IT-Security in der Produktion

Security-Awareness richtig planen und vermitteln

25.06.2020
Von   IDG ExpertenNetzwerk

Harald Kesberg ist Kommunikations- und Unternehmensberater in Bonn. Seine Schwerpunkte sind die Gestaltung und Begleitung des Innovations- und Wissenstransfers mit inhaltlicher Ausrichtung auf Digitale Transformation, IT-Sicherheit und Industrial Security. Seine Themen sind unter anderem Sensibilisierung und Awareness, Qualifizierung, Change- und Führungskommunikation sowie Entwicklung neuer Rollenbilder und Work 4.0.

Rechtzeitig relevante Stakeholder einbinden

Awareness- und Qualifizierungsmaßnahmen im Produktionsbereich sind ein komplexes Multi-Stakeholder-Projekt. Um erfolgreich zu sein, gilt es, zahlreiche Interessensgruppen im Unternehmen einzubinden und deren Zusammenarbeit zu koordinieren. Auf der "gestaltenden" Seite sind unterschiedliche Fachbereiche und Hierarchiestufen beteiligt, darunter unter anderem IT, HR, Kommunikation, Training und Arbeitnehmervertretung. Hinzu kommen noch die unterschiedlichsten Anwender-Zielgruppen und Domänen wie etwa Office, Fertigung, Einkauf, Controlling, Logistik und Revision.

Hilfreich ist es, die Stakeholder frühzeitig einzubeziehen und gegebenenfalls ein Steering Committee aufzusetzen, in dem die wesentlichen Stakeholder einschließlich des Betriebsrats vertreten sind. Insbesondere im Verhältnis zwischen der Zentrale und Werken oder anderen Produktionsstätten kann es aufgrund unterschiedlicher Unternehmenskulturen und Interessenlagen zu Widerständen kommen. Die Bedürfnisse und individuellen Charakteristika der Produktion müssen berücksichtigt und gewürdigt werden. Vertreter der Zielgruppen aus der Fertigung gilt es daher, rechtzeitig aktiv in das Projekt einzubinden.

Eine differenzierte Lernzielmatrix erstellen

Eine entscheidende Frage bei der Planung lautet: Wer muss was in welcher Tiefe wie vermittelt bekommen? Nicht jeder Mitarbeiter braucht dasselbe Wissen an seinem Arbeitsplatz.

Eine differenzierte Zielgruppenmatrix hilft dabei, die Antwort zu finden. In ihr können die verschiedenen zu vermittelnden Sicherheitsthemen und vielfältigen Zielgruppen klar aufgeschlüsselt und einander zugeordnet werden. Um die Awareness- und Qualifizierungsmaßnahmen maßgeschneidert für derart heterogene Zielgruppen zu konzipieren, ist erneut Kommunikationsstärke gefragt. In Interviews mit Experten lassen sich die einzelnen Zielgruppen definieren und abgrenzen. Anschließend gilt es, mit diesen Zielgruppen selbst Gespräche zu führen um die Inhalte, die jeweils nötige Vermittlungstiefe und passende Ansprache festzustellen.

Unternehmenskultur berücksichtigen und aktiv gestalten

Ähnlich wie im Safety-Umfeld hängen die Unternehmenskultur und das Niveau an IT-Security eng miteinander zusammen. Eine fortgeschrittene, kooperativ orientierte Unternehmenskultur wirkt sich positiv auf das IT-Sicherheitsniveau aus.

Im besten Fall werden Security-Schulungen mit Maßnahmen verbunden um eine kooperative Unternehmenskultur aufzubauen. Dazu zählen beispielsweise Fehlerkultur und Eigenverantwortlichkeit der Mitarbeiter. Motiviertes Personal in Verbindung mit entsprechenden Qualifizierungsmaßnahmen sind der beste Garant für ein adäquates Sicherheitsbewusstsein.

Praxisbezug und Umsetzbarkeit

Nachdem die Inhalte der Schulungen definiert sind, gilt es, die praktische Umsetzung zu planen. Hier sollte beachtet werden, dass Ausfallszeiten in der Produktion eine große Rolle spielen. Daher müssen die einzelnen Maßnahmen möglichst so anberaumt und durchgeführt werden, dass der reguläre Betrieb so wenig wie möglich eingeschränkt wird.

Bevor IT-Sicherheitsrelevante Handlungsvorschriften und Anweisungen vermittelt werden, sollte geprüft werden, ob die technischen Rahmenbedingungen für die Umsetzung überhaupt gegeben sind. So ist es beispielsweise denkbar, dass Mitarbeiter zur Arbeitsplanung WhatsApp auf privaten Smartphones verwenden, obwohl dies offiziell untersagt ist. Grund dafür kann sein, dass keine alternativen Tools verfügbar sind. Derartige Inkonsistenzen gilt es zu prüfen und zu vermeiden, da dadurch die Glaubwürdigkeit von Awareness- und Qualifizierungsmaßnahmen grundsätzlich konterkariert wird.

In den Schulungen selbst sollte der direkte Zusammenhang und die Bedeutung von IT-Sicherheit und Produktion deutlich zu erkennen sein. Hier ist es hilfreich, die Informationen über praktische Schadenszenarien oder Schadensfälle, die bereits eingetreten sind, zu vermitteln.