Verständnis für den Chef

Verständnis für den Chef

Angst vorm Vorstand und Probleme mit dem Risiko

Keyfacts über KPI

  • Die IT-Abteilung wird vom CEO nicht verstanden
  • Virenangriffe pro Woche sind keine Kennzahl
  • Manager haben oft Angst vorm Vorstand
Zusammenfassung lesen

Darf der Chef der IT-Abteilung dem CEO Zahlen schicken, obwohl er oft keine Ahnung von dem hat, was sie bedeuten? Ein Tag mit IT-Sicherheitsexperte Hans-Peter Fischer auf der Rethink! ITIS 2016.

Hans-Peter Fischer spricht schnell, in regelmäßigen Abständen legt er den Zeigefinger auf den Mund – es rattert in ihm, es wirkt fast so, als hätte er zu viel zu erzählen für einen Nachmittag, als müsste er immer mal wieder aussortieren: „Die Probleme deutscher Unternehmen, ob klein oder groß, mit Cybersecurity umfassen die gesamte Bandbreite – einige haben bereits umfangreiche Erfahrungen gemacht, andere sind da noch völlig grün hinter den Ohren“, sagt er. Auf der Rethink! ITIS 2016 schüttelt er Hände, beruhigt vor allem die Nerven vieler CIOs und erklärt, warum die IT-Abteilung in Unternehmen oft nicht verstanden wird – weil sie nicht die Sprache des Vorstands spricht.

„Die IT-Abteilung soll den Laden gegenüber Angriffen dicht machen. Wie gut diese Arbeit tatsächlich ist, zeigt sich in den Reportings an übergeordnete Stellen. Das ist ihre Visitenkarte. Hier muss man ansetzen: Stecken in der Präsentation die Informationen, die auch den Vorstand interessieren?“ Immer wieder hört Fischer in Vorträgen Schadensummen in Billionenhöhe, die Hackerangriffe weltweit verursachen oder Kunden berichten ihm, wie viele Angriffe in der Woche auf hausinterne Systeme gestartet wurden. „Langweilig“, winkt Fischer ab, „wer soll sich darunter etwas vorstellen können. Solange die Unternehmen nicht betroffen sind, ist dem CEO das herzlich egal.“

Denn mit der neuen Zeit, dem Computer und der Digitalisierung, kamen auch die Probleme: Der Hacker im Rechenzentrum beispielsweise. Es geht um nichts Geringes als Kundendaten, Hausinterna und somit schließlich auch die Unternehmensreputation.

Zahlenprobleme

Mitten in die Ausführungen des IT-Sicherheitsexperten platzt ein Besucher, er arbeitet für einen örtlichen Wasserversorger: „Mit ihren Aussagen, dass KPIs keine Hype-Themen sind, bin ich nicht einverstanden“, eröffnet er. Über Fischers Gesicht huscht ein kurzes Lächeln – eine ausführliche Antwort wird er später geben. Für den Moment braucht es das Gegenargument, die klare Antwort: „Ich sehe, mein Vortrag hat sie bewegt: Natürlich sind Reportings und KPIs von der IT-Abteilung Hype-Themen, aber sie interessieren den Vorstand oftmals nicht. Was soll er mit den ganzen Zahlen anfangen?  Wissen Sie immer, welche Kennzahlen auf ihre Präsentation gehören?“ – fünf Sekunden Pause.

Vorstandsprobleme

So geht es Fischer noch öfter an diesem Tag. Auf der Rethink! ITIS 2016 leitet er auch eine der fünf Sessions – Risikomanagement und Security Reporting. Einige Teilnehmer widersprechen gleich in der ersten Runde: „Am besten, wir berichten gar nicht an den Vorstand, denn wenn es keine Meldung von uns gibt, wissen die da oben, dass alles seinen Gang geht.“ „Einspruch!“, Marko Vogel hat sich eingeschaltet. Er unterstützt Fischer bei den Sessions. „Das liegt daran, dass viele Kollegen von ihnen dem Vorstand aufschreiben, wie viele Virenangriffe es gab, aber was soll der daraus ableiten. Ist alles in Ordnung, ist das System sicher?“, so Vogel weiter.

„Haben sie noch die schönen Diagramme, in denen 100 das Maximum ist? Wer von ihnen hat aber das Maximum bestimmt?“, die Leute schmunzeln. Vogel hebt, wenn er spricht, ab und an den Zeigefinger – fast so, als würde er ihn direkt in eine klaffende Wunde legen wollen.

„Ich kenne den Vorstand gar nicht persönlich“, entgegnet ein Manager, er arbeitet bei einem großen Bankhaus. „Das ist der erste Fehler, da müssen sie ran, suchen sie den Dialog und werben für ihre Sache. Es ist ganz und gar nicht unwichtig, was sie da jeden Tag machen, denn irgendwann wird auch ihr Unternehmen von einem Cyberangriff betroffen sein“, rät ihm Vogel.

„Der Mensch neigt zu einer verschobenen Risikowahrnehmung. Ein Beispiel: Die Leute haben Angst vor Blitz und Donner, dabei sterben jährlich mehr Menschen durch Steckdosen, so ist es auch bei vielen Vorständen in Bezug auf Cybersecurity“, wird Fischer hinterher sagen und dabei wieder kurz schmunzeln.

25. April 2016
Zusammengefasst

»Die IT-Abteilung soll den Laden gegenüber Angriffen dicht machen, wie gut diese Arbeit tatsächlich ist, zeigt sich in den Reportings an übergeordnete Stellen.«

Hans-Fischer fährt durch die Republik, berät Mittelstandsunternehmen und Konzerne zu einer der dringendsten Fragen der Digitalisierung - Cybersecurity.  Auf der Rethink! ITIS 2016 sprach er mit Vertretern aus allen Bereichen. Ein Kernproblem: Oft interessieren die CEOs die Zahlen nicht. Zum einen, weil sie damit nichts anfangen können, zum anderen, weil sie gerade andere Probleme haben. Dabei muss genau das laut Fischer im Vorstandszimmer diskutiert werden.

Hans-Peter Fischer Partner, Security Consulting
Ganzen Artikel lesen

Kommentare

Wieso trauen sich viele nicht, den Chef anzusprechen?

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen