Gerade in vielen inhabergeführten Unternehmen läuft ohne den Chef nichts oder zumindest nicht viel. Das ist nicht nur ein subjektives Gefühl des Unternehmenslenkers, sondern vielfach auch objektiv richtig. Falsch hingegen ist, dass das so sein muss.
Natürlich ist die Persönlichkeit des Unternehmers wichtig für ein Unternehmen. Er ist Impuls- und Ideengeber, Antriebsmotor und letzte Entscheidungsinstanz. Dies soll hier nicht in Abrede gestellt werden.
Viele Abhängigkeiten sind jedoch nicht natürlich, sondern selbst geschaffen. Aus dem Gefühl der eigenen Unentbehrlichkeit baut der Unternehmer sein Unternehmen so auf, dass es sich immer weiter in den oben beschrieben Zustand begibt. Und hier wird der Chef zu Gefahr für sein eigenes Unternehmen. Ich möchte mich im Folgenden auf die Aspekte konzentrieren, bei denen der Chef einer ordnungsgemäßen Informationsverarbeitung im Weg steht und damit zum Problem der Informationssicherheit wird.
Informationen und ihre Dokumentation
Viele Informationen existieren nur in den Köpfen der Mitarbeiter. Das ist nicht gut. Man schafft sich auf diesem Wege viele „Single Points of Failure“. Mitarbeiter stehen nicht immer zur Verfügung. Schon bei kurzzeitiger Abwesenheit durch Krankheit oder Urlaub fällt in der Regel auf, dass für bestimmte Tätigkeiten spezielles Wissen benötigt wird, über das nur der gerade abwesende Kollege verfügt. Ein „Der Kollege ruft Sie nächste Woche zurück.“ wird oftmals noch klaglos hingenommen, da das Problem verbreitet ist und viele Menschen daher Verständnis haben.
Was aber, wenn der Kollege länger oder gar nicht mehr wieder kommt? Schwere Erkrankung, Kündigung oder auch Tod können Gründe hierfür sein. Dann wird es sehr schwierig. Ein anderer Kollege muss sich einarbeiten. Oftmals muss er bei null anfangen. Dokumentation gibt es nicht oder sie ist hoffnungslos veraltet.
Noch viel Schlimmer ist es, wenn der Unternehmer selbst plötzlich ausfällt. Je nach Unternehmensgröße und Organisation verfügt er über einzigartiges Wissen. Teile dieses Wissens stehen dann vorübergehend oder endgültig nicht mehr zur Verfügung. Für den Unternehmer muss es darauf ankommen, diesen Teil möglichst klein zu halten. Schwierig übertragbar sind Dinge, die der Unternehmer selbst über Jahre aufbauen musste: Beziehungen zu Kunden und Geschäftspartnern, das Gespür für „seinen“ Markt, das Besondere seiner Waren oder Dienstleistungen.
Was jedoch nicht sein muss, ist, dass explizites Wissen nicht zur Verfügung steht. An die gute Beziehung zu einem wichtigen Kunden kann eine Vertretung nicht ohne Weiteres anschließen, dass er aber die Telefonnummer dieses Kunden nicht hat, weil diese sich nur auf dem Handy des Chefs befindet, ist absolut unnötig.
Es kommt also darauf an, Wissen zu dokumentieren und es damit verfügbar zu machen. Damit sind wir zurück beim Thema Informationssicherheit. Verfügbarkeit, Integrität und Vertraulichkeit sind die drei Kernforderungen (Kurz erklärt: Informationssicherheit).
Verfügbarkeit ist in vielen Unternehmen das vordringliche Thema. Während Brüche der Vertraulichkeit oder Integrität oft erst später auffallen und ihre negativen Folgen zeigen, führt der Verlust der Verfügbarkeit von Informationen sofort zu Beeinträchtigungen des Geschäftsablaufs; ein Kunde kann nicht angerufen werden, weil die Telefonnummer nicht verfügbar ist, eine Maschine steht still, weil die Auftragsdaten nicht abrufbar sind, Rechnungen können nicht geschrieben werden, weil die Projektzeiterfassung offline ist, usw.
Unternehmen müssen daher alle ihre wichtigen Informationen dokumentieren. Das gilt auch für den Chef! Das ist im originären Interesse des Unternehmens und insbesondere seiner Eigentümer. Daher schreibt beispielsweise §91 Abs. 2 des Aktiengesetzes vor, dass der Vorstand einer Aktiengesellschaft geeignete Maßnahmen zu treffen hat, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Diese Pflicht trifft nicht nur Vorstände von Aktiengesellschaften. In der laufenden Rechtsprechung wird diese Pflicht auch Geschäftsführern anderer Gesellschaftsformen abverlangt.
Für verschiedene Zwecke gibt es unterschiedliche Systeme zur Dokumentation: Zeiterfassungen, CRM, Wikis, Word- oder Excel-Dateien um nur einige Beispiele zu nennen. Wie und wo Sachverhalte zu dokumentieren sind, sollte festgelegt und allgemein bekannt sein. In der Folge müssen sich dann alle Mitarbeiter und eben auch die Führung daran halten. Scheren einige aus dem System aus, wird damit schnell die Moral untergraben und das Dokumentieren unterbleibt wieder. Dies gilt umso mehr, je weiter oben in der Hierarchie die Boykotteure sitzen.
Eine beliebte Ausrede für unterlassene oder Sonderdokumentationen in der Chefetage ist das Argument, dass die Informationen, über die man verfügt, nicht für jedermanns Augen bestimmt sind. Dieses Argument berührt die Vertraulichkeit und damit auch wieder die Informationssicherheit. Allerdings ist dies kein Problem, dass allein die Führung hat. Auch der Personalsachbearbeiter muss die Vertraulichkeit der ihm anvertrauten Personaldaten beachten. Hier lässt sich offensichtlich ein System des Zutritts-, Zugangs- und Zugriffsschutzes finden. Diese lässt sich aber genauso auf andere Bereiche übertragen. Vertraulichkeit kann und darf damit keine Ausrede sein, die Verfügbarkeit von Informationen zu gefährden.
Zugänge und Passwörter
Gerade Zugänge zu bestimmten wichtigen Systemen und die Kennwörter zu Accounts mit administrativen Rechten werden in der Praxis oft unangemessen behandelt. In manchen Betrieben sind sie fast jedem bekannt, weil es so praktisch ist, in anderen nur einzelnen, weil „das ja nicht jeder darf“. Das eine Vorgehen gefährdet Integrität und Vertraulichkeit, das andere die Verfügbarkeit der Systeme und Informationen.
Informationen sollen im Idealfall allen zur Verfügung stehen, die ein berechtigtes und dienstliches Interesse daran haben und nur diesen Personen. Vertreter für wichtige Funktionen sollten immer benannt sein und es sollte klar sein, wie sie Zugriff auf die Informationen erhalten, wenn sie ihre Vertretungsfunktion ausüben.
Dies ist wie fast immer in der Informationssicherheit kein Problem, das sich mit Technik allein lösen lässt. Informationssicherheit ist immer das Ergebnis eines abgestimmten Zusammenspiels von Menschen, Organisation und Technik. Fällt ein Mitarbeiter aus, so muss eine Vertretung benannt sein (Organisation), sie muss die nötigen Kennwörter erhalten, die beispielsweise in einer Passwort-Safe-Software gespeichert sind (Technik) und natürlich muss die Vertretung auch fachlich in der Lage sein, die Vertretung auszuüben (Mensch). Diese Punkte gelten natürlich auch, wenn der Geschäftsführer ausfällt.
So können auch in diesem Fall Verfügbarkeit, Integrität und Vertraulichkeit unter einen Hut gebracht werden. Das Unternehmen entsprechend zu organisieren, ist eine Führungsaufgabe. Unterlassung gefährdet das Unternehmen oder zumindest das Betriebsergebnis.
Innovationen und Investitionen
Innovation und Investition sind ebenfalls Punkte, bei denen eine gewisse Gefahr für die Informationssicherheit von der Führung ausgeht.
Bei der Einführung neuer Systeme und Verfahren stehen bei den Verantwortlichen oft Funktionalität, Termin und Budget im Vordergrund. Dabei wird das Thema Sicherheit gerne vernachlässigt. Zunächst passiert ja auch nichts. Man kann eine neue Bundesstraße auch ohne Querungshilfen einweihen. Es wird ja nicht sofort jemand überfahren. Das Risiko steigt aber. Daher ist es Pflicht für Unternehmen, Risiken zu identifizieren und zu bewerten. Maßnahmen zur Risikobehandlung müssen benannt und umgesetzt werden. Es gehört zur guten Unternehmensführung, einen solchen Prozess zu fördern und ihn nicht etwa zu behindern.
Bei der Planung von Investitionsvorhaben ist auch immer ein Budget für Informationssicherheit mit einzuplanen. Um diese begrenzten Mittel zielgerichtet und mit bester Wirkung einzusetzen, müssen zunächst die Sicherheitsziele definiert werden. Auch dies ist eine Führungsaufgabe. Dabei müssen Prioritäten gesetzt. Leider entzieht sich die Unternehmensführung dieser Verantwortung in Praxis häufig und versucht sich mit Formeln wie „Natürlich muss alles sicher sein.“ aus der Pflicht zu stehlen. Ein solches Vorgehen führt jedoch zu fehlgeleiteten Sicherheitsbudgets und daraus resultierenden gefährlichen Sicherheitslücken.
Fazit
Informationssicherheit ist Chefsache. Unterlassungen, Bequemlichkeit, Sonderregelungen für die Führungsetage und schlechtes Vorbild führen zu gefährlichen Sicherheitslücken. Signifikante Fortschritte lassen sich oft schon durch einfache und preiswerte Maßnahmen erzielen. Durch Technik allein ist Sicherheit nicht zu erzielen. Es bedarf immer eines abgestimmten Vorgehens von Menschen, Organisation und Technik. In dieses Vorgehen muss auch der Unternehmer bzw. Geschäftsführer einbezogen werden. Gerade diesen wichtigen „Informationsspeicher“ außer Acht zu lassen, gefährdet das Unternehmen in seiner Existenz.
