Information Technology Reference
In-Depth Information
Diese Eskalationsstufen sind alle auf der Security-Bühne anzutreffen und müssen
entsprechend behandelt werden, um den Schritt auf die nächste Stufe zu
verhindern. Dazu sollte man für alle Konflikte, die sich in Phase 2 befinden ein
aktives Konflikt-Monitoring betreiben. In Tabelle 5-3 wird ein Beispiel Schritt für
Schritt durchgespielt.
Die dritte Eskalationsstufe ist die erste, die ein Sicherheitsrisiko darstellt, dass mit
jeder Stufe weiter wächst. Diese Eskalationsstufen müssen mit der Geschäfts- oder
Behördenleitung besprochen werden. Ziel dieser Absprache ist es, ein
gemeinsames Verständnis zu Maßnahmen für die einzelnen Eskalationsstufen zu
erreichen. Das Sicherheitsteam muss sich dieser Maßnahmen rückversichern und
sich der Unterstützung des Chefs sicher sein. Diese Art von Konflikten beinhalten
erhebliche Risiken für die Firma oder die Behörde. In letzter Konsequenz sind sie
sogar existenzbedrohend.
Auf der Stufe
Taten statt Worte
brauchen Sicherheitsprofis erste Unterstützung von
Vorgesetzten der Linienorganisation. Dem Mitarbeiter muss klar gemacht werden,
dass er dabei ist eine Grenze zu überschreiten, die nicht akzeptiert wird. Man darf
dabei aber nicht zu hoch ansetzen und dafür sorgen, dass der nächste
unzufriedene Mitarbeiter den Prozess durch die Stufen 3 bis 6 nur im Geiste
durchmacht, weil er schlimme Sanktionen befürchtet und dann - auf Stufe 7
angekommen - direkt die Sicherungen für den Serverraum raushaut. Daher
müssen die Sanktionen dosiert werden und auch für die letzten Stufen der
Konflikt-Leiter muss noch eine Steigerungsmöglichkeit vorhanden sein. Wer gleich
zu Beginn mit der Kündigung droht, und diese dann nicht umsetzen kann, der
verliert alle Möglichkeiten, steuernd auf die Eskalation des Konflikts einwirken zu
können.
5.2.1 Fallbeispiel: Die ExAmple AG „eskaliert“
Die Datenschutzbeauftragte Alice, der IT-Sicherheitsbeauftragten Bob und Dave,
der Sicherheitsbeauftragte haben sich darauf verständigt, dass sie eine klare Linie
brauchen, wie im Unternehmen mit eskalierenden Security-Konflikten
umgegangen werden soll. Der Chef ist einverstanden. Er hat im Laufe der letzten
Zeit, mit Vorführungen, Pen-Tests und Awareness-Kampagnen eingesehen, dass
die drei Unterstützung von ihm brauchen. Er will von seinem Security-Team
„einen Vorschlag, wie mit renitenten Mitarbeitern umgegangen werden soll“
.
Alice, Bob und Dave sind sich einig, dass sie die Probleme in der ersten Phase der
Eskalationsstufen selbst meistern können. Wenn sich ein Mitarbeiter gegen eine
Maßnahme auflehnt, wollen sie mit ihm oder ihr ein klärendes Gespräch führen,
mit dem Ziel ein gemeinsam erarbeitetes Protokoll zu erstellen, in dem das
Ergebnis dokumentiert wird. Spätestens jedoch, wenn ein Mitarbeiter versucht,
