PDF zurück

Sicherheit zwischen 0 und 1

# Herausforderung Cybersecurity

Wenn es ein Thema gibt, das in einer zunehmend digitalisierten Welt zu einer immer größeren Herausforderung wird, dann das der Sicherheit.

In ihrem „Scoping Paper Cybersecurity“ vom 29. Januar 2016 stellt die Europäische Kommission dazu fest:

„As digital technologies become more used in economic, social and governance matters, cyber-attacks will become a bigger challenge for companies, states and individuals.” European Commission, Scoping Paper Cybersecurity 2016

“With the fast continuing evolution of information and communication technologies (ICT), the cybersecurity challenge will grow in importance. As ICT becomes integrated to almost every facet of modern society, enormous opportunities for innovation are created. ICT enables new solutions to major societal challenges and drives economic growth. Cybersecurity is part of a much broader transformation across society driven by information and communication technologies, where ’digital hyper connectivity‘ refers to the increasing or exponential rate at which people, processes and things are connecting to the Internet.

In addition, cyber incidents and attacks can disrupt the supply of essential services for our societies, since digital technologies are complex and underpin other systems and services, like finance, health, energy, transport. Providing security to our citizens is a common European responsibility. This increasingly becomes also a question of cybersecurity.“ (European Commission)

Bemerkenswert an dieser Entwicklung ist, dass viele digitale Technologien zunächst den Anschein von mehr Sicherheit auslösen.

So ermöglichen beispielsweise digitale Kameras in Verbindung mit Home Apps, dass man selbst aus tausend Kilometer Distanz sein Zuhause problemlos per Smartphone oder Tablet vom Urlaubsort aus überwachen kann. Leider hat sich inzwischen nicht nur gezeigt, dass genau diese digitalen Sicherheitssysteme häufig von Hackern dafür missbraucht werden, um nach einem Hack selbst einmal ins Innere der Wohnung zu schauen und festzustellen, ob jemand zu Hause ist oder eben nicht. Eine Technologie, die scheinbare Sicherheit schaffen soll, wird somit zum Bumerang, die sich ins Gegenteil verkehrt.

Gleiches gilt auch für die Technologie des autonomen Fahrens. Als sich erste Unfälle ereigneten, die mit digitalen Fahrassistenten in Zusammenhang standen, gab es im Internet Kommentare, die darauf hinwiesen, dass dabei Ultraschallsensoren eingesetzt würden, die auch für automatisches Einparken verwendet würden. Einparken mit Hilfe von Sensoren ist jedoch etwas ganz Anderes als mit eben diesen Sensoren mit 200 km/h teilautonom über die Autobahn zu rasen.

Digitale Sicherheit ist also kein Selbstläufer. Sie verlangt vielmehr ein erhöhtes Sicherheitsbewusstsein auf Seiten der Nutzer wie Hersteller. Digital orientierte Führungskräfte müssen daher Sicherheitsthemen beherzt angehen. Hier besteht allerdings noch ordentlicher Aufholbedarf, denn zum Teil wird heute noch mit hoher Naivität agiert.

Drei Beispiele hierzu:

1. Beispiel: Distributed Denial of Service

Immer häufiger werden Webseiten von Unternehmen gehackt. Kaum ein Unternehmen, das bisher noch nicht davon betroffen gewesen ist. Inzwischen hat sich daraus auch ein lukratives Geschäftsmodell entwickelt. „Warum Du DAX-Unternehmen hacken sollst? Weil sie Dich darum bitten“, so lautet etwa die aktuelle Personalwerbung eines Dienstleisters im IT-Bereich.

Dass selbst ein solches pro-aktives „Selbst-Hacking“ mehr und mehr an seine Grenzen stößt, belegt das Beispiel der sogenannten DDoS-Angriffe (Distributed Denial of Service). Bei dieser Form der Attacke werden Webseiten mit so vielen Anfragen überhäuft, dass sie diese nicht mehr verarbeiten können. Die Konsequenz: Die Seiten brechen zusammen.

