Management und Wissen / Business-Awareness

Business-Awareness (4)

Effektive Projektgestaltung und Kooperation

Nach drei Folgen über die vielfältigen Verständigungsprobleme zwischen IT und Business-Managern liefert der vierte und letzte Teil einen zusammenfassenden Ratgeber: Wie verschafft sich eine IT-Abteilung generell mehr Gehör im Unternehmen? Wie kann die IT-Abteilung ein Security-Projekt von vornherein so anlegen, dass es beim Management auf Wohlwollen stößt? Wie vermeidet man effektiv, dass die Sprach- und Vorstellungsbarrieren einem Projekt während seiner Durchführung im Wege stehen?

Von Bettina Weßelmann und Johannes Wiele, München

Projekte von Beginn an so anzulegen, dass sie fürs nichttechnische Management nachvollziehbar sind und von dort Unterstützung erfahren, erleichtert nicht nur der IT-Abteilung das alltägliche Leben: Soll beispielsweise ein Informationssicherheits-Management (ISMS) nach ISO 27001 eingeführt werden, muss eine solche interdisziplinäre und kooperative Vorgehensweise sogar als eine unabdingbare Voraussetzung gelten, da ein ISMS immer auch in Business-Prozesse eingreift und deshalb ohne Management-Commitment gar nicht funktionieren kann.

Bei einer Zertifizierung oder einer Rezertifizierung eines bereits erteilten ISO-27001-Prädikats wird ein Auditor daher mit hoher Wahrscheinlichkeit auch Mitglieder der höheren bis obersten Managementebenen fragen, was sie vom ISMS wissen und wie sie es aktiv mittragen. Dies könnte etwa dadurch geschehen, dass sie Berichte über das Fortschreiten eines entsprechenden Projekts und Maßnahmen aus dem zugehörigen Plan-Do-Check-Act-(PDCA)-Zirkel zum regelmäßigen Thema in Führungskräftesitzungen machen. Zeigt sich der entsprechende Manager aber uninformiert oder – noch schlimmer – desinteressiert, kann das ISO-Siegel durchaus infrage stehen.

Solche Fälle sind alles andere als selten und machen deutlich, wie stark jene Entwicklung vorangeschritten ist, die schon im ersten Beitrag dieser Serie [3] Thema war: Obwohl nahezu sämtliche Unternehmen heute jederzeit bereit sind, ausführlich die gewaltige geschäftliche Bedeutung von Informationen und IT zu erläutern und die eigene Abhängigkeit von einer funktionierenden Informationstechnik zuzugeben, so sehr haben doch die meisten das Fach IT in die Rolle eines puren Servicebetriebs mit wenig Mitspracherecht gedrängt [1].

Hinterm Kabelschrank vorkriechen

Dieser letzte Beitrag aus der Business-Awareness-Serie sammelt deshalb zunächst die Ratschläge dafür, wie IT- und IT-Sicherheits-Verantwortliche in Unternehmen der Verbannung in den Technikkeller wieder entkommen können: Je besser sie sich auch unabhängig von konkreten (und teuren) Projekten wieder als Gesprächspartner des Managements profilieren, desto mehr Verständnis finden sie selbst dann, wenn sie unpopuläre Maßnahmen vertreten müssen. Zunächst lohnt es sich hierzu, im Unternehmen die treibenden Faktoren für Eingriffe in die IT-Praxis auszumachen:

Welche Fachabteilungen preschen besonders oft mit neuen Anforderungen vor – lässt sich hier vielleicht eine regelmäßige Zusammenarbeit initiieren, die die IT-Abteilung als mitgestaltenden Faktor ins Spiel bringt?
Welche Ziele verfolgen das oft ungeliebte, weil kommunikativ "wild" agierende, Marketing und die Unternehmenskommunikation – etwa im Umgang mit sozialen Medien?
Hat die Personalabteilung (HR) Informationen darüber, welche Fragen "Digital Natives" sowie die stark umworbenen Professionals und "High Potentials" stellen, wenn es um die Nutzung von Web und mobilen Geräten geht?
Welches Unternehmensimage pflegen HR und Unternehmenskommunikation? Passen die von der IT präferierte Kommunikationspraxis und die Sicherheitsrichtlinien dazu oder gibt es hier heimliche Reibungspunkte, die bei Projekten dann zutage treten – zum Beispiel, indem die entsprechenden Abteilungen plötzlich ein Veto gegen einschränkende Policies einlegen?
Welche Strategien des Umgangs mit Informationen diskutieren die gängigen Business-Magazine?
Welche mobilen Geräte findet man auffällig oft zum Beispiel im Manager-Magazin oder in Zeitschriften wie der GQ?

