Fast zwei Wochen ging im Landkreis Anhalt-Bitterfeld gar nichts. Kein E-Mail-Programm funktionierte, keine Leistungen konnten ausbezahlt werden, nicht einmal die Telefone gingen. Eine Verschlüsselungssoftware, sogenannte Ransomware, verhinderte den Zugriff auf Systeme und Daten. Im gleichen Monat traf ein solcher Angriff weltweit gleich mehrere Unternehmen, in Schweden musste eine ganze Supermarktkette ihre Läden schließen, weil die Kassensysteme nicht mehr funktionierten, in Deutschland war die Lebensmittelkette Tegut betroffen.
Laut Bitkom beläuft sich der durch solche Angriffe im vergangenen Jahr entstandene Gesamtschaden in Deutschland auf 223 Milliarden Euro. Und das sind nur die dokumentierten Fälle, die Dunkelziffer dürfte wesentlich höher liegen. Während große Unternehmen und Konzerne bereits heute viele Ressourcen in die Sicherheit ihrer Systeme stecken, haben insbesondere kleine und mittelständische Unternehmen einen großen Nachholbedarf. Hackergruppen haben das längst erkannt und gehen gezielt auf eben diese los. Denn allzu häufig ist für die Cybersecurity dieser Unternehmen nur eine Person oder eine kleine Gruppe zuständig, die wiederum entkoppelt von anderen Fachbereichen agiert. Und genau hier liegt das Problem: Obwohl die Sicherheit essenziell ist, wird sie zu oft getrennt von der Gesamtstrategie betrachtet. Denn am Ende geht es gar nicht nur um die beste Firewall oder das beste Abwehrsystem. Vielmehr geht es darum, im ganzen Unternehmen eine Sensibilisierung für die alltägliche Bedrohung, die entsprechenden Vorkehrungen und Handlungsoptionen zu schaffen.
Häufig können Unternehmen in Bezug auf Cybersecurity nur reagieren, also eingreifen, wenn Lücken erkennbar werden oder der Ernstfall eintritt. Für Teams und Mitarbeitende im Bereich der Cybersecurity ist es eine große Herausforderung, die immer komplexer werdende Applikationslandschaft adäquat zu schützen. Sie sind selten eng mit der Unternehmensstrategie verzahnt und können die Cybersicherheit als Folge nicht aktiv, sondern meist nur reaktiv steuern.
Um aktiv zu werden, lohnt sich ein Blick in die Methodenkiste: Das Arbeiten mit OKR, kurz für Objectives und Key-Results, ist eine Möglichkeit, sich dem Thema anzunähern und das Monstrum Cybersicherheit in einzelne, nachvollziehbare und machbare Bausteine aufzuspalten. OKR geben Organisationen die Möglichkeit, sehr flexibel auf Situationen zu reagieren. Statt Strategiezyklen über Jahre anzulegen, erlaubt diese Methode es, die einzelnen Zyklen auf drei oder auch nur einen Monat anzulegen, ohne dabei das allgemeine Ziel, das Objective, aus den Augen zu verlieren. Im Gegenteil: Die einzelnen Schritte machen das große Ziel besser verdaulich. Aufgaben werden innerhalb von Teams sinnvoll aufgeteilt, die Transparenz wird erhöht und für ein größeres Commitment wird auch gesorgt. Die Methode fördert auf diese Weise Innovationen und auch die Akzeptanz von Maßnahmen innerhalb des Teams. Zudem kann sie helfen, die Lücke zwischen Führungs- und Teamebene zu schließen, da sie den Austausch insgesamt fördert. Im wöchentlichen Rhythmus werden Ziele getrackt und über Hürden gesprochen, sodass im Zweifel nachjustiert werden kann. Das gesamte Team kennt die wichtigsten Themen und fokussiert sich auf die Erreichung der Ziele. Durch die engmaschige Steuerung und regelmäßige Reflektion der Ziele im Prozess entsteht die Möglichkeit, kurzfristig auf sich verändernde Rahmenbedingungen zu reagieren und nachzusteuern. Mithilfe von OKR kann außerdem überprüft und gemessen werden, welche eingesetzten Maßnahmen zum Erfolg führen und welche nicht.
In Bezug auf die Sicherheitsstrategie eines Unternehmens gilt für die OKR-Methode das Gleiche: Statt weiterhin in Silos zu arbeiten und damit die einzelnen Teams und Abteilungen parallel laufen zu lassen, bieten OKR die Möglichkeit, diese Lücken zu schließen und die Steuerung des gesamten Sicherheitsapparats so deutlich zu modifizieren. Die Zielgerichtetheit der Maßnahmen verbessert so langfristig die Cybersecurity.
Verantwortung statt Micromanagement
Wo aber anfangen? In einem ersten Schritt muss es zunächst darum gehen, anhand einer Reifegradprüfung – zum Beispiel mit dem Assessment-Tool für den IKT-Minimalstandard des Schweizer Bundesamts für wirtschaftliche Landesversorgung – herauszufinden, wo das Unternehmen steht. Dabei wird nach unterschiedlichen Reifegraden unterschieden, die sich darauf beziehen, wie weit das Unternehmen bei der Erreichung der jeweiligen Sicherheitsstufen ist. Die unterschiedlichen Reifegrade wiederum lassen sich in Key-Results runterbrechen, die am Ende auf ein Jahres-Objective einzahlen. Wenn eine Organisation also feststellt, dass sie aktuell bei Reifegradstufe 2 steht, kann ein Objective sein, bis zu einem bestimmten Zeitpunkt den Reifegrad 3 zu erreichen. Im nächsten Schritt geht es dann darum, die konkreten Aktivitäten zu definieren, die zur Erreichung des Ziels notwendig sind. So entstehen die Key-Results.
Diese Methode eignet sich besonders gut in selbst-organisierten Teams. Führungskräfte haben so die Möglichkeit, ihre Teams vollständig in alle Prozesse einzubinden und gleichzeitig die Steuerung zu behalten. Micromanagement ist bei dieser Methode also fehl am Platz. Vielmehr geht es darum, den einzelnen Teammitgliedern Verantwortung für ihre jeweiligen Aufgaben zu übertragen und als Führungskraft die Verbindung zu den anderen Teams des Unternehmens zu sein und die Probleme und Herausforderungen zu eruieren, die das Team daran hindern, die Ziele zu erreichen.
Doch gerade bei der OKR-Methode ist auch Vorsicht geboten: Allzu gerne nutzen Organisationen dieses Tool, ohne dass es sinnvoll wäre. Wenn zum Beispiel Standardtasks auf einmal in OKR übersetzt werden, geht es schnell ins reine Performancemanagement und das Tracking einzelner Leistungen. Auch besteht die Gefahr einer hohen Komplexität durch zu viele einzelne und diversifizierte Themenbereiche.
Wenn es aber darum geht, dezentrale Teams zu koordinieren, Leute und Wissen zusammenzubringen und einen flüssigen Security-Prozess aufzusetzen, dann kann OKR die richtige Methode sein. Denn Prävention, Reaktion und Evaluation sind elementar für die Cybersicherheit und die wiederum für die Sicherheit des Unternehmens an sich.
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!