Das Interessante daran ist: Es sind keinesfalls nur die „Old Economy Unternehmen“, die von derartigen Attacken in die Knie gezwungen werden, sondern immer häufiger auch die digitalen Vorreiter selbst. So waren etwa durch den DDoS Angriff im Oktober 2016 vor allem Seiten wie Twitter, Spotify, Reddit, Github, Netflix und Soundcloud betroffen, alles reine Digitalunternehmen, deren Nutzerzahlen im dreistelligen Millionenbereich liegen.

Auch Firmen wie PayPal, Linkedin und zuletzt Yahoo haben bitter erfahren müssen, was es bedeutet, wenn ihre Seiten gehackt werden. Davon sind dann nicht nur sie wirtschaftlich betroffen, sondern mindestens genauso ihre Kunden. Meist sind derartige Hacks nämlich mit massivem Datendiebstahl verbunden.

Gegen die wirklich geschicktesten Hacker-Angriffe ist vermutlich niemand gefeit. Allerdings kann man die Wahrscheinlichkeit eines solchen Angriffs mit gezielten Maßnahmen deutlich reduzieren.

Wenn etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI), wie jüngst geschehen, darauf hinweist, dass in den letzten Monaten „über 1000 deutsche Online-Shops“ über eine in den JavaScript-Code eingeführte Skimming-Funktion „infiziert und angezapft“ wurden und Kriminelle dabei „Kundendaten und Zahlungsinformationen“ abziehen „und das zum Teil schon seit Monaten“, obwohl die entsprechenden Lücken in den Shopsystemen vielen Betreibern seit Monaten bekannt waren und sie nicht reagiert haben, obwohl sie nach § 13 Absatz 7 des Telemediengesetzes eigentlich dazu verpflichtet wären, „ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen“, dann wirft dass doch ein sehr schwaches Bild auf die Art und Weise, wie diese Shopbetreiber mit Sicherheitsthemen umgehen.

Noch verzeihen Kunden ihren Anbietern erstaunlich oft, wenn es zu solchen Datenverlusten kommt. Es ist aber höchst wahrscheinlich, dass bald auch das Bewusstsein der Kunden für Datensicherheitsthemen steigen wird und damit auch die Wahrscheinlichkeit, dass sie ihre Kaufentscheidung zukünftig mehr und mehr auch von Sicherheitsthemen abhängig machen werden.

Grund genug für Unternehmen also, in dieses Thema zukünftig deutlich mehr Bewusstsein, Zeit und auch Geld zu investieren als bisher.

2. Beispiel: Internet of Insecure Things

Das Internet der Dinge – also die zunehmende Vernetzung und Smartifizierung von Objekten – gilt als nächster großer Hoffnungsbringer in der fortschreitenden Digitalisierung. Das Problem dabei ist nur: Viele dieser vernetzten Dinge sind noch weniger gegen Angriffe von außen geschützt wie etwas PCs oder Smartphones. Grund hierfür ist nicht nur eine fast schon erschreckende Sorglosigkeit mancher Hersteller, sondern vor allem auch ein unzureichendes Qualitätsverständnis auf Seiten vieler Anbieter.

Die Konsequenz: Aus Kostengründen und falschem Effizienzstreben heraus werden die neuen digitalen Produkte (vom digitalen Fön über die digitale Waschmaschine bis hin zur vernetzten CNC-Maschine und zur vernetzten Herz-Rhythmus-Maschine im Krankenhaus) einfach zu wenig geschützt.

Es kommt selten vor, dass sich in den heutigen wirtschaftsliberalen Zeiten eine staatliche Institution in die Belange der freien Wirtschaft einmischt. Aber vor dem Hintergrund zunehmender, häufig von globalen Bot-Netzen gesteuerten Attacken auch auf das Internet der Dinge hat jüngst das Bundesamt für Sicherheit in der Informationswirtschaft (kurz BSI) die Unternehmen aufgefordert, mehr in das Thema Sicherheit zu investieren:

Geräte wie Netzwerkkameras, Drucker oder TV-Empfänger fänden im Zuge des Internets der Dinge (Internet of Things, IoT) immer größere Verbreitung. „Die meisten dieser Geräte sind im Auslieferungszustand unzureichend gegen Cyber-Angriffe geschützt und können somit von Angreifern leicht übernommen und für Straftaten missbraucht werden“, so BSI-Präsident Arne Schönbohm in einer Stellungnahme.

Die jüngsten Angriffe auf IT-Dienstleister würden zeigen, „dass die Digitalisierung ohne Cyber-Sicherheit nicht erfolgreich sein wird“. Hersteller sollten bei der Entwicklung neuer digitalisierter Produkte daher nicht nur auf funktionale und preisliche Aspekte achten, so Arne Schönbohm weiter, sondern unbedingt auch Sicherheitsaspekte einbeziehen.

Dafür muss so manche Führungskraft jedoch erst einmal eine falsche Technologiegläubigkeit ablegen. Viele glauben nämlich daran, dass sich auf Basis neuer vernetzter digitaler Technologien im Prinzip alle Sicherheitsprobleme quasi automatisch lösen lassen. Ein Beispiel hierfür lieferte Frank Fitzek, Professor für Kommunikationsnetze an der TU Dresden und Chairman des 5G Lab Germany jüngst im Rahmen des CEO Roundtable auf der electronica 2016. Dort stellte er ganz in diesem Sinne fest: „Die Vernetzung ist nicht das Risiko, sondern die Lösung!“

„Im Vertrauen darauf, dass das Netz schon alle Probleme selbst lösen könne, offenbart sich ein gefährlicher, fast schon religiöser Glaube an die Allmacht des Internets.“ d.lead

Sicher ist es richtig, dass herkömmliche Sicherheitslösungen, die vornehmlich auf den Prinzipien der Zentralität oder auf „end-to-end“-Kommunikation aufsetzen in Zeiten eines „Internets of Everywhere“ zunehmend an ihre Grenzen stoßen. Dennoch offenbart sich im Vertrauen darauf, dass das Netz schon alle Probleme selbst lösen könne, ein gefährlicher, fast schon religiöser Glaube an die Allmacht des Internets.

Ein autonom fahrendes Auto, dessen Sicherheit allein von einem übergeordneten Netz, welches das Auto steuert, abhängig ist? Kaum verstellbar. Auch und gerade in Zeiten der erhöhten Vernetzung sind mehr denn je geschützte Systeme und Objekte vonnöten, die eben auch unabhängig vom Netz funktionieren und so Sicherheit bieten können.

Das Netz allein kann jedenfalls kaum die Sicherheit bieten, die wir morgen brauchen werden. Eher schon die Unternehmen, die sich an dessen Entwicklung (z.B. im Kontext 5G) beteiligen, wie auch die Regulierungsbehörden, die hierfür die Standards und Regeln aufstellen.

Ein Toaster ohne „CE“-Label? In europäischen Märkten so gut wie unverkäuflich. Warum gibt es derartige Sicherheitsstandards nicht auch im Bereich der digitalen Kommunikation, so die berechtigte Frage eines Zuhörers der Podiumsdiskussion auf der electronica 2016.

3. Beispiel: Nackt im Netz

Unter der Überschrift „Plötzlich nackt im Netz“ berichtete ein Reporter der Süddeutschen Zeitung im Oktober 2015 darüber, wie er plötzlich feststellen musste, dass seine gesamte Webhistorie der vergangenen Monate zum Kauf im Internet angeboten wurde. Dahinter steckten, laut Recherchen des NDR, offenbar Browsererweiterungen, welche User ausspähen und die Daten anschließend im Internet weiterverkaufen. Eine dieser Erweiterungen trug dabei ironischerweise den Namen „Web of Trust“.

In den käuflichen Browserdaten waren nach Angaben der Medien nicht nur Daten von Privatleuten, sondern auch von Journalisten, Politikern und Managern enthalten. Erschreckend daran ist nicht nur, wie einfach es heute offensichtlich ist, an Daten von Nutzern zu gelangen, sondern auch welche enormen weiterführenden Risiken damit verbunden sind, z.B. dann wenn diese Daten als Basis für Desinformation, unlautere Wettbewerbspraktiken, Wirtschaftsspionage bis hin zu Erpressung genutzt werden.

Berücksichtigt man, wie stark etwa der amerikanische Präsidentschaftswahlkampf durch Veröffentlichung von persönlichen Daten beeinflusst wurde, dann wird deutlich, welche erheblichen Destablisierungspotenziale von Politik und Wirtschaft mit derartigen Diebstählen persönlicher Daten verbunden sind.

# Neues Sicherheitsbewusstsein in Unternehmen

Unternehmen kommen leider nicht umhin, vor dem Hintergrund zunehmender Sicherheitsrisiken ihr Bewusstsein für Sicherheitsthemen deutlich zu schärfen und entsprechende Vorkehrungen zu treffen. Das betrifft sowohl den Schutz eigener wichtiger Daten, als auch den ihrer Kunden.

Bereits heute schätzen Experten, dass die jährlichen Schäden durch Sicherheitsthemen wie Datendiebstahl und Malware bei über 400 Milliarden US$ angesiedelt sind. Die Unternehmensberatung Accenture geht in einer jüngeren Studie sogar noch weiter und schätzt, dass Unternehmen aktuell ca. 84 Milliarden US$ im Jahr dafür ausgegeben, sich alleine vor Risiken des Datendiebstahls zu schützen, ein Phänomen, dessen Gesamtschaden für die Wirtschaft von Accenture auf über 2 Billiarden US$ jährlich eingeschätzt wird. Bis 2030 drohe dieser Schaden auf 90 Billiarden US$ anzuwachsen, wenn sich der aktuelle Trend fortsetze, so Accenture.

# Jenseits der Paranoia

So wichtig ein zunehmendes Sicherheitsstreben in Zeiten der Digitalisierung ohne Zweifel ist und je wichtiger es ist, dass Unternehmen hier die entsprechenden Vorkehrungen treffen, um nicht nur sich, sondern auch ihre Kunden zu schützen, so sollte man dennoch aufpassen, dass aus diesem Sicherheitsbewusstsein keine Paranoia wird.

„Auch wenn sich Unternehmen heute deutlich aktiver um ihre Cybersicherheit kümmern müssen als bisher, dürfen sie dabei keine Paranoia entwickeln.“ d.lead

Es ist zwar in Mode gekommen, von „gesunder Paranoia“ in Zeiten der Digitalisierung zu sprechen (dahingehend, dass es Unternehmen manchmal erst aus Angst vor dem totalen Bedeutungsverlust gelingt, alte Verkrustungen zu überwinden). Das ist jedoch nicht die Paranoia die wir meinen. Die Paranoia, um die es uns geht, endet aus einem übertriebenen Sicherheitsstreben heraus in einer totalen Kontrollwut.

Hybris und Paranoia sind nicht nur in der Psychologie eng miteinander verbundene Phänomene. Man trifft sie leider auch im Wirtschaftsleben als Zwillingspärchen an. Wenn z.B. Unternehmer und Manager auf der einen Seite die Vorteile des „freien Wirtschaftsraums Internet“ propagieren, auf der anderen Seite aber die E-Mails, Computer oder gar Smartphones ihrer Mitarbeiter überwachen (bis hin zur Kontrolle ihres Freizeitverhaltens in sozialen Netzwerken).

Das kommt in Ihrem Unternehmen nicht vor? Selbstverständlich nicht. Aber offensichtlich doch in einigen anderen, wie Sabine Hockling und Jochen Leffers im September 2015 in einem Bericht im Spiegel dargelegt haben:

„In den vergangenen Jahren kam es zu einer Fülle von Fällen, in denen Unternehmen ihren Angestellten nachspionierten. Die Deutsche Telekom spähte Aufsichtsräte, Manager wie auch Journalisten aus; bei der Deutschen Bahn war von E-Mails über Adresslisten bis zu Textdokumenten fast nichts vor internen Schnüfflern sicher. Der Lebensmittel-Discounter Lidl bespitzelte Mitarbeiter systematisch, vor allem über Minikameras, die offiziell dem Schutz vor Ladendieben dienten. Ähnliche Kameras installierte auch Aldi und gängelte Mitarbeiter mit strengen Kontrollen“.

