andere. z.B. strategische Fragen kümmern kann. Reine Sicherheitsexperten bringen diese Kompetenz normalerweise nicht mit, ausser sie sind oder waren als Unternehmer aktiv. Sind beide Voraussetzungen nicht gegeben, dann ist es viel sinnvoller, die Sicherheitsaufgaben auf die operative Ebene zu verlagern. Die Vorgaben des Verwaltungsrates zum Thema Risiko können auch anders erfüllt werden. Der Verwaltungsrat kann sich dabei sowohl von aussen wie auch von innen beraten lassen. Im Sinne der Gewaltentrennung bin ich jedoch der Ansicht, dass es sinnvoller wäre, dass sich der Verwaltungsrat einen Beirat bestellt, welcher ihn zu diesen Fragen beraten kann.

Nicht zu vergessen ist auch die Tatsache dass viele Sicherheitsexperten aus dem technischen Umfeld stammen. Einem Verwaltungsrat nützt es wenig, wenn er mit einem ehemaligen Systemprogrammierer diskutiert, welche sich ausschliesslich auf der Ebene der Bits und Bytes bewegt hat. Dies mag dann von Nutzen sein, wenn es darum geht, Aufträge an  hochspezialisierte Sicherheitsfirmen zu vergeben. Der Verwaltungsrat sollte sich um die Risikolandschaft kümmern und beurteilen können, welche Risiken insgesamt mit der Informationsverarbeitung verknüpft sind. Und dabei stellen Hackangriffe nur einen sehr  kleinen Teil der realen Bedrohungen dar. Insofern sind auch ehemalige Militärs als VRs kaum geeignet.

Ein anderes Thema steht für mich jedoch im Vordergrund: DIE BEDEUTUNG VON HACKERANGRIFFEN WIRD MASSIV ÜBERBEWERTET (vgl. den Artikel zu den „Common misconceptions in Infosec„)!  Die meisten Unternehmen haben nämlich ihre IT nicht ausreichend im Griff. Die Mehrzahl der erfolgreichen Angriffe sind nur möglich, weil die IT nicht richtig geführt wird (Stichwort: IT – Governance).  Bevor  jemand einen Verwaltungsrat ausschliesslich für  Schutz und Sicherheit bestellt, müsste man davon ausgehen können, dass das Unternehmen seine IT, bzw. Informationsverarbeitung vollkommenen im Griff hat. Dies trifft jedoch für weniger als 5 % aller Unternehmen zu! In erster Linie gilt also der Grundsatz: Man bekomme zuerst die Informationsbearbeitung  und die IT in den Griff. Dazu gehört auch ein vernünftiges (IT)-Sicherheits- Management.

Als normatives Organ hat der Verwaltungsrat die Aufgabe, nicht nur die Risiken der neuen Technologien im Auge zu halten, sondern auch die Möglichkeiten zu ergründen und aktiv ins Unternehmen zu bringen. Eine Digitalisierungsstrategie sollte heute in fast jedem Unternehmen Teil der Verwaltungsratsagenda sein. Gleichzeitig hat der Verwaltungsrat auch die Pflicht, die Umsetzung dieser Initiativen zu verfolgen und zu kontrollieren. Heute ist es nicht mehr getan, diese Aufgaben an die Informatik zu delegieren oder der Geschäftsleitung zu überlassen. Aufgrund seines vollständigen Verantwortlichkeit tut der Verwaltungsrat gut daran, sich aktiv mit diesen Initiativen auseinanderzusetzen -> Information Governance.

Mit der Zunahme der Digitalisierung und der strategischen Bedeutung dieser Vorhaben kommt  dem Verwaltungsrat eine immer wichtigere Aufgabe zu. Waren früher die Themen der Informatik höchstens am Rand Agenda einer VR-Sitzung, so sind Digitalisierungsinitiativen heute überall präsent. Je nach Bedeutung der Information im Rahmen des Kerngeschäfts oder im Umgang mit regulatorischen Vorgaben muss sich der Verwaltungsrat  aktiv darum kümmern. Dies einerseits als Teil seiner Risikomanagementaktivitäten, andererseits als Aufgabe zur Förderung der strategischen Entwicklung.

Publikumsinformationsabend zu sicheren Nutzung des Internets

Wie nutzt man das Internet sicher?

Die Schweizerische Akademie der Technischen Wissenschaften – SATW organisiert am 3. März 2016 von 18.00 bis 19.30 Uhr, zusammen mit Swiss Cyber Storm, einen Publikums Cyber Security Anlass für die Anwendergemeinde. Einmal NICHT für ein Fachpublikum gedacht, erfaehrt jedermann/frau, wie man sich im Internet ein bisschen sicherer bewegt.

Von Safe Harbour zu Privacy Shield – wann haftet der Verwaltungsrat?

Hintergrund: Mit der informellen Aufkündigung des Safe Harbour Prinzips durch das EuGH Urteil vom 6.10.2015 wurde  die Rechtslage vor allem für die amerikanischen Unternehmen ungemütlich.Weitere Informationen und Schlussfolgerungen zur Entwicklung finden Sie hier.

Am 12. Juni 16 wurde ein neues Abkommen unter dem Titel „Privacy Shield“ abgeschlossen. Ein Artikel in der Zeit beschreibt die Inhalte sowie die Kritikpunkte treffend. Es ist davon auszugehen, dass auch das neue Abkommen beim EuGH landet, Insofern besteht nach wie vor eine grosse Rechtsunsicherheit, was die datenschutzkonforme Behandlung von Personendaten in den USA angeht.

Gleichzeitig kämpft Microsoft in zweiter Instanz gegen den amerikanischen Staat. Es geht um die Herausgabe von Daten auf Servern, die in Irland stehen und auf welche die amerikanischen Strafverfolger gerne Zugriff hätten. Microsoft hat den erstinzanzlichen Entscheid weiter gezogen, der die Herausgabe forderte. Es ist damit zu rechnen, dass auch der nächste Entscheid weitergezogen wird, was bedeutet, dass die amerikanischen Unternehmen frühestens in zwei Jahren wissen, wie sich die Rechtslage tatsächlich präsentiert.

Google hat diese Probleme nicht, denn Google verweist ausdrücklich auf amerikanisches Recht. Folglich sind alle Google Daten bereits unter amerikanischer Kontrolle.

Was sind die Auswirkungen für die Schweiz? Erstens kann an davon ausgehen, dass die Schweiz das Safe Harbour Abkommen mit den USA ebenfalls aufheben muss (denn wir hängen indirekt an der EU Gesetzgebung). Würde sie dies nicht tun, würde sie von der EU als unsicheres Drittland eingestuft.

Was bedeutet diese Entwicklung für internationale Konzern oder Unternehmen, die mit den Amerikanern Daten austauschen? Was ist Ihre Verantwortung als VR oder GL-Mitglied?

  1. Privacy Shield wie auch Safe Harbour sind bzw. waren rein rechtliche Konstrukte, die es ermöglichen, mittels der Selbstdeklaration einen Freibrief zu erhalten, um Daten zu exportieren.  In jedem Fall sind  Sie direkt verantwortlich für den Umgang mit Daten aus Ihrem Unternehmen, v.a. aber von Daten Ihrer Kunden. Als VR haften Sie direkt nach OR 716, sollten Gesetzesverletzungen vorliegen.
  2. Es ist zwingend, dass Sie sofort abklären, ob sie betroffen sind. Den in dem meisten Fällen wissen sie nicht, ob sie tatsächlich Daten mit den USA austauschen. Im Zweifelsfall ist dies der Fall. Die meisten Cloud Dienste nutzen Server in den USA, meist ohne Wissen der Anbieter. Gehen Sie davon aus, dass Ihre Unternehmensdaten auch in USA gehalten werden!
  3. Sie müssen nun eine aktive  Strategie zur Behandlung dieser (und anderer Daten) entwickeln. Das Safe Harbour Prinzip hatte den Vorteil, dass eine einfache Vertragsklausel genügte, das ist jetzt vorbei.
  4. Dies ist eine Herausforderung, die nur mit einer klaren Strategie bewältigt werden kann.
  5. Sie müssen zumindest die folgenden Fragen beantworten können:
    • Wo sind unsere Daten gespeichert?
    • Wer ist dafür verantwortlich?
    • Wem gehören die Daten?
    • Nach welchen Regeln wurden diese Daten erhoben?
    • Welche Verträge haben Sie mit Ihren Kunden/Datenlieferanten/Mitarbeitern?
    • Wer hat die Daten erhoben und wurden sie weitergegeben?
    • Welche Sicherheitsmassnahmen sind aktiv?
    • Welche Neurisiken entstehen aus der aktuellen Situation?
    • Stimmen Sicherheits- und Datenschutzkonzepte überein?
    • Ergänzen sich Datenschutzmassnahmen und technische Sicherheitsmassnahmen?

Gerne unterstütze ich Sie bei diesen Herausforderungen. Als akkreditierter Datenschutz-Sachverständiger am Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein kenne ich mich auch mit den Europäischen Positionen aus. Zudem können wir Sie über das Expertennetzwerk Mission 100 mit  kompetenten Datenschutzexperten verbinden.

 

Das FUD Prinzip

Manchmal fragt man sich wirklich, ob Juristen nur dann in der Lage sind,  einen Auftrag zu akquirieren, wenn sie ihren potentiellen Auftraggebern möglichst viel Angst einjagen.

Kürzlich in einem, an Unternehmer vertriebenen Zeitungsprodukt, gelesen. In der aktuellen Nummer äussert sich ein hier nicht genannt sein müssender „Fach“Anwalt zum Thema Datenschutzrecht, Überschrift: Es drohen hohe Bussen! Im Artikel wird eindringlich darauf hingewiesen, dass sich der Unternehmer grundsätzlich kurz vor dem wirtschaftlichen Absturz befindet, wenn er Daten bearbeitet. Mit mehr oder weniger blumigen Worten wird davor gewarnt, dass die Firma, halte sie denn die neuen EU-Datenschutzrichtlinie nicht ein, eigentlich kurz vor dem Bankrott stehe. Lieber Anwaltskollege: 1. ist diese Datenschutzrichtlinie noch nicht in Kraft, 2. wird sie national implementiert werden und es ist völlig offen, wie die einzelnen Länder dies tun werden, 3. ist es bei Leibe nicht so ist, dass jedes Unternehmen, welches in der Schweiz tätig ist auch automatisch vom EU Recht betroffen sein wird.

