Einfach mal nichts tun …
Meine Frage (zugegebenermaßen nicht während der ersten Wochen der Probezeit) war damals:  „Was passiert eigentlich mit diesem oder jenen Bericht?“ Üblicherweise wurde dies mit einem verständnislosen Blick und der Antwort pariert, „Den gibt es schon immer“.

Ein Kollege meinte dann eines Tages: „Schau doch einfach, was passiert, wenn Du einen Bericht, dessen Sinn sich Dir nicht erschließt, einfach mal nicht abgibst.“ Und siehe da, nichts passierte.

Dieses Spiel wiederholte sich später bei vielen meiner internen Stellenwechsel. Jeder, der in einem großen Konzern arbeitet, wird Berichte kennen, deren Sinn sich nicht unmittelbar erschließt beziehungsweise von dem man nicht weiß, was damit eigentlich passiert. Zu den Berichten, die anscheinend niemand liest und die deshalb still und leise eingestellt wurden, gesellten sich später noch diejenigen, die von Tochtergesellschaften mit hohem manuellen Aufwand vorzugsweise freitags abgeliefert werden mussten und deren Richtigkeit niemand in Frage zu stellen schien – fehlender Analysen sei Dank.

Zu früh gefreut …
Wer nun meint, ich würde den Sinn eines umfassenden Berichtswesens in Frage stellen, hat sich zu früh gefreut. Berichte sind ein essentielles Instrument der Unternehmensführung und insbesondere der Steuerung von Finanzrisiken.

Jeder Bericht sollte jedoch auf die folgenden Merkmale hin untersucht werden: Was ist der Sinn und Zweck? Bestands-, Arbeits-, Performance- oder Compliance-Bericht? Wer ist der Adressat? Ist er adressatengerecht? Benötigt er eine zusätzliche Interpretation? Ist er Grundlage für Entscheidungen? Sind Inhalte und Qualität hinreichend zur Entscheidungsfindung?
Das Berichtswesen zu entrümpeln ist eine befreiende Tätigkeit und schafft Platz für die wirklich wichtigen Berichte. Wirklich wichtig ist zum Beispiel, ob der Liquiditätspuffer auch in vier Monaten noch ausreichend ist.

Ich kenne Berichtswesen in Unternehmen, bei denen der Adressat wahnsinnig werden müsste. Da dies anscheinend nur selten passiert, liegt doch folgender Schluss nahe: Die Berichte werden nicht gelesen.

Zuerst einmal: Chris Smith hat Recht. Ein Unternehmen, das bei Bewerbern einen positiven Eindruck erwecken möchte, tut gut daran, erst einmal im eigenen Haus für eine positive Zustimmung zu sorgen. Auch Professor Dr. Sven David hat Recht: Von einer Maulkorb-Mentalität halte ich nichts. Sie wird sich am Ende des Tages negativ für das Unternehmen auswirken.

Richtig ist auch: Jede persönliche Empfehlung schlägt die Macht des Netzes. Twitterkanäle und eine gute Facebook-Kommunikation machen noch keinen Gewinn allein.

Für mich ist zentral, dass die Außendarstellung eines Unternehmens in sich konsistent sein muss. Wie schwierig das ist und wie wenig Erfolgsbeispiele es hierfür gibt, hat mein Kollege Kai Wussow bereits hier im Blog beschrieben. Der Weg ist also schwer.

Heute wird das persönliche Profil nach dem Kennenlernen gegoogelt
Ja, es geht um Wertschätzung. Und es geht darum, gerne für sein Unternehmen zu arbeiten. Ein Mitarbeiter, der schlecht von seinem eigenen Unternehmen spricht, wird kaum neue Talente akquirieren. Er wird sein Unternehmen auch nicht bei Facebook mit I like anklicken. Er wird sich eher dafür entschuldigen, wo er arbeitet und seine digitalen Spuren verstecken. Für eine Social-Media-Kommunikation ist das tödlich.

Unternehmenskultur lebt, sie bewegt sich und verändert sich ständig. Sie spiegelt auch die Zeit wieder, in der wir leben. Menschen unterschiedlichen Alters haben unterschiedliche Bedürfnisse. Eine junge Mutter braucht andere Möglichkeiten als ein alleinstehender Top-Manager. Es geht um mehr als um eine gute Kommunikation. Mitarbeiter brauchen Anerkennung über positives Feedback, Führungskompetenz, persönliche Integrität und Respekt vor ihrer Arbeit.

Social Media nimmt Menschen in ihrem Bedürfnis nach Kommunikation ernst
Es sind also eine Menge Hausaufgaben zu machen, bevor die Kommunikation über Social Media funktioniert. Die neuen Netzwerke entlarven Schwachstellen sofort. Diese Vulnerabilität lässt die Grenzen verschwimmen – ist aber auch Chance zugleich. Wem gefällt es nicht, wenn sein Unternehmen  fröhlich, freundlich und offen auftritt. Das schafft mehr als eine Duz-Kultur, die nur an der Oberfläche den Mitarbeiter wertschätzt – aber im Hinterzimmer mit neuen Intrigen entgegenarbeitet.

Wenn ein Unternehmen an eine Universität geht und dort überzeugend auftritt, ist das authentischer, als ein hübscher Sponsoring-Vertrag. Immer wieder: Es geht um Menschen. Nichts anderes macht Social Media. Es nimmt Menschen in ihrem Bedürfnis nach Kommunikation ernst.

Ein Knigge für die digitale Welt
Ein Mitarbeiter, der sich durch Unternehmenskultur wertgeschätzt fühlt, ist wichtigster Multiplikator – hier gelten die gleichen Gesetze wie in der analogen Welt. Dazu gehört auch das Profil eines Mitarbeiters im Netz. Überhaupt greift die neue eetiquette häufig auf die alten Werte zurück. Vielleicht ist ja doch nicht alles so neu und anders, wie es manchmal daher kommt.

Linkedin, Xing, Twitter und Facebook gehören zum täglichen Leben. Gerade junge Menschen mit hoher Qualifikation kommunizieren selbstverständlich über diese Netzwerke und beziehen von dort ihre Informationen. Heutige Studentinnen und Studenten definieren sich ganz anders, als es meine Generation noch getan hat. Sie surfen nicht zuerst auf der Firmenhomepage, sondern klicken auf das Facebook-Profil. Die Frage, wie viele “Likes” ein Unternehmen verzeichnet, sind wichtig für die Entscheidung, ob man sich dort bewirbt.

Bewerber stellen heute ganz andere Fragen

Es geht um Bring Your Own Device (BYOD), Smartphones, Work Life Balance oder Mobilitätskonzepte. Doch das ist auf dem C-Level der Vorstandsetagen noch nicht angekommen. Dort denkt man meist noch, eine ordentliche Web-Präsenz im schicken Corporate Design mit gedrechselten Texten und schönen Logos würde den Nachwuchs ansprechen. Das war vielleicht vor zehn Jahren noch so.

Ein Profil ist nie privat

Inzwischen muss sich das Unternehmen selbst aktiv bei Facebook und Konsorten bewegen. Und es muss seine Mitarbeiter überzeugen, sich zu ihm zu bekennen. Wenn Mitarbeiter ihren Arbeitgeber und ihre Position nennen, müssen sie sich klar machen, dass ihr Profil keinen rein privaten Charakter mehr hat. Das, was sie dort einstellen, kann auch auf ihren Arbeitgeber zurückfallen. Das hat ein deutsches Gericht unlängst festgestellt.

Nur wer die eigenen Mitarbeiter überzeugt, punktet nach außen

Jedes Unternehmen wird zum öffentlichen Raum. Die Personalentwicklung braucht eine Social-Media-Strategie. Sie muss zuerst ihre eigenen Mitarbeiter überzeugen und mit entsprechenden Postings und Inhalten ein positives Image generieren. Nur wenn es hier ein überzeugendes Bild abgibt, kann es auch die besten neuen Mitarbeiter überzeugen.