Ganz abgesehen davon, dass derartige Maßnahmen häufig gegen geltendes Recht verstoßen schaffen sie eine Kultur des extremen Misstrauens, die schnell wie ein Bumerang zurückschlagen kann. Auch Sabine Hockling und Jochen Leffers verweisen in ihrem Beitrag auf Fälle, wo der Einsatz von Kameras sinnvoll sein kann, z.B. um wiederholt auftauchende Diebstähle oder Übergriffe am Arbeitsplatz zu vermeiden. Solche Maßnahmen sollten jedoch eher die Ausnahme als die Regel sein:

„Wer dabei seine Mitarbeiter aus dem Blick verliert, verspielt schnell das Vertrauen der Belegschaft. Arbeitgeber sollten stets abwägen, ob ihre Maßnahmen wirklich notwendig sind oder ob sie nur einen Kontrollwahn befriedigen“, so Sabine Hockling und Jochen Leffers weiter.

Im Extremfall führt eine solche Kultur des Misstrauens dazu, dass Mitarbeiter selbst paranoid werden, dass sie sich nicht mehr trauen, proaktiv im Sinne des Unternehmens zu agieren, jede E-Mail politisch abwägen (damit diese nicht gegen sie verwendet werden kann) und innerlich kündigen. Das kann kein Unternehmen wollen.

# Kultivierung von Unsicherheit

Beim Hang, Sicherheit nicht mit der Schaffung von mehr Sicherheit zu begegnen, sondern mit erhöhter Unsicherheit in Form von Misstrauen, zeigt sich ein Phänomen, welches Niklas Luhmann schon vor Jahren beschreiben hat. Menschen neigen dazu, Unsicherheit zu reduzieren, indem sie nicht etwa Vertrauen schaffen, sondern im Gegenteil Misstrauen kultivieren.

„Das Prinzip der Disruption darf nicht missbraucht werden, um ständig neue Unsicherheiten zu produzieren.“ d.lead

Das Ergebnis ist dann zwar nicht mehr Sicherheit, sondern eher das Gegenteil davon. Diese neue Unsicherheit wird dann zur Grundlage für die Legitimation immer neuer, die Unsicherheiten weiterer potenzierender Brüche hergenommen.

Einige Wissenschaftler gehen so weit, in diesem Zusammenhang gar ein Grundprinzip wie gleichermaßen auch Grundproblem der digitalen Ökonomie zu erkennen. So sieht beispielsweise die Harvard-Historikerin Jill Lepor in der geradezu obsessiven Konzentration der digitalen Ökonomie auf den Bruch mit Üblichkeiten und Traditionen einen Mechanismus uneingestandener Angstabwehr.

„Weil die Gegenwart als fundamental bedrohlich wahrgenommen wird, gelten diejenigen Projekte als attraktiv, die das Herkömmliche verabschieden. Zukunft darf nicht Fortschreibung, vielmehr muss sie Bruch mit der Gegenwart sein“.

Tatsächlich hat man in Gesprächen mit so manchem Apologeten des Digitalen, die sich nicht ganz frei von Ironie selbst gern als „Digital Evangelists“ bezeichnen, das Gefühl, das Disruptive werde zum Selbstzweck. Das gilt in ähnlichem Maße auch für Sicherheitsthemen.

Wenn Technologie- & Sicherheitsfirmen, Wirtschaftsprüfungsgesellschaften, Rechtsanwaltskanzleien, Unternehmensberatungen mit dramatischen Formulierungen auf die enormen digitalen Sicherheitsrisiken in ihren Unternehmen hinweisen, dann geschieht dies naturgemäß zu einem Zweck: Geschäft im eigenen Interesse zu generieren. Daran ist an sich nichts Verwerfliches, es sei denn, wenn die daraufhin gestarteten Initiativen missbraucht werden, um tatsächlich bestehende Sicherheitslücken nicht wirklich zu beseitigen, sondern um möglichst lange selbst im Geschäft zu bleiben.