Keine Unternehmer wird ernsthaft in Aktionen rund um den Datenschutz investieren, wenn er nicht weiss, welche Regeln  tatsächlich anzuwenden sind und ob er damit ein Risiko eingeht. Das FUD-Prinzip (Fear Uncertainty & Doubt) funktioniert nun einmal nicht, wenn die angedrohten Nachteile weder konkretisierbar noch direkt absehbar sind. Ich bin es leid, und gleiches gilt für 99 % der Unternehmer die ich kenne, von Juristen nur zu hören, was man nicht machen darf, selbst wenn noch völlig unklar ist, was dies konkret bedeutet. Genau aus diesem Grund haben wir vor Jahren die Mission 100 gegründet, einen Verein, der sich zum Ziel gesetzt hat, datenschutzkonforme Lösungen bei den Kunden umzusetzen, dies aber immer so zu tun, dass der unternehmerische Hauptanspruch, nämlich die Gewinnerzielung, damit vereinbar ist. Dies verlangt nach einem hohen Mass an Geschäftsverständnis und transparenter Kommunikation der vorhandenen Risiken. Heute genügt es schon lange nicht mehr, nur auf die Angstpauke zu hauen. Zum Glück sind Manager und Unternehmer in den letzten Jahren so gereift, dass sie diesem Winken mit dem imaginären Zaunpfahl kein Gehör mehr schenken.

The 10 Biggest Threats to your Information (caused by yourself, the CEO)

Dieser Artikel enthält die wichtigsten Argumente, wieso Information Governance wichtig ist, bzw. was passiert, wenn sich eine Unternehmensführung nicht darum kümmert (in E).

1.    Give away Data to Siren Servers

What’s a siren server? Pls read Jaron Lanier’s „Who own’s the Future“. This is a must read for everybody who thinks their business model isn’t endangered by Google & co.

Google and other big servers try to get your data. This isn’t a big threat to individuals, but a serious one for organizations.

People who think this endangers only eCommerce providers are wrong. If information represents value, value can be shared. If somebody controls the data for 3D printing, the whole replacement part business will die, not because of the ability to print the part, but because somebody loaded this data onto a siren server. This is the same development or fate, which the music industry went through. There are more examples in Jaron’s book. If you are willing to give away your data for free, your or someone’s business model is going to collapse.

2.    Don’t know where Data is stored

Of course the argument about the Siren servers can be copied here. However, this its mostly an internal issue, although becoming an external threat as well. By sourcing to the cloud, you are loosing control over your data. And for a big organization, this is a nightmare, because vital information is spread all over the planet and cannot be found anymore. In addition, most cloud services enforce rules which allow them to control your data. Even if you have a 100page contract, your data is gone. This piece of paper (sic..) will not bring it back.

In addition, the „stovepipe“ problem (all data in isolated silos or stovepipes) isn’t reduced but will increase massively. This is an old IT Governance topic (see Threat #3).

You think you have an SAP shop and there is no danger to you? Don’t be sure, because tools like Dropbox, Box or Sharepoint will happy to hold lots of your valuable data. Your employees  will do this if you don’t set up a good control system (see Threat #8).

3.    Don’t know the Quality of Data (IT)

Information or better, data quality, depends on many factors. Traditionally, it will start with controlling your IT if you are an old fashioned business. However, in the time of outsourcing and the cloud, the control aspects shift from controlling your IT to controlling information.

Today, IT Governance is still a very important discipline, which is almost as much neglected as Information Governance. Although backed by a large profession and a strong organization (IT Auditors, ISACA), controlling the IT apparatus is a very challenging task. Management still relies on the reports of the big audit companies which systematically underestimate the value of IT. The old audit profession has more professionals coming from the accounting profession than experts from IT. Result: The IT Audit budget is still much much smaller than the financial audit budget. Financial Auditors still rely on garbage data which has been produced by uncontrolled systems or cheap service providers with corresponding results.

So most information and data we base our decisions upon, are just junk.

4.    Don’t define Metadata

Metadata will stay, because data about data will be required to organize information chaos. To define metadata and taxonomies require a lot of effort and time, but are worth the investment.

Automatic indexing and similar methods will support you building metadata and finding it. But the basic structures will have to be built. Taxonomies are about organizing your business and thus your information. Taxonomies help to understand your business and help you defining the right rules. You don’t need retention lists if you start a business, but you need to understand which data, knowledge and value are kept in your organization.

They are also an excellent means to discuss the importance of information and how data should be treated. The Information or data repository (in the economical sense) helps you designing your business processes. M & A and other transactions will be much easier. Because you will understand and know which value the information signifies you’re dealing with.

5.    Approach Information Governance Top Down

Yes, I am a consultant and consultants like to work Top Down because it is so logical.. wrong: Live has been swarmed from the swamps and invaded our world  from the oceans (Creationists pls ignore this part). There was no top down strategy to build it. The same is true for 95% of all start up organizations or companies. They don’t grow from the top. The best business plan doesn’t work if the basic idea isn’t strong enough and provides sufficient results.

So why should we try to implement such an abstract topic as „Information Governance“ or „Information Management“ from the top if even the brightest minds in our organization don’t understand the meaning of it? After many years in the consulting business, we know that this approach doesn’t work in 99 out of a 100 cases. So, go and start from the bottom, implement that social media channel or archiving solution and work your way up. Identify those “red flag” topics which will have an impact on the organization. From then on, you will involve the upper levels automatically, up to the board to define Governance rules and structures for all group companies.

6.    Ignore Information as a Production Factor

Information is a production factor. Most managers will sign this statement, but next day they will go back to work and ignore the problems people have with knowledge sharing, finding information and the like. Managers will have to show that information is crucial to the success of the organization. If members of the board are using tablet computers but the company enforces a policy which bans such devices, nobody will care about keeping these rules. Or, even worse, if members of the board will be using a cheap cloud application for board communication, this will send an unambiguous signal to their employees all over the world to select any cloud app that might fit their needs.

The value of information: Yes, you don’t know it (most of the times). There are only rare occasions where the value of information can be calculated. However, it will be crucial that you understand that any strategic initiative you will undertake has an information component.

7.    Ignore Data Privacy

Yes the Siren servers are a reality, but they are also threatened by issues which are not under their control (not yet). Data privacy or better personal privacy is an important issue which is currently neglected by most users and companies. However, the right to privacy is a constitutional right which is one of the pillars of modern democracy. Only totalitarian regimes (or the NSA) are in control of your private information. If organizations are  building business models using „free“ personal data, this might become a big problem. Sooner or later, the value of personal data will rise. This is a market and the Siren servers will try to control personal data, e.g. your business model will rely on data which is not under your control.

If governments will put more pressure on Siren servers (and this will happen), your business advantage might disappear from one moment to the other. Best example: Swiss banking secrecy, billions were kept illegally because a law which was used to protect refugees was misused to protect the money sent in to Swiss bank accounts by dictators from all over the world.

8.    Don’t involve the User

Yes the industry has capitulated from the user. “Customerization” dominates the discussion. People (mainly ECM vendors) try to convince customers that the „0 click“ solution will work and people must not be involved as part of the information classification function. This is NONSENSE. Why? Instead of explaining why this doesn’t work, let me give you an example. If the the self driving car makes the way to a street near you (and it won’t take many years from now), most people will be commuting to work with the aid of the „artificial driver“. But during weekends, a significant number still loves to hit the road without the electronic assistant. So do you think these people won’t need to know the rules? Surely not, because if the want to keep a very small amount of freedom, they will have to know how to follow the rules. The same is true of information management and information security. You need to follow a minimal standard, otherwise you will be replaced by a robot. Because robots don’t make mistakes.

If people are free to decide what they do with your company data, you can fire your management. Because if people don’t have to follow rules, they won’t need to be managed. The self-organizing company hasn’t been invented yet (and will never work, because 80% of all employees want to be guided and are unhappy if they aren’t).

9.    Put all your money into Data Security

Data security is the field which has attracted billions of dollars in the last 20 years. Most of it has been wasted. It was thrown at useless technology and exaggerated standards which didn’t deliver any proof that the risk situation was improved. Instead of monitoring the threats and set up an adequate organization, useless technology was bought, mostly sold by vendors which sold preventive products.

Companies should have focused on information valuation, focusing security initiatives on valuable information only. This was even written on most security standards. But, this approach is to clumsy, top down and was bound to fail (see Threat # 5). Instead, tons of expensive medicine were thrown at minor or irrelevant symptoms. What’s the reason for this behavior? Simple, if you don’t know the diagnosis you take some broadband medicaments. Or as my grandfather used to say: „With medicine, your flu will be over in 7 days, without .. in a week.“ (and the pharma industry prefers the first solution).

So rethink your security strategy, cut the budget by half and spend this money on Information Governance. The biggest threat to your information doesn’t come from outside. It is still you, supporting business cases which deliver your data to Siren servers (Threat #1).

10.Treat Information as a Technology issue

Everybody understands that information is valuable. Information can be stored in different forms, the most obvious storage place being your brain. However, many decision makers treat informations as it would be sold in tins or as Spam (oh yes..).

But Information Management is a traditional business, It has been done by businesses long before IT was invented – and it will still exist by the time nobody remembers the meaning of „IT“. Information must be treated as one of your most vital production factors. It is important to keep it to yourself unless there is a business case in giving it away. Data means power, if handed out, it’s gone.

Wieso Investitionen in die Informationssicherheit nutzlos verpuffen.

Jährlich werden weltweit ca. 80 Mia. USD für Informationssicherheitsmassnahmen ausgegeben. Das meiste davon verpufft im leeren Raum und hinterlässt keinerlei positive Wirkung. In einem Artikel aus dem Jahr 2011 haben wir (Rolf Oppliger und meine Wenigkeit) versucht darzustellen, wieso dem so ist. Eigentlich sind alle Aussagen im Artikel leider auch heute noch gültig.

„There are many misconceptions in computer and information security that deceive the view on reality. But to make meaningful security decisions, it is important and key to know and truly understand the misconceptions commonly found in computer and information security. In this article, we outline and discuss the misconceptions we think are most common and influential. We divide the misconceptions into three groups, namely social and behavioral misconceptions, technical misconceptions, and false estimations The aim of the article is to prepare the stage and provide a better understanding for all questions and answers related to computer and information security.“

Artikel: Common misconceptions in Information Security

These 3: Niemand will Verantwortung übernehmen oder „Ritalin für das Management“.

