Thought Leadership
Warum sich Unternehmen von einem gelebten Informationssicherheitsmanagement als gute Arbeitgebermarke präsentieren können. Hintergrund ist, dass die Investition in die eigenen Mitarbeiter eine gute ist, sei es in puncto Awareness oder sonstiger Schulungsmaßnahmen. Der Effekt: das Unternehmen stärkt die internen Prozesse samt Unternehmenskultur und kann sich nach Außen als guter Arbeitgeber präsentieren.
„Schrei vor Glück.“ Der Slogan eines bekannten Online-Shops mit kostenlosem Versand und Rückversand versetzt manches Frauen- und (mittlerweile) Männerherz in Wallung. Vom heimischen Laptop sowie vom Smartphone aus wird bestellt, was der Kreditrahmen hergibt. Und was im privaten Umfeld taugt, wird gleichfalls im beruflichen Alltag praktiziert. Zwischen geschäftlicher Korrespondenz, dem hektischen Telefonat und dem nächsten Meeting noch schnell eine private Shop-Bestellung aufgeben. Vom Firmen-Rechner aus und mit dem Dienst-Smartphone. Wer so agiert, der schreit bald nicht mehr vor Glück. Gerade in diesem Bereich machen sich Phishing-E-Mails und Hacker breit.
Und das heißt: Ein unachtsamer Klick auf einen gefährlichen Anhang oder einen Link und die Tür zum Firmennetzwerk ist für Hacker und Datendiebe aufgestoßen. In diesem Fall wird der Mitarbeiter schnell und meist ungewollt zum Innentäter. Im Umkehrschluss zeigt sich an solch einem Verhalten, dass die notwendige Sensibilität im Umgang mit den Möglichkeiten der digitalen Welt von heute und den Unternehmenswerten fehlt. Sprich, in unserem Einstiegsfall rangiert das private Einkaufsvergnügen vor dem Schutz des Unternehmens und seinen sensiblen Informationen. Die Resultate, gestohlene Daten, immense Kosten und Reputationsschäden, können wir regelmäßig in den Medien lesen.
Zu allen negativen Auswirkungen in puncto Sicherheits-Schlamperei am Arbeitsplatz kommen gestohlene oder verlorene Mobilgeräte sowie geschwätzige Firmenvertreter, die Interna in aller Öffentlichkeit und in Offizierslautstärke ausplaudern. Ein weiteres Risiko sind frustrierte Mitarbeiter, die der Firma mit Datenklau eines auswischen sowie Kasse machen wollen. Wen wundert es, dass es vielerorts in und außerhalb der Firmengelände nicht weit her ist, mit einer gerne von den Unternehmen propagierten Sicherheits-, Werte und Unternehmenskultur. Die Krux beim Thema Informationssicherheit ist: So vielfältig die Missbrauchsfälle im Umgang mit den Firmenwerten sind, so unterschiedlich ist die Motivation dahinter. Das verlangt nach flexiblen Lösungen und neuen Wegen. Leider zieht sich manche Führungsetage auf das IT-Feld mit Firewall und Virenschutz zurück und glaubt an die Prozessvokabel als Problemlöser Nummer eins.
Mitarbeiter als wichtiger Teil des Ganzen verstehen
Bei aller Software- und Prozessgläubigkeit, die Heerscharen an Beratern als Allheilmittel den überforderten Unternehmen verkaufen, wird eines in vielen Fällen vergessen. Ohne den Mitarbeiter werden die besten und teuersten Programme hin zu einem durchgängigen Informationssicherheitsmanagementsystem (ISMS) scheitern. Manche Experten sprechen von einem Verhältnis von 20 Prozent Technologie oder Software aber 80 Prozent, die vom Mitwirken der Mitarbeiter und somit dem Erfolg im ISMS-Umfeld abhängen.
Ergo gilt es die Kolleginnen und Kollegen frühzeitig in einen Gesamtprozess zum ISMS einzubinden. Lautet das Ziel, die Sensibilisierung im Umgang mit wichtigen Unternehmensdaten zu verbessern, ist zunächst ein Umdenken aller Mitarbeiter notwendig. Und dies wird nicht per Verordnung, Druck sowie Projektschnellschüssen erzielt. Mitarbeiter möchten das ehrliche Gefühl haben, dass sie ein wichtiger Teil des Ganzen sind. Sie zu fragen, ihre Sorgen, Nöte und Bedenken ernst nehmen, ist wichtig. Arbeiten sie doch täglich an den internen Schnittstellen sowie zwischen Unternehmen und Kunden. Sie sind diejenigen, die Produkte und Dienstleistungen nach außen verkaufen. Ihre Erfahrung ist wertvoll und wichtig – gerade bei geplanten Veränderungen. In der Realität wird dieser wichtige Faktor nicht selten übergangen. Fatal, möchten Unternehmen eine solide und praxistaugliche ISMS-Strategie auf- und ausbauen.
Und: Sicherheitsmaßnahmen leben von der Akzeptanz durch diejenigen, die sie anwenden sollen.
