Führungskräfte gefährden IT-Sicherheit

Die Firma Easynet hat vor ein paar Tagen unter dem Titel „Don’t blame Generation Y for applications on the network“ die Ergebnisse einer Befragung zur IT-Sicherheit vorgestellt.

The global study of 182 CIO and IT Directors from the UK, France, Belgium, Netherlands, Spain and Italy explored the key priorities for businesses in terms of apps and business processes and attitudes towards the cloud.

Eine Studie mit Teilnehmern aus UK, Frankreich, Belgien, den Niederlanden, Spanien und Italien als globale Studie zu bezeichnen klingt nach Graf Bobby, der einen Globus von Österreich-Ungarn erwerben wollte.

Viel bemerkenswerter ist aber das Ergebnis der Befragung:

Surprisingly, the findings highlighted that it is not only work-related tools that senior management are bringing in, but also recreational applications. Not only are senior executives and management responsible for the increase in the phenomenon that is BYOD, but they are also responsible for the rise of ‘BYOA’ (Bring Your Own Application) once the device is on the network.

Ich finde an dem Ergebnis überraschend, daß es als überraschend empfunden wird. Nach meiner Erfahrung lassen sich Führungskräfte in zwei große Gruppen einteilen. Da sind zunächst diejenigen — ich nenne sie hier mal vereinfachend Technikfeinde — die jedwede Technikbenutzung als eine für eine Führungskraft unwürdige Arbeit ansehen und daher diese Tätigkeiten an Subalterne delegieren oder die dem „modernen Schnickschnack“ nichts abgewinnen können. Die andere Gruppe — die Technikfreunde — ist der Technik gegenüber äußerst aufgeschlossen, empfindet die Benutzung als hilfreich und benutzt sie auch aktiv als Statussymbol, um zu zeigen, wie modern man ist. Beiden Gruppen gemein ist im Regelfalle, daß sie die Technik nicht wirklich verstehen und sich auch nicht näher damit auseinandersetzen wollen. Letzteres nicht nur aus Zeitmangel, sondern sie halten es für entbehrliche Details, eben so wie bspw. in einem Bauunternehmen der Chef weder Bagger fahren noch reparieren können muß. Sie erkennen nicht den prinzipiellen Unterschied zwischen dem Bagger und der alles durchdringenden IT. Dennoch wollen sie diese Geräte einfach nur benutzen. In beiden Guppen sind auch die finanziellen Möglichkeiten (privat oder über die Firma absetzbar) vorhanden sich die jeweils neuesten Geräte zuzulegen. Bei den Technikfreunden kommt aber der Spieltrieb voll zum Tragen und sie wollen Dinge sofort ausprobieren, mit der Folge daß tatsächlich ohne viel Nachzudenken installiert wird, sofern man es überhaupt kann, aber es findet sich immer jemand. Abgesehen davon, daß eine Führungskraft — wohl auch aus Angst vor Autoritätsverlust — eher nicht bereit ist, über den offiziellen Dienstweg die Prüfung von „Entspannungssoftware“ bei der IT-Abteilung zu beantragen.

Der zweite Grund warum ich das Ergebnis nicht überraschend finde, liegt in der Tatsache begründet, daß Führungskräfte Entscheidungshoheit besitzen. Wenn sie etwas installiert haben wollen, dann wird es ggf. von Untergebenen auch installiert. Man bedenke, daß im IT-Bereich viele Fremdarbeiter mit minütlicher Kündigungsfrist und keine festangestellten Firmenmitarbeiter eingesetzt werden. Ein solch armes Würstchen müsste dann seinem Chef erklären, daß er — sein Chef — keine Berechtigung habe diese Software zu benutzen. Das funktioniert nur in den allerseltensten Fällen. Auch bei Festangestellten herrscht um Führungskräfte herum durchaus eine Angstkultur („Das kann ich meinem Chef aber nicht sagen, der will damit jetzt [arbeiten|abrechnen|ausprobieren|ansehen|was auch immer].“). Ein Verweis auf die unternehmenseigenen Sicherheitsrichtlinien wird mit dem Hinweis auf die Hierarchieebene („ist Vorstand“) geblockt. Selbst ein Hinweis auf die Tatsache, daß eben diese Führungskraft doch diese Regeln selbst mitbeschlossen hat, bleibt wirkungslos. Einerseits ist dies dem Denkprinzip geschuldet, daß viele in der Führungsebene davon ausgehen, daß die aufgestellten Regeln für alle Mitarbeiter gelten, außer für sie selbst. Andererseits ist es die Folge von fehlendem technischen Wissen und der Feigheit dies auf einer entsprechenden Sitzung vor der Beschlussfassung zuzugeben. Daher wird eine vorgeschlagene Sicherheitsrichtlinie eher abgenickt als in Frage gestellt (außerdem gilt sie ja für alle Mitarbeiter, aber nicht für mich, den Entscheider).

Auch früher waren schon Modems am Firmen-PC für den Internetzugang vorbei am Unternehmensnetz in den oberen Etagen recht beliebt. Ein Horror für die IT-Abteilung, hatte sie doch keine Möglichkeit Viren fernzuhalten, war aber gleichzeitig für die Sauberkeit des Unternehmensnetzes verantwortlich.

Sollten diese Verhaltensweisen wirklich derart unbekannt gewesen sein, daß man überrascht ist, auf Rechnern aller Art von Führungskräften Software zu finden, die dort eigentlich nicht hingehört? Allerdings ist es vielleicht auch ganz gut, daß dieses Thema mal von außerhalb angesprochen wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.