Informationssicherheit – Werte, Wandel und Kultur

//Informationssicherheit – Werte, Wandel und Kultur

Informationssicherheit – Werte, Wandel und Kultur

„Kultur isst Strategie zum Frühstück.“

Das Zitat des ehemaligen US-Ökonomen Peter F. Drucker ist gleichermaßen radikal wie provozierend. Denn als Drucker das sagte, waren wir noch gefühlte Lichtjahre von der digitalen Welt unserer Tage entfernt. Und doch sah der Vordenker eine Welt voraus, die eine neue Unternehmensführung braucht. Das heißt: Strategien und deren Erfolg können nur mit einer Kultur des Wertewandels in Organisationen erreicht werden.

Transportieren wir das Zitat in unsere heutige Zeit, ist es im Grunde ein Affront gegen viele Topmanager sowie Strategieberater in und außerhalb von Unternehmen. Erstere denken, sie haben alles im Griff in ihrer Organisation. Gleichzeitig halten Führungskräfte an überholten Hierarchieformen sowie der Deutungshoheit im Unternehmen fest. Letztere, sprich Strategieberater, verdienen ihr tägliches Brot mit dem Verkauf von allerlei Verbesserungspotenzialen, wo Firmen grundsätzlich ihre Ziele suchen sowie finden können und wie sie strukturiert dorthin gelangen. Beide Seiten verkennen, dass die Welt der Digitalisierung andere Herangehensweisen erfordert. Somit verkommt der Strategiebegriff vielfach zu einem beliebigen Platzhalter.

Das Wirtschaftsmagazin „brand eins“ formulierte es bereits zu Beginn des Jahrtausends so: „Glück, Plan, Zufall, gesunder Menschenverstand, Analyse oder Spiel? Strategie ist all das. Nicht mehr. Aber auch nicht weniger. Das macht die Sache manchmal so kompliziert.“ In der Tat. Der Strategieprozess wird befüllt, beladen und befeuert mit jeder Menge Management- und Marketingphrasen. Deren Halbwertszeit kann sich je nach Lage unserer technologiegetrieben (Business-)Welt schnell ändern.

Jüngstes Beispiel: die gerade zu Ende gegangene CeBIT in Hannover. Dort wurde das Topthema „d!conomy – no limits“ beworben, mit „grenzenlosen Chancen der Digitalisierung“. In der dazugehörigen Presseverlautbarung der CeBIT-Macher war die Rede von der digitalen Transformation von Wirtschaft und Gesellschaft und dem hautnahen Erlebnis für die Besucher. Apropos hautnah. Unter besagte Haut geht aktuell bei vielen Entscheidern die grenzenlose Digitalisierungskampagne. Land auf, Land ab, propagiert von einigen Technologiekonzernen, der Politik und von Lobbyverbänden.

Vom digitalen Transformations-Potpourri und dem potemkinschen Dorf

War es vor Monaten noch die „Industrie 4.0“, die durch jedes mediale Dorf getrieben wurde, kommt nun die agile Welt zum Vorschein und auf die Agenda vieler Unternehmen. Gepaart mit Artificial Intelligence, Künstlicher Intelligenz, Internet of Thinks oder Virtual Reality entsteht ein digitales Transformations-Potpourri, an dessen Ende der Anwender nicht mehr weiß, wie ihm geschieht. Die Kernfrage lautet: Wer soll das alles in geordnete Bahnen lenken? Die ernüchternde Antwort lautet: die, die es in Führungskreisen verantworten müssen, in vielen Fällen nicht. Digitale Kernkompetenz im Berufsalltag eines Entscheiders ist vielfach rar gesät, sprich anzutreffen. Im Umkehrschluss heißt das, Organisationen brauchen das notwenige Know-how im Bereich des Informationssicherheitsmanagements (ISMS) im eigenen Haus. Ein Thema, das mit den handelnden Personen steht und fällt.

An dieser wichtigen Nahtstelle sind die Führungskräfte gefragt, die den Prozess initiieren, begleiten und überwachen sollten. Nicht weniger, aber auch nicht mehr. Für alles weitere braucht es einen erfahrenen ISMS-Verantwortlichen. Denn der bekannte Leitspruch der „Chefsache“ ist gerade bei KMU gefährlich, führt er schnell zu einer Art Bauchladenprinzip. Mit „fundiertem Halbwissen“ ist der Firmenchef in Personalunion Geschäftsführer, Controller, Personalverantwortlicher, Marketing- und Kommunikationsfachmann und eben auch ISMS-Verantwortlicher. Das endet beim Thema Informationssicherheit nicht selten in einem potemkinschen Dorf. Und spätestens dann im Desaster, wenn Hackerangriffe erfolgreich waren, Daten von Mitarbeitern gestohlen werden oder unternehmenssensible Informationen bei der Konkurrenz landen. Beispiele gibt es genug. Die Folgen reichen von hohen finanziellen Verlusten bis zu Reputationsschäden oder im schlimmsten Falle dem Untergang der Firma. Eine Tatsache, deren sich Unternehmen und ihre Führungskräfte vor allem in einer immer stärker vernetzten und auf digitale Informationen basierenden Arbeitswelt stellen sollten.

Eine Unternehmenskultur für alle

Was für das Topmanagement zählt, gilt für alle Mitarbeiter. Allerdings zeigt die Praxis, dass dieses Wunschdenken der Realität oft hinterherhinkt, womit wir beim Grundproblem und wieder dem Einstieg des Beitrags wären. Der Erfolg der Informationssicherheit lässt sich nur mit einer Kultur des Wertewandels in Organisationen erreichen. Dies wird umso wichtiger in einer digitalen, vernetzten und hochkomplexen Welt, die viel stärker eine interdisziplinäre Arbeits- und Denkweise der Mitarbeiter erfordert. Eigene Standpunkte, Denkansätze, Verhaltens- und Wertestrukturen gehören auf den Kopf gestellt und hinterfragt. Insellösungen und die vielfach vorhandenen Wagenburgmentalitäten in Organisationen müssen einem gemeinsamen Handeln aller Mitarbeiter weichen. Anders formuliert: Eine Unternehmenskultur für alle, die einen reinen Technologiebezug vermeidet und stattdessen den Mitarbeiter als „Wert“ in den Mittelpunkt rückt. Zumal Informationssicherheit stets mehr bedeutet als IT-Sicherheit, also Firewall, Virenscanner & Co.

Für dieses komplexe Thema ist die Geschäftsführung notwendig, die ein klares Ja zu einem Veränderungsprozess geben und einen klaren Kurs Richtung Awareness und einer gelebten Unternehmenskultur vorgeben muss. Apropos Vorleben. Hierbei genügt es nicht, dass Vorschriften zur Informationssicherheit im Unternehmen auferlegt werden, das Topmanagement sich aber nicht an die eigenen Spielregeln hält. Mehr noch, werden Regeln und Maßnahmen zu einer stärkeren Informationssicherheit ad absurdum geführt, wenn das Management beim Verlassen der Firma die Vorschriften im eigenen Büro „vergisst“. Eine Bahnfahrt oder ein Messebesuch genügt, um viel über das Innenleben einer Firma samt Geschäftszahlen und weiterer vertraulicher Informationen zu erfahren – ermöglicht durch den Manager mit Smartphone am Ohr. Ein kleines Beispiel mit großer Wirkung, das zeigt, dass die Informationssicherheit nur so gut ist wie die Menschen, die sie leben. Und dazu ist ein umsichtiges Verhalten mit dem Wissen der Firma notwendig.

Im Klartext heißt das: Um aus Risiken der Informationssicherheit Chancen reifen zu lassen, die zu Erfolgsgeschichten für Unternehmen werden, müssen alle an einem Strang ziehen. Gefragt sind Werte im Sinne einer Unternehmenskultur, die nicht nur auf dem Papier steht. Diese gilt es zu verinnerlichen und vorzuleben. Dann isst auch die Kultur die Strategie – und das nicht nur zum Frühstück.

Quellen:
https://www.brandeins.de/wissen/mck-wissen/strategie/geht-doch/
http://www.cebit.de/de/news/artikel/cebit-macht-digitalisierung-in-der-anwendung-erlebbar-47298.xhtml

Auf einen Blick: ISMS und der Weg dorthin

Gerade im digitalen Zeitalter ist es wichtig neue Wege in der Informationssicherheit einzuschlagen, die reine Technologiebrille abzusetzen und den Menschen, sprich Mitarbeiter, in den Mittelpunkt des Geschehens zu rücken. Damit eine Unternehmenskultur wachsen kann, braucht es ein klares Ja des Topmanagements für den Veränderungsprozess. Alle Maßnahmen zur Informationssicherheit müssen die gesamte Organisation und ihre Mitarbeiter einbeziehen – angefangen von der Führungsetage bis zu jedem Mitarbeiter in den einzelnen Abteilungen.

Übrigens: Der Blick von außen kann viel bewirken. Daher sollten externe Profis frühzeitig mit in das Boot einer geplanten ISMS-Einführung einsteigen. Sie kennen die Klippen, die es zu umfahren gilt. Es lohnt sich!

Bildnachweis: Creative Commons 0, Pixabay, monitor-862111

By | 2017-05-16T19:21:49+00:00 Mai 16th, 2017|Categories: Informationssicherheit|1 Comment

About the Author:

Alexander Glöckner hat nach einem Wirtschaftsstudium und mehrjähriger Tätigkeit im Key Account Management für einen IT-Dienstleister seine Leidenschaft für das Total Quality Management mit dem Schwerpunkt integrierte Managementsysteme entdeckt. Er war viele Jahre als Leiter Qualitätsmanagement für Qualität, Funktionale Sicherheit, Produktkonformität, Umwelt- und Servicemanagement bei einem Hardware- und Softwarehersteller für sicherheitskritische Systeme der Luftfahrtindustrie/Flugsicherung tätig. Seither befasst er sich intensiv mit der Zusammenführung von Anforderungen aus der Software-Entwicklung, der IT-Sicherheit, der Funktionalen Sicherheit, dem Service Engineering und einem kundenorientierten Beziehungsmanagement in ein praktikables System zum Unternehmensmanagement.

One Comment

  1. […] der Integration eines Informationssicherheitsmanagementsystems (ISMS) in Ihr QM-System ist auch die Implementierung eines Prozesses zur stetigen Überwachung und […]

Comments are closed.