Umso wichtiger wird es, Lieferanten proaktiv zu kontrollieren, um präventiv etwaige Reputationsschäden zu verhindern. Tritt der Skandal einmal ein, ist es zu spät.

Was zeigt uns die aktuelle Aufmerksamkeit?

Konsumenten können und wollen heute wissen, was hinter den Kulissen passiert. In einem bisher noch nicht bekannten Maß interessieren sich Menschen dafür, woher ihre Produkte kommen und welche Konsequenzen mit ihrem Konsum verbunden sind. Felix Stöckle bezeichnet das zutreffend als eine „stille Revolution“, die zu einem drastisch veränderten Kaufverhalten breiter Bevölkerungsschichten führen wird (Felix Stöckle „The Journey”, new business Nr. 9, S. 18/19, vom 25.02.2013).

Was bedeutet das für Sie als Unternehmen?

Diese aktuellen Entwicklungen sind keine Schreckensgespenster, die bald vorbeigehen. Weitermachen wie bisher ohne etwas zu verändern, verspricht nur wenig Erfolg. Die aktuellen Entwicklungen sollten Unternehmen als Chance nutzen, tatsächlich etwas zu ändern.

• Formulieren Sie Ihre Erwartungen an faire Bedingungen, zum Beispiel in einem Verhaltenskodex (Code of Conduct).
• Verpflichten Sie Ihre Geschäftspartner zur Einhaltung dieser Bedingungen.
• Führen Sie entsprechende Regelungen und Verpflichtungen ein, die Sie in die Prozesse überführen.
• Kontrollieren Sie die Einhaltung Ihrer Anforderungen.
• Schaffen Sie Transparenz in der Öffentlichkeit – sowohl bei Investoren, als auch bei Kunden

Nur so können Sie die gestiegene Erwartungshaltung erfüllen. Denn: Ist der Ruf erst ruiniert, hilft nur noch eine gute Krisenkommunikation.

Erwartungen der Anwender an Cloud-Lösungen
Die Gleichung lautet für viele also an erster Stelle: Sparen wir mit einer Cloud-Lösung Geld und können wir auch noch schneller neue Technologien einsetzen, haben wir unseren Erfolg erreicht.

Aber ist es so einfach? Und vor allem: Ist das alles, was die Cloud kann?

Aus meiner Sicht beginnt an dieser Stelle erst der interessante Teil: wenn die Cloud auch ihre Wirkung als Werkzeug der strategischen Unternehmensentwicklung entfaltet und zu diesem Erfolg beiträgt.

Noch setzt sich dieser Einsatzzweck erst vergleichsweise langsam in Unternehmen durch. Die Cloud wird immer noch stark als kurzfristiger Hebel verstanden.

Cloud ändert immer auch die Geschäftsprozesse
Einer der wesentlichen Erkenntnisgewinne der in der KPMG-Studie befragten Manager besteht deshalb auch darin, dass die Einführung von Cloud-Technologien immer auch eine Anpassung von Geschäftsprozessen nach sich zieht. Attribute wie Strategie und Langfristigkeit gewinnen an Bedeutung.

Dies liegt unter anderem auch daran, dass Einsatz und Möglichkeiten der Cloud nicht mehr nur CIOs geläufig sind, sondern immer öfter auch vom gesamten Management diskutiert und in strategische Überlegungen einbezogen werden.

Ein zweiter Baustein im Wahrnehmungswandel der Cloud sind die zunehmenden  Praxisbeispiele der Unternehmen. Firmen unterschiedlichster Branchen sammeln inzwischen positive Erfahrungen und geben Einblicke in das wertschöpfende Potenzial dieser Technologie weiter. Beispiele hierfür sind die Erschließung von oder der Rückzug aus Märkten sowie die Wettbewerbsvorteile, die sich durch ein schnelleres Ausrollen von neuen Produkten oder Dienstleistungen ergeben.

