IT-Sicherheit
IT-Sicherheit Ich komme aus einer Zeit als Arbeitgeber, die was auf sich hielten, die beste Infrastruktur geliefert haben. Heute hat fast jeder Praktikant in unserem Hause ein schnelleres Smartphone wie das des Arbeitgebers, der es zur Verfügung stellt. Unternehmen stehen hier vor einigen Herausforderungen. Soll ich Mitarbeiter mit den gleichen veralteten Geräten arbeiten lassen, damit ich einen Standard habe, den ich einfach managen kann, oder soll ich den Mitarbeiter mit den Geräten arbeiten lassen, bei dem sie sich wohlfühlen. Das führt zunächst zu einem Wildwuchs an Hardware, Software und Betriebssystemen, die schwierig zu steuern sind.
Ein gemeinsames Verständnis von Sicherheit erarbeiten.
Die passende Lösung finden Mobilität und Sicherheit im Unternehmen Interview mit Manuel P. Nappo von Georg Lutz
Als Bildungsinstitut betreibt die Hochschule für Wirtschaft Zürich (HWZ) die schweizweit erste Fachstelle für Social Media Management. Damit soll der Strukturwandel in der Kommunikation gerade auch für kleine Unternehmen unterstützt werden. Wir führten mit dem Leiter des Instituts ein Interview zum Themenkomplex Mobilität und Sicherheit.
Beim Thema Sicherheit gibt es unter vielen KMU-Verantwortlichen zwei Sichtweisen. Entweder man fühlt sich nicht betroffen, da man für internationale Hacker scheinbar keine spannenden Daten hat, oder man gibt fatalistisch zu verstehen, als kleiner Player kann ich gegen die immer perfideren Angriffe, von denen ich jeden Tag höre, nichts machen. Beide Sichtweisen münden in Nichtstun. Wie ist Ihre Sicht der Dinge, was die grundsätzlichen Einstellungen betrifft? Auch ich kenne die beiden Sichtweisen und kann sie bestätigen. Es gibt die Verantwortlichen, die das Thema Sicherheit überernst nehmen. Für sie ist schon das Hosten von Daten auf einem US-Server ein No-Go. Andere schieben das Thema weit weg. Sie sagen sich: Ich bin klein und unbedeutend und brauche Gratis-
kmuRUNDSCHAU // Seite 88
Tools. Ich glaube, dass beide Wege im Kern auch eine Berechtigung haben. Es geht immer um den konkreten Fall. Die Sicherheitsherausforderungen können sehr unterschiedlich sein. Es gibt sehr unterschiedliche Rahmenbedingungen. In einigen wenigen Fällen können sogar Gratis-Tools ausreichen. Andere Unternehmen, die mit sehr wertvollen Daten agieren, brauchen eine Verschlüsselungslösung oder eine professionelle 24-Stunden-Überwachung. Die zentrale Herausforderung ist eine Art RiskManagement, das mir einen passenden Weg aufzeichnet. Wie könnte hier ein aufklärerischer Ansatz aussehen, der diese Sichtweisen aufbricht? Das ist natürlich eine Frage, die weit über das Thema hinausgeht, was Mobilität
und Sicherheit betrifft. Da geht es ja um die Entwicklung einer ganzen Sicherheitsphilosophie. Das ist auch notwendig. Wir planen, im Herbst einen Studiengang mit dem Thema Digital Risk Management zu lancieren, um hier in dieser Fragestellung weiterzukommen. Wir sehen da – ohne Frage – einen enormen Handlungsbedarf. Heute arbeiten Businessmenschen auf unterschiedlichster Hardware, an den unterschiedlichsten Orten. Dabei verwischen sich private mit geschäftlichen Anwendungen. Wie sieht aus Ihrer Sicht die Situation aus? Heute werden die Trends in den IT-Welten von den Konsumenten getrieben. Businesswelten reagieren hier meist nur. Das ist der zentrale Trend. Bring Your Own Device (BYOD) ist ein Paradebeispiel dafür.
BYOD-Geräte haben auf den ersten Blick ein Sicherheitsproblem. Wie wird diese Herausforderung heute gelöst? Es gibt ja Unternehmen, die auf den Geräten eine sichere Zone einrichten, die nur für Businessaufgaben reserviert sind.
… Wir sprechen von 40 oder 60 Mitarbeitern. Da kann man ein gemeinsames Verständnis von Sicherheit erarbeiten. Man hat ja noch den Überblick. Ja, bringt eure privaten Geräte mit und fühlt euch bei der Arbeit damit wohl. Aber wir haben eine Guideline, die es zu beachten gilt, und Verantwortungen, denen man sich stellen sollte. Die Kultur von KMU lässt solch ein Vorgehen zu. Sie kann dann auch flexibler sein als die starren Vorgaben und Lösungen bei grossen Unternehmen. Und das muss nicht teuer sein? Richtig und man kann ausprobieren. Die HWZ ist mit 70 Mitarbeitern auch ein KMU. Wir probieren aktuell zwei neue Tools aus. Wenn wir sehen, dass sie funktionieren, kommunizieren wir das auch andern weiter. Das funktioniert fast auf Grassroot-Level in kleineren Zusammenhängen sehr gut. Wie sieht das in der Praxis aus?
