Fragen? Antworten! Siehe auch: Alternativlos
Das Thema weckt in mir sehr starke Emotionen, vor allem Wut und Ratlosigkeit, weil ich mich wie viele andere im Bereich IT-Sicherheit seit Jahren so fühle, als würden wir absolut und vollkommen darin versagen, irgendetwas nachhaltig zu bewirken.Es gibt da glaube ich mehrere wichtige Aspekte, die man bedenken muss. Der wichtigste ist: Das ist kein Zufall, unglückliches Timing oder Vertrotteltheit, wieso das Management und die Politik nicht zuhören. Das ist Strategie. Versetzt euch mal in deren Lage rein. Ich erkläre mal für die, die keine Management-Erfahrung haben. Als Vorgesetzter hast du drei Arten von Untergebenen:Anstatt jedoch nur draufzuhauen (zurecht!) lieferst Du in Deinem Artikel wirklich die wie ich finde entscheidenden Argumente.
Deine Analogie zum Arschabwischen ist auch recht zutreffend.
Ich leite ein Computernotfallteam und wir haben uns über Jahre das Image als kompetente Retter in der Not erarbeitet.
Zwar fürchtet man auch, von uns kontaktiert zu werden, weil wir häufig schlechte Nachrichten überbringen, aber wir haben stets mit unendlicher Geduld versucht, den Betroffenen zu helfen und meistens aus Sicht der Betroffenen recht erfolgreich. Diese Hilfe ging häufig weit über das hinaus, was meines Erachtens Aufgabe eines Computernotfallteam ist, immer mit der Hoffnung, dass die Leute es danach selbst geregelt bekommen. Aber nein, so funktioniert das nicht.
Inzwischen fahre ich eine etwas stringentere Linie weil es auch rein kapazitätsmäßig nicht mehr anders geht.
Ich erwarte inzwischen mehr Eigenverantwortung, mehr Selbständigkeit, mehr Verbindlichkeit und mehr nachhaltiges Agieren von Management, IT-Administration und Entwicklung.
Dies führt auf Seiten der verwöhnten Kunden/Betroffenen von Unverständnis und Irritation über unterschwellige und teils auch unverholene Kritik an unserem "Rollenverständnis und unserer Aufgabenwahrnehmung“ bishin zu panikartiger Verunsicherung und Hilflosigkeit. Gott sei Dank sind das bisher noch Einzelfälle.
Die große Herausforderung aber ist, wie wir das in die Köpfe der Entscheidungsebene und der Politik hineinbringen, denn die erweisen sich seit Jahren als extrem resistent gegenüber allem, was ich an Berichten, Beschlussvorlagen, Vermerken oder sonst was vorgelegt habe.
Ich fürchte tatsächlich, es muss alles erst viel schlimmer werden, bevor es besser werden kann. Und dem Prophet im eigenen Lande schenkt man ohnehin keinen Glauben.
Leider besuchen die Entscheider meistens eher industrielastige Veranstaltungen. [Großer IT-Dienstleister] hat mich doch tatsächlich zu einer Veranstaltung eingeladen, bei der irgendwelche „Cyber-Weisen“ irgendeinen Bericht übergeben sollten, nach Vorbild der so genannten Wirtschaftsweisen. Ich habe darauf geantwortet, dass mein Team garantiert an keiner solchen Veranstaltung teilnehmen wird, weil bereits die Ankündigung jedem ernstzunehmenden Profi unseriös erscheinen muss. Würden wir doch kommen, so wäre das sicherlich das letzte Mal, dass wir zu so etwas eingeladen würden, denn ich würde meinen Mund sicher nicht halten und laut sagen, was ich davon halte.
Aber wie bekommen wir jemand dem zugehört wird in solche Veranstaltungen, um unsere Argumente überzeugend vorzutragen?
Die Guten unter den Erfahrenen geben dir direkt noch einen Haken mit, wieso es nicht ihre Schuld ist: Wir müssen mehr Geld in die Hand nehmen, sonst wird das nichts. Das ist wie Scotty bei Star Trek TOS. Kirk: Wie lange brauchen wir? Scotty: 2 Wochen. Kirk: Du hast 4 Stunden. Scotty: (schafft es in zweien)
Das ist, was Upper Management im Projektgeschäft den ganzen Tag hört. Von allen Teilnehmern. Das war eine schlechte Idee, wir hätten das nie anfangen dürfen, das wird alles nichts, die Planung ist völlig absurd optimistisch, und so weiter. Das hören die auch für gutlaufende Projekte.
Ich habe in meinen Vorträgen häufiger das Verhältnis von Management und Entwickler als Training bezeichnet, wie bei Machine Learning. Das gilt auch hier. In einem solchen Umfeld haben wir die Leute, die uns jetzt nicht zuhören, jahrelang mit unserem Verhalten darauf trainiert, uns nicht zuzuhören, weil wir eh immer dasselbe sagen.
Beim Aspekt "wir müssen Geld für Vorbeugung ausgeben" kommt noch dazu, dass das aus deren Sicht ein Affront ist, denn wir geben ja schon Geld für Sicherheit aus. Du und dein Team, ihr seid das Geld, das wir für Sicherheit ausgeben. Von euch will ich hören, dass ihr das Problem löst, nicht dass wir mehr Geld ausgeben müssen. Wenn ihr mir sagt, dass wir mehr Geld ausgeben müssen, ist das zur einen Hälfte für mich ein vorbeugendes "ist nicht unsere Schuld" (ja wessen denn sonst? Meine etwa!? Klar höre ich dir dann nicht zu!) und zur anderen Hälfte ein "du machst deinen Job nicht gut" (da hat auch niemand Bock drauf, sich sowas anzuhören, und noch dazu von Untergebenen, die ja per Definition weniger befähigt sind, das einschätzen zu können, sonst wären sie im Management oder der Politik und nicht Ingenieure!1!!)
Ich übertreibe das jetzt natürlich zur Illustration ein bisschen. Versucht mal, die Welt aus der Perspektive zu sehen, und plötzlich ergibt das alles viel mehr Sinn und ihr fühlt euch nicht mehr so von surrealem Bullshit umgeben.
Tja und was nun? Es gibt mehrere Strategien. Die eine ist, das Framing zu ändern. Du gehst nicht hin mit "alles scheiße, brauchen mehr Geld", sondern mit "OK CERT (meine Aufgabe) haben wir jetzt gelöst und da wirst du gut aussehen, aber in der Vorbeuge könntest du noch punkten". Management hat ja auch Vorgesetzte, und seien es die Aktionäre.
Die zweite Strategie ist strukturelle Inkompetenz (den Job annehmen und absichtlich so krass öffentlich verkacken, dass weiterwurschteln nicht geht und ihr nie wieder mit der Aufgabe betraut werden könnt).
Der dritte Weg ist, dass du einfach die Weisung von oben ignorierst und das machst, was die gleich hätten machen sollen. D.h. du bist ein CERT? Dann nimmst du deine CERT-Kohle und gibst die in Vorsorge aus, machst Vorträge, Schulungen, etc. Und hast dann im Zweifelsfall keine Mittel für CERT-Arbeit. Der Trick an der Stelle ist dann, wie man das nach oben kommuniziert. Wenn du dem Management sagst: Wir konnten nicht besser, weil wir mehr Geld brauchen!, dann führt das wahrscheinlich nicht zum Erfolg. Außer euer CERT ist das persönliche Prestigeprojekt deines Vorgesetzten, dann hast du vielleicht eine Chance. Der Trick ist, dem Management gegenüber glaubwürdig zu simulieren, als bist du einer der Stolzen, die nicht zugeben, wenn es nicht gut läuft, aber du bist nicht besonders gut darin, es zu verheimlichen. Du sorgst dafür, dass die mitkriegen, was nicht läuft, aber beteuerst, dass du es im Griff hast und alles gut wird. Das ist, worauf das Management trainiert ist. Das erkennen die.
Illustiert euch das an einem Beispiel. Ihr kauft ein Auto. Wenn das Auto dir die ganze Zeit erzählt, das teurere Modell hätte jetzt noch folgende Features gehabt, wie wirkt das dann auf dich? Wie Werbung! Die wollen mich über den Tisch ziehen! Der Effekt ist, dass du dich bestärkt fühlst, das richtige Auto gekauft zu haben. Ich war nicht so doof, mich von Werbung beeinflussen zu lassen! Wenn das Auto aber einfach ohne zu meckern arbeitet und in der täglichen Arbeit klar wird, dass der Kofferraum zu klein ist, dann nimmst du mehr Geld in die Hand.
Um es auf den Punkt zu bringen: Management sieht sich als derjenige, der die Handlung vorantreibt. Den Entscheider. Die müssen selber auf die Entscheidung kommen, sonst wird die nicht umgesetzt. Du darfst denen nicht sagen, welche Entscheidung sie treffen müssen, sondern du musst dafür sorgen, dass sie alle Dinge sehen, die sie selbst zu der Entscheidung bringen werden.
Und nochmal zum Training. Management erkennt an dem Gemecker, dass wir mehr Geld brauchen, dass sie den Sweet Spot getroffen haben. Wenn keiner meckert, dass wir mehr Geld brauchen, dann verplempern wir hier gerade Ressourcen.