Vieles, was bei solchen Recherchen herauskommt, wird technisch orientierten IT-Fachkräften nicht gefallen – aber es ermöglicht eine bessere Einschätzung der Perspektive, aus der heraus Anwender und Manager die hauseigene IT samt Services und Richtlinien betrachten und beurteilen. Es lohnt sich ungemein, zu besonders virulenten Themen – und sei es "nur" das neueste Tablet-Modell – aus eigener Initiative Workshops anzubieten und beispielsweise Sicherheitsbedenken in einem konstruktiven Rahmen zu äußern, sodass Anwender und Führungskräfte die Perspektive der IT-Profis nicht von vornherein als Ausdruck einer allumfassenden Bedenkenträgerei abtun können. Dabei ist es durchaus sinnvoll, Brücken auch zur Privatnutzung von IT-Geräten und -Diensten durch die jeweiligen Zielgruppen zu bauen.

Fachleute für Informationssicherheit und Datenschutz auf der einen und Fachführungskräfte sowie Angehörige der oberen Managementebenen auf der anderen Seite reden oft aneinander vorbei. IT-Spezialisten klagen angesichts vieler schwieriger Projekte, die von ihnen als ignorant empfundenen Chefetagen hätten noch immer keine ausreichende Security-Awareness. Braucht aber auf der anderen Seite die IT-Welt womöglich auch eine bessere "Business-Awareness", um das Denken und die Sprache ihrer "Sparringspartner" besser zu verstehen? Die drei bereits erschienenen Beiträge (<kes> 2012^#3, S. 6, <kes> 2012^#4, S. 10 und <kes> 2012^#5, S. 60) haben erste Hinweise auf Themen gegeben, mit denen sich eine IT-Abteilung im Bereich Sicherheit heute gegenüber dem Unternehmensmanagement profilieren kann sowie Vorschläge für eine effektive Bewältigung der Diskussion über Kosten-Nutzen-Rechnungen gebracht und zur Risikokummunikation gemacht.

"Spielzeuge" ernst genommen

Ein Manager, der gleich bei der Präsentation des allerneuesten iPhones oder eines neuen öffentlichen Cloud-Services fundierte und nachvollziehbare Informationen zu deren nützlichen Funktionen, aber auch ihren Sicherheitsimplikationen erhält, kann mit diesem Wissen glänzen – und hat damit einen persönlichen Nutzen vom Tun der eigenen IT-Abteilung (vgl. [4]): Sie verschafft ihm nämlich einen angenehmen Wissensvorteil für Gespräche auf der eigenen Peer-Ebene, wodurch sich die IT-Abteilung dem Manager gegenüber zugleich auch auf einer sehr persönlichen Ebene als innovativ darstellen kann. Techniker sollten sich für solche Aktionen keineswegs zu schade sein: Auch hochrangige Finanzmanager lesen vor einem Geschäftsessen mitunter vorsichtshalber die aktuelle "Bunte", um bei Gesellschaftsthemen mitreden zu können.

Unter den Menschen, die entsprechende Workshops womöglich sogar häufiger interessiert besuchen, lassen sich zudem Multiplikatoren für die Interessen der IT-Abteilung finden. Ideal ist es, wenn die entsprechenden Informationen auch im Intranet oder per Newsletter zur Verfügung stehen – auch darin liegt zumindest eine Chance, sich als Servicebetrieb positiv zu präsentieren und mehr Aufmerksamkeit auf sich zu lenken.

Ein weiterer Weg, Interesse zu finden, ist die managementgerechte Präsentation von Zahlen, Daten und Fakten aus der eigenen IT-Nutzung:

Welche Services werden besonders häufig genutzt und wo steigen die Datenmengen auffallend,
wie steht das eigene Unternehmen im Vergleich zu anderen (Berater bieten entsprechende Benchmark-Studien an)?