Kommt nicht vor? Leider doch. Wir haben es selbst bei einem IT-Projekt so erlebt. Die Konsequenz daraus ist: Es entstand eine Spirale aus anhaltenden Sicherheitsproblemen und kostenintensiven Risikoabsicherungsmaßnahmen, die de facto keine wirklichen Sicherheitsverbesserungen mit sich brachten, sondern neue zusätzliche Sicherheitsprobleme. Diese Spirale steigerte nicht nur das wechselseitige Misstrauen im Unternehmen. Sie führte am Ende sogar zu einem höchst destruktiven Prozess der Selbstzerstörung, an dessen Ende sogar die Auflösung des Unternehmens stand: Exitus.

Das bedeutet selbstverständlich nicht, dass Unternehmen mit Sicherheitsthemen nicht offensiv umgehen sollten. Sie sollten sich aber sehr genau anschauen, wem sie die Lösung ihrer Sicherheitsthemen anvertrauen. Manchmal ist ein versierter Hacker da unter Umständen tatsächlich besser, als so mancher selbsternannte Experte, der nicht wirklich zur Lösung der Probleme beiträgt.

# Wie man dem Teufelskreis entkommt

Wer also mehr Sicherheit im eigenen, zunehmend digitalisierten Unternehmen schaffen will, ohne de facto die Unsicherheit zu vergrößern, braucht nicht nur starke Nerven. Er muss auch gewillt sein, dem oben beschriebenen „Teufelskreis“ proaktiv zu entkommen.

Wie ist das möglich?

Auch hierfür haben wir selbstverständlich kein Patentrezept. Es gibt aber einige Orientierungslinien, die helfen können, Sicherheit tatsächlich zu erhöhen ohne Unsicherheit zu schaffen.

1. Sicherheitsthemen proaktiv managen

Wie jedes andere Thema auch so muss auch das Thema „Sicherheit“ aktiv angegangen werden. Am besten proaktiv (z.B. über Test-Hackings, bevor andere das tun). Auch im Bereich Datenschutz und Datensicherheit ist ein präventives und proaktives Management von Sicherheitsthemen zu empfehlen. In Zeiten, in denen Daten immer mehr missbraucht werden, kann ein verantwortungsvoller Umgang damit ein wichtiger Differenzierungsfaktor für Unternehmen sein. Erstaunlich, dass das bisher noch so wenige Unternehmen aufgegriffen haben.

2. Mitarbeiter (auch jenseits der IT) aktiv in Sicherheitsthemen involvieren

Zahlreiche Studien belegen: Die Mitarbeiter selbst (bis hinauf in die Führungsetagen) stellen für Unternehmen häufig das größte Risiko bei Datendiebstählen und ähnlichen Sicherheitsrisiken dar. Ein allzu sorgloser Umgang mit Daten ermöglicht dann beispielsweise Wettbewerbern recht einfach an erfolgskritische Unterlagen zu gelangen. Umso wichtiger ist es, bei Mitarbeitern ein Bewusstsein für entsprechende Sicherheitsrisiken zu schaffen. Dieses Bewusstsein schafft man jedoch nicht mit überzogener Kontrolle, sondern meist besser mit Aufklärung über die entsprechenden Risiken.

3. Sicherheitslösungen kritisch hinterfragen

Wirtschaftsprüfer sind wichtig, um saubere Prüfungsprozesse aufzusetzen, Rechtsanwälte sind wichtig, wenn es darum geht, gute Verträge aufzusetzen, Rechtsstreitigkeiten zu lösen oder auch um Beratung in datenschutzrechtlichen Fragen zu erhalten. Unternehmensberatungen können helfen, Prozesse z.B. im IT-Management effizienter zu gestalten.

Der aktuell feststellbare Trend, dass Wirtschaftsprüfungsgesellschaften, Rechtsanwaltskanzleien und Unternehmensberatungen jedoch auch Sicherheitsleistungen bis hin zu fertigen technischen Lösungen hierfür anbieten, ist jedoch problematisch. Dadurch geht nicht nur die notwendige Neutralität verloren. Es wird oft auch eine Scheinsicherheit vorgespiegelt, welche die entsprechenden Lösungen oft nicht bieten.