„Wenn die Ägypter ISO-Standards gehabt hätten, wären die Pyramiden bis heute nicht gebaut.“

Welche Rolle soll und kann das Management übernehmen? Welche Rolle spielen Standards und wieso soll sie der verantwortungsbewusste Unternehmer mit Vorsicht betrachten?

Dritte These zum Thema „Sozio-kulturelle Faktoren der Informationssicherheit“


 

Unternehmertum und Informationssicherheit

Was haben die Ägypter mit einem so komplexen Thema wie Informationssicherheit zu tun? Etwa gleichviel wie der Erbauer der Jungfraubahn Adolf Guyer-Zeller oder das Management von Boeing, das beschloss, den Jumbo Jet zu bauen. Beide mussten sich zu etwas entscheiden, was nie vorher gemacht worden war.  Sie hatten den Mut zum Risiko und wussten, dass die verwegenen Projekte viele Unwägbarkeiten beinhalteten. In beiden Fällen waren einzelne Pioniere von ihrer Vision überzeugt und konnten sich gegen kritische Stimmen durchsetzen.

In beiden Projekten geht es um Risiken und um den Umgang mit ihnen. Es ging um neue Technologien, die noch nie eingesetzt worden waren und um Verfahren, die bei der Planung nur angedacht waren. Ähnlich verhält es sich auch mit IT Projekten. Die technologische Entwicklung drängt die Unternehmen zu einem Aktionismus, der nur noch teilweise beherrschbar ist.  Die Welt der Zentralrechner wurde vom PC abgelöst, der PC durch die Mobiles und die App-Mania verdrängt. Diese Entwicklung wird vermutlich auch in naher Zukunft in einem rasanten Tempo weitergehen.

Wir haben es in diesem Umfeld mit vielen verschiedenen und wechselnden Bedrohungen zu tun, die einen Einfluss auf die Sicherheit einer Organisation ausüben. Gemäss Lehre sind Risiken dort vorhanden, wo aktuelle Bedrohungen auf ungenügende Vorkehrungen oder Schwachstellen treffen. Mehr dazu in These 9 zum Thema Risk Management[1].

In diesem Artikel soll es um die Management-Betrachtung gehen: „Wie sollen die Entscheidungsträger[2] mit diesen Risiken umgehen?“

Oder etwas präziser:

  • Wie soll das Management das Thema Informationssicherheit  angehen?
  • Können Standardisierungsverfahren und vergleichbaren Methoden einen erfolgreichen Beitrag zur Sicherheit leisten?
  • Welche Methoden führen zum Erfolg, welche soll man ignorieren?
  • Was kann und darf man von den Entscheidungsträgern erwarten?
  • Welche Rolle soll der CISO spielen?

Was ist Management?

Management ist im Grunde genommen eine einfache Disziplin. Betrachtet man die grundlegenden Entscheidungsoptionen eines Managers, lassen sich diese in zwei Gruppen einteilen[3]:

1.Die Gewinne des Unternehmens zu steigern und

2.die Risiken für das Unternehmen zu kennen und zu optimieren[4].

Wenn das Management Entscheidungen treffen muss, drehen sich diese immer um diese Kernthemen. Es wird  entschieden, ein neues Geschäftsfeld zu eröffnen, weil man ein grosses Marktpotential erkannt hat. Gleichzeitig berücksichtigt man auch die damit verbundenen Risiken, z.B. die aggressive Preispolitik eines Wettbewerbers. Man bewegt sich demnach immer auf der Grenze zwischen dem optimierten Gewinn und dem kalkulierten Risiko, welches man so weit als möglich abschätzen und (un)bewusst in Kauf nehmen möchte. Oder anders formuliert «Unternehmensführung ist die Fähigkeit zum konstruktiven Umgang mit Zielkonflikten und zum Handeln in deren Angesicht» (Prof. R. H. Dubs).

Das ist leicht gesagt, doch weiss jeder Unternehmer aus eigener Erfahrung, dass weder die Gewinnseite garantiert, noch die Risikoseite umfassend berechenbar ist. Man muss demnach dafür sorgen, dass die beiden Faktoren so gut wie möglich eingeschätzt werden können.

Wir haben im Rahmen der Erarbeitung des IT Governance Leitfadens das nachfolgende Grundmodell entwickelt, aus welchem sich die Handlungsoptionen für das Management ableiten lassen[5]:

Am Beispiel der elektronischen Archivierung kann die Entwicklung dargestellt werden. Traditionelle Compliance Themen sind unten links angesiedelt. Dazu gehören die physischen Archive. Mit dem Entstehen der Elektronischen Datenverarbeitung wuchs das Bewusstsein, Daten elektronisch zu archivieren. Doch mit diesen Daten lassen sich auch andere Ziele erreichen, z.B. als Teil des Knowledge-Managements oder als wichtige Quelle für zukünftige Produktentwicklungen. Zur wirtschaftlichen Optimierung wird das Unternehmen versuchen, vom Quadranten unten links möglichst bald nach oben rechts zu gelangen.

Wie präsentiert sich das Thema Informationssicherheit aus Sicht des Managements?

Was haben wir mit Informationssicherheitsmassnahmen bis heute erreicht, wenn wir uns die letzten 20 Jahre betrachten? Rein betriebswirtschaftlich gesehen sind die Investitionen, welche in die Informationssicherheit getätigt wurden, ein Fiasko. Im Jahr 2012 wurden schätzungsweise 80 Milliarden $ in die Informationssicherheit investiert. Die absolute Zahl sagt wenig, sondern man muss die Steigerungsrate berücksichtigen. Man kann in etwa davon ausgehen, dass in den letzten 15 Jahren die Ausgaben pro Jahr um rund  10 % gesteigert wurden – doch mit welchem Resultat?

Liest man die Presse und verfolgt die aktuellen Meldungen zum Thema Informationssicherheit, bekommt man den Eindruck, dass die Lage immer schlimmer wird. Das hat auch damit zu tun, dass die Presse natürlich nur diejenigen Schlagzeilen bringt, die möglichst gut verkauft werden können. Der Fall Snowden und die Wikileaks Affäre verführen gerade zur Schlussfolgerung, man hätte die Sicherheit nicht im Griff. Unter diesem Dauerregen von negativen Nachrichten soll sich das Management nun orientieren können und Entscheidungen treffen? Stellt sich einer nicht zu recht die Frage, wie es mit der Sicherheit im eigenen Unternehmen steht und wie die Millionen hingeflossen sind, die schon unter dem Titel „IT-Sicherheit“ verbrannt wurden?

Gemäss einer aktuellen Studie einer grossen Beratungsgesellschaft[6] haben die Sicherheitsereignisse in den Unternehmen im letzten Jahr wieder zugenommen. Das ist nicht weiter erstaunlich, es lässt  sich aber nicht nur mit der Zunahme der Bedrohungen oder Attacken begründen. Es erklärt sich auch damit, dass die Unternehmen Schwachstellen besser erkennen.

Aus der Studie lassen sich die folgenden Schlüsse ziehen (nachdem man die Verkaufsargumente der Berater eliminiert hat):

  • Die Angreifer oder potentiellen Schädiger des Unternehmens sind nach wie vor primär interne Mitarbeiter und nicht externe Hacker, die in einem Keller irgendwo im Osten sitzen. Die Angriffsmittel und die Bedrohungen sind raffinierter geworden, die meisten Angriffe erfolgen aber nach wie vor mit primitiven Mitteln.
  • Dies gilt nicht für die neuen Technologien, die in den Unternehmen schnell Einzug gefunden haben. Die meisten Unternehmen gewichten die Nutzung von neuen Technologien höher als Einschränkungen des Einsatzes, welche auf Sicherheitsüberlegungen basieren.

Diese Schlussfolgerungen werde ich unkommentiert lassen. Was hingegen immer wieder auffällt und deshalb auch nicht zum ersten und auch nicht zum letzten Mal festgehalten wird, sind die folgenden beiden Punkte:

  1. Das Management ist sich den Auswirkungen und potentiellen Gefahr zu wenig bewusst.
  2. Das Management kümmert sich nach wie vor zu wenig um die Sicherheitsfragen.

Zur ersten Aussage hat die Studie interessante Auslegungen bereit. Da wird davon gesprochen, dass man die wirtschaftlichen Schäden generell unterschätze. Gleichzeitig wird aber zum ersten Mal (endlich!) zugegeben, dass eine quantifizierbare Schätzung so gut wie unmöglich sei. Wie um Himmels willen soll ein Management die möglichen wirtschaftlichen Konsequenzen fehlender Informationssicherheit bewerten? Man kann doch niemandem vorwerfen, er kümmere sich zu wenig um ein negativ behaftetes Thema, wenn er davon ausgehen kann, dass es sich dabei nicht um eine wesentliche Bedrohung für das Unternehmen handelt. Die Erfahrung zeigt, dass nur gehandelt wird, wenn entweder im eigenen oder in einem befreundeten Unternehmen konkret etwas passiert. Hinzu kommt die persönliche Erfahrung, die jedes Mitglied der Führungsgilde prägt. Wurde ich gestern bestohlen, schätze ich die Wahrscheinlichkeit für einen zukünftigen Diebstahl wesentlich höher ein. Es fehlt an der emotionalen Distanz welche es für eine Sachentscheidung braucht.

Natürlich besteht die Schwierigkeit, Bedrohungen darzustellen, die nicht zu einem Schaden geführt haben. Hand aufs Herz, wer hat schon jemals seine Firma schliessen müssen, weil auf seinem Firewall zu viele Ports offen waren? Firmen gehen in der Regel nicht in Konkurs, weil sie ungenügende Sicherheitsmassnahmen getroffen haben. Dies gilt selbstverständlich nicht für Unternehmen, deren Kernkompetenz das Erbringen von informationstechnischen Leistungen ist. So ist der E-Commerce-Anbieter natürlich gezwungen, seine Sicherheitsmassnahmen auf dem höchsten Stand zu halten. Doch damit treffen wir vielleicht auf höchstens 10 % der aktiven Unternehmen aus dem Technologiebereich, auch diese Schätzung dürfte eher hoch gegriffen sein. Damit sind wir aber bereits auf eine wichtige Erkenntnis gestossen: Die Tätigkeit des Unternehmens definiert die Mittel, welch ein IT und die verbundene Sicherheit fliessen.