Das ist ein Modell, welches wir in sehr grossen Unternehmen beobachten können. Die sagen sich, lass doch dem Herrn Lutz seine privaten Dinge auf seinem Handy. Wir installieren darauf einige Programme in einem definierten Bereich, bei dem die Daten abgesperrt und damit sicher sind. Warum bietet sich diese Lösung nicht für kleine Unternehmen an? Das ist in erster Linie eine Budgetfrage. Zudem brauchen sie genügend Datenmaterial, welches sie trennen müssen beziehungsweise können, sonst macht das keinen Sinn. Wenn es nur darum geht, dass sie noch ein Geschäfts-Mail darauf laufen lassen, Kalender-Sharing dort betreiben, ist der Aufwand eindeutig zu hoch. Wie sieht die Lösung in kleinen Unternehmen aus? Das ist ganz einfach und gleichzeitig schwierig. Sie brauchen in erster Linie eine gelebte Sicherheitskultur im Unternehmen. Dabei müssen Mitarbeiter aus allen Bereichen und Hierarchiestufen grundlegende Dinge, aus denen sich Handlungsweisen ableiten lassen, im Kopf haben. Die Anzahl der Mitarbeiter in einem durchschnittlichen Schweizer KMU ist ja überschaubar …
Ganz einfach. In die Drop Box sollten keine Geschäftsdaten. Wir stellen dann auch Tools zur Verfügung, die Alternativen bieten. Es geht dann um eine Firmenlösung, die es an einem Standort gibt, und wo es keine Vermischungen gibt. Der wichtigste Punkt aber sind Schulungen, bei denen das Wissen für die Sicherheitskultur im Unternehmen vermittelt wird. Es gibt Fragerunden, wo man Erfahrungen austauschen kann. Es geht darum, Rahmen zu schaffen, in denen Zeit und Raum zur Verfügung gestellt werden und das Lernen als inspirierend empfunden wird.
Warum soll man dieses Wissen nicht im Unternehmen nutzen? Warum muss man alles extern nach aussen geben? Geben Sie es Frau Müller, die kann es Ihnen erklären und hat daheim das Schnittprogramm «Final Cut Pro». Das ist ihr Hobby. Man kann hier versteckte Schätze heben. Ja, man muss nur energisch nachfragen, und dann meldet sich oft jemand, von dem man es gar nicht erwartet hätte. Das Wissensmanagement ist die grosse Herausforderung für Unternehmen. Ich sehe Ihnen ja auch nicht an, ob Sie Segelexperte sind … Ich kann eine Wende von einer Halse unterscheiden. Bitte, da haben Sie es. Für fast jede Fragestellung findet man im Unternehmen jemanden, der einem weiterhelfen kann. Welche spezifischen Anstösse können Sie hier in der Fachstelle Social Media Management geben? Wir sind schlicht auf ein Bedürfnis eingegangen. Der Studiengang Social Media war und ist ausgebucht. KMU haben viele Fragen. Wir wollten den Rahmen verbessern und gleichzeitig anwendungsorientiert bleiben. Das Center umfasst heute auch weitere Bereiche wie Multi Chanel Management, Mobilität und Business oder Technologien. In Zukunft wollen wir KMU ein umfassendes IT-Rüstzeug mitgeben. Wir wollen KMU fit machen. Das beinhaltet auch ein gutes Risk-Management.
Wie viel Unterstützung braucht es da von aussen? Ich bin ein Verfechter von Austausch innerhalb von Unternehmen. Vor Kurzem hatte ich einen Workshop für ein Schweizer Unternehmen realisiert. Das ist ein typischer KMU-Industriebetrieb. Das gesamte Kader war da. Das Thema war, YouTube-Videos zu erstellen, um Employer Branding zu realisieren. Nach einem spannenden Brainstorming hakte die HR-Verantwortliche ein: «Das klingt gut, kostet aber uns mindestens wieder 7 000 Franken. Dann habe ich gefragt, wer von den 30 Anwesenden privat Videos macht und auch bearbeitet. Sieben Leute haben die Hände gestreckt.
Manuel P. Nappo ist Leiter Fachstelle Social Media Mana gement der Hochschule für Wirtschaft Zürich (HWZ). www.fh-hwz.ch/masdb
Ausgabe 2_2015 // Seite 89