Was auf den ersten Blick nur wenig mit IT-Sicherheit zu tun hat, entpuppt sich schnell als durchaus relevant. Nämlich, wenn wir einen Blick darauf werfen, wie Menschen versuchen einen Ist-Zustand zu ändern. Nur so viel: Es hat mit einem Hinausschießen über das Ziel zu tun. Das passiert im Kleinen wie im Großen - im heimischen Wohnzimmer wie auch im Büro der IT-Leitung eines Unternehmens.
Zu warm, zu kalt, zu langsam
Die kalte Jahreszeit ist da – und mit ihr das Bedürfnis, die Wohnung oder das Büro zu heizen. Denn niemand arbeitet gerne am Rechner oder schaut seine Lieblingsserie, wenn es kalt und ungemütlich ist. Viele von uns werden bereits die Situation erlebt haben, dass ein Kollege oder eine Kollegin (oder auch der Partner) das Büro oder Wohnzimmer fröstelnd und mit den Worten „Puh, ist das kalt hier!“ betritt – und umgehend die Heizung hochdreht. Das passiert entweder, indem der Regler auf “5” gedreht oder das Thermostat auf Maximum gestellt wird. Eine halbe Stunde später kommt der nächste in den Raum und platzt heraus mit „Puh, ist das hier eine Sauna!“.
Szenenwechsel: Ein Unternehmen direkt nach einem Cyberangriff. Die Chefetage hat beschlossen, dass ab sofort ein anderer Wind im Unternehmen weht und setzt strengste Sicherheitskonzepte gnadenlos durch. Weil nach dem Vorfall das komplette Netzwerk praktisch neu aufgebaut werden muss, hat das Management beschlossen: „Jetzt machen wir es gleich von Anfang an richtig!“ Das Ergebnis: Kaum jemand kann auf Daten zugreifen, die für die eigene Tätigkeit gebraucht werden, solange nicht mindestens zwei Vorgesetzte den Zugriff abgesegnet haben. Für jeden Zugriff muss ein internes Ticket erstellt und von der IT-Abteilung bearbeitet werden – auch für solche Dateien und Informationen, für die bereits einmal eine Freigabe erteilt wurde. Alles soll lückenlos dokumentiert und protokolliert werden. Die Produktivität der meisten Abteilungen fällt darauf rapide ab, was natürlich Fragen aufwirft: Warum die Produktivitätseinbrüche? Warum geht alles so langsam? Was kostet diese Langsamkeit das Unternehmen?
Gut gemeint ist nicht gleich gut gemacht
In beiden Fällen führt der Versuch, schnell eine Änderung herbeizuführen, zu einer teils dramatischen Verschlechterung der Situation. Fangen wir bei der Heizung an. Die Hoffnung derer, die die Heizung auf Maximum stellen, ist, dass es schneller warm wird. Das wird es aber in der Regel nicht. Die Temperatur steigt genau so schnell wie sonst, nur dass die Heizung länger an bleibt, um die Temperatur an den neuen Sollwert anzupassen. Es funktioniert nicht wie beim Auto, wo „mehr Gas geben“ auch ein schnelleres Erreichen der Geschwindigkeit bedeutet. Und so wird durch diese „Überkorrektur“ der Kühlschrank zur Sauna.
Auch in unserem fiktiven Unternehmen haben die Verantwortlichen in ihrer Absicht, die Sicherheit zu verbessern, über das Ziel hinausgeschossen. Die Absichten sind in allen zwei Fällen absolut legitim. Aus der Dringlichkeit, mit der der empfundene oder tatsächliche Missstand behoben werden sollte, ergibt sich unmittelbar die Heftigkeit der angestrebten Korrektur. Diese lässt jedoch die Dynamik des zu korrigierenden Systems außer Acht. Zum einen gibt es ein gewisses Trägheits- und Verzögerungsmoment, mit dem Änderungen oder Korrekturen tatsächlich ankommen. Hier lauert die erste Falle: Im Glauben, mit einer stärkeren Korrektur-Aktion („Thermostat bis zum Anschlag aufdrehen“) eine schnellere Korrektur zu erwirken, wird der Ist-Zustand „überkorrigiert“. Im Falle einer Heizung ist es dann zwar nicht mehr zu kalt im Raum, dafür aber deutlich zu warm. Eine gleich geartete Korrektur führt jedoch schnell wieder ins andere Extrem, und so schaukelt sich das Ganze auf.
Sanfte Korrektur statt Hau-Ruck
In unserem fiktiven Unternehmen schlägt die eher laxe Arbeitspraxis von einem Tag auf den anderen in eine maximal restriktive Praxis um. Ziel ist es, unerwünschte Zugriffe zu unterbinden, um Sicherheitsvorfälle zu verhindern. Sowohl das Protokollieren von Zugriffen als auch die Verhinderung von Sicherheitsvorfällen sind legitime Anliegen. Doch der hier verfolgte Ansatz schränkt den Arbeitsbetrieb massiv ein. Das ist nun auch wieder nicht im Sinne des Unternehmens. Dazu kommt: Angestellte versuchen mit der Zeit, Sicherheitsmaßnahmen zu umgehen. Die Unternehmensleitung schafft sich somit unbeabsichtigt neue Gegner, die die neue Sicherheits-Policy aktiv zu unterwandern versuchen.
Einen schlechten Ist-Zustand zu korrigieren, erfordert bedachtes Vorgehen statt einer „Hau-Ruck“–Strategie. Auch wenn der Leidensdruck gerade unaushaltbar scheint. Eine zu hastige und drastische Korrektur führt unweigerlich zu Problemen. Es ist wie beim Autofahren: Wenn es nur schleppend vorangeht, bringt es nichts, das Gaspedal bis zum Bodenblech zu treten. Das führt nur dazu, dass die Bremsen umso stärker beansprucht werden.
Behutsames, aber entschlossenes Vorgehen ist der Schlüssel. Eine sofortige Besserung zu erzielen, ist meistens nicht möglich. Eine Heizung muss erst warm werden, und eine neue Sammlung an Prozessen muss zunächst Zeit haben, eine Wirkung zu entfalten. Wer diese Zeit nicht abwartet, riskiert ein Resultat, das seinerseits wieder korrigiert werden muss. Um bei unserem Beispiel mit der Heizung zu bleiben: Wer die Heizung bis zum Anschlag aufdreht und sich unter mehrere dicke Decken begibt, weil es gerade kalt ist, geht das Risiko ein, kurz darauf, zu schwitzen.