Diese ausgesprochen positive Einschätzung bei Führungskräften wird dazu beitragen, dass sich die Akzeptanz von Cloud-Technologien weiter durchsetzen wird. Gleichsam ist es wahrscheinlich, dass das Management nach neuen Möglichkeiten suchen wird, um diese Technologien für strategische Unternehmensentwicklungsprojekte zu nutzen.

Auf dem E12-Gipfel hole ich auf. Hier treffen sich Entscheider und wichtige Akteure aus dem E-Business. Jeder tauscht sich aus, erzählt von seinen Erfahrungen oder stellt neue Konzepte vor. Das ist für mich ein Gewinn.

Bei Facebook finden Unternehmen ihre Kunden – immer noch

Andreas Bertsch betreibt das Blog Futurebiz. Die Konferenz lebt für mich von Menschen wie ihm. Er outet sich als Facebook-Spezialist. Bertsch gründete die Agentur Brandpunkt, die sich auf Social-Media-Marketing spezialisiert hat und Kunden wie BMW Mini betreut. Er lässt sich nicht davon irre machen, dass Facebook bei der Jugend vermeintlich an Boden verliert. Nach wie vor bleibt das Netzwerk mit rund 25 Millionen Nutzern das Medium mit der stärksten Reichweite. Weil ein Unternehmen dort seine Kunden leicht findet, braucht es auch keine Gewinnspiele mehr, um überhaupt Nutzerdaten zu generieren. Heute, sagt Bertsch, erreiche man mit Verlosungen nur noch Menschen, die etwas gewinnen wollen – aber nichts kaufen.

Der richtige Zeitpunkt für ein Produkt ist dann, wenn der Nutzer es braucht

Wer ist interessanter für ein Unternehmen: Ein Kunde, der Tickets kauft – oder ein Facebook-Nutzer, der über die Weitergabe von Informationen für einen hohen Umsatz bei seinen Freunden sorgt? Dr. Torsten Wingeter, der bei der Deutschen Lufthanse die Social-Media-Aktivitäten verantwortet, stellte die Frage nach dem Wert des Kunden. Kundenbeziehungen sind in der Social Media Welt eben nicht mehr linear, sondern multidimensional zu begreifen. Unternehmen wie die Deutsche Lufthansa erkennen das.

Mir persönlich geht es vor allem um die Auswirkungen, die die sozialen Netzwerke auf die herkömmlichen Geschäftsmodelle der Unternehmen haben. Facebook oder Xing dynamisieren die bisher statischen Customer-Relation-Management-Systeme (CRM). Und das nicht nur, weil die Kunden hier ihre Daten selber aktualisieren. Innerhalb der Netzwerke kommuniziert es sich leichter. Unternehmen haben die Chance, dem Nutzer im richtigen Moment das Produkt anzubieten, das er braucht.

Mit Kopfhörer in der realen Welt

Braucht man in der Welt des Mobile Payment überhaupt noch Banken? Bei der World Conference springt jeder von Tisch zu Tisch und muss auch provokante Fragen mit wechselnden Gesprächspartnern beantworten. Der E12-Gipfel zeigt, wie wichtig es ist, miteinander zu reden und seine Erfahrungen auszutauschen. Professor Dr. Thomas Schildhauer vom Institute Electronic Business hat dafür ein neues Format geschaffen: Radio-Talks, bei denen ich per Kopfhörer von einem Panel zum anderen wechseln kann.

Die Welt steht vor großen Umbrüchen, die traditionelle Geschäftsmodelle über den Haufen werfen. Doch immer noch fließen nur zwanzig Prozent der Marketingbudgets in das Internet und die sozialen Netzwerke. Achtzig Prozent landen nach wie vor bei konventionellen Medien und Kommunikationswegen – obwohl die Branche kriselt und ein Verlag nach dem anderen schließt.

29 von 30 DAX-Unternehmen sind in China tätig. Dazu kommt eine steigende Zahl mittelständischer Unternehmen. Doch beim  Corruption Perceptions Index 2012 (CPI)  liegen ganze 67 Ränge zwischen den Ländern: Deutschland auf Platz 13 und China auf Platz 80 – ein deutlicher Hinweis auf die großen Unterschiede im Compliance-Umfeld und in der Compliance-Kultur.