Die wahren Bedrohungen für die meisten Unternehmen sind neue Wettbewerber und geänderte Marktbedingungen sowie mangelnde Innovation. Hinzu kommen verschärfte Konkurrenzsituationen, z.B. durch den Internethandel. Aus Sicht des Managements ist folglich die Bedrohung durch Hacker oder andere Gründe selten ein ernsthaftes Thema. Damit erklärt sich auch die Aussage Nummer 2. Wieso soll man sich um diese Sicherheitsfragen kümmern, wenn man keine direkten Nachteile zu gewärtigen hat?

Nun, entweder wird man von seinen Revisoren dauernd bearbeitet oder der Aussendruck ist so hoch, das man zumindest den Anschein erwecken möchte, man bemühe sich ernsthaft darum. Folglich muss man etwas unternehmen, aber was?

Handlungsoptionen des Managements

Grundmuster

Der Entscheidungsträger muss meist unter Zeitdruck entscheiden. Er versucht zu erfassen, in welchem Kontext eine Sicherheitsfrage auftaucht. Er will das Thema möglichst schnell abarbeiten und erledigen. Nun kann man sich im guten Treuen fragen, ob sich das Management wirklich mit Sicherheitsfragen auseinandersetzen will. Wenn wir ehrlich sind, muss man diese Frage mit „Nein“ beantworten. Dies ist ein grundlegend menschlicher Zug und hat definitiv nichts mit besonders abgebrühten Führungskräften zu tun. Wir alle bemühen uns, negative Aspekte des Lebens ausblenden und die Dinge zu tun, die mit möglichst wenig Problemen behaftet sind. Hocherfreut sind wir, wenn uns jemand einen Zettel vor die Nase hält der besagt, dieses Produkt könne man unbedenklich verzehren, es wäre auf Herz und Nieren geprüft worden und es würde nur natürliche Rohstoffe beinhalten (damit sparen wir uns zudem das Lesen des Kleingedruckten).

Beim heutigen Regulierungsdruck und den Unmengen von Vorschriften, die der normale Unternehmer oder Manager zu bewältigen hat, kann es durchaus sein, dass er keinerlei Lust hat, sich mit den mühsamen Details der Informationssicherheit auseinander zu setzen. Das muss er auch nicht, weil es nichts bringt (dazu mehr weiter unten im Empfehlungsteil). Kein Management hat Lust, sich bis um Mitternacht mit eventuell geknackten Verschlüsselungsverfahren zu befassen!

Doch wie soll ein Management auf die Herausforderungen der Informationssicherheit eingehen? Soll es sich die einfache Pille verschreiben lassen oder doch eher versuchen, sich aktiv einzumischen? Komplexe und nicht überschaubare Herausforderungen werden in der Regel mit drei diametral unterschiedlichen Reaktionen beantwortet:

  • Reaktion 1 ist die umfassende und möglichst akribische Erfassung der Zusammenhänge und der damit verbundenen Einflussfaktoren (mehr dazu in These 9).
  • Reaktion 2 ist die Negierung der Sachlage und der damit einhergehend die Vereinfachung bis zu einem Punkt, an welchem sinnvolle Aussage nicht mehr machbar sind.
  • Reaktion 3 ist die Delegation des Themas an einen Verantwortlichen und einer Bestätigung der eigenen Sicherheit  (Zertifizierung).

 

Wie sind diese Reaktionsmuster zu bewerten? Wir wollen uns in diesem Artikel primär mit Reaktion 3 befassen, gehen aber kurz auf die anderen Optionen ein.

Reaktion 1: You can only manage what you can measure

Folgt man diesem fundamentalen, aber auch mechanistischen Grundsatz des Managements, welcher aussagt: Man kann nur steuern und managen, was man auch messen kann, wird das in einem Themenbereich wie der Informationssicherheit eine grosse Herausforderung.

In einer Welt der hohen Komplexität reagiert der Wissenschaftler mit der Erfassung einer Unmenge von Daten. Er stellt sich vor, dass er die richtige Antwort geben kann, indem er minutiös erfasst, welche Bedrohungen das Unternehmen betreffen und noch wichtiger, welche Risiken sich allenfalls auswirken werden. Dass dieser Ansatz zum Scheitern verurteilt ist, darauf wird in These 9 eingegangen.

Reaktion 2: Negierung der Sachlage

Diese Reaktion wird heute auch bei den abgebrühtesten Managern kaum mehr vorkommen. Die persönlichen Erfahrungen und die Medienpräsenz dürfte ihres dazu beigetragen haben, dass kein Management das Thema einfach ignorieren kann. Sollte dies tatsächlich der Fall sein haben wir es eher mit einer juristischen Frage zu tun, nämlich der Verantwortlichkeit des Managements und dessen Haftung im Schadensfall.

Reaktion 3: Delegation und Zertifizierung

Wie gezeigt fokussiert sich das Management normalerweise nicht auf die Conformance Seite, sondern versucht den Fokus richtigerweise auf die gewinnorientierten Themen zu richten.

Dies führt dazu, dass es diese unangenehme Aufgabe richtigerweise delegiert. Was kann delegiert werden? Sicherlich die Fachkompetenz, zu einem grossen Teil aber auch die Verantwortlichkeit für diese Themen! Wenn ich einen Polizisten als Chauffeur einstelle, gehe ich davon aus, dass er das Strassenverkehrsrecht kennt und sich daran hält. Leider haben viele Sicherheitsbeauftragte noch immer das Gefühl, sie könnten sich aus der Verantwortung schleichen. Dem ist definitiv nicht mehr so! In einem deutschen Gerichtsurteil wurde festgehalten, dass auch der Compliance Officer[7] dafür haftet, wenn er es versäumt hat, schädigende Handlungen zu unterbinden. Dies mag aus Sicht des Betriebsrats eine gefährlich Entwicklung sein, deckt sich aber natürlich völlig mit dem Management-Verständnis, welches wir oben geschildert haben. Der  Richter wird ebenso gefolgert haben: Wir haben es hier mit zu komplexen Sachverhalten zu tun, da ist das Management nicht in der Lage, ohne entsprechende Fachunterstützung zu arbeiten und die Risiken einzuschätzen. Folglich darf man davon ausgehen, dass die Fachkraft in der Lage ist, die Risiken zu beurteilen und zu informieren, wenn es dem Unternehmen an den Kragen gehen könnte. Selbstverständlich bedarf es dazu auch noch der Kompetenzübertragung und eines Eskalationssystems, die Tendenz ist aber eindeutig.

Was wird der Sicherheitsbeauftragte tun, wen er nun realisiert, dass er zur Verantwortung gezogen werden kann? Richtig, er greift zur harten Droge.

Was ist Ritalin?

Machen wir es kurz und bemühen Wikipedia:

Methylphenidat (kurz: MPH; Handelsname u. a. Ritalin) ist ein Arzneistoff mit stimulierender Wirkung. Er gehört zu den Derivaten von Amphetamin. Methylphenidat findet bei der medikamentösen Therapie der Aufmerksamkeitsdefizit-/Hyperaktivitätsstörung (ADHS) sowie der Narkolepsie Anwendung.

Wer aufmerksam gelesen hat wird feststellen, dass Ritalin „stimulierende Wirkung“ hat. Aber eigentlich hat man in Erinnerung, es handle sich dabei um ein Beruhigungsmittel? Offenbar ist die Indikation auch bei Kankheitsbildern wie ADHS gegeben. Eine interessante Anwendung, widerspiegelt man doch damit die alltägliche Management-Situation perfekt. Die stetige Überforderung und das permanente „online sein müssen“ verführt geradezu zum Griff nach einem Mittel, welches die Situation beruhigt.

Wie die Pharmaindustrie ihre Medikamente in verschiedenen Anwendungsfeldern positioniert, versucht die Standardisierungsindustrie dasselbe zu tun. Während die Pharmaindustrie die Ärzte als primären Vertriebskanal anwirbt, macht die Normierungsindustrie dasselbe mit den Beratern.  Man verkauft dem Patienten (Manager), dass das vorgeschlagene Präparat (die Norm) dazu führen wird, dass dem Patienten (Manager) das ruhige Schlafen wieder ermöglicht wird.

Hier hören die Gemeinsamkeiten der beiden „Produkte“ auf. Während der Arzt vom Patienten nicht erwartet, dass er die Zusammensetzung und die chemische Formel von Ritalin herunterbeten kann, erwartet der übereifrige Berater allen Ernstes, dass der Manager Meier (seines Zeichens für den Vertrieb von Gummistiefeln zuständig)  den Inhalt des Standards versteht und ihn seinen Mitarbeitern vermittelt. Und hier liegt der fundamentale Denkfehler der ISO-Promotoren:

Nur Hypochonder oder Paranoiker lesen die Inhaltsdeklaration oder die Packungsbeilage!

Wieso ist diese Haltung entstanden? Wohl darum, weil mit der Einführung von ISO 9000 viel Geschirr zerschlagen wurde:

„If your company is not involved in something called „ISO 9000“ (…. or any other number..  remark of the authors)  you probably have no idea what it is. If your company is involved in something called „ISO 9000“ you definitely have no idea what it is. „  (Scott Adams, the Dilbert Principle, New York 1996).

Was ist ein Standard?

Was ist eigentlich ein Standard und was sollte er beinhalten? Sicher nicht folgendes:

„Die Abholzigkeit wird in Zentimetern mit einer Dezimalstelle pro Meter ausgedrückt.“

Dieser immer wieder zitierte Satz stammt aus einer EU Norm, die in der Zwischenzeit glücklicherweise eliminiert wurde. Man kann kaum davon ausgehen, dass es die einzige Norm war, die so unverständliche Sätze enthielt. Wenigstens sind in dieser Textstelle noch messbare Grössen enthalten, eine Eigenschaft, welche die Management-Standards nicht haben. Der Laie stellt sich vor, dass ein Standard ein klares Regelwerk enthält, wie ein Produkt oder ein System auszusehen hat bzw. wie es hergestellt werden muss. Dies stimmt für physische und messbare Produkte, wie zum Beispiel eine Steckdose. Dimensionen, physikalische Werte, Materialeigenschaften und weitere messbare Grössen können eindeutig bestimmt und dokumentiert werden. Der technische Standard soll  die Interoperabilität erhöhen und damit die Kosten für alle Beteiligten möglichst niedrig zu halten. Gleichzeitig werden damit auch Nebeneffekte erzielt, so dürften damit auch die Risiken normalerweise geringer gehalten werden.

Dies sind alles Eigenschaften, die sich in einem Management-Standard nicht definieren lassen. Trotzdem versuchen die Hüter der Standards, genau dies zu tun, wenn es um solch komplexe Sachverhalte wie die Informationssicherheit geht.

Zitat aus ISO27001: „Any exclusion of controls found to be necessary to satisfy the risk acceptance criteria needs to be justified and evidence needs to be provided that the associated risks have been accepted by accountable persons. Where any controls are excluded, claims of conformity to this International Standard are not acceptable unless such exclusions do not affect the organization’s ability, and/or responsibility, to provide information security that meets the security requirements determined by risk assessment and applicable legal or regulatory requirements.“

Ist doch kinderleicht zu verstehen – oder etwa nicht?

 

Die enttäuschte Hoffnung in Management Standards

Mit der Einführung von Managementstandards wie ISO 9001ff. hat man die klaren Grundsätze der Normierung verlassen und bewegt sich damit auf dünnem Eis. Keine Messgrösse sagte uns, wann ein Produkt wirklich die Sicherheitseigenschaften hat, welches vom Management vorgegeben ist. Wie soll das Management etwas vorgeben, was selbst die meisten Experten nur teilweise verstehen? Was ist das Resultat?

  1. Solche Sicherheitsvorgaben werden mangels Kenntnissen kaum gemacht und
  2. die Vergleichbarkeit zwischen Produkten oder Systemen ist nicht gegeben.

Nur weil ein bestimmtes Thema gerade in ist, bedeutet das noch lange nicht, dass es für das eigene Unternehmen auf die Agenda muss. Dieser Grundsatz wäre sogar in ISO 27001 enthalten. Dummerweise ist diese Aussage in jenem Zitat enthalten, welches wir zwei Absätze weiter vorne erwähnt haben…

Versuchen Sie nie einen Auditoren zu überzeugen, dass bestimmte Norminhalte auf ihr Unternehmen nicht anwendbar wären. Er wird weder das Verständnis noch die intellektuelle Kapazität haben, dies zu verstehen. Denn dazu müsste er in der Lage sein, sich in ihre unternehmerische Gedankenwelt zu begeben. Dies ist aber leider weder den Autoren der Standards noch dem später Ausführenden zuzutrauen. Zur Entlastung der Auditoren sei erwähnt, dass diese in der Regel nicht genügend Zeit erhalten, um das Geschäft des Kunden zu verstehen. Als Unternehmer werden folglich mit ihren Bedenken im Stich gelassen und selbst wenn sie mit den bestmöglichen Überlegungen und Initiative an die Sache herangehen, wird sie der Frust nach spätestens einer Stunde Diskussion mit den Fachexperten einholen.

Das Resultat solcher Übungen ist naheliegend. Das Management will nur den Stempel, der besagt, man erfülle die Anforderungen an die Sicherheit. Welche Inhalte bewertet wurden und wie der Stand im Unternehmen tatsächlich ist, wird sich der Manager nicht mehr zu Gemüte führen. Dies schon darum, weil er sich bereits genügend geärgert hat und Fachspezialisten so gut wie nie in der Lage sind, eine realistische Bewertung der Bedrohungslage zu kommunizieren. Folglich wird er sich auf die Haltung zurückziehen: „Ich habe meinen Stempel und was später passiert ist Sache meiner Nachfolger“.

Damit wird natürlich sämtlichen gut gemeinten Bestrebungen der Boden entzogen. Selbst für Personen, welche die hier erwähnten Probleme kennen und praktikable Lösungen suchen, wird es schwer sein, in einem solchen Umfeld konstruktive Lösungen zu entwickeln.

Standards und Innovation

Wie hätten die Vertreter der heutigen Standardisierungsgilde die Jungfraubahn und den Jumbo beurteilt? In beiden Fällen hätten sie nur davor warnen können, so etwas Wahnsinniges zu unternehmen. Zu hohe Risiken, keinerlei Erfahrungen, aber am Schlimmsten keine „Best Practice“!! Zitat des unbekannt bleiben wollenden Wirtschaftsprüfers N.N.: „Aus Sicht der Compliance kann von diesen Initiativen nur abgeraten werden (mit Nachdruck)“.

Standards verhindern die Innovation und tragen kaum zu einer besseren Sicherheit bei.

Wie kann man Sicherheit auf die Management-Ebene bringen?

Mit den letzten beiden Beispielen haben wir das Spannungsfeld ausgeleuchtet. Wir haben es mit einer Thematik zu tun, die von der obersten Geschäftsleitung nicht gerne adressiert wird. Wir verfügen heute über einen Berufsstand (CISO, CISM, IT Auditoren) der das intellektuelle Potential hat, die Themen zumindest fachlich zu adressieren. Leider fehlt seinen Vertretern in der Regel das Sensorium für die Entscheidungsfindung im Management und sie haben Mühe mit der Positionierung in der Organisation. Aus diesem Grund greifen sie zur Beruhigungsmethode und schaffen Federbett-Erlebniswelten, welche sowohl alle Risiken abfedern wie auch das Management einlullen sollen. Leider droht das schnelle Erwachen, sollte in einer zertifizierten Organisation eine massive Sicherheitslücke auftreten (so z.B. geschehen bei der zertifizierten Swisscom[8]).

Gleichzeitig haben wir auch festgehalten, dass die Bedeutung der Informationssicherheit von Unternehmen zu Unternehmen variiert. Diese Tatsache wird normalerweise sowohl von den Studienschreibern wie auch den Entwickler der Standards fahrlässig ignoriert. Würde man den Überlegungen der IT oder Corporate Governance folgen, wäre klar, dass es eine Vielzahl von Unternehmen gibt, die der Informationsverarbeitung völlig unterschiedliche Bedeutung beimessen[9]. Selbst Sicherheitsmassnahmen verschiedener Domänen müssen in derselben Organisation u.U. völlig unterschiedlich implementiert werden.

Wie kann man nur erreichen, dass dem wichtigen Thema Informationssicherheit das richtige Gewicht beigemessen wird? Was man zuerst benötigt ist ein Verständnis dafür, welche Stellung die Informationsverarbeitung im Unternehmen einnimmt. Zuerst muss dem Management bekannt sein, welche Bedeutung der Produktionsfaktor Information im Unternehmen hat. Ohne dieses grundlegende Verständnis wird jede Diskussion um Informationssicherheit scheitern. Je höher der Bedarf an Information und je zuverlässiger die Datenverarbeitung funktionieren muss, desto wichtiger ist es, die Sicherheitsprobleme beim Namen zu nennen.

Konsequenterweise geht es darum, Sicherheitsthemen im betrieblichen Kontext aufzuzeigen und möglichst einfach zu kommunizieren. Mit Rollenspielen und Simulationen müssen die Rollen der Beteiligten gefestigt und geübt werden. Der Sicherheitsbeauftragte muss wissen, welche Entscheide er fällen kann und wo er eskalieren muss. Auch hier gilt: üben, üben üben… der Vergleich mit der Feuerwehr ist durchaus angebracht.

Die wichtige Rolle des Reputations-Managements geht meist auch vergessen. Leider sind die meisten Sicherheitsbeauftragten noch immer vom fixen Gedanken besessen, man könne alle Risiken präventiv eliminieren. Das Gebäude wird abbrennen! Wir müssen den Schaden begrenzen und auch dafür sorgen, dass unsere Reputation nicht leidet. Die richtige Reaktion und der passende Sprachgebrauch müssen gezielt vorbereitet werden.

Man kann nicht mit Studien argumentieren, die in einem völlig abstrakten Raum operieren mit denen sich der Manager nicht identifizieren kann. Nur das persönlich gelebte Beispiel hat die Aussagekraft, die wir hier benötigen. Nur das konkrete und selbst erlebte Beispiel zwingt uns dazu, zu überlegen, was im Falle eines Falles geschehen muss. Wir müssen den Entscheidungsträgern aufzeigen, welche persönlichen Konsequenzen es für sie hat, wenn Sie elementare Sicherheitsbedürfnisse und Themen nicht richtig behandeln. Dazu brauchen wir greifbare und nachvollziehbare Erlebnisse. Dazu gehören simulierte Angriffe und Einbrüche durch beauftragte Experten. Nebst solch spektakulären Aktionen sollen auch Routinefragen und Sicherheits-Trivialitäten thematisiert werden. Wir müssen den Leuten zeigen was passiert, wenn sie ihr Passwort nicht ändern oder ihre Mails nicht verschlüsseln. Das können wir nicht abstrakt tun sondern müssen es jeden unmittelbar fühlen lassen.

In der vorne erwähnten Studie steht auch (wie in jeder Sicherheitsstudie seit 1994), dass das grösste Manko in der Umsetzung darin besteht, dass selbst die elementarsten Sicherheitsmassnahmen nicht ergriffen werden.

Oder mit anderen Worten:

„Informationssicherheit bedeutet auf die persönliche Sicherheit übertragen, dass der Mitarbeiter am Abend die Bürotüre schliesst wenn er das Gebäude verlässt.“

 

Das mag jetzt für den Experten unheimlich trivial klingen, trifft aber in der realen Welt den Nagel genau auf den Kopf. Es zeigt uns auch, dass es bei weitem nicht genügt, technische Massnahmen zu implementieren um die Sicherheitslücken zu schliessen. Auch dies ist eine Kommunikationsaufgabe, die der CISO gegenüber dem Management wahrnehmen muss.

Aus diesem und aus anderen Gründen enthält diese Artikelserie Überlegungen, wie weit man mit nichttechnischen Methoden einen direkten Einfluss auf die Sicherheit einer Organisation nehmen kann.

 

Twitter # Tag: #socioculturalsecurity

 

 


[1] Dort wird gezeigt, dass dieser Ansatz in der IT leider NICHT funktioniert, trotzdem wird er nach wie vor in Standards wie ISO 27001 propagiert.

[2] In diesem Artikel wird damit immer die VR/AR/GL/Vorstandsebene adressiert.

[3] Weitere Ausführungen dazu bei Bienert Peter/Wildhaber Bruno; IT-Governance, S.11ff.  und Wildhaber (Hrsg.), Erb/Giger/Müller-Lhotska/Rumpf/Senn; Information Management Strategie, Zürich 2010.

[4] Man beachte, dass es nicht darum geht, die Risiken möglichst tief zu halten, sondern sie zu optimieren; mehr dazu in These 9 oder bei Bienert/Wildhaber, S.

[5] Weitere Ausführungen in Wildhaber (Hrsg.), Erb/Giger/Müller-Lhotska/Rumpf/Senn; S. 11ff.

[6] PWC, US State of Cybercrime Survey 2013

[7] BGH, Urteil vom 17.07.2009 – 5 StR 394/08; zur Garantenstellung des Compliance Officers; http://www.hrr-strafrecht.de/hrr/5/08/5-394-08-1.php

[8] http://www.itmagazine.ch/Artikel/54042/Datendiebstahl_bei_Swisscom.html

[9] Umfassende Behandlung dieses Themas in Biener/Wildhaber, u.a. S. 67ff. inkl. der Darstellung unterschiedlicher Risikoprofile

These 1: Identitätsverlust bedeutet Machtlosigkeit – oder wieso der persönliche Arbeitsplatz wichtig ist.

Der gute Arbeitsplatz ist mehr als ein Container auf vier Rädern.

Welche Auswirkungen haben die Veränderungen der persönlichen Arbeitsumfeldes auf die Mitarbeiter? Welche Faktoren begünstigen die Zufriedenheit und was können Mitarbeiter und Arbeitgeber tun, um die Risiken, die damit verbunden sind, auf ein Minimum zu reduzieren?

Erste These zum Thema „Sozia-kulturelle Faktoren der Informationssicherheit“


Auslöser

These 1 befasst sich mit dem Umstand, dass der Mensch am Arbeitsplatz eine Umgebung vorfinden möchte, welche seinen persönlichen Bedürfnissen gerecht wird. Gleichzeitig muss sichergestellt sein, dass der Arbeitgeber in Zusammenarbeit mit seinen Mitarbeitenden in der Lage ist, diejenigen Leistungen zu erzielen, die beidseitig erwartet werden. Auslöser für die Formulierung dieser These war ein Artikel im Tagesanzeiger vom 20.6.2013[1] in welchem ein Loblied auf die unpersönlichen Arbeitsplätze gesungen wird.In diesem Artikel wird beschrieben, dass die UBS an ihrem neuen Sitz an der Europaallee Zürich dazu übergegangen ist, den meisten Mitarbeitern keine persönlichen Arbeitsplätze mehr zur Verfügung zu stellen. In höchsten Tönen wird gelobt, wie dies die Zusammenarbeit erhöhen würde und wie sich die Mitarbeiter mit diesem System angefreundet hätten. Selbstverständlich wurden die direkt verantwortlichen und entsprechend euphorischen Projektleiter befragt, als Gegenstimme durfte sich eine kritische Mitarbeiterin vernehmen lassen. Im Grossen und Ganzen scheinen die Arbeitspsychologen und andere Experten heute der Meinung zu sein, der Arbeitsplatzentzug sei eine sinnvolle Massnahme. Ich bin dezidiert anderer Meinung und werde dies auch begründen. Meiner Ansicht nach sind solche Aktionen geradezu ideal, um das Verhältnis zwischen Arbeitgeber und Arbeitnehmer nachhaltig zu stören. Ich bin überzeugt, dass Entwicklungen wie bei der UBS unzweifelhaft dazu führen, dass sich der Mitarbeiter nicht mehr mit dem Unternehmen identifiziert und damit auch die Hemmschwelle für Aktionen, die in die Illegalität führen, massiv gesenkt wird (womit wir wieder bei der Motivation zu dieser Artikelserie wären).

Um diese These zu untermauern, möchte ich kurz die Entwicklung aufzeigen wie sich der moderne „Arbeitsmensch“ entwickelt hat, woher er kommt und mit welcher Arbeitsumgebung man als Arbeitgeber der Dienstleistungsgesellschaft bzw. dem „Knowledge-Worker“ heute gerecht werden kann. Ich beleuchte das Thema heute zugegebenermassen v.a. aus Sicht des Arbeitgebers, ergänzt um die Erfahrungen, die ich als Arbeitnehmer (von der Lehre ins obere Management), gesammelt habe.

Die Entwicklung der Arbeitswelten

Ein Blick zurück in die Geschichte zeigt, dass unser unternehmerisches Umfeld und die Arbeitsumgebungen, wie wir sie heute kennen, erst seit rund 130 Jahren existieren. Blickt man in der Geschichte zurück, dann erleben wir einen fundamentalen Wandel im 19. Jahrhundert[2]. Mit dem Wechsel von der Feudalherrschaft in die industriell geprägte Neuzeit findet eine Entwicklung statt, die selbst die hochgelobte Bedeutung der Internet-Revolution stark relativiert. Die aufkommende kapitalistische Marktwirtschaft vernichtet die damals übliche Feudalherrschaft, die fast 1000 Jahre Bestand hatte. Durch die Industrialisierung gelingt es den ehemaligen Vasallen und Leibeigenen, sich aus der Knechtschaft zu erheben und erstmals eigenes Einkommen zu kreieren. Gleichzeitig werden damit aber auch traditionelle Strukturen aufgebrochen. Während es bis damals üblich war, dass die Grossfamilie von der Wiege bis zur Bahre am selben Ort lebte und arbeitete, wurde die neue Arbeiterschaft mobil. Ehemalige Bauern und Landarbeiter begaben sich in die Zentren der entstehenden Industriestädte. Dörfer und Städte wuchsen rasant und ehemalige Kleinstädte wurden zu Industriezentren (z.B. Oberhausen im Ruhrgebiet). Zudem wanderten zwischen 1850 und 1920 über 40 Millionen Europäer in die Neue Welt aus.

Die wichtigste Entwicklung: Die Einheit von Leben und Arbeiten zerbricht. Die Lohnarbeit, welche früher die Ausnahme darstellte, wird zum allgemeinen anerkannten Modell. Die Familienmitglieder gehen plötzlich eigenen Tätigkeiten nach und treffen sich höchstens noch am Morgen und am Abend, ebenso verschwindet die Grossfamilie. Erstmals ist es dem Menschen möglich ein, zumindest minimales,  selbstbestimmtes Leben zu führen, befreit von den alten Fesseln, den Ständesystemen, den Lehnherren und den damit verbundenen Zwängen. Auch in diese Zeit fallen die Entwicklung der modernen Verkehrs- und Kommunikationsmittel. Gleichzeitig werden aber auch die negativen Seiten dieser Entwicklung sichtbar. Die Industrie zerstört gewachsene Landschaften und Kanäle begradigen die Natur. Wasserverschmutzung und Luftverschmutzung sind die Begleiterscheinungen der Industrialisierung. Die Industrialisierung entwickelt sich zu einem Arbeitsmotor, auf der anderen Seite zeigen sich die negativen Auswirkungen des Kapitalismus in brutaler Form.

Massive soziale Problemen, Kinderarbeit, Massenarbeitslosigkeit und Hungersnöte sind die Folge. Während sich die Arbeitnehmerschaft langsam zu organisieren beginnen, gibt es auch Arbeitgeber (Patriarchen), die sich um ihre Arbeiter kümmern und, dafür sorgen, dass sie ausreichend versorgt werden. So ist zum Beispiel Alfred Krupp, der das grösste Industrieunternehmen Europas führt, einer der ersten „sozialen“Arbeitgeber. Er bezahlt Alterspensionen und richtet eine Betriebskrankenkasse ein. Gleichzeitig sorgt er auch dafür, dass seine Arbeiter über anständige Wohnmöglichkeiten verfügen. Unternehmer wie Krupp haben jedoch auch die Tendenz, ihre Leute zu bevormunden. Den Arbeitern ist es verboten, sich gewerkschaftlich zu organisieren oder sich um ihre eigene Lage zu bemühen, bzw. kollektive Verbesserungen herbeizuführen. Trotzdem ist Unternehmern wie Krupp klar, dass seine gut ausgebildeten Arbeiter einen entscheidenden Faktor für den Unternehmenserfolg darstellen. Der Patriarch schafft seine Gesetze, lässt seine Mitarbeiter nach diesen leben und sorgt für Sie. Unternehmer wie Krupp sind dann aber meist daran gescheitert, dass sie zu spät begriffen haben, dass sie als Patriarchen ihr Unternehmen nicht alleine über die Runden bringen, wenn sie in eine Krisensituation geraten. Der Untergang des Patriarchen bedeutete normalerweise auch den Untergang seines Unternehmens.

Doch im Vergleich zu den industriellen Patriarchen haben die Manager,  die heute am Ruder internationaler Unternehmen sind, nicht länger das Problem, dass mit dem Untergang ihres Unternehmens auch ihre Existenz in Gefahr geriete. Nein, sie können einigermassen sicher sein, dass Ihre finanzielle Existenz gesichert ist, selbst wenn sie für den Bankrott „ihres“ Unternehmen verantwortlich wären. Heute befinden wir uns in einer völlig umgedrehten Wirtschaftssituation. In der Wirtschaftspresse dominieren Artikel über die multinationalen Konzerne in Form anonymer Aktiengesellschaften. „Best Practice“ wird an den Universitäten gelehrt, obwohl es eine solche nicht gibt. MBA Absolventen wird von  Theoretikern beigebracht, wie sie als Unternehmer agieren sollen. Als Gegenbewegung hat die aktuelle Diskussion um die Abzockerei in der Schweiz ihren Höhepunkt erreicht und das Volk hat den vermeintlich Mächtigen eine demokratische Lektion erteilt. Den Patron oder Patriarchen gibt es in abgeschwächter Form nur noch in KMUs.

Seit der Industrialisierung ist noch nicht viel Zeit vergangen, der persönliche Arbeitsplatz blieb aber eine Errungenschaft dieser Zeit und das „zweite Heim“ bekam eine noch grössere Bedeutung mit dem Wachsen der Dienstleistungsgesellschaft. Während sich die Arbeitswelten seit den dreissiger Jahren bis ins Jahr 2000 nur wenig verändert haben, hat in den letzten 20 Jahren eine massive Umgestaltung des Arbeitsumfelds stattgefunden. Ausgelöst durch neue Kommunikationsmittel, vorangebracht durch die Globalisierung und den damit gekoppelten Trends zum Outsourcing und zum internationalen Verlagern von Arbeitsplätzen, hat sich die Arbeitswelt für den einzelnen fundamental verändert. Dies gilt in besonderem Masse für Mitarbeiter von Grossunternehmen. Die Prägung des Unternehmens, welche sich über Jahrzehnte entwickelt hat, ging schrittweise verloren, strategische Unternehmenswerte damit leider auch. Negative Auswirkungen auf Kunden und Mitarbeiter sind nur eine Frage der Zeit, leider müssen diese aber nicht mehr durch die Manager ausgebadet werden, die sie verursacht haben.

