Aus Krisen gestärkt hervorgehen – eine solche Firmenkultur setzt drei Faktoren voraus. Welche das sind, erklärt Marcus Beyer, Advisory Lead Resilient Workforce bei DXC.

„Der Faktor Mensch darf nicht nur als Risikofaktor gesehen werden.“ Auf diesen Nenner bringt Marcus Beyer die aktuelle Diskussion rund um das Thema Cultural Change. Beyer ist Advisory Lead Resilient Workforce bei DXC. Aus mehr als zwölf Jahren Praxiserfahrung weiß er um die Bedeutung von interner Kommunikation – und der Krisenvorsorge.

Dass der etwas sperrige Begriff Resilienz nun immer stärker in den Fokus von Unternehmensleitern rückt, überrascht Beyer nicht. Der Organisations-Psychologe definiert Resilienz als „geerdet oder vorbereitet sein auf schwierige Situationen sowie die Fähigkeit, aus diesen gestärkt hervorzugehen“. Von Cyberkriminalität über die Technologie selbst bis hin zum „Shitstorm“ reichen die Risiken, die Firmenlenker heute bewältigen müssen. Logische Folge: Der Sicherheitsverantwortliche ist oft ganz oben in der Unternehmensleitung angesiedelt und haftet gegebenenfalls persönlich. Dagegen bewegt sich der Sicherheitsbeauftragte, der auf operativer Ebene den Laden sicher halten soll, meist einige Hierarchie-Stufen weiter unten.

Das heißt: Der gesamte Themenkomplex Sicherheit, Schutz und Risiko sind organisatorisch in den Unternehmen verankert. Theoretisch. In der Praxis lässt sich das nicht immer so einfach umsetzen, weiß Beyer.

Das kann zu absurden Situationen führen – Beyer berichtet von einem mittelständischen Kunden aus der Industrie: „Dessen CIO sagte zu mir: ,Noch vor ein paar Jahren habe ich Social Media komplett aus unserem Netzwerk raushalten müssen, weil es zum Beispiel Bedenken wegen des Datenschutzes gab. Jetzt will das Business auf einmal, dass ich alles aufmache. Man will ja ein attraktiver Arbeitgeber sein.‘ Das ist ein ganz typischer Fall“.

Wie Sie Resilienz umsetzen

Auf Grundlage seiner beruflichen Erfahrung leitet Beyer aus Sicht einer nachhaltigen Organisationsentwicklung drei Ratschläge ab:

1. Kommunizieren: „Das gesamte Thema lebt und stirbt von Kommunikation“, so Beyer. Er erklärt das anhand folgender Fragen: Wie werden Regeln verhandelt? Wird über Vorfälle gesprochen oder werden sie verschwiegen? Gibt es eine Abteilung für interne Kommunikation, die das organisiert? Worum geht es unter dem Stichwort Security? Wer schützt uns? Wovor? Wo will unser Unternehmen in Sachen IT-Sicherheit hin?

1. Stakeholder kennen und Sicherheitsprozesse einbeziehen: „Zu oft kochen die einzelnen Sicherheitsbeauftragten im eigenen Saft“, beobachtet der Experte. Wichtig ist, alle Stakeholder an einen Tisch zu holen. Dabei zeigt sich oft, auf wen der Security-Beauftragte zählen kann: „Plötzlich hat man Erfüllungsgehilfen im Unternehmen, von denen man vorher gar nichts wusste“, schmunzelt Beyer.

1. Silos aufbrechen: Der Ruf „End-to-End“ gilt in Sachen Sicherheit ganz besonders. Beispiel Mitarbeiter-„Badges“: Ausgegeben werden diese durch die Personalabteilung, kontrolliert werden sie von der physischen Sicherheit. Hier darf es keine Brüche geben, warnt Beyer. Zu oft hört er Sätze wie: „Wir sind nicht zuständig für Datenschutz und wir kümmern uns auch nicht um die IT-Sicherheit.“ Der Experte plädiert deshalb mit Nachdruck für eine fachlich-thematische Zusammenarbeit.

Beyer weiß, dass sich vor dem Hintergrund der digitalen Transformation derzeit viele Entscheider mit ihrer Kultur und dem Cultural Change auseinandersetzen. „Das Thema Resilienz sollte von Anfang an mitbedacht werden“, rät er.

Der falsche Fokus

Und der Zeitpunkt scheint günstig: Neue berufliche Rollen wie User-Experience-Designer oder Data Scientists, neue Schlagworte wie Human-centered Design rücken den Menschen in den Fokus. Noch aber läuft in der Praxis zu vieles nur über Policies und technologische Aufrüstung. „Oft steht der Prozess im Mittelpunkt, nicht der Mensch“, beobachtet Beyer. Dennoch zeichnet sich ein Wandel im Mindset der Sicherheitsbeauftragten ab. Die „IT-Guys“ bekommen neue Kollegen mit betriebswirtschaftlichem oder auch psychologischem Hintergrund.

Beyer spricht sich insbesondere für eine neue Fehlerkultur aus. Er nennt als Beispiel ein Unternehmen, das von „CEO Fraud“ betroffen war. In diesem Fall war eine Million Euro schon fast überwiesen, glücklicherweise wurde der Vorfall gemeldet und das Geld zurückgehalten – aber einer der Direktoren der betroffenen Gesellschaft musste seinen Hut nehmen. „Wer wird in dieser Firma zugeben, dass ihm ein Fehler unterlaufen ist?“, kommentiert Beyer. Seine Forderung: „Die Mitarbeiter dürfen keine Angst haben, über Fehler zu reden!“ Denn der Faktor Mensch darf nicht nur als Risikofaktor gelten.

Autoren: Christiane Pütter & Marcus Beyer // Quelle: THRIVE