Ich freue mich über das Interview mit unserem China-Experten Andreas Feege. Er ist seit mehr als fünf Jahren Leiter der German Practice im KPMG-Büro Peking und langjähriges Vorstandsmitglied der deutschen und europäischen Kammer in China. Im Assurance Magazin – Sicherheit für Ihr Unternehmen beantwortet er die wichtigsten Fragen. Hier ein Auszug:

Allein 2011 untersuchte die chinesische Korrup­tionsbehörde etwa 25.000 Fälle. Gibt es überhaupt wirksame Sanktionen?

Andreas Feege: Die Regierung tut je­denfalls einiges dafür, diesen Eindruck zu erwecken. Im Jahr 2010 wurde ein hochrangiger Mitarbeiter von China Mobile im Zusammenhang mit den Siemens-Korruptionsfällen zur Todes­strafe verurteilt. 2011 wurden die frü­heren stellvertretenden Bürgermeister zweier Millionenstädte hingerichtet, sie sollen Schmiergeldzahlungen in zweistelliger Millionenhöhe angenom­men haben. Und im Jahr 2012 wurde der frühere Leiter des Pekinger Steuer­büros zum Tode verurteilt. Ähnliches in der Wirtschaft: 2011 wurde ein ehemaliger Vorstandsvorsitzender von „Gome“ (Elektroeinzelhändler) wegen Bestechung und Insiderhandel zu einer 14-jährigen Haftstrafe und 70 Millio­nen Euro Geldstrafe verurteilt. Wer die Rede des scheidenden Parteichefs auf dem Kongress der chinesischen Kom­munistischen Partei gehört hat, wird verstehen, dass dies keine Einzelfälle bleiben. Prominente Beispiele dafür, dass das auch für deutsche Unterneh­men und nicht nur in China Konsequen­zen hat, sind Siemens und Daimler. Beide wurden vom US-Department für Justiz verurteilt. Das ist allerdings nur die Spitze des Eisbergs.

Was können deutsche Unternehmen tun, um sich zu schützen?

Andreas Feege: Seit Februar 2012 gibt es eine Datenbank, in der alle Verurteilungen wegen Bestechungen registriert sind. Eine Nachfrage auf nationaler Ebene empfiehlt sich, um konkrete Situationen besser einschät­zen zu können.

Wie unterscheidet sich das entspre­chende Recht von den deutschen Compliance-Regelungen?

Andreas Feege: China hat kein bestimmtes Antikorruptionsgesetz. Zivilrechtliche Regelungen finden sich allerdings im Strafgesetzbuch, das neuerdings auch die Bestechung ausländischer staatlicher Funktionäre im In- und Ausland unter Strafe stellt. Auch Bestimmungen im Wettbe­werbsrecht sind zu beachten. Und das chinesische Unternehmensrecht ent­hält ebenfalls eine Fülle von Vorschrif­ten für Manager, Direktoren und Auf­sichtsräte. Bei Aktivitäten außerhalb des Geschäftszwecks, Bestechungen und nicht autorisierten Auszahlungen können die chinesischen Behörden Geldstrafen aussprechen. In letzter Konsequenz können Haftstrafen die Folge solcher Verstöße sein.

Und die Auswirkungen außerhalb Chinas?

Andreas Feege: Wenn die Unternehmen auch in Großbritannien und/oder den USA tätig sind, unterliegen auch Verstöße in China den entsprechenden Sanktionsmöglichkeiten des US-amerikanischen Foreign Corrupt Practices Act (FCPA) oder des britischen Bribery Act (UKBA). Bei der deutschen Staatsanwaltschaft sind derzeit 70 Fälle von Auslandsbestechung in China anhängig. Neben der strafrechtlichen Verfolgung drohen auch finanzielle Konsequenzen. Wer wie einige wenige deutsche Konzernunternehmen das deutsche Compliance-Rechtssystem weltweit anwendet, macht mit Sicherheit nichts falsch.

