Ein Rückblick ins letzte Jahrtausend: Bei einer deutschen Versicherung mit 3000 IT-Arbeitsplätzen steht eine Erneuerung der PCs an. Im ersten Schritt werden 400 Desktops in der Zentrale ausgerollt. Sicherheitsüberlegungen führen dazu, dass die integrierten CD-Laufwerke durch ein Schloss gesperrt werden. Nach vier Wochen folgt der Schock – über 40 der Laufwerksschlösser wurden mit Gewalt “geknackt”. Aus Sicht der Versicherung Sachbeschädigung und ein klarer Grund für eine fristlose Kündigung.
Eine nähere Analyse zeigt, dass die Mitarbeiter keineswegs die PCs mutwillig beschädigen wollten, sondern für ihre tägliche berufliche Arbeit Software benötigten, die nur auf CD-ROM verfügbar war. Daher einigen sich Vorstand, Bereichsleiter und Betriebsrat, die Sachbeschädigung nicht weiter zu verfolgen und entsperren die CD-Laufwerke.
Die Situation im Jahr 2011: Die potentiellen Sicherheitsbedrohungen haben massiv zugenommen, auf USB-Sticks kann man komplette virtuelle Server laden und durch “neue” Clients können immer wieder Sicherheitslöcher entstehen. Der Vergleich mit der Vergangenheit zeigt, dass vom Prinzip her die gleichen Probleme an der Schnittstelle Mensch/IT auftreten – aktuell nur wesentlich massiver und in einem schnelleren Rhythmus.
Wie reagiert der IT-Bereich der Unternehmen? Mit Regeln und Verboten: USB-Schnittstellen werden geblockt, private E-Mails verboten, der “Standard” Blackberry vorgeschrieben und damit iPhones und iPads kategorisch ausgeschlossen.
Wie reagieren die Mitarbeiter? Mit Ignoranz und Ausnahmeregelungen: Der Vorstand – oder in vielen Fällen gerade auch das Top-Management der Unternehmen – braucht unbedingt ein iPhone oder iPad und natürlich von diesem Device Zugriff auf alle Unternehmensdaten. Der Vertrieb braucht aus Business Gründen komplett iPads, die dem eigentlichen Unternehmensstandard widersprechen. Private E-Mails und Facebook-Nutzung werden toleriert, da man privat natürlich nicht den ganzen Tag “offline” sein kann und daher ansonsten massive Proteste zu erwarten sind.
Über die tatsächliche Geschäftsrelevanz dieses Anwender-Verhaltens lässt sich sicher trefflich streiten: Einige (der verbotenen) Aktivitäten sind sicher für die tägliche Arbeit notwendig, einige wünschenswert und viele eher dem privaten Bereich zuzuordnen.
Nicht streiten lässt sich über die eigentlich notwendigen Konsequenzen: Ein Unternehmen erlässt Regeln, die für notwendig gehalten werden und deren Einhaltung von allen Mitarbeitern zu erfolgen hat. Falls ein Mitarbeiter diese Regeln nicht befolgt, müssen Konsequenzen erfolgen – schon allein, um die Disziplin aufrecht zu erhalten.
Und hier genau beginnt das Dilemma der IT-Abteilung: Diese hat die Regeln festgeschrieben, weiß um die Nicht-Befolgung dieser Regeln und müsste daher auch die Konsequenzen zumindest einleiten.
Die Empfehlung der Experton Group ist in diesem Fall sehr konsequent, aber auch herausfordernd: IT muss die oben aufgeführte Rolle konsequent ablehnen – weder die Aufstellung der Regeln noch die Verfolgung von Konsequenzen ist IT-Aufgabe! Die IT sollte hierzu nur Informationen, Hinweise und Empfehlungen zuliefern.
Es müssen für das gesamte Unternehmen Regeln für die IT-Nutzung und IT-Sicherheit festgelegt werden und auch konsequent – beginnend beim Top-Management – umgesetzt werden. Dies ist aber eine Aufgabe des Personalwesen – nicht der IT!
Davon gehen laut der aktuellen Studie „Performance-Treiber 2024“ acht von zehn Industrieunternehmen aus.
„Aurora“ läuft beim Argonne National Laboratory des US-Energieministeriums und hat auf 87 Prozent des Systems…
Europäischer Supercomputer JEDI kommt auf den ersten Platz in der Green500-Liste der energieeffizientesten Supercomputer.
Data Awakening: Huawei präsentierte beim Innovative Data Infrastructure Forum 2024 in Berlin neue, auf KI…
Um ihre Verteidigung zu stärken, müssen Staaten und Unternehmen sicherstellen, dass KRITIS-Betreiber nicht nur die…
Reichen die Sicherheitsvorkehrungen der KRITIS-Betreiber bereits aus? Das BSI liefert dazu Kennzahlen auf einer neuen…
View Comments
Flucht vor Verantwortung ?
Diese Empfehlung halte ich für zumindest zweischneidig. Die Entwicklung der letzten Jahre hat vielen einstigen "EDV & Orga" Abteilung ein Entwickung zum reinen IT Infrastrukturbetrieb beschert. Mit eine fortschreitenden Auslagerung von stragtegischen und organisatorischen Kompetenzen zieht sich die IT immer weiter zurück. Die Erfahrung zeigt, daß andere Fachbereiche (Personal, ...) es i. d. R. auch nicht besser machen und der Mut auch zu unpopulären und restriktiven Maßnahmen sich durchaus auszahlt für Unternehmen, Mitarbeiter und die IT Abteilungen.