Werden Anwender durch neue IT-Regeln kriminalisiert?
Die Probleme an der Schnittstelle Mensch/IT treten nach wie vor auf – aktuell nur wesentlich massiver und in einem schnelleren Rhythmus. Liegt das an potentiell kriminellen IT-Anwendern oder werden diese durch neue IT-Regeln kriminalisiert? Ein Artikel von Andreas Zilch, Vorstand der Experton Group.
Ein Rückblick ins letzte Jahrtausend: Bei einer deutschen Versicherung mit 3000 IT-Arbeitsplätzen steht eine Erneuerung der PCs an. Im ersten Schritt werden 400 Desktops in der Zentrale ausgerollt. Sicherheitsüberlegungen führen dazu, dass die integrierten CD-Laufwerke durch ein Schloss gesperrt werden. Nach vier Wochen folgt der Schock – über 40 der Laufwerksschlösser wurden mit Gewalt “geknackt”. Aus Sicht der Versicherung Sachbeschädigung und ein klarer Grund für eine fristlose Kündigung.
Eine nähere Analyse zeigt, dass die Mitarbeiter keineswegs die PCs mutwillig beschädigen wollten, sondern für ihre tägliche berufliche Arbeit Software benötigten, die nur auf CD-ROM verfügbar war. Daher einigen sich Vorstand, Bereichsleiter und Betriebsrat, die Sachbeschädigung nicht weiter zu verfolgen und entsperren die CD-Laufwerke.
Die Situation im Jahr 2011: Die potentiellen Sicherheitsbedrohungen haben massiv zugenommen, auf USB-Sticks kann man komplette virtuelle Server laden und durch “neue” Clients können immer wieder Sicherheitslöcher entstehen. Der Vergleich mit der Vergangenheit zeigt, dass vom Prinzip her die gleichen Probleme an der Schnittstelle Mensch/IT auftreten – aktuell nur wesentlich massiver und in einem schnelleren Rhythmus.
Wie reagiert der IT-Bereich der Unternehmen? Mit Regeln und Verboten: USB-Schnittstellen werden geblockt, private E-Mails verboten, der “Standard” Blackberry vorgeschrieben und damit iPhones und iPads kategorisch ausgeschlossen.
Wie reagieren die Mitarbeiter? Mit Ignoranz und Ausnahmeregelungen: Der Vorstand – oder in vielen Fällen gerade auch das Top-Management der Unternehmen – braucht unbedingt ein iPhone oder iPad und natürlich von diesem Device Zugriff auf alle Unternehmensdaten. Der Vertrieb braucht aus Business Gründen komplett iPads, die dem eigentlichen Unternehmensstandard widersprechen. Private E-Mails und Facebook-Nutzung werden toleriert, da man privat natürlich nicht den ganzen Tag “offline” sein kann und daher ansonsten massive Proteste zu erwarten sind.
Über die tatsächliche Geschäftsrelevanz dieses Anwender-Verhaltens lässt sich sicher trefflich streiten: Einige (der verbotenen) Aktivitäten sind sicher für die tägliche Arbeit notwendig, einige wünschenswert und viele eher dem privaten Bereich zuzuordnen.
Nicht streiten lässt sich über die eigentlich notwendigen Konsequenzen: Ein Unternehmen erlässt Regeln, die für notwendig gehalten werden und deren Einhaltung von allen Mitarbeitern zu erfolgen hat. Falls ein Mitarbeiter diese Regeln nicht befolgt, müssen Konsequenzen erfolgen – schon allein, um die Disziplin aufrecht zu erhalten.
Und hier genau beginnt das Dilemma der IT-Abteilung: Diese hat die Regeln festgeschrieben, weiß um die Nicht-Befolgung dieser Regeln und müsste daher auch die Konsequenzen zumindest einleiten.
Die Empfehlung der Experton Group ist in diesem Fall sehr konsequent, aber auch herausfordernd: IT muss die oben aufgeführte Rolle konsequent ablehnen – weder die Aufstellung der Regeln noch die Verfolgung von Konsequenzen ist IT-Aufgabe! Die IT sollte hierzu nur Informationen, Hinweise und Empfehlungen zuliefern.
Es müssen für das gesamte Unternehmen Regeln für die IT-Nutzung und IT-Sicherheit festgelegt werden und auch konsequent – beginnend beim Top-Management – umgesetzt werden. Dies ist aber eine Aufgabe des Personalwesen – nicht der IT!