Der Kroll-Korruptionsbericht zählt Korruption und Bestechung (64 Prozent), Diebstahl von Intellectual Property (IP) und Informationen (56 Prozent) und Betrug durch Kunden und Lieferanten zu den häufigsten Compliance-Verstößen. Wie sieht das in China aus?

Andreas Feege: Sogenannte „rote Umschläge“, in denen das Schmiergeld in bar überreicht wird, sind an der Tagesordnung. Auch Geschenke oder die unentgeltliche Überlassung von Gegenständen sind weit verbreitet, wenn man etwa eine Auftragsvergabe oder eine Genehmigung (Bau- und Grundstücksrechte) zum eigenen Vorteil beeinflussen will. Einladungen zu beliebten touristischen Zielen werden gerne als Schulungen deklariert. Gefälschte Rechnungen, der Einsatz von Agenten, Schwarzgeld- und Auslandskonten, pauschale Rechnungen für „Beratungshonorare“ und Scheingeschäfte zwischen verbundenen Unternehmen sind an der Tagesordnung. Schließlich vervollständigen Steuerbetrug, Verstoß gegen das Arbeitsrecht und Umweltauflagen oder Veruntreuungen im eigenen Unternehmen die Liste. Bei den betrieblichen Prozessen liegen die Schwachpunkte im Kontakt mit Kunden und Lieferanten, aber auch bei der Personalabrechnung im Rahmen der Lohnsteuer und Sozialversicherung. Hier hat auch der Begriff doppelte Buchhaltung einen besonderen Klang: Für unterschiedliche Adressaten werden oft parallel verschiedene Buchhaltungen unterhalten.

Lesen Sie das komplette Interview im Assurance Magazin – Sicherheit für Ihr Unternehmen. 

Die Nutzbarkeit des Internets beeinflusst unsere sozialen Strukturen, die Wirtschaft und unsere Gesellschaft. Wer meinen Blog verfolgt, weiß, wie sehr mich die Schwachstellen im Netz beschäftigen. Eine Schlüsselrolle spielt für mich die Authentifizierung.

Traditionelle Softwareindustrie verliert Anschluss

Schon früher habe ich darüber geschrieben, warum soziale Netzwerke wie Facebook, LinkedIn oder Twitter die Provider der Zukunft sind, wenn es darum geht, eine Persönlichkeit im Netz zu identifizieren. Heute bin ich noch mehr davon überzeugt. Die Identifikation wird eine wesentliche Bedeutung für die Software-Industrie haben – die bisher diese Entwicklung schlicht verschlafen hat.

Zwar kenne ich nicht die genaue Anzahl der Nutzerkonten, die durch traditionelle Methoden (IAM- Identity and Access Management) verwaltet werden, aber es gilt als sicher, dass Facebook und Konsorten mehr Nutzer verwalten.

Verwunderlich, warum all die großen Namen im IAM-Markt es bisher nicht geschafft haben, einen brauchbaren Service anzubieten, mit dem sich der Nutzer im Netz identifizieren kann. Sie haben nicht begriffen, dass individualisierte Angebote die Nachfrage nach Authentifizierungsdiensten für den Endverbraucher steigen lässt.

Die Suche nach dem Schlüssel zum Internet

Nennen Sie es Infrastruktur, Software als Service. Und schon sprechen wir von Cloud Computing. Fast jeder traditionelle IAM-Anbieter hat auch einen Cloud-Service im Angebot, der entscheidend für die Gewinnung neuer Kunden sein könnte. Doch der Schlüssel zu allen möglichen Netz-Applikationen liegt derzeit noch in der Hand der großen sozialen Netzwerke. Die meisten nutzen noch Facebook & Co.

Das könnte sich ändern, wenn staatliche Authentifizierungs-Systeme etwa den Umgang mit der öffentlichen Verwaltung erleichtern sollen. Dann würden globale Strukturen erforderlich, die vom Mobiltelefon bis zum Desk-Top-PC genutzt werden können. Aber im Moment kann ich mir nicht einmal vorstellen, wer solche Schlüssel zum Internet bereitstellen könnte. Die traditionelle Software-Industrie hat noch nicht mal im Ansatz begriffen, welches Potential da für sie schlummert.