Es stellt sich demnach die Frage, ob sich in Zeiten anonymer und gesichtsloser Unternehmen  wenigstens die Mitarbeiter noch mit ihren Arbeitgebern identifizieren können und wollen.

Zufriedenheit Arbeitsplatz oder der produktive Mitarbeiter

Muss ein Arbeitnehmer glücklich sein?

Was uns an dieser Stelle vor allem interessiert ist die Frage, welche Arbeitsumgebung ein Mitarbeiter benötigt, dass er sich glücklich fühlt. Nun kann man sich mit gutem Recht fragen, ob dieser Begriff des Glücklichseins an dieser Stelle gerechtfertigt ist. Muss ich als Arbeitgeber dafür sorgen, dass ein Arbeitnehmer an seinem Platz glücklich ist? Nun, vielleicht geht es hier auch mehr um Zufriedenheit und um das Gefühl, nach getaner Arbeit nach Hause gehen zu können und zu sagen: „Heute hatte ich einen guten Arbeitstag“. Doch was sind die Faktoren, die eine Mitarbeiterin dazu bringen zu sagen, dass sie an einen Arbeitsplatz zufrieden ist und dort auch länger bleiben möchte?

Die folgenden Ausführungen zum Thema Glück entstammen einem Buch des englischen Wirtschaftsprofessors Richard Layard[3]. Sie zeigen eindrücklich, welche Bedeutung dem Faktor „Glück“ zukommt und wie er gefördert  werden kann.

Zufriedenheitsfaktoren

Layard identifiziert die folgenden Faktoren, die dazu führen, dass ein Mensch (nicht nur) am Arbeitsplatz glücklich ist:

1. Sicherheit

2. Vertrauen

3. Soziale Interaktion / Autonomie

4. Dankbarkeit

5. Passion

 

Sicherheit

Sicherheit ist das A und O und vielleicht die wichtigste Kraft, wenn es um die objektive Wahrnehmung von Glück geht. Dabei gilt es, verschiedene Faktoren der Sicherheit zu unterscheiden. Dazu gehören natürlich sicherlich die äusseren Faktoren wie die Stabilität eines Landes, die wirtschaftliche Prosperität oder die militärische Sicherheit. Der Mensch tendiert dazu, sich dann am Wohlsten zu fühlen, wenn die Unsicherheitsfaktoren am kleinsten sind. Dies resultiert oftmals in einer gewissen Trägheit, die sich dadurch äussert, dass er weiss, was ihn jeden Tag erwartet. Der Arbeitnehmer will demnach wenig Wechsel, was sich sowohl auf seine Position, wie auch auf seine persönlichen Arbeitsplatzverhältnisse bezieht. Entsprechende Studien zeigen auch, dass Leute, die mehr umziehen, weniger glücklich sind als solche, die in stabilen Wohnverhältnissen leben um ein angestammtes Umfeld ihr eigen nennen können[4]. Dies gilt sowohl für die Wohn- wie auch für die Arbeitsplatzsituation.

Dies bedeutet auch, dass Restrukturierungen im Übermass Gift für die Stabilität und damit auch für die Zufriedenheit der Arbeitnehmer sind. Dem entgegen steht die Theorie und auch die Erfahrung aus der Innovationslehre, dass nur wer sich bewegt und sich in die Unsicherheit begibt, auch bereit ist, Innovationen anzugehen.  In den meisten Unternehmen dürfte das Normalverhältnis zwischen Tagesgeschäft und Innovation massiv zu Gunsten des Normalbetriebs lauten. Oder mit anderen Worten: Es ist alles andere als  sinnvoll, die Leute dauernd unter Strom zu halten in der irrigen Annahme, dadurch würden sie innovativer und gleichzeitig produktiver. Es gilt das richtige Mass zu finden, um einen innovativen Entwicklungsschritt in Angriff zu nehmen. Leider zeigt sich aber heute, dass jedes neue Management den Eindruck hat, man könne mit einer jährlichen Restrukturierung dazu beitragen, innovativ zu wirken. Solchen Managern müsste man eigentlich Ritalin verschreiben, hätte man nicht den bösen Verdacht, dass dieses bereits in jungen Jahren bekommen haben (These 3). Überaktivität ist somit Gift für die meisten Unternehmen und v.a. für die Leidtragenden, nämlich für jene  Mitarbeiter, die auf der 4. Hierarchieebene ausbaden müssen, was sich ihre MBA verbildeten Vorgesetzten ausgedacht haben.

Vertrauen

Damit sind wir automatisch beim zweiten Faktor der Zufriedenheit. Es geht um das Vertrauen, nämlich um das Vertrauen des Arbeitnehmers in den Arbeitgeber und seine Zuverlässigkeit und Fähigkeiten. Die Zufriedenheit am Arbeitsplatz steht und fällt mit dem Vertrauen, welches ein Mitarbeiter in seine Vorgesetzten und seine Kollegen und Kolleginnen hat. In einem Arbeitsklima, welches von Misstrauen geprägt wird, wird auch nie eine ansprechende Produktivität entstehen. Oder wenn dies trotzdem der Fall sein sollte, dann wird sie durch einen überdurchschnittlich hohen Mitarbeiterwechsel negativ kompensiert. Die Fürsorgepflicht des Arbeitgebers wie auch die Treuepflicht des Arbeitnehmers, wie wir sie heute im modernen Arbeitsrecht finden, entsprechen genau diesem Modell der sozialen Marktwirtschaft, die  durch die negativen Entwicklung der Industriealisierung geprägt wurden. Arbeitgeber tun sich mit „Hire and Fire“ genauso wenig einen Dienst wie Betriebsräte, die jede sinnvolle Massnahme des Arbeitgebers aus ideologischen Gründen torpedieren. Beides führt letztendlich zur wirtschaftlichen Blockade und zum Rückschritt.

Soziale Interaktion / Autonomie

Die Verbindung zu anderen Personen, seien dies direkte Arbeitskollegen, Kunden, Vorgesetzte oder anderen Mitarbeitern ist ein wichtiges Element für die Zufriedenheit. In heutigen Grossunternehmen besteht die Möglichkeit, mit modernen Kommunikationsmitteln eine Vernetzung zu erreichen, die früher nicht möglich war. Ich denke hier an einen einzelnen Spezialisten, der in einer Niederlassung angestellt ist und lokal keine Gesprächspartner findet, weil er zu spezialisiert ist. Er kann sich heute mit Hilfe der neuen Medien (Social Media) so vernetzen, dass er mit seinen Kollegen eine weltweite Gemeinschaft (Community) bildet. Nebst den modernen Formen der Zusammenarbeit sind die klassischen Formen, seien dies Konferenzen, Arbeitskreise oder nationale und internationale Fachvereine und Organisationen wichtig für die Entwicklung der Fähigkeiten. Das bedeutet auch, dass der Arbeitgeber gut daran tut, seinen Mitarbeitern einen gewissen Freiraum zu geben, was die Zusammenarbeit intern wie auch extern angeht. Immer wieder stelle ich fest, dass in Zeiten vermeintlicher Geldknappheit zuerst dort gespart wird, wo es langfristig am meisten wehtut, nämlich beim Reisebudget. Wie soll ein internationales Projekt geführt werden, wenn sich deren Mitglieder nur noch per Videokonferenz verständigen können? Ich wette mit ihnen, dass dieses Projekt den Bach runter geht (These 2).

Zur Weiterentwicklung gehört auch ein gewisser Grad an Autonomie. Autonomie bildet einen wesentlichen Faktor für die Zufriedenheit am Arbeitsplatz. Hört mein Kompetenzbereich nicht am Ende des Jobbeschriebs auf, sondern kann ich im Rahmen meiner intellektuellen Fähigkeiten über meinen Kompetenzbereich hinaus weitere Tätigkeiten ausüben, dann fördere ich damit nicht nur mich selbst sondern auch das Unternehmen. Ein Arbeitgeber der solches nicht versteht, hat nicht begriffen, dass insbesondere in der Dienstleistungsgesellschaft das Wissen seine Mitarbeiter und der Weiterentwicklung das zentrale Kapital für seinen Erfolg darstellt. Leider ist die weit verbreitet Tendenz, alles zu beschreiben, zu definieren und in Prozesse zu zwängen ein Killer für diese Art von Zufriedenheit.

Dankbarkeit

Dankbarkeit zu zeigen ist DER Schlüssel zum Unternehmenserfolg. Als ich als zwanzigjähriger, junger Computer-Systemingenieur bei der damaligen Sperry Univac gearbeitet habe, gab es ein Incentiv-Programm, welches die Mitarbeiter dazu anregte, Verbesserungsvorschläge einzureichen. Wieso kann ich bis heute so gut daran erinnern? Ich hatte einen technischen Verbesserungsvorschlag nach USA geschickt und ungefähr 3 Monate später kam die Rückmeldung, man hätte meinen Vorschlag aufgenommen und man würde die Änderung in der nächsten Version des Gerätes berücksichtigen. Gleichzeitig habe ich ein kleines Präsent dafür erhalten und eine typisch amerikanische Urkunde (d.h. mit viel Gold und Lametta), mit der Bestätigung, ich hätte mich um das Unternehmen bemüht, inkl. Händedruck durch den Vorgesetzten und Publikation im Unternehmens-Newsletter. Man kann sich vorstellen, was man damit in einem Zwanzigjährigen auslöst, der sich primär als kleiner Mitarbeiter in einer unbedeutenden Ländergesellschaft versteht! Es braucht extrem wenig, seine Dankbarkeit zu zeigen. Doch diese Fähigkeit scheint vielen Vorgesetzten und Managern völlig abhandengekommen zu sein. Kleine Gesten und Aufmerksamkeiten, (die nicht mit Geld verknüpft sein dürfen!) bedeuten für den Mitarbeitern mehr, als geschwollene Reden und Firmenanlässe, die primär für die Aktionäre und die Presse, aber nicht für die Mitarbeitenden organisiert wurden.

Passion

Die Leidenschaft für seine Arbeit ist sicher etwas, was in der persönlichen Motivation des Einzelnen begründet sein muss. Passion bedeutet, dass ich mit Energie und Einsatz an eine Arbeit gehe, um sie so zu gestalten und auszuführen, dass ich ein Resultat erziele, welches meine Erwartungen übertrifft. Ich muss in der Lage sein, mich zu steigern und ein noch besseres Resultat zu erzielen als am Vortag oder ein Jahr zuvor. Passion kommt von innen. Es gibt wohl kaum Möglichkeiten, diese Passion in einer Person zu entfachen, wenn sie nicht bereits vorhanden ist. Für den Arbeitgeber geht es in erster Linie darum, die Fähigkeiten einer Person gezielt zu fördern. Vor allem aber sollte man sich als Person selbst hinterfragen und immer wieder die Frage stellen, ob man für seine Arbeit ausreichend Leidenschaft aufbringt oder besser sein Tätigkeitsfeld verändern sollte. Es ist normal, dass die meisten Leute heute ihre Passionen v.a. in der Freizeit ausleben, doch sollte ein gesundes Verhältnis zwischen persönlicher Passion und Leidenschaft am Arbeitsplatz existieren.

Der Faktor Geld

Viele Arbeitgeber scheinen immer noch dem Glauben nachzuhängen, man könne fehlende Zufriedenheit mit Geld kompensieren. Mittlerweile ist wissenschaftlich belegt, dass dem nicht so ist[5], d.h. eine grössere Zufriedenheit lässt sich mit Geld NICHT erzielen. Diese Aussage gilt selbstverständlich nur in unseren Verhältnissen, nämlich dann, wenn ein minimales Einkommen erreicht wird, welches die Grundbedürfnisse befriedigt.

Gleichzeitig ist auch belegt, dass das Ausmass des Glücklichseins nicht mit dem Reichtum korreliert. Ich verweise hier auf das Buch von Layard, welches sehr viele Beispiele dazu enthält. Er hat als Ökonom dieses Thema auch fundiert bearbeitet und mit Zahlen belegt[6]. Ebenfalls finden sich Bestätigungen zur These, dass Geld als Incentive im Arbeitsumfeld NICHT funktioniert[7]. Orientiert sich ein Mitarbeiter nur noch am Bonus, hat man als Arbeitgeber schon verloren.

Wieso braucht der Mensch einen persönlichen Arbeitsplatz?

Wie verhält sich nun die Entwicklungsgeschichte und die Theorie zur Zufriedenheit mit unserem Anfangsbeispiel der grossen Schweizer Bank? Mit dem Entzug des persönlichen Arbeitsplatzes werden unterschiedliche Effekte erzielt. Eine positive Auswirkung ist sicher, dass die Autonomie der Mitarbeiter steigt und damit auch ein Grundsatz der Zufriedenheit positiv gefördert wird. Gleichzeitig wird dieser positive Effekt völlig zunichte gemacht, wenn man sich des Ausmasses der Instabilität und der Unsicherheit bewusst wird, die man mit dieser Massnahme erzeugt[8]. Es würde ja vielleicht angehen, einmal in der Woche einen anderen Arbeitsplatz wählen zu müssen, doch muss man sich dauernd neu orientieren befindet man sich in der erwähnten Instabilitätsphase. Diese führt dazu, dass weder die nötige Sicherheit eintritt noch ein Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer entstehen kann (bzw. ein bestehendes vernichtet wird). Die Identifikation mit seinem persönlich gestalteten Arbeitsplatz ist für viele Personen nach wie vor wichtig (Faktor Sicherheit). Natürlich soll es nicht mehr so sein, dass die Qualität des Teppichs und der Wert der Bilder an der Wand dafür steht, wie weit man es im Unternehmen gebracht hat. Doch sollte sich der Arbeitgeber bewusst sein, dass er mit der dem Entzug des persönlichen Arbeitsplatzes ein Klima schafft, welches das Vertrauensverhältnis zwischen ihm und seinen Mitarbeitern nachhaltig stört. Die versteckte Aussage, die sich hinter dem Arbeitsplatzentzug versteckt, ist auch eindeutig: Du bist als arbeitende Ressource jederzeit ersetzbar und es spielt eigentlich keine Rolle an welchen Platz in meiner Organisation du dich befindest[9]. Das ist zwar nur eine versteckte Botschaft, die der moderne Manager so nie aussprechen würde, doch zerstört sie die Vertrauensbasis nachhaltig. Durch den Entzug des persönlichen Arbeitsplatzes leidet auch die informelle Kommunikation. Für die Beziehungen im Unternehmen und das Knowledge-Management sind informelle Kommunikationskanäle (Kaffeetisch, „Mithören“ etc.) Gold wert, diese auf eine virtuelle Ebene zu verschieben wird nicht funktionieren, bzw. fördert bereits heute die grassierende „Team-Unfähigkeit“ (vgl. These 2). Zudem fördert man dadurch eine positive soziale Kontrolle, die verhindert, dass man jede Kleinigkeit im Unternehmen schriftlich regeln muss („Wer putzt den Kaffeeautomaten?“).

Ich habe jetzt bewusst schwarz-weiss gemalt. Es können durchaus auch Mittelwege gefunden werden, die den Bedürfnissen von Arbeitgeber und Arbeitnehmer gerecht werden. Für mich als Arbeitgeber ist es zentral, dass sich meine Mitarbeiter mit meinem Unternehmen identifizieren, ich ihnen die nötige Stabilität gebe in der sie wachsen können und sie gleichzeitig so herausfordere, dass sie auch bereit sind, neues zu unternehmen um uns gemeinsam weiter zu entwickeln. Als Arbeitnehmer erwarte ich von meinem Arbeitgeber, dass er seine Treuepflicht wahrnimmt, mich fair und korrekt behandelt und mit mir kommuniziert, mich meinen Fähigkeiten entsprechend einsetzt um mir die Möglichkeiten bietet, mich weiterzuentwickeln.

Diese Bedürfnisse entsprechen sich grundsätzlich gut. Es gibt keine unüberwindbaren Gegensätze, die eine erfolgreiche Zusammenarbeit verhindern würden. Wir befinden uns nicht mehr im Zustand der Akkordarbeit und des Lohndrückens, noch wollen wir als Arbeitgeber einem organisierten Mob von Arbeitern ausgeliefert sein. In der Informations- und Wissensgesellschaft fällt der Wert der Information wesentlich mehr ins Gewicht, als dies während und nach der industriellen Revolution mit ihren einfachen Arbeitsgängen der Fall war. Oder präziser gesagt: Es geht heute vermehrt darum, zu wissen wie man etwas macht nicht unbedingt wie man es im Detail ausführt. Damit haben sich die Fähigkeiten natürlich auch verschoben. In einem modernen Arbeitsplatzmodell gehe ich davon aus, dass meine Mitarbeitenden während der Hälfte oder dreiviertel ihrer Arbeitszeit Unternehmen sind und über eine ihnen passende Infrastruktur verfügen die Sie auch persönlich gestalten können. Die persönliche Identifikation mit ihrer Umgebung ist wichtig, wie auch die Kommunikation mit Ihren Kolleginnen und Kollegen. Der Einsatz von Home-Office und flexiblen Arbeitsplatz-Modellen ist dann sinnvoll, wenn die Arbeiten ohne direkten Kontakt mit den anderen stattfinden können (was höchst selten der Fall ist). Gleichzeitig plädiere ich für dezentrale Arbeitszentren, um die Mobilitätsfrage zu lösen. Es ist durchaus sinnvoll, dass man die Pendlerströme reduziert, in dem man den Leuten die Möglichkeit gibt, sich in dezentralen Arbeitszentren zu treffen, die nicht zwingend vom eigenen Unternehmen betrieben werden. Im Zeitalter der mobile Arbeitsplätze kann dies eine Möglichkeit sein die Freiheitsgrade der Mitarbeiter zu erhöhen hören und gleichzeitig dafür sorgen dass sie trotzdem physischen Kontakt mit Ihren Kolleginnen und Kollegen aufnehmen können.

Schlussfolgerungen

Manch einer wird sich jetzt fragen, was diese Themen mit der Informationssicherheit zu tun haben. Wie in der Einleitung erwähnt, gehe ich nicht davon aus, dass wir jemals in der Lage sein werden, den Missbrauch von Informationen dadurch zu verhindern, dass wir technische Hilfsmittel einsetzen. Die Weitergabe von Daten oder deren Missbrauch ist ein leichtes Unterfangen und ohne weiteres durchzuführen, selbst wenn teuerste Technik-Massnahmen umgesetzt wurden. Folglich muss der Arbeitgeber dafür sorgen, dass die Illoyalitäts-Quote der Mitarbeiter möglichst gering ist, bzw. die Anzahl derer, die sich möglicherweise gegen das Gesetz oder das Unternehmen richten, auf ein überschaubares Minimum reduziert werden kann. Diese erreichen wir nur dadurch, dass wir die Zufriedenheit der Mitarbeiter soweit als verträglich gewährleisten. Das tönt jetzt vielleicht sehr sozialromantisch, dies sollte aber auf keinen Fall so verstanden werden. Es ist völlig klar, dass manch ein Mitarbeiter an seinem Arbeitsplatz unglücklich ist und sich weiterentwickeln möchte – dann muss man ihn fördern bzw. Optionen aufzeigen können. Es gibt vermutlich nichts Schöneres, als erfolgreiche Mitarbeiter, die im eigenen Unternehmen begonnen und eine erfolgreiche Laufbahn absolviert haben.

 

Was wir nicht wollen sind Mitarbeitende, die frustriert an ihren oder anderen Arbeitsplätzen sitzen, sich nicht mehr mit ihren Aufgaben identifizieren, sich nur noch darum kümmern wie hoch der nächste Bonus sein wird und wie es Möglichkeiten gibt, diesen durch legale oder illegale Methoden aufzuwerten.

 

Twitter # Tag: #socioculturalsecurity

 


[2] Zur Vertiefung empfohlen: GeoEpoche, Die Industrielle Revolution, Nr. 4/08

[3] Layard, Richard:  Happiness, Lessons from a New Science, 2.ed., London 2011

[4] Layard, S. 179

[5] Layard, S. 30: „ Overall, the change in happiness is mall relative to the increase in incomes“; bezogen auf die Entwicklung in Europa seit 1950.

[6] Layard, S 41ff.

[7] Layard, S. 156 zum Thema „Performance related pay“

[8] Diese Aussagen gelten für alle Arbeitnehmer, die vorher einen fixen Arbeitsplatz hatten und es sich nicht um  eine aussendienstliche Tätigkeit handelt.

[9] Mehr dazu dann zur These 5 „Outsourcing“