Ein Rückblick ins letzte Jahrtausend: Bei einer deutschen Versicherung mit 3000 IT-Arbeitsplätzen steht eine Erneuerung der PCs an. Im ersten Schritt werden 400 Desktops in der Zentrale ausgerollt. Sicherheitsüberlegungen führen dazu, dass die integrierten CD-Laufwerke durch ein Schloss gesperrt werden. Nach vier Wochen folgt der Schock – über 40 der Laufwerksschlösser wurden mit Gewalt “geknackt”. Aus Sicht der Versicherung Sachbeschädigung und ein klarer Grund für eine fristlose Kündigung.
Eine nähere Analyse zeigt, dass die Mitarbeiter keineswegs die PCs mutwillig beschädigen wollten, sondern für ihre tägliche berufliche Arbeit Software benötigten, die nur auf CD-ROM verfügbar war. Daher einigen sich Vorstand, Bereichsleiter und Betriebsrat, die Sachbeschädigung nicht weiter zu verfolgen und entsperren die CD-Laufwerke.
Die Situation im Jahr 2011: Die potentiellen Sicherheitsbedrohungen haben massiv zugenommen, auf USB-Sticks kann man komplette virtuelle Server laden und durch “neue” Clients können immer wieder Sicherheitslöcher entstehen. Der Vergleich mit der Vergangenheit zeigt, dass vom Prinzip her die gleichen Probleme an der Schnittstelle Mensch/IT auftreten – aktuell nur wesentlich massiver und in einem schnelleren Rhythmus.
Wie reagiert der IT-Bereich der Unternehmen? Mit Regeln und Verboten: USB-Schnittstellen werden geblockt, private E-Mails verboten, der “Standard” Blackberry vorgeschrieben und damit iPhones und iPads kategorisch ausgeschlossen.
Wie reagieren die Mitarbeiter? Mit Ignoranz und Ausnahmeregelungen: Der Vorstand – oder in vielen Fällen gerade auch das Top-Management der Unternehmen – braucht unbedingt ein iPhone oder iPad und natürlich von diesem Device Zugriff auf alle Unternehmensdaten. Der Vertrieb braucht aus Business Gründen komplett iPads, die dem eigentlichen Unternehmensstandard widersprechen. Private E-Mails und Facebook-Nutzung werden toleriert, da man privat natürlich nicht den ganzen Tag “offline” sein kann und daher ansonsten massive Proteste zu erwarten sind.
Über die tatsächliche Geschäftsrelevanz dieses Anwender-Verhaltens lässt sich sicher trefflich streiten: Einige (der verbotenen) Aktivitäten sind sicher für die tägliche Arbeit notwendig, einige wünschenswert und viele eher dem privaten Bereich zuzuordnen.
Nicht streiten lässt sich über die eigentlich notwendigen Konsequenzen: Ein Unternehmen erlässt Regeln, die für notwendig gehalten werden und deren Einhaltung von allen Mitarbeitern zu erfolgen hat. Falls ein Mitarbeiter diese Regeln nicht befolgt, müssen Konsequenzen erfolgen – schon allein, um die Disziplin aufrecht zu erhalten.
Und hier genau beginnt das Dilemma der IT-Abteilung: Diese hat die Regeln festgeschrieben, weiß um die Nicht-Befolgung dieser Regeln und müsste daher auch die Konsequenzen zumindest einleiten.
Die Empfehlung der Experton Group ist in diesem Fall sehr konsequent, aber auch herausfordernd: IT muss die oben aufgeführte Rolle konsequent ablehnen – weder die Aufstellung der Regeln noch die Verfolgung von Konsequenzen ist IT-Aufgabe! Die IT sollte hierzu nur Informationen, Hinweise und Empfehlungen zuliefern.
Es müssen für das gesamte Unternehmen Regeln für die IT-Nutzung und IT-Sicherheit festgelegt werden und auch konsequent – beginnend beim Top-Management – umgesetzt werden. Dies ist aber eine Aufgabe des Personalwesen – nicht der IT!
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
View Comments
Flucht vor Verantwortung ?
Diese Empfehlung halte ich für zumindest zweischneidig. Die Entwicklung der letzten Jahre hat vielen einstigen "EDV & Orga" Abteilung ein Entwickung zum reinen IT Infrastrukturbetrieb beschert. Mit eine fortschreitenden Auslagerung von stragtegischen und organisatorischen Kompetenzen zieht sich die IT immer weiter zurück. Die Erfahrung zeigt, daß andere Fachbereiche (Personal, ...) es i. d. R. auch nicht besser machen und der Mut auch zu unpopulären und restriktiven Maßnahmen sich durchaus auszahlt für Unternehmen, Mitarbeiter und die IT Abteilungen.