Tatsache ist: Wer jetzt noch nicht begonnen hat, SEPA strukturiert anzugehen, wird Probleme haben, bis zum 1. Februar 2014 die erforderlichen Maßnahmen umzusetzen.

Was also heute wirklich relevant ist, ist die Frage: Bin ich auf dem Weg?

Falls nicht, dann gilt es die möglichen Konsequenzen auszuloten, die bei einer nicht erfolgten Umsetzung drohen. Das Spektrum reicht hier von einem erhöhten manuellen Aufwand in der Bankbuchhaltung (eine Verdopplung des Aufwands ist durchaus denkbar – nehmen wir nur die Reduzierung der automatischen Auszifferungsquote bei der Kontoauszugsverarbeitung von 96 Prozent auf 92 Prozent) bis hin zur drohenden Zahlungsunfähigkeit.

Haben Sie schon einmal über die Konsequenzen eines um 14 oder 21 Tage verzögerten Zahlungseingangs bei Lastschriften nachgedacht? – Je nach Antwort kann das sofortige Umschalten in den Überlebensmodus erforderlich sein.

Die zweite Frage lautet: Gehe ich in die richtige Richtung?

Die fundierte Antwort muss vor allem den erwarteten Projekterfolg beleuchten. Und dies nicht nur unter IT-Gesichtspunkten, sondern ergänzt um den Faktor Mensch, der bei den sich ändernden Prozessen die entscheidende Rolle spielt.

Und so drängen sich eine Reihe weiterer Fragen auf: Sind die Mitarbeiter richtig geschult? Wie stelle ich fest, dass sie das erforderliche  Wissen haben? Wo bestehen Lücken? Ist alles, was relevant ist, berücksichtigt? Sind die gewählten Lösungen angemessen? Sind die Kosten im Rahmen?

Falls sinnvoll und erforderlich, kann jetzt immer noch gegengesteuert werden. Man muss nur erkennen, wo und was …

Überraschung: Kaum ein Benutzer interessiert sich für Manuals oder die Inhalte eines sachlich-fachlichen Regelwerks. Stattdessen möchten sie oder er einfach wissen: Was bringt mir das Ganze eigentlich? Warum soll ich mir die Mühe machen, mein geliebtes, bewährtes Verhalten sicherheitskonform zu ändern? In der Vermittlung dieser Fragen fehlt es oft an Ideen zur Umsetzung.

Deshalb geht es in diesem Artikel nicht um die „Awareness-Klassiker” wie passwortgeschützte Bildschirmschoner, Trojaner und die gefürchteten USB-Devices. Sechs Hinweise sollen helfen, die Perspektive der User besser zu verstehen und Argumentationsgrundlagen zu entwickeln, um Sicherheit intern besser zu „verkaufen“.

 1. Sie haben nur eine digitale Identität – schützen Sie sie!

Auf die technischen Vorgaben zur Passwortkomplexität, -änderungsintervallen etc. im Unternehmen hat der Benutzer keinen Einfluss. Aber wechselnde und komplexe Passwörter sind nicht nur für Hacker ein Graus, auch für User sind sie unkomfortabel. Warum lohnt sich der Aufwand trotzdem?

Es geht um den Schutz der – sehr persönlichen – digitalen Identität! Bei der Nutzung schwacher oder identischer Passwörter auf Facebook, Xing, Amazon oder anderen Webdiensten droht ein massiver Kontrollverlust bei mehr Dingen, als „nur“ einem Onlinedienst: Was passiert mit meinem persönlichen Informationen? Werden Nachrichten in meinem Namen verschickt? Nutzt ein Dritter meine Kreditkartendaten? Mit Bezug zu aktuellen Ereignissen (jüngst Evernote) erkennt jeder die Notwendigkeit zum Schutz seiner digitalen Identität – in sozialen Netzwerken und damit auch im Unternehmen.

2. Sicherheit entsteht durch Vertrauen, nicht durch Strafe!

Die wichtigste Handlung eines Benutzers ist, sich sofort zu melden, wenn etwas Verdächtiges passiert. Nur dann kann entsprechend reagiert und der Schaden minimiert werden. Drakonische Strafandrohungen verhindern aber eine offenes und kooperatives Verhalten.

Deshalb ist ein Vertrauensverhältnis zwischen Mitarbeitern und den Ansprechpartner für IT-Security so wichtig. Geben Sie Ihrer Security ein Gesicht. Investieren Sie die in die Ausbildung der Mitarbeiter am Service Desk. Ein Mitarbeiter sollte nie „schuld sein“ an einem Security Incident – es ist immer besser, überhaupt davon zu wissen und schnell reagieren zu können!

3. Respektiere die Rechte anderer!

Transparenz und Kontrolle über die Rechte an geistigem Eigentum Dritter (Intellectual Property Rights) ist eine Herausforderung für die Information Security und ihre Schnittstellen (Kommunikation, Software Asset Management etc.). Automatische Scans nach installierter Software und die darauf basierende Prüfung der Lizenzsituation sind dabei die einfachen Übungen. Aber welche der gespeicherten Multimediadateien unterliegen eigentlich welchem Copyright? Hier stößt die Technik an Grenzen und es müssen moralische Aspekte in den Vordergrund rücken: Nicht nur der Erfolg des Unternehmens hängt von (schützbarem) Know-how und Innovation ab – auch im Kollegenkreis gibt es vielleicht den einen oder anderen, der mit Musik, privater Fotografie oder als Autor Interesse an der Wahrung seiner Rechte hat.

4. Bitte, gebt mir Lösungen!

Fehlverhalten der User hängt oft direkt mit unzureichend erklärten, schlecht implementierten oder schlicht nicht vorhandenen Lösungen zusammen. Deshalb ist auch hier ein kritischer Blick gefragt: Wie gut ist die Usability der eingesetzten Technologien, wie praxisnah sind die Richtlinien und vor allem: Wie ist Feedback der Benutzer?

Das aktive Einholen von Feedback kann den Blickwinkel beider Seiten – von Usern und IT-Security – erweitern oder sogar dramatisch korrigieren, da beide Seiten sich automatisch mit der jeweils anderen Perspektive auseinandersetzen müssen.

5. Bei der Sache bleiben!

Bei der Einhaltung von Regeln ähnelt unser Verhalten dem 6-Jähriger mehr, als uns gemeinhin bewusst ist. Abstrakte Regeln sind nur schwer nachvollziehbar (Beim Essen sitzt man still!). Sind Regeln aber konkret auf eine Situation bezogen (Wenn Du nicht stillsitzt, bist Du nicht zum Nachtisch fertig.) ergeben Sie plötzlich Sinn. Im Unternehmen können dies konkrete, in Handlungsabläufe eingebettete Hinweise auf Risiken leisten. Beispielsweise beim Versand unverschlüsselter E-Mails an Externe können sie helfen, die Nutzung implementierter Verschlüsselungsfunktionen verständlich zu machen und so zu steigern.

6. Gut, dass wir wissen, was Du tust!

Ein letzter Hinweis: Wenn der “gute” Benutzer Vertrauen entwickeln soll müssen Sie ehrlich sein: Kommunizieren Sie offen, in welchem Maß Benutzeraktivitäten überwacht werden und welche Auswirkungen bei Verstößen gegen Recht und Gesetz strafrechtlich relevant sein können. Mit einer klaren und ehrlichen Kommunikation wird ein klarer Handlungsrahmen für alle geschaffen und zusätzlich vorsätzliche Innentäter abgeschreckt.

Was in der Werbung gilt, ist auch für die Vermittlung von IT-Security-Themen gültig. Wer seine Zielgruppe versteht, hat die besten Chancen, Verständnis zu erzeugen und Handlungen für mehr Sicherheit nachhaltig zu ändern.