Vom Informierten zum Handeln …
Die Devise sollte für Entscheider lauten, einen klaren Plan inklusive frühzeitiger Informationskampagnen und Schulungsmaßnahmen für die Mitarbeiter aufzusetzen. Ein Ziel muss es sein, den Wert des Unternehmens, seiner Informationen, Produkte und Dienstleistungen allen Mitarbeitern zu vermitteln. Mehr noch gilt es ihnen aufzuzeigen, dass sie ein wichtiger Garant und entscheidender Teil des Gesamtunternehmens sind. Wer seine eigene Mitverantwortung erkennt, aber auch die Möglichkeiten erkennt, mit seinem Handeln die Informationssicherheit zu beeinfluss, findet deutlich leichter den Weg vom „Wissen“ zum Tun.
Gelingt Unternehmen das in ehrlicher und transparenter Weise, finden sie in den Mitarbeitern die besten Fürsprecher im Sinne der Organisation – nach innen und außen gerichtet. Und was kann einem Unternehmen Besseres passieren, als die Mitarbeiter für die eigene Sache als positiven Botschafter zu gewinnen – nicht nur in der Mund-zu-Mund-Propaganda.
In unserer digitalen und eng vernetzen Welt mit sozialen Medienkanälen kann ein solches Vorgehen Gold wert sein. Menschen tauschen sich in Sekundenschnelle über alles und jedes aus. Und hierzu zählt das berufliche Umfeld als wichtiger und identitätsstiftender Teil des Lebens. Im Klartext heißt das: Wer im Job zufrieden ist, teilt das mit, spricht positiv über die eigene Firma und deren Vorzüge. Wer es nicht ist, umso mehr. Das sollten Entscheider und Personalverantwortliche in ihren Betrachtungen berücksichtigen. Hierzu zählt, den Mitarbeiter nicht als „Faktor“ sowie „Humankapital“ zu bezeichnen, sondern als wichtigen Menschen und Kollegen für die eigene Organisation.
… zum positiven Botschafter und dem Employer Branding
Über Gespräche sowie dem digitalen Austausch kann ein Unternehmen fern der Firmentore somit Botschafter für das Unternehmen gewinnen. Ein wichtiges Pfund in der Außendarstellung für Firmen – gerade mit Blick auf die teils angespannten Situation neue Mitarbeiter zu finden. Hintergrund ist, dass sich in den vergangenen Jahren der Kampf um Fach- und Führungskräfte zuspitzte und sich Unternehmen um Mitarbeiter bewerben müssen. Während viele Konzerne enorme Geldmittel aufwenden, um an die begehrten „High Potentials“ zu kommen, müssen kleinere Firmen schauen, wie sie sich attraktiv darstellen.
Ein Weg ist sich als gute Arbeitgebermarke mithilfe eines Employer Branding zu positionieren. Das heißt, kleinere Firmen können mithilfe eines ausgereiften internen Aus- und Weiterbildungsprogramms, mit einem guten Betriebsklima und der Wertschätzung der Kollegen punkten. Vor allem die junge Generation fordert mehr von Unternehmen – angefangen bei der Weiterbildung über das Wertesystem des Unternehmens per se bis zu Homeoffice und flexiblen Arbeitszeitmodellen. Stimmen diese Faktoren, kann dies nicht nur den Zusammenhalt in der Organisation steigern, sondern fördert die Unternehmenskultur und die positive Verbundenheit mit der eigenen Firma. Mitarbeitern geht es heute um mehr als eine hohe Vergütung und den neuesten Firmenwagen. Firmenvertreter sollten diese positive „Strahlkraft“ nach innen und außen in ihren Überlegungen nicht vergessen.
Zugespitzt formuliert steigt die Bereitschaft zur Mitarbeit, zum Mitdenken und Handeln, also dem vorsichtigen Umgang mit den Unternehmenswerten. Voraussetzung ist, dass die Menschen in der Organisation sich mit den (gelebten) Werten identifizieren und in ihrem Tun „abgeholt“ werden. Das macht ein gutes Employer Branding für beide Seiten attraktiv. Firmen haben die Chance mit einer positiv besetzten Arbeitgebermarke neue Fach- und Führungskräfte zu gewinnen und Mitarbeiter gehen sorgsamer mit dem Wert der Unternehmung um. Sprich: Sie werden sensibler gegenüber den Risiken durch Cybergefahren – vor allem mithilfe umfassender Awareness-Kampagnen und Schulungsmaßnahmen. Ein nicht zu unterschätzender Mehrwert für jeden ISMS-Beauftragten, Entscheider und die gesamte Organisation. Und damit gewinnen beide Seiten: Die Informationssicherheit und das Unternehmen als solches, das seine Widerstands- und Innovationsfähigkeit steigert (Stichwort: Organizational Resilience). Wer da nicht vor Glück schreit.
Stephanie Lepski ist Geschäftsführerin der RUCON Service, einem Teil der RUCON Gruppe.