Digital unterfütterte „Risk Evaluation“ und „Compliance-Management-Lösungen“ bieten, anders als dies häufig vorgegaukelt wird, keineswegs immer die technische Sicherheit, die Unternehmen benötigen. Schließlich ist es in den vergangenen Jahren bei diversen größeren Unternehmen, z.B. Banken, die über solche Systeme verfügen, immer wieder zu erheblichen Sicherheitsproblemen gekommen. Der einzige Zweck solcher Systeme besteht tatsächlich häufig darin, die Topführungskräfte von Unternehmen vor entsprechenden Schadensersatzansprüchen zu schützen.

„Um wirkliche Sicherheit zu schaffen, braucht man neben digitalen Technologien auch eine analoge Kultur der wechselseitigen Checks & Balances.“ d.lead

Wer jedoch wirkliche Sicherheit sucht, braucht nicht nur technologische Lösungen, die wirklich halten, was sie versprechen, sondern jenseits aller digitalen Risikoüberwachsungsprogramme auch eine analoge Kultur der wechselseitigen „Checks & Balances“, die tatsächlich am ehesten in dezentralen Teamstrukturen unter gebündelter Führung umzusetzen ist. Der große Vorteil solcher dezentralen Teamstrukturen ist nicht nur eine besser implizite Kontrolle (jeder bekommt dort unweigerlich mit, was der andere tut), sondern auch die klarere Zuweisung von Verantwortung.

Man kann Probleme, schwierige Entscheidungen und auch Sicherheitsthemen nicht mehr einfach nach oben „weiterreichen“, da man unten in der Hierarchie sowieso nichts zu sagen hat. Man muss sich vielmehr selbst darum kümmern. Auf diesen wichtigen Zusammenhang hat der ehemalige McKinsey Berater und Buchautor Frederic Laloux hingewiesen:

„With freedom comes responsibility: you can no longer throw problems, harsh decisions, or difficult calls up the hierarchy and let your bosses take care of it. You can’t take refuge in blame, apathy, or resentfulness.“

Dadurch wird interessanterweise nicht nur die Leistungsfähigkeit von Unternehmen erhöht, sondern auch ihre Sicherheit.

4. Unsicherheit mit Vertrauen statt mit Misstrauen begegnen

Ein gesundes Misstrauen kann manchmal im Geschäftsleben, gerade auch in Sicherheitsfragen, durchaus hilfreich sein. Führungskräfte sind allerdings gut beraten, daraus keine allgemeine Misstrauenskultur werden zu lassen.

Im Gegenteil. Zahlreiche psychologische Studien belegen, dass gerade in Zeiten erhöhter Unsicherheit eine aktive Vertrauensarbeit immer wichtiger wird.

„Wer Sicherheit will, darf nicht Unsicherheit säen, sondern muss Vertrauen schaffen.“ d.lead

Vertrauen stellt, wie wir ja in diesem Werk bereits an verschiedener Stelle aufgeführt haben, eine wichtige, Komplexität reduzierende Komponente menschlicher Interaktionsprozesse dar. Oder anders formuliert: Gerade, weil sich in einer zunehmend globalisierten, digitalisierten und von Beschleunigung geprägten Welt auch die Komplexität der Problemstellungen erhöht, braucht man mehr denn je Vertrauen als „Komplexität reduzierende Ressource“.

Führungskräfte spielen bei der Stiftung von Vertrauen dabei eine wichtige Rolle. Sie stehen gerade in digitalen Transformationsprozessen zunehmend in der Verantwortung, Sicherheit nicht nur faktisch zu liefern, sondern auch glaubhaft gegenüber Mitarbeitern, Kunden und Geschäftspartner zu vermitteln.

Sicherheit besitzt also auch eine psychologische Dimension. Sie setzt in Seiten hoher Dynamik eine neue Form der Souveränität voraus, die wir „agile Souveränität“ nennen.

Nächstes Kapitel