Korreliert eine IT-Abteilung diese Informationen dann mit solchen über aktuelle Bedrohungen und arbeitet bei der Präsentation mit eventuell vorhandenen Compliance-Verantwortlichen zusammen, kann sie Investitionen in Sicherheit frühzeitig vorbereiten, auch wenn noch kein akuter Bedarf zu schnellen Entscheidungen drängt.

Vorleistungen solcher Art erhöhen außerdem mit etwas Glück die Bereitschaft des Managements, seinerseits frühzeitig über strategische Entscheidungen zu informieren, die den IT-Betrieb und seine Sicherheit beeinflussen können – etwa neue Vertriebswege, Akquisitionen oder ein Umschwenken auf höhere Anteile von Home-Office-Mitarbeitern oder mobilen Kräften. IT-Sicherheitsverantwortliche sind in dieser Hinsicht ja leider nicht in der glücklichen Lage der Datenschutzverantwortlichen, denen qua Gesetz jedes neue Verfahren zur Verarbeitung personenbezogener Daten schon vor der Einführung zur Stellungnahme vorgelegt werden muss.

Checkliste: Sicherheitsprojekte managementgerecht vorbereiten

Informationssammlung: Welches Risiko besteht?
1. Warum wird das Projekt in Angriff genommen?
2. Welches Risiko verringert es?
3. Wessen Risiken verringert es – auch die der Abteilungs- oder Geschäftsleitung?
4. Lässt sich das Risiko durch Zahlen belegen/beziffern oder durch Analogien veranschaulichen (vgl. [5])?
5. Ist es ein schwer fassbares Langzeitrisiko?
6. Lohnt sich zur Verdeutlichung das Hinzuziehen eines externen Beraters?
7. Ist das Projekt aus Compliancegründen notwendig?
8. Was sind die Investitions- und Betriebskosten?
Zielgruppenbestimmung: Wer ist betroffen und sollte einbezogen werden?
1. Welche Business-Prozesse und Abteilungen müssen aufgrund einer neuen Sicherheitsmaßnahme mit Eingriffen in ihre Praxis rechnen?
2. Welche "heimlichen Praktiken" sind betroffen – weckt deren Unterbindung vielleicht Unmut, weil sie sich aufgrund von echten oder "gefühlten" Unzulänglichkeiten der offiziellen IT eingebürgert haben?
3. Lassen sich eventuelle Einschränkungen aus beiden Bereichen durch (sichere) Alternativangebote kompensieren? Wie sehen diese aus?
4. Wenn nein – lassen sich die Einschränkungen verständlich machen? Mit welchen Awarenessmaßnahmen ist dafür zu werben? Sind die Maßnahmen anderswo bekanntermaßen Standard?
5. Kollidieren geplante Maßnahmen mit unternehmerischen Zielen, dem Image oder dem Leitbild? Wenn ja: Warum sollte man sie trotzdem durchsetzen?
6. Schrecken die Maßnahmen Betriebsangehörige oder Bewerber ab, wenn sie nicht argumentativ/durch Awarenessmaßnahmen abgefedert werden?
7. Gibt es Abteilungen, die sich erst später gegen das Projekt stellen könnten? Sind sie einbezogen?
8. Betrifft das Projekt den Betriebsrat/den Datenschutz?
Suche nach Verbündeten: Gibt es interne oder externe Hilfe?
1. Wer profitiert von der Maßnahme – etwa durch Risikoverminderung?
2. Gibt es externe Stellen (z. B. Verfassungsschutz, Versicherung, unabhängige Berater), welche die Position der IT stützen können?
Suche nach versteckten Vorteilen: Eröffnet das Projekt neue Chancen?
1. Eröffnet die Maßnahme neue Geschäftschancen, Marktfelder oder die Tür zu neuen Arbeitsmethoden (Home-Office, Mobile Workforce, Online-Transaktionen)?
2. Gibt es verstecktes Einsparpotenzial – etwa bei der Administration?
3. Lässt sich die Maßnahme prestigeträchtig kommunizieren?
4. Hat das Management einen eigenen Nutzen davon (Informationen, Karriere, Profilierung – vgl. [4])?
Eigene Strategie bestimmen: Was muss geschehen – und was eventuell auch nicht?
1. Auf welchen Teilen der Maßnahmen muss die IT-Abteilung bestehen?
2. Was kann sie zur Disposition stellen?
Mediale Vorbereitung: Gibt es Vorlagen und Präsentationen für alle Zielgruppen?
1. Sind die Ausführungen für Nichttechniker verständlich (gegebenenfalls Testlauf vereinbaren)?
2. Existieren Vorlagen und Präsentationen für die unterschiedlichen Fach- und Managementlevel? Sind die Präsentationen fürs oberste Management hinreichend prägnant und kurz?
3. Lässt sich die Kommunikationsabteilung dafür gewinnen, kritische Präsentationen zu überarbeiten?

Kommunikative Projektplanung

Für konkrete Sicherheitsprojekte ist der Entwurf eines Kommunikationsplans sinnvoll, welcher die in den bisherigen Folgen dieser Serie [3,4,5] diskutierten Strategien berücksichtigt: Ziel ist es dabei vor allem, Risiken sachgerecht zu vermitteln, auf Fragen nach Kosten und Nutzen zielgruppengerechte Antworten (und Präsentationen) parat zu haben und die beschriebenen Kommunikationshürden so weit wie möglich aus dem Weg zu schaffen.

Eine entsprechende Vorgehensweise skizziert die vorstehende Checkliste – ihr Abarbeiten ersetzt aber keineswegs die Bereitschaft, auch die eigene Sicht auf ein Projekt infrage zu stellen: Muss es wirklich in allen Details exakt so umgesetzt werden, wie es die IT-Abteilung aus technischen oder administratorischen Gründen als ideal empfindet, um einen höheren Sicherheits- oder Compliance-Stand zu erreichen? Ist es möglich, auf bestimmte technische Hindernisse zu verzichten, wenn stattdessen etwa eine Awarenessmaßnahme stattfindet?

Wenn es Aspekte gibt, welche die IT-Abteilung aufgrund wirtschaftlicher oder kommunikativer Gründe zur Disposition stellen kann, ohne das Gesamtprojekt zu gefährden, sollte sie diese Aspekte nicht weniger genau kennen als jene, die man unbedingt einhalten muss. Wer nämlich selbstständig Zugeständnisse machen kann, um im Rahmen eines Projekts auf ein kritisches Gegenüber einzugehen, macht sich eine psychologische Heuristik zunutze: Wer etwas bekommt, fühlt sich automatisch verpflichtet, auch etwas zurückzugeben oder dem Geber entgegenzukommen (sog. Reziprozitätsheuristik, vgl. [2]). Hier den ersten Schritt zu tun, ist ein alter und wirksamer Trick, um die Oberhand in einem Verhandlungsprozess zu behalten, in dem keine Seite alle ihre Vorstellungen durchsetzen kann.

Bettina Weßelmann ist freie Journalistin und Beraterin für Unternehmenskommunikation mit dem Spezialgebiet Informationssicherheit. Johannes Wiele ist Berater für Informationssicherheit und Lehrbeauftragter an der Karlshochschule International University, Karlsruhe.

Literatur

[1] Thomas Ramge, Im Schwitzkasten der Nerds, Brand eins, Heft 10 2012, S. 78

[2] Robert B. Cialdini, Influence: The Psychology of Persuasion, Collins Business Essentials 2007,[2] ISBN 978-0-06-124189-5 – Deutsch: Die Psychologie des Überzeugens, Ein Lehrbuch für alle, die ihren Mitmenschen und sich selbst auf die Schliche kommen wollen, Huber 2009, ISBN 978-3-456-84834-1

[3] Bettina Weßelmann und Johannes Wiele, Business-Awareness (1), Das Grundproblem, die Personaler-Sicht und das Marketing, <kes> 2012^#3, S. 6

[4] Bettina Weßelmann und Johannes Wiele, Business-Awareness (2), Kosten, Nutzen und "Return-on-Invest" (ROI), <kes> 2012^#4, S. 10

[5] Bettina Weßelmann und Johannes Wiele, Business-Awareness (3), Risikokommunikation – oder auch nicht, <kes> 2012